Меню
Пошук

Сергій Потапов, IT Specialist: «Якщо ми не автоматизуємо рутину, ресурсів на протистояння атакам просто не вистачить»

1 апрель, 2026 - 17:12Михайло Лаптєв

Сьогодні у нас в гостях Сергій Потапов, директор з організаційного розвитку IT Specialist. Нашу бесіду ми почали з питання про профіль компанії IT Specialist, яка відома на українському ринку рішеннями та проєктами у сегменті корпоративного кіберзахисту.

Компанія IT Specialist на ринку з 2014 року. Отже, ми зараз упевнено наближаємося до позначки у 12 років нашої активної діяльності.

Важливо підкреслити один момент – IT Specialist була сформована як компанія з дуже чітким стратегічним фокусом саме на рішення у сфері кібербезпеки. Ми не намагалися охопити все в інтеграції – ми хотіли стати найкращими саме в захисті інформації. Звичайно, протягом цих 12 років ми масштабувалися, структура ставала складнішою, з'являлися певні додаткові напрямки, але глобально-стратегічна історія у нас одна – кібербезпека.

Сергій Потапов, IT Specialist «Якщо ми не автоматизуємо рутину, ресурсів на протистояння атакам просто не вистачить»

А з чого все починалося для IT Specialist?

Все починалося з дуже прикладних речей. Ми проводили аудити за стандартом PCI DSS для фінансового сектору та банків, де вимоги до безпеки завжди були високими. Поступово почали заглиблюватися в тему пентестів (тестування на проникнення), бо замовники не лише хотіли знати, чи відповідають вони «паперовим» стандартам. Їм важливо було розуміти, чи витримають вони реальну атаку та які системи дійсно потребують першочергових змін. Навіть у тих великих інженерних проєктах, які наша команда реалізовувала раніше, ще у складі системного інтегратора, завжди була потужна складова кіберзахисту. Ми не просто ставили сервери чи будували мережеву інфраструктуру – ми створювали складні розподілені ІТ-системи та інтегрували в них конкретні рішення з кіберзахисту. Сьогодні наша команда – це понад 300 спеціалістів, що дозволяє нам не просто продавати рішення, а будувати складні, багаторівневі системи захисту для різних організацій, включаючи найбільші компанії країни.

Щодо структури компанії: які напрямки для вас є ключовими?

За цей час ми вибудували дуже чітку та логічну структуру, яка складається з семи основних стратегічних напрямів. Кожен із них закриває певний пласт потреб сучасного бізнесу в цифровій безпеці.

Перший великий напрям – аудити. У нас працюють окремі виділені команди, які спеціалізуються на множині стандартів PCI (нагадаю, це стандарти безпеки індустрії платіжних карток) та на лінійках міжнародних стандартів, фреймворках та вимогах з інформаційної безпеки, зокрема ISO/IEC 27001, NIST CSF, DORA тощо. Це фундамент. Без правильного аудиту ви не можете побудувати систему управління інформаційною безпекою, бо просто не знаєте про свої слабкі місця.

Другий напрям – Security Operation Center або SOC. Це підрозділ, який працює в режимі 24/7, «серце» оперативної безпеки, де ми в реальному часі відстежуємо все, що відбувається в інфраструктурі замовників та за потреби, реагуємо на інциденти.

Наступний напрям – пентести. Ми готові надати експертизу, яка затребувана на українському ринку. Крім класичного підходу Red Team, коли «нападникам» важливо виявити та використати вразливість, ми готові організовувати тести за підходом Purple Team. Сумісна робота команди пентестерів та аналітиків SOC дозволяє не просто фіксувати факт успішної атаки чи успішної протидії, а глибоко аналізувати методи та повноту детекції атак.

Четвертий напрям – інтеграція систем і даних, де ми використовуємо рішення від IBM. Це надзвичайно глибока та складна інженерна ніша. Наші спеціалісти займаються впровадженням та підтримкою інтеграційної платформи даних – мова про IBM App Connect, IBM API Connect, IBM DataPower Gateway тощо. Це критично важливо для великих enterprise-замовників, де сотні різних систем мають обмінюватися інформацією миттєво та, головне, безпечно.

