Piaţa autohtonă a soluţiilor de securitate informatică este tot timpul în mișcare, iar jucătorii principali se luptă pentru supremație. Ameninţările informatice se înmulţesc cu rapiditate, iar oferta de produse de securitate trebuie să se adapteze constant. Despre toate acestea, am stat de vorbă cu Teodor Cimpoeşu, Managing Director Kaspersky Lab Romania şi Bulgaria.

ITChannel: Sunteţi un furnizor foarte vizibil pe piaţă, atât pe zona de retail, cât şi pe zona de enterprise. Cum priviți cele două componente de piață, în acest moment?

Teodor Cimpoeșu: Da, suntem un jucător important pe piaţa din România, pentru că am avut o prezenţă foarte intensă şi activă încă din 2008. Pe partea de consumer, de utilizatori rezidenţiali, există într-adevăr o gamă destul de acoperitoare de produse, pentru device-uri clasice (laptop şi PC) până la tablete și telefoane. Din punct de vedere al poziţionării, suntem un produs premium, adică toate tehnologiile din produs au costat firma o investiţie destul de serioasă şi de aceea nu există o versiune gratuită de Kaspersky. Există, în schimb, instrumente gratuite, cum ar fi Virus Removal Tool, astfel încât orice utilizator care are nevoie de asistenţă pentru a face o devirusare, poate să folosească versiunile de încercare de la noi, care sunt complet funcţionale. Pe partea de corporate, este o altă poveste. Aici nu avem de protejat unul sau câteva calculatoare sau telefoane mobile, ci infrastructuri mult mai complexe, iar aici şi piaţa este diferită. Vedem o schimbare de-a lungul timpului în ceea ce priveşte conceptul de securitate a companiilor: de la renumitul BYOD (bring your own device), care înseamnă pur şi simplu un risc în plus pentru IT manageri ce trebuie ă gestioneze nişte device-uri care nu sunt sub controlul lor, până la diversificarea infrastructurii, adoptarea de servicii externalizate, servicii cloud. Acestea înseamnă o expunere mai mare și o creştere a suprafeţei de risc. Acest risc a început să devină foarte real, tangibil, există o tendință puternic ascendentă de creştere a fluxului de malware și de sofisticare a atacurilor. Din acest punct de vedere, produsele şi tehnologia de protecţie enterprise trebuie să ţină pasul.

ITC: Cum țineți așadar pasul cu această evoluție a tehnologiei? Am văzut că aveţi foarte multe patente.

T.C.: Da, când vorbim de firme care activează în domeniul tehnologiei, și nu mă refer doar la tehnologia informației, competenţele şi valorea firmei sunt date, de fapt, de capacitatea ei de a inova. Una dintre expresiile inovării este şi înregistrarea acestor realizări, sub forma patentelor, în mare măsură pentru protecţie. Pentru că activăm pe pieţe foarte competitive, este foarte important să-ţi înregistrezi aceste invenţii, pentru a-ţi proteja businessul. Pe de altă parte, când vorbim de evoluţia malware, nu este uşor să inventezi, să găseşti noi metode de prevenire. Cu cât cerinţele de securitate sunt mai înalte, cu atât metodele şi tehnologiile pe care trebuie să le implementezi sunt mai sofisticate şi acest lucru se simte. În ceea ce priveşte abordarea securităţii, în ultimii ani a avut loc o schimbare de paradigmă, şi anume, o orientare a companiilor de top de pe piaţă către tehnologii noi. O astfel de tehnologie ar fi whitelisting, însemnând faptul că, în funcţie de necesităţile de securitate, se pot defini exact ce programe este permis a fi rulate în organizație. O altă tehnologie, pe care am introdus-o deja de anul trecut între produsele noastre, se numeşte Automatic Exploit Prevention.

ITC: În business-ul acesta, zona de servicii IT tinde să crească faţă de zona de licenţe?

T.C.: Cred că există o presiune pe partea de produse pentru utilizatorii individuali. În perioada noiembrie-ianuarie, când am făcut nişte pachete şi promoţii foarte interesante, răspunsul a fost imediat. Pe partea de business, în schimb, cred că există un potenţial foarte mare pentru servicii administrate, şi anume, mici companii care nu au resursele să se administreze singure şi care poate ar plăti un abonament, fie cum îşi plătesc internetul, fie de servicii IT, care să le administreze atât infrastructura informatică, cât şi partea de securitate. Am avut şi cereri de la parteneri pentru ceea ce noi numim managed security service, şi anume licenţierea şi administrarea de către un outsourcer a infrastructurii. Avem şi acest model şi urmează să introducem şi subscription pe partea de business. Există avantajele serviciului, şi anume, trecerea de pe capex pe opex, externalizarea competenţelor, relaţii contractuale.

