Начать с простого, думать масштабно, автоматизировать разумно – устойчивость как стратегия
Bright Founders Talk представили разговор с Jim Biniyaz, дальновидным CEO компании ResilientX Security, продукты которой мы имеем в нашем портфолио (Resilientx UEM и ResilientX TPRM). Имея прочную базу как разработчик программного обеспечения и глубокую экспертизу в области кибербезопасности, Jim предлагает уникальный, практичный взгляд на эту сложную индустрию.
ResilientX, основанная в 2022 году, возникла с миссией решить постоянные проблемы соблюдения требований безопасности и упростить кибероперации для современного бизнеса. Во время разговора Jim поделился своими инсайтами о том, как его компания внедряет гиперавтоматизацию процессов соответствия, в частности, в сферах цепи снабжения и управления состоянием безопасности. Он объяснил, что киберустойчивость выходит за рамки традиционной защиты – это образ мышления, интегрирующий принципы безопасности по замыслу (security-by-design) в самую основу организации.
Поскольку компании любого масштаба сталкиваются с растущими цифровыми угрозами, CEO компании ResilientX Security подчеркивает важность создания безопасных фундаментов, адаптированных к специфическим потребностям каждой отрасли. Его путь от разработчика к предпринимателю – яркий пример того, как технический опыт может трансформироваться в стратегические инновации. Это интервью предлагает ценные взгляды для всех, кто работает на пересечении соблюдения требований, безопасности и развития в современном мире технологий.
Все началось с кода: как разработчик, став основателем, переосмысливает киберустойчивость
Jim не планировал стать CEO. На самом деле его карьера началась там, где стартуют многие выдающиеся истории в мире технологий – за клавиатурой, во время написания кода. Работая разработчиком в компаниях, специализирующихся на кибербезопасности, картина в его голове постепенно сложилась. Слишком многие компании тратили часы (и деньги), вручную преодолевая сложные рамки соответствия нормативным требованиям, чтобы поставить «галочку» в отчете. Ландшафт кибербезопасности казался перегруженным консультантами и неэффективными процессами. «Почему бы не создать что-нибудь лучшее?» – подумал он. Так, в 2022 году появилась ResilientX Security, компания, целью которой является гиперавтоматизация процессов комплаенса и безопасности и сделать их масштабируемыми для реальных бизнес-задач.
Подход Jim’а к кибербезопасности отличается простотой и здравым смыслом. Он не гонится за модными словами и не продает страх. Его фокус – упрощать то, что многие компании склонны усложнять. «Большинство кибератак встречаются по нескольким очень простым причинам», – пояснил он. Независимо от того, технический пробел или человеческая ошибка, причины обычно очевидны. Но решить их – вот настоящий вызов. Эта идея стала основой двух ключевых направлений ResilientX: инструментов для управления цепью снабжения и управления состоянием безопасности, которые помогают интегрировать мышление мышления в повседневные бизнес-процессы. Jim убежден, что соответствие требованиям не должно быть обузой – оно должно стать отправной точкой.
Настоящее отличие в философии Jim’а заключается в понятии киберустойчивости. Это не только о защите системы – это способность восстанавливаться. «Устойчивость – это образ мышления», – отметил он, и было видно, что эти слова не просто риторика. Кибербезопасность больше не ограничивается IT-отделом, который “ставит файерволы”. Сегодня крупные корпорации уже создают должности cyber resilience officers – работников, ответственных за устойчивость цифровых систем. Jim считает это переломным моментом, когда компании начинают воспринимать безопасность не как контрольный список, а как живую бизнес-функцию, интегрированную во все его процессы. Его миссия – создать инструменты, которые не только защищают компании, но и помогают им развиваться, адаптироваться и оставаться эффективными в непредсказуемой цифровой среде.
Киберустойчивость начинается с риска: почему Jim считает, что осведомленность – лучшая защита
Когда Jim начинает сотрудничать с новым клиентом, он не приходит с готовым шаблоном или универсальным списком проверок. Все начинается с простого вопроса: «Что здесь может пойти не так ли?» Эта первая оценка – ключевая. Независимо от того, разрабатывает ли компания SaaS-продукты, передает данные через многочисленные посторонние API или взаимодействует с более чем 200 поставщиками, первая задача Jim’а – очертить карту рисков: киберугроз, юридических и репутационных. Только после этого можно определить, что требует наивысшего уровня защиты. «Чем больше активов у вас, тем больше защиты вам нужно», – подчеркнул Jim. И в современном разветвленном цифровом мире это может означать очень многое.
А вот здесь все усложняется, ведь слишком многие компании пропускают базовые вещи. Они сразу переходят к сложным инструментам, не выстроив элементарную “гигиену безопасности”. Jim видит это постоянно: отсутствие ежегодных penetration-тестов, инфраструктурных сканирований, регулярных тренировок по моделированию угроз. «Обычно можно понять, насколько компания серьезно относится к безопасности, просто посмотрев, соблюдают ли они основные практики» – отмечает Jim.
Интересно, что такие фреймворки как SOC 2 или ISO 27001 часто становятся для бизнеса полезным толчком в правильном направлении. Не потому, что они решают все проблемы, а потому, что хотя бы задают минимальный обязательный уровень требований. Их можно сравнить с “тренировочными колесами” в кибербезопасности: они помогают не упасть, но саму гонку не выиграют.