П’ятий напрям – класичні інженерні інфраструктурні рішення. Це базова безпека в її, так би мовити, найбільш фізичному прояві. Бо якщо ви помилялись у розподілі VLANів або неправильно налаштували доступи до серверів, найдорожчі рішення захисту не допоможуть. Тут можу без перебільшення сказати – у нас працюють інженери світового рівня.

Шостий напрям – наша власна розробка програмного забезпечення. Ми зрозуміли, що на ринку є певний дефіцит спеціалізованих інструментів, тому створили власну команду і розробляємо рішення важливі для складних кіберзадач.

Як окремий напрям розвитку ще можна згадати навчання на базі нашої академії CyberIN.

Ще один напрям, про який важливо згадати – базова кібербезпека: фаєрволи, захист від DDoS-атак, організація безпечного BYOD тощо. Та класична кібербезпека, яка вже давно не є чимось проривним та інноваційним, проте завжди потребує якісної архітектури та дисциплінованого налаштування.

Давайте детальніше зупинимося на вашому SOC. Сьогодні багато компаній заявляють, що вони мають власні центри моніторингу, чим ваш сервіс відрізняється від інших?

Побудова справжнього SOC – це колосальні інвестиції в людей, процеси та технології. Наш центр – не просто кімната з моніторами. Це налагоджений механізм, де у зміні постійно працюють щонайменше два інженери, які фізично перебувають на посту цілодобово. Ми працюємо 24 години на добу, 7 днів на тиждень, без жодних зупинок чи перерв.

Головний показник, яким ми реально пишаємося і який є ключовим для наших замовників – швидкість реакції. Наш середній час реакції на порушення становить лише 8 хвилин. Наскільки це важливо? Уявіть собі атаку вірусу-шифрувальника. Від моменту потрапляння в мережу до блокування критичних активів можуть минути лічені хвилини. Якщо ви швидко виявили атаку та зреагували на неї – ви врятували бізнес, якщо ви лише за кілька годин побачили, що щось пішло не так – наслідки можуть бути катастрофічними.

Ми використовуємо професійні системи для збору та аналізу мільйонів подій з усіх куточків мережі замовника. Ми не просто дивимося на «червоні лампочки» – наші аналітики шукають приховані закономірності та кореляції, які можуть свідчити про підготовку атаки ще до того, як вона стане активною. Для кожного замовника ми розробляємо кастомні сценарії реагування. Це означає, що коли стається інцидент, інженер не витрачає час на обмірковування, що робити – він діє за чітко відпрацьованою інструкцією. Основні дії в ній виконують автоматизовані системи, інженер лише надає «роботу» дозвіл виконати якусь важливу операцію.

Для клієнта наш SOC – це можливість отримати безпеку найвищого рівня без необхідності мати власний штат наддорогих спеціалістів. Зараз на ринку кібербезпеки величезний кадровий дефіцит: знайти хорошого аналітика вкрай важко і дорого. Ми ж даємо клієнту готову команду, яка вже знає, що робити, і має для цього найкращий інструментарій.

Ви згадали про методику Purple Team у тестуваннях на проникнення, як це працює?

Це дійсно один з найцікавіших підходів до перевірки кіберзахисту організації. Класичний пентест працює на виявлення конкретних вразливостей в чітко визначеному тестовому обсязі. Red Team симулює реальну атаку, імітуючи нападників, які намагаються проникнути у систему замовника в межах погодженого сценарію та правил взаємодії. Потім замовник отримує великий звіт про те, яким шляхом відбулась атака, чи досягли цілі, чи відчули протидію захисників. Очевидно, що в якомусь місці захист потрібно покращувати. Проте завтра вас можуть зламати вже в іншому місці.

Purple Team – інший формат взаємодії. Це командна робота «нападників» (Red Team) та «захисників» (Blue Team – SOC або служба безпеки замовника). Це такий собі «навчальний бій» у реальному часі, інколи з повністю відкритими картами.