ITC: Se spune că peste 80% dintre cazurile de atac sunt facilitate și de către utilizatori. Ce părere aveți?

T.C.: Exact din această perspectivă, ceea ce noi numim Endpoint  Security, a devenit un subiect foarte important pe agenda managerului IT, pentru că ‚Endpoint’ este aici, unde utilizatorul uman foloseşte tehnologia. În spate pot fi multe alte echipamente, însă aici intervine cea mai mare necunoscută: ce va face utilizatorul uman? Din păcate, de cele mai multe ori, aici se întâmplă atacurile. Toţi jucătorii din industria de securitate mizează pe educaţie, însă un angajat, căruia i se dă un echipament, nu se aşteaptă decât să îşi facă treaba, să lucreze, să navigheze, să-şi caute informaţiile necesare. De aceea, este greu de balansat. Deoarece aici se întâmplă cele mai multe atacuri, iar atacurile sofisticate folosesc ceea ce noi, în industrie, numim Zero Day, adică vulnerabilităţi despre care vendorul aplicaţiei sau sistemului de operare nu ştie sau nu a scos încă un patch, o rezolvare. În acel moment, tu eşti complet descoperit, nu ai ce să faci, poţi doar să închizi sistemul sau să-l izolezi, deoarece eşti vulnerabil. Atacurile cu adevărat sofisticate folosesc astfel de vulnerabilităţi necunoscute, care  trec de sistemele tradiţionale de protecţie. De aceea, tehnologiile moderne de protecţie se uită la comportamentul programelor pentru a sesiza ce face acest program, ce vrea să accesze. Un pas în faţă este ce am făcut noi în Automatic Exploit Prevention, prin care, folosind know how-ul deja acumulat, putem identifica faptul că un anumit program sau document deschis, de fapt, a declanşat un atac în progres şi să-l blocăm exact în momentul în care se manifestă, fără să ştim absolut nimic despre ce fel de malware este acolo. Fără să stim ce este în spate, uitându-ne la comportamentul aplicaţiei, îl putem bloca din timp. O astfel de tehnologie face, de fapt, diferenţa când vorbim de malware modern, pentru că instituţiile de testare moderne, serioase se uită la astfel de atacuri. De pildă, au fost nişte teste pe malware pentru sistemele bancare. Desigur, una este să faci un test pe o colecţie de programe malware ca să vezi cine le detectează şi cu totul alta este să faci un test în viaţa reală. De curând, de pildă, produsele noastre corporate au luat un prestigios premiu de la AV-TEST. De asemenea, anul trecut, la un test de la AV-Comparatives am avut acelaşi punctaj ca şi Bitdefender Şi, deoarece noi am mai luat o dată acel premiu, el a fost acordat lui Bitdefender, noi fiind deja premiaţi. Rezultatele au fost la exact acelaşi nivel.

ITC: Într-adevăr, am văzut că aţi primit numeroase premii. Ce înseamnă aceasta pentru Dvs?

T.C.: Da, am şi început să le comunicăm. Diferenţa este că noi ne testăm şi produsele de consumer, şi produsele de business, pentru că, totuşi, publicul este diferit. Faptul că pe mine mă interesează să-mi protejez laptopul de acasă, iar tu, ca şi companie, ai luat premiu pentru produsele tale enterprise, poate să-mi spună ceva despre calitatea ta, dar pe mine mă interesează cât de bun este produsul pe care vrei să mi-l vinzi mie. Şi invers, faptul ca tu ai luat un premiu pentru produsul de home user s-ar putea să nu mă prea intereseze atunci când eu vorbesc despre protecţia enterprise, în ce măsură ai un produs capabil să îmi protejeze întreaga infrastructură. Subiectul testelor este unul dificil. Există câteva instituţii care sunt recunoscute în industrie AV-Comparatives, AV-TEST, Virus Bulletin, etc. Un alt subiect foarte important, pentru că nu mai vorbim de antivirus, ci vorbim despre soluţii de securitate şi atunci când eşti conectat la internet, poţi să nu descarci nimic, să nu dai click pe absolut nimic şi să fii atacat. Aşadar, nevoile diferă şi atunci contează ce testezi şi ce produse oferi companiilor, respectiv utilizatorilor.

