Ассоциация безопасности. В гостях у ЦАРКА
Новогодние праздники не повод не сходить в гости, подумал я и договорился с Олжасом Сатиевым, со-основателем компании, о которой чаще всего пишут казахстанские СМИ, когда речь заходит о теме кибербезопасности и найденных уязвимостей в государственных интернет сервисах. ЦАРКА или Центр расследования и анализа кибератак работает в Казахстане уже 5 лет, компания стала широко известной после серии найденных серьёзных уязвимостей в сервисах государственных органов и крупных банков. Сейчас в команде около 40 человек, офисы в Астане и Алматы, более 50 клиентов в Казахстане, СНГ и странах Европы, и свой продукт Webtotem с таргетом на мировой рынок. Я побывал в астанинском офисе команды и узнал много нового о ситуации с информационной безопасностью и отношением к ней в Казахстане и на других рынках.
Миссия ЦАРКА состоит в том, чтобы обнаружить и устранить проблемы безопасности прежде, чем они станут серьезной угрозой.
Именно в такой концепции компания старается работать. Использую слово “старается”, потому что на рынке Казахстана, по словам Олжаса, есть большая проблема с отношением к теме безопасности и внешнего аудита. При выявлении уязвимости команда связывается с владельцами ресурса напрямую и сообщает о проблемах и последствиях, которые могут быть если эту уязвимость кто-то использует. Очень часто такие обращения игнорируют или отвечают отговорками о нехватке средств и времени на устранение. Тогда ребята открыто публикуют факт существования дыры в безопасности с доказательствами возможного использования. В случае с государственными сервисами время и средства сразу появляются и проблема решается за несколько часов по звонку сверху. Наверняка кто-то теряет при этом работу. За это ЦАРКУ не очень любят в IT сообществе…
Начинали ребята вдвоём — у Олжаса была студия по разработке интернет-проектов и один из первых казахстанских сайтов про “белых” хакеров, у Армана Абдрасилова проект по разработке безопасного мессенджера а-ля Телеграм. Работали в одном офисе-коттедже, там и родилась идея создать компанию по безопасности. Собрали команду из инженеров, которые занимались взломом и антивзломом в формате хобби, работая при этом разработчиками, девопсами или админами. Олжас пригласил своих друзей и знакомых по хакерскому сообществу заниматься тем, что им нравилось, но за деньги и на легальной основе. Так и родилась ЦАРКА.
Один из самых ярких примеров плачевного состояния системы кибер безопасности государства — это доступ к управлению всеми ресурсами на домене gov.kz, который ребята получили через архив с бекапом на reg.gov.kz, находившийся в открытом доступе! Такой доступ мог дать злоумышленникам возможность удалить все сайты гос.органов разом. Публикация этого и других фактов преступной халатности и некомпетентности государственных айтишников привели к началу сотрудничества с министерством и созданию программы Киберщит Казахстана, начало которой озвучил Президент в своем послании несколько лет назад. Усилиями ЦАРКА в эту программу удалось включить индекс киберготовности (Cyber Readiness Index, CRI 2019 в PDF) в качестве целевого показателя для государства. За несколько лет со 118-го места Казахстан поднялся до 40-го в общемировом рейтинге и до 2 места в списке стран СНГ. Собственный KPI ЦАРКА — помочь Казахстану войти в топ-10 индекса киберготовности и быть рядом с такими странами как Сингапур, Израиль и Великобритания.
Отдельного абзаца заслуживает Yuki, собака Олжаса, которая является практически полноценным членом команды. Она ведет свой Инстаграм аккаунт, часто бывает в офисе и поддерживает ребят на выставках и конференциях. Это супер мило! Почему так мало компаний в Казахстане пускают к себе в офис животных? По-моему это первый случай за все мои репортажи.
Основная база ЦАРКА находится на левом берегу Астаны. Это двухэтажный офис в жилом комплексе Акжайык. Есть несколько больших опенспейсов, где работают специалисты разных направлений: пентестеры, ресерчеры, хардварщики и так далее. Есть кабинет руководства, комната отдыха с SP4 и Xbox, просторная кухня и терраса на крыше. Жаль, что сейчас не лето, говорят там отлично сидится под кальян на свежем воздухе! В это здание команда переехала летом, до этого снимали коттедж, но выросли и перестали вмещаться. Теперь скучают по шашлыкам на лужайке.