Який це має вигляд на практиці? Наша команда атаки каже колегам із боку захисту: «Дивіться, зараз ми будемо атакувати вашу базу даних через конкретну вразливість у вебдодатку». Ми робимо крок – і одразу питаємо: «Що ви бачите у своїх системах моніторингу? Чи спрацювала кореляція в подіях SIEM?» Якщо захисники кажуть: «Ні, у нас усе тихо», ми маємо якісно налаштувати детекцію, яка дозволить краще та швидше виявляти і цю, і всі наступні атаки, що використовуватимуть подібні техніки та тактики. Очевидно, що це не гарантує абсолютного захисту, адже методи нападників постійно розвиваються та вдосконалюються.

Це неймовірно ефективно, бо замовник отримує не просто звіт, а реально перевірену систему виявлення атак, що покращує захист. Причому часто це робиться без купівлі будь-яких нових ліцензій чи заліза. Ми допомагаємо отримати максимум із того, що в клієнта вже куплено, але часто працює на базових налаштуваннях.

Крім того, це колосальний досвід для персоналу замовника. Співробітники починають розуміти логіку зловмисника, хід атаки та, найважливіше, способи детекції цілого класу схожих атак. Після сесії Purple Team рівень реальної безпеки компанії суттєво зростає.

Розкажіть докладніше про систему управління інформаційною безпекою. Як ви її розбудовуєте всередині компанії та що пропонуєте замовникам?

Для багатьох СУІБ – це дійсно лише папки з документами, які потрібні для проходження аудиту чи отримання сертифіката ISO/IEC 27001. Проте ми дивимося на питання інакше. Для нас система управління інформаційною безпекою – це насамперед про усвідомленість реальної ситуації та контроль.

Ви можете купити найкращий у світі фаєрвол (Технологія), але якщо ваш системний адміністратор не знає, як його правильно конфігурувати (Люди), або якщо у вас немає регламенту, хто саме має право змінювати ці налаштування (Процеси) – ваші інвестиції в безпеку не нададуть вам потрібного рівня захисту.

Ми намагаємося допомогти замовникам побачити цілісну картину. Все починається з ідентифікації активів: необхідно чітко розуміти, що саме ми захищаємо, де знаходяться важливі елементи інфраструктури або критичні дані і хто має до них доступ. Які процедури мають існувати в організації, аби забезпечити необхідний захист важливої інформації?

Важливо розуміти, що СУІБ – не разовий проєкт. Це безперервний цикл з декількох етапів: планування – впровадження – перевірка – покращення. Ми намагаємося довести до замовників тезу, що безпека не може бути побудована раз і назавжди. Тільки так можна покращувати три ключові речі: конфіденційність (дані не вкрадуть), цілісність (дані не змінять непомітно) та доступність (системи працюватимуть тоді, коли вони потрібні бізнесу). Коли керівництво бачить, що СУІБ захищає їхні гроші та репутацію, ставлення до неї радикально змінюється.

Неможливо побудувати ефективну СУІБ, залишаючись умовно зовні. Наші фахівці на певний час фактично стають частиною команди замовника. Ми маємо розуміти логіку бізнес-процесів клієнта. Як ходить платіжка в банку? Як обробляються дані з датчиків на виробництві? Хто має доступ до клієнтської бази в CRM?

Тільки знаючи ці деталі, ми можемо правильно описати важливі процедури та регламенти і в подальшому налаштувати систему збору подій безпеки та відповідні сценарії реагування на порушення. Кібербезпека – це на 70% про розуміння того, як працюють люди та системи, і лише на 30% про налаштування конкретних параметрів систем. Саме тому наш підхід базується на глибокому зануренні експертів в процеси. Це дозволяє нам створювати захист, який не заважає бізнесу працювати, а навпаки – робить його роботу більш стабільною та прогнозованою.

Давайте перейдімо до технологічного портфеля. У вас понад 100 вендорів, це не мала така кількість. Як він формувався та як ви керуєте таким різноманіттям?

Широкий портфель вендорів – це не гонитва за кількістю, а стратегія стійкості. Крім того, ми завжди йдемо назустріч замовнику – якщо у вас вже є встановлена база, це впливає на відбір рішень.

Щоб ефективно керувати таким обсягом технологій, ми структурували наш портфель на дві стратегічні групи. Перша – світові лідери, такі гравці як Check Point, Cisco, IBM, Fortinet та інші. Вони забезпечують стабільний фундамент для побудови великих інфраструктур. Це перевірені часом рішення, які мають глобальну сертифікацію та підтримку. Якщо замовнику потрібно побудувати безпеку масштабу всієї країни або великої банківської мережі, ми зазвичай спираємося на ці рішення.