ITC: Deci practica antivirusilor bazate pe semnături tinde să devină istorie.

T.C.: Nu mai există. O semnătură de-a noastră poate detecta şi bloca cel mult zeci sau sute de programe malware, pentru că ea se referă la nişte caracteristici comune. Mai mult decât atât, există tehnologii care nu mai au de-a face cu semnăturile. Ele se referă direct la modul de acţiune şi de atac al programelor malware. De aceea, poţi foarte bine să stai protejat fără să-ţi mai faci update, dacă ai tehnologiile necesare.

ITC: Vorbim despre o inteligenţă artificială a antivirusului.

T.C.: Da, suntem într-o cursă continuă cu băieţii răi, pentru că infractorii cibernetici deja nu mai sunt hackerii care vor să apară la ştiri, ci sunt grupuri de criminalitate organizată, care fac foarte mulţi bani din această treabă.

ITC: Credeţi că se schimbă zona aceasta de securitate? Ce se va schimba semnificativ în 2013 faţă de 2012, din punct de vedere al ameninţărilor?

T.C.: Din punct de vedere al ameninţărilor, vor fi schimbări, dar nu semnificative. Vom vedea, aşa cum spuneam şi la sfârşitul anului 2012, o creştere a atacurilor pe platformele mobile. Eugen Kaspersky, cu 3 ani în urmă, spunea că Android va deveni noul Microsoft, când Android încă era la început de drum şi toată lumea lăuda iOS şi Apple. Însă, se dovedeşte că a avut dreptate. Fiind un ecosistem deschis şi foarte primitor cu dezvoltatorii, s-a extins foarte mult. Pe de altă parte, nu are acele măsuri de securitate foarte stricte din iOS de semnare a aplicaţiilor, de verificare foarte strictă a lor, este ca un mediu care permite dezvoltarea bacteriilor. Google încearcă să ţină în frâu toate acestea, însă noi credem că trendul atacurilor va fi unul crescător pe platformele mobile. De asemenea, previzionăm o creştere a spionajului corporatist, a folosirii malware-ului, a atacării infrastructurilor. Spuneam mai devreme că infrastructurile au devenit mult mai expuse, ai şi echipamente care nu-ţi aparţin şi pe care poate nu le-ai integrat în politica ta de securitate, ai şi infrastructură migrată în cloud, iar aceste infrastructuri deschise sunt mai uşor de atacat.

ITC: Să vorbim puţin şi despre zona dispozitivelor mobile. Aici este o piaţă foarte mare, în care am văzut că deja sunteţi instalaţi pe unele dispozitive. Care ar fi obiectivele pe această zonă?

T.C.: Cred că pe termen lung nu vom mai vorbi despre o piaţă de desktop, ci vom vorbi despre o piaţă de device-uri, marea majoritate mobile. Pe măsură dispozitivele mobile, tablete şi telefoane, vor fi folosite pentru business, mai mult decat pentru distractie, cu siguranţă că şi focusul celor care dezvoltă programe malware va creşte. Ei monetizează, pentru că nu dezvoltă malware de plăcere, ci ţintesc aceste platforme pentru a le transforma în bani. Din punctul de vedere al securităţii, bineînţeles că ne intersează să protejăm aceşti utilizatori.

ITC: Aş vrea să vorbim şi despre „octombrie roşu”. Ce s-a întâmplat? Atacurile de această anvergură vor fi tot mai frecvente în viitor?

T.C.: Da, cred că la vreo săptămână după ce am ieşit public cu informaţii despre această campanie de spionaj, pe bloggurile de specialitate se postau comentarii de genul „în fiecare zi există un octombrie roşu”, nu minimizând descoperirea noastră, dar subliniind că astfel de campanii de ciber-spionaj nu sunt unice. Nu este o campanie pe care o descoperă cineva la un moment dat, ci există un flux foarte mare de astfel de atacuri, există un interes de a se dezvolta capacităţi de cyber inteligence atât defensive, cât, mai ales, ofensive. În cazul de faţă, descoperirea este destul de îngrijorătoare pentru că pe măsură ce săpam şi ne adânceam, vedeam care este, de fapt, scala întregului atac. Am descoperit sample-uri legate de atac vechi de mai bine de 5 ani şi asta sugera că s-a operat sistematic. Aveau proceduri de migrare şi de evitare a detecţiei bine puse la punct şi, nu în ultimul rând, calitatea codului scris era de o complexitate mai ridicată decât ce vedem în fluxul zilnic de malware. La astfel de programe, nu ştim cine sunt autorii, dar este clar că au avut o miză foarte valoroasă şi cred că nu sunt singurii.