Одной из тем, к которой Jim проявляет особое внимание, является управление рисками цепочки поставок и третьих сторон. Крупные компании могут обмениваться конфиденциальными данными с сотнями поставщиков, каждый из них может стать бекдором для злоумышленников. ResilientX, предлагая end-to-end платформу, оценивающую поставщиков, посылает им опросники безопасности и помогает компаниям оставаться на шаг впереди каскадных уязвимостей.
Однако, по словам Jim’а, это даже не главная угроза. Его больше всего беспокоит рост волны фишинга и утечек данных, усиленных искусственным интеллектом. «ИИ делает фишинг невероятно умным», – предупреждает он, объясняя, как злоумышленники теперь персонализируют письма, используя социальные сети и поведение пользователей в браузере. И учитывая, сколько данных ежедневно попадает в системы искусственного интеллекта, вопрос конфиденциальности уже не является теоретическим – это следующий предел киберрисков.
От ассистентов на основе ИИ до квантовых угроз: видение Jim’а относительно будущего кибербезопасности
Если спросить Jim’а о будущем кибербезопасности, быстро станет понятно – это уже давно не только о файерволах. Искусственный интеллект не является модным словом из презентаций стартапов, он уже меняет правила игры.
По словам Jim’а, в ближайшие несколько лет многие рутинные и базовые задачи в кибербезопасности (такие как аудиты соответствия, базовый мониторинг угроз и даже некоторые элементы наступательной защиты (offensive security)) будут переданы на выполнение ИИ. «ИИ уже может превзойти junior-аналитика по многим аспектам», – отметил он, намекая на недалекое будущее, где люди будут выполнять роль операторов систем искусственного интеллекта, а не традиционных специалистов по безопасности. Это не угроза, а смена парадигмы. И, как любое значительное изменение в технологиях, оно требует времени, чтобы к нему адаптироваться.
Но как только кажется, что искусственный интеллект – самый большой фактор изменений на горизонте, Jim подбрасывает новую тему – квантовые вычисления. Несмотря на то, что технология еще только формируется, он считает ее реальной угрозой одному из базовых столбов кибербезопасности – шифрованию. Сегодня именно шифрование защищает наши банковские счета, электронную почту и медицинские записи. Но когда квантовые вычисления достигнут масштабирования, эти коды можно будет легко расшифровывать. «Нас ожидает волна обновления алгоритмов шифрования, просто чтобы успеть за мощностью квантовых технологий» – прогнозирует Jim.
Это одновременно и увлекательно, и немного страшно. Jim признается, что с интересом хотел бы увидеть одну из таких машин вживую. Но пока он сосредоточен на том, как индустрия готовится к неизбежным изменениям.
На практике компания ResilientX работает как с небольшими стартапами, так и с крупными корпорациями, опыт сотрудничества сильно отличается в зависимости от клиента. Стартапы, по словам Jim’а, обычно открыты к экспериментам и желают новых подходов. Как насчет крупных организаций? «Больше осторожности, больше бюрократии», – признает он. Особенно это заметно в крупных европейских компаниях, предпочитающих поставщиков с опытом не менее 5–10 лет, что создает вызов для молодых киберкомпаний, только выходящих на рынок.
Несмотря на это, Jim убежден: рынок все еще открыт для новичков, особенно для тех, кто предлагает реальные решения и качественную поддержку. Его совет компаниям, которые чувствуют себя растерянно из-за всех этих изменений, начинать с малого, начинать разумно, и не ждать, пока их название появится в заголовках, чтобы начать относиться к кибербезопасности серьезно.
Начать с малого, думать масштабно: видение Jim’а относительно разумной и безопасной цифровой Европы
Для Jim’а создание устойчивой компании начинается там, где начинаются все успешные истории – с базовых вещей. «Независимо от отрасли первый шаг – понять, какие стандарты и фреймворки комплаенса применяются к вашему бизнесу. FinTech? Ознакомьтесь с требованиями DORA. SaaS? Начните картографировать процессы в соответствии с ISO 27001.» – советует он.
Но это только верхушка айсберга. Настоящая возможность состоит в трансформации устаревших ручных процессов в оптимизированные, автоматизированные системы на основе ИИ, которые могут масштабироваться. Jim видит огромный разрыв (и еще больший потенциал) для того, чтобы помогать средним компаниям не только повысить уровень защиты, но и быстро и прозрачно демонстрировать свою безопасность партнерам, клиентам и поставщикам.
Одним из вызовов, которые Jim особенно стремится решить, является создание того, что он называет «LinkedIn для доверия» в сфере кибербезопасности – защищенной проверенной сети, где компании могут мгновенно продемонстрировать свой уровень безопасности. Без нескончаемых цепочек переписки. Без продолжительных аудитов при закупках. Идея проста, но способна существенно сократить бюрократию в современном B2B-мире, где бизнесы становятся все более осторожными в отношении рисков.
В ResilientX цель на ближайшее десятилетие – автоматизировать еще больше ручных процессов: от оценок рисков до penetration-тестирования с использованием искусственного интеллекта. И хотя компания прочно укоренена в Европе, Jim не исключает возможности глобальной экспансии.
А если этот материал читает будущий основатель стартапа, Jim имеет для него четкое послание: «Просто начни. Это не будет совершенно. Будет нерешительность, будут сомнения. Но это не часть пути.» – говорит он с улыбкой, вспоминая свои первые шаги, полные неопределенности. Jim знает, что предпринимательский путь нелегок, но очень вознаграждает. Создавать что-то с нуля, видеть, как оно решает реальные проблемы, расти из-за ошибок – именно это и мотивирует его двигаться вперед. И, судя по огню в его голосе, это только начало истории.