Друга група – нішеві гравці. Ринок кібербезпеки – один із найбільш динамічних у світі. Майже щомісяця з'являються нові типи загроз, і великі корпорації не завжди встигають на них реагувати. У цей момент на сцену виходять вузькоспеціалізовані компанії. Вони створюють нішевий продукт, але роблять його дуже добре. Ціновий фактор також не є останнім. Часто буває, що спеціалізоване рішення від світового вендора може коштувати дуже дорого через глибоку інтеграцію з іншими його продуктами. Але для розв’язання точкової задачі завжди варто проаналізувати доступні альтернативи.

Наше завдання як експертів – постійно моніторити ринок, перевіряти продукти і знати, де саме нішевий інструмент спрацює краще за «універсальний комбайн» від великого вендора. Така гнучкість дозволяє будувати якісні архітектури. Ми збираємо оптимальні технології і «зшиваємо» їх у єдину систему захисту замовника. Вважаю, в цьому і є цінність інтегратора: ми знаємо, що з чим працює, які є підводні камені і як отримати максимум результату за розумний бюджет.

У вашому описі напрямів окремо стоїть IBM Middleware. Чому ви виділяєте це в окрему компетенцію?

Це дійсно наша гордість і дуже глибока інженерна експертиза. IBM Middleware – програмне забезпечення середнього шару, яке є своєрідною кровоносною системою великих корпорацій. Ми працюємо з платформою – інтеграційною шиною даних та всім, що пов’язано з публікацією і захистом інтеграцій.

Щоб було зрозуміло: у сучасному банку чи великому промисловому холдингу працюють сотні різних систем, застосунків та сервісів. Вони розроблені в різні часи, на різних мовах програмування і мають обмінюватися даними вчасно та гарантовано. Продукт IBM Cloud Pak for Integration – інструменти, які забезпечують обмін.

Ми виділяємо цей напрям окремо, оскільки він потребує високої експертизи в роботі з корпоративними інтеграційними платформами. У компанії працюють фахівці з глибоким досвідом проєктування, розробки та підтримки рішень на базі IBM Cloud Pak for Integration.

У таких проєктах йдеться не лише про технічну інтеграцію систем, а й про забезпечення безпеки транзакцій та цілісності даних у межах корпоративного середовища. Ми допомагаємо інтегрувати рішення IBM та інших виробників, забезпечуючи їхню узгоджену роботу, стабільність та відповідність вимогам безпеки.

Частина цих проєктів реалізується для організацій із критично важливою інфраструктурою та високими вимогами до безперервності бізнес-процесів. У таких середовищах помилки конфігурації інтеграційної платформи можуть мати суттєвий операційний вплив, тому особлива увага приділяється архітектурному проєктуванню, контролю змін та тестуванню.

Сергій Потапов, IT Specialist: «Якщо ми не автоматизуємо рутину, ресурсів на протистояння атакам просто не вистачить»Робота в цій ніші потребує поєднання компетенцій у сфері розробки, системної архітектури та інформаційної безпеки. Ми продовжуємо розвивати цей напрям, оскільки для enterprise-сегменту критично важливими є надійність та передбачуваність обміну даними між системами.

Перейдемо до вашого досвіду власної розробки. Як компанія-інтегратор прийшла до створення своїх програмних продуктів? Що саме ви пропонуєте ринку зараз?

Власна розробка стала природним етапом еволюції компанії IT Specialist. Все почалося з внутрішніх потреб нашого SOC. Що робить інженер, якому потрібна додаткова інформація? Він спочатку пише команди в консолі, а потім робить скрипт, який «збагачує» певну інформацію. Але у певний момент кількість різноманітних скриптів, які були важливими для SOCу, перевалила далеко за сотню в одній інфраструктурі, і вони почали один з одним конфліктувати. Виникла проблема автоматизації великої кількості задач. Крім того, постало питання про те, що не кожен інженер має бачити всю інформацію. Потрібно призначати різні ролі, для різних замовників треба мати різні версії і т.ін. І тоді ми запустили власну невеличку платформу, яка фактично ізолювала за логікою контейнерів всі необхідні задачі, відслідковувала коректність виділення прав за рольовою моделлю доступу. Так у нас виник перший інструмент, який ми назвали, ITS Engine Platform, бо, фактично, це і була платформа-рушій для великої кількості автоматизованих задач.