Всего в команде около 40 человек и большинство работает здесь. Для меня было открытием, что в ЦАРКА не практикуют удаленную работу, вообще. Мой стереотип хакера, который сидит в своём домашнем подвале возле стены из мониторов был разбит в дребезги :) Оказывается и в хакерском деле сейчас тоже важны общение, обмен опытом и работа в команде. Правда, отбирают людей в команду очень тщательно! В работе используются личные наработки, которыми никто не хочет делиться с “левыми” людьми. Все решения по найму Олжас принимает вместе с командой. Кстати, практически у всех в компании технический бекграунд и это делает команды по-настоящему крутой — инженеры способны создавать очень эффективные продукты, доказано опытом Google.
Продукт Webtotem заслуживает не меньшего внимания. Это SaaS сервис для регулярного анализа угроз безопасности и уведомлений о проблемах в режиме реального времени. Сейчас продукт защищает более 300 000 сайтов по всему миру — есть бесплатная версия, которая позволяет поставить на мониторинг несколько сайтов. Для больших компаний и интернет-студий есть платные тарифы. Также внутри личного кабинета есть возможность создать заказ на разовые услуги, например аудит, нагрузочное тестирование или расследование инцидентов.
Сейчас ребята активно продают Webtotem в странах Европы, есть офис в Эстонии и США — такое позиционирование помогает в продажах, сервис информбезопасности от компании из Казахстана клиенты покупать не готовы. Победа на Echelon Asia Summit в Сингапуре, успешное участие в Seedstars Summit в Швейцарии и в минском EMERGE, призовые места на TNW в Амстердаме и на Latitude59 в Таллине делают Webtotem одним из самых титулованных казахстанских стартапов на мировой арене. Я думаю у продукта хорошее будущее!
Ещё один потенциально перспективный продукт ЦАРКА из области железа и криптографии. Вот такая коробочка умеет шифровать и дешифровать трафик в большом объёме на высокой скорости, до 10 Гбит/с. Потенциальное применение, например, президентская связь при визите в другую страну, в том числе видео связь. Это собственная разработка и сборка команды, которая сейчас проходит тестирование на соответствие государственным стандартам. Внутри только семислойные платы из Китая, у нас таких не делают, в остальном чисто #madeinkz продукт. Мировые аналоги такой железки стоят десятки тысяч долларов, ребята смогли собрать свой с себестоимостью около $1000.
Атмосферу в компании отлично передают фото в Инстаграме ЦАРКИ и ролики о команде в корпоративном YouTube-канале, например вот этот:
А вот этот ролик расскажет об обычном дне сотрудника ЦАРКА и, думаю, немного вас напугает ;)
Блиц-интервью с Олжасом Сатиевым, президентом ЦАРКА
Назови 3 сайта или мобильных приложения, разработанных в Казахстане, которыми ты пользуешься?
Из приложений стоит только Homebank, Kaspi и WebTotem :).
Что тебе нравится при работе на рынке Казахстана? Что не нравится и раздражает?
Нравится:
- отсутствие конкуренции легче и дешевле тестировать идеи,
- кадры в Казахстане.
Не нравится:
- отсутствие конкуренции,
- нет культа предпринимательства,
- монополизм госкомпании на рынке , из-за которого не развиваются отрасли ИТ и ИБ,
- отсутствие стабильности,
- страна пустых меморандумов.
Чем порадуете свою аудиторию в ближайшее время?
В этом году хотим сосредоточится на своих продуктах и удивить новым KazHackStan-ом.
Google или Яндекс? Почему?
Активно использую продукты обоих компании. Но, с учетом того, что стараюсь продвигаться на зарубежном рынке, стараюсь меньше использовать Яндекс в работе.
Что бы ты сказал Марку Цукербергу, если бы оказался перед ним?
Как остаться психологически стабильным, имея власть над миллионами умов через свою соцсеть?
Все репортажи в рубрике #ПокаВсеВОфисе можно найти на сайте http://merkushev.ru/intheoffice/ — заходите и выбирайте интересные вам сюжеты.
Чтобы не пропустить следующий репортаж, подписывайтесь на мой канал в Телеграме: https://t.me/vladimir_merkushev