ITC: Şi în zona corporate vor fi şi mai frecvente.

T.C.: În zona corporate cred că dacă luăm orice CEO al unei companii, fie româneşti, fie filiala unei companii străine în România, care are cel puţin 500 de staţii, echipamente în responsabilitate, ne-ar poate povesti confidenţial tot felul de incidente. Companiile sunt sub atac dintr-un motiv foarte simplu, ca şi motivul pentru care există şi criminalitate cibernetică, este foarte uşor de făcut, se fac bani din acest lucru şi, mai mult decât atât, urmărirea şi condamnarea unor astfel de infractori este foarte dificilă. Nu există suficiente resurse de cele mai multe ori. Orice corporaţie poate fi atacată şi şantajată, cum au fost câteva cazuri vizibile în presă sau poate fi atacată de competitori, pentru a fura secrete comerciale. Faptul că citim doar de companii americane sau vest-europene nu înseamnă că în companiile din România nu se întâmplă.

ITC: Din păcate, nu prea există referinţe în această zonă.

T.C.: Nu există, pentru ca nu avem o cultură de a face publice astfel de evenimente. Evident, toţi se gândesc la ce impact comercial poate avea ieşirea în public cu astfel de informaţii, respectiv nu există constrângerea legii, cum este în SUA. SEC, mai nou, le cere companiilor să divulge în raportările lor dacă au avut incidente şi, după ce au introdus această reglementare, brusc le-a revenit memoria unor firme serioase. Despre asta este vorba. Din câte ştiu, există o propunere de legislaţie europeană care obligă instituţiile financiar-bancare, dar şi telecomurile, să facă publice incidentele. Nu a trecut încă, dar ştiu că este în lucru. Va fi interesant.

ITC: Legat de filosofia companiei, spre deosebire de ceilalţi competitori, există o altă strategie de promovare. Kaspersky este cotată la Bursă?

T.C.: Kaspersky Lab, ca vendor în industria de securitate, este în continuare o companie privată. De ce se listează firmele? Firmele se listează pentru a-şi finanţa proiectele, respectiv nevoia de creştere. Deocamdată, noi nu avem nevoie de această finanţare. Pe de-o parte. Pe de altă parte, suntem într-un stadiu în care agilitatea este foarte importată. În momentul în care eşti listat la Bursă, există presiunea quarter results, care te face să iei măsuri mult mai pragmatice pe termen scurt. Pe când pe termen lung s-ar putea să trebuiască să nu poţi ieşi pe piaţă cu un produs pentru că nu este destul de matur, cum s-a întâmplat în 2007. Mai stăm un an pentru a îl face mult mai solid, pentru a testa mult mai bine soluţiile de tehnologii de protecţie pe care le-am introdus deja şi apoi ieşim pe piaţă, pentru că nu ne permitem să ieşim cu ceva half cooked. Dacă eram o companie listată la Bursă, acţionarii deja ştiau că lucrăm la un produs, deja aşteptau noua lansare care aduce vânzări şi cred că ar fi fost o presiune foarte mare, dacă nu imposibil, să iei astfel de decizii. Toată lumea voia să fii acolo, să faci vânzările pe care le-ai anunţat. Există o agilitate, dar s-ar putea ca la o anumită dimensiune să nu poţi face asta din resurse proprii, însă noi suntem în continuare companie privată.

ITC: Ce obiective urmăriţi pe piaţa românească pentru 2013?

T.C.: Evident, să creştem. Dacă în 2008 am plecat de la 3-5% din piaţă, estimările noastre actuale sunt undeva la 20% cotă de piaţă. Asta înseamnă o creştere destul de bună, uitându-ne şi la faptul că nu suntem singurii activi pe piață. De asemenea, anul trecut, piaţa soluțiilor de securitate, ca și tot ce înseamnă domeniul IT, dealtfel, a suferit un uşor recul: aceasta este realitatea. Pentru 2013, noi ne-am propus să avem performanțe peste nivelul anului trecut, și cred, de asemenea, că există toate premisele pentru aceasta. Avem o nouă ediţie de produse enterprise, cu funcţionalităţi foarte interesante şi foarte cerute, vom îmbunătăți programul nostru de parteneriat şi politicile de distribuție, care sperăm să aducă mai multă disciplină şi să se şi reflecte în vânzări. Așadar, pentru nivelul României şi Bulgariei sunt foarte optimist.

Interviu realizat de Silviu Cojocari si Stefania Dinu