ITS Engine Platform – це середовище, яке дозволяє безпечно розробляти, запускати та контролювати різні інструменти автоматизації. Рішення допомагає реалізувати чітку рольову модель: адмін може бачити все, а рядовий інженер – лише те, що потрібно для його задачі. Це значно підвищує безпеку внутрішніх процесів. Але цей застосунок є більш сервісним.

Одним з найважливіших продуктів компанії сьогодні є ITS Inventory. Його було створено на основі реальних потреб наших замовників. У великій інфраструктурі, де працюють тисячі людей та знаходяться десятки тисяч елементів ІТ-інфраструктури, системний адміністратор ніколи не знає на 100%, що у нього реально працює в мережі. Є «сірі зони»: хтось приніс свій ноутбук, хтось підняв тестовий сервер і забув про нього. Хакери обожнюють такі «забуті» пристрої.

ITS Inventory – це платформа спостереження. Вона працює як таке всевидюче око: відсилає запити до різноманітних джерел та збирає з них конфігураційні дані. Потім ці дані порівнюються. Збір та порівняння інформації з різних джерел та на різних рівнях (чи шарах) дозволяє вам бачити реальну ситуацію детальніше.

Наведу приклад: уявіть велику організацію, в якій працює тисяча комп'ютерів. Один інженер каже: на них встановлено Windows, усе працює правильно. Інший відповідає за антивірус і звітує: у мене тисяча антивірусів з оновленими базами, все нормально. Але постає питання: чи це одна й та сама тисяча об’єктів? Так от, у великих організаціях – не завжди. Дуже цікава історія: один запевняє, що на 100% все контролює, другий каже те саме. Але коли ми складаємо два шари інформації, не факт, що вона на 100% збігається. І система повинна не просто побачити факт, а і виявити певні відхилення та аномалії.

З Inventory ми даємо замовнику єдине джерело інформації про його інфраструктурні активи, їхній стан та нештатні ситуації.

Але ж ймовірно, на ринку вже були системи, які вирішували ці проблеми?

Так, звісно, на ринку були і є рішення подібного класу, але вони зазвичай є перевантаженими багатьма функціями, а їхня ціна відповідно достатньо висока, тому ми вирішили зробити інструмент з тією функціональністю, яка потрібна нам. Коли ми створили нашу першу систему, виявилось, що вона підходить більшості українських компаній – відчутно дешевше, ніж аналоги і водночас виконує всі необхідні ключові функції.

Окрім ITS Engine Platform та ITS Inventory, які ще продукти власної розробки ви пропонуєте замовникам?

Ми постійно розширюємо нашу екосистему розробок, виходячи з реальних потреб. Є одна дуже показова історія – це окремий продукт під назвою ITS CSAT (Cyber Security Awareness Tracker). Він виник безпосередньо із запитів наших клієнтів. Одна велика компанія свого часу звернулася до нас: «Ми людей вчимо-вчимо, до кібергігієни привчаємо, а вони як клацали на фішингові посилання, так і клацають». І тут постає непросте питання: як оцінити ефективність такого навчання? Бо формально всі могли пройти курси і навіть скласти тести, але наскільки реально виросла обізнаність і, головне, чи сформувалися навички?

Наш продукт ITS CSAT перевіряє, чи перетворюється навчання на стійку в часі навичку. І це не просто LMS (система управління навчанням). Серед іншого рішення має «фішинговий» модуль: тому, хто навіть і склав іспит на «відмінно», система за деякий час надсилає провокаційне посилання. Якщо людина все одно на нього реагує, рекомендаційний модуль автоматично адаптує навчальні плани та плани подальших перевірок. Це дозволяє не просто розробити різні плани для різних груп працівників, але і переконатись, що система працюватиме з кожним індивідуально, поки кожен працівник не досягне необхідного рівня обізнаності і не буде правильно реагувати на різноманітні фішингові сценарії.

До речі, зараз ми завершуємо розробки, щоб зробити хмарну версію ITS CSAT – тоді він стане цікавим не лише великим корпораціям, а й невеликим компаніям. Бо питання обізнаності в кібербезпеці є важливими для всіх.

Ще один наш продукт – ITS Userventory, логічне розширення нашої основної платформи Inventory. Це робота з обліковими записами. Для людей поза кібербезпекою це не очевидно, але між «людиною» та її «акаунтом» немає повної тотожності. Ми дивимося не лише на пристрої, а й на те, хто саме і як до них отримує доступ. Чи завжди під вашим обліковим записом заходите саме ви? А хто конкретно зайшов під технічним акаунтом «admin» на консоль Cisco, якщо адмінів у компанії декілька? Як переконатися, що після звільнення працівник втратив доступ до всіх систем? Якщо у вас налаштована парольна політика на зміну паролів кожні 90 днів, але ви бачите системний обліковий запис, який не був активний останні 180 днів, варто звернути на увагу на цей збіг. ITS Userventory допомагає вирішити подібні задачі.

І найцікавіший продукт, особливо з точки зору бізнесу – ITS Compliance. Якщо є можливість побачити в режимі реального часу інформацію про інфраструктуру чи облікові записи, то ми можемо і задати такий набір показників, який буде визначати, що для нас є «правильним». І тоді ми не просто побачимо наявність чи відсутність антивірусу на певній робочій станції, але і зможемо трактувати цю інформацію як відповідність певній вимозі. Так ми приходимо до концепції ITS Compliance. Давайте уважно прочитаємо важливий для кібербезпеки вашої організації документ, який містить структурований набір вимог. Це може бути Стандарт рівня ISO/IEC 27001 чи PCI DSS або ваша внутрішня Політика інформаційної безпеки.

Виконання вимог потрібно контролювати, тобто створити та налаштувати параметри, які повʼязані з документальними артефактами. І тоді система перевіряє: в потрібному місці та в потрібний час зʼявляється важливий документальний артефакт, що підтверджує виконання певних важливих процедур. Також контролі можуть на технічному рівні перевіряти відповідність елементів вашої інфраструктури визначеним правилам, що ми можемо зробити за допомогою інтеграції з ITS Inventory.

У результаті ви отримаєте відповідь на запитання: наскільки ваша компанія виконує вимоги Стандарту загалом, які вимоги залишаються невиконаними та які саме елементи не відповідають важливим для вас правилам. Ця інформація допоможе не лише побачити свій рівень відповідності, а й призначити завдання відповідальним особам для усунення невідповідностей.

Ви згадали хмарні рішення в контексті ITS CSAT. Наскільки безпечно виносити такі системи у хмару?

З хмарами в контексті SaaS дійсно виникають додаткові непрості питання. Те, що знаходиться всередині вашої інфраструктури, ви можете цілеспрямовано захищати. А те, що виведено в інтернет, несе додаткові ризики. Наприклад, коли ITS CSAT провокує користувача ввести логін/пароль на фейковій сторінці всередині вашої мережі, ми знаємо: навіть якщо людина помилилася, ці дані не вийдуть за периметр компанії. Ви зробите співробітнику зауваження, але вам не доведеться блокувати її обліковий запис та примусово змінювати паролі через компрометацію. Ми прагнемо перейти на хмарні рішення. Так, SaaS рішення надзвичайно зручні для кінцевого користувача, проте захист інформації в такій архітектурі породжує додаткові питання та виклики. Публічна хмара, як і AI-помічники, – це непрості з точки зору кібербезпеки рішення.

До речі, про АІ. Сьогодні штучний інтелект всюди. Як ви використовуєте AI у своїй розробці та у самих продуктах?

Давайте розділимо питання на дві частини: АІ для розробки та АІ як розширення функціональності продуктів. Щодо розробки – ми, як і більшість, користуємося благами прогресу. Сучасні AI-агенти пришвидшують роботу хорошого програміста в рази. Гріх цим не користуватися. Проте віддавати AI на відкуп концептуальні архітектурні рішення – точно ні. Люди залишаються ключовими для розуміння тонкощів та взаємодії систем. А от для написання реліз-нотаток з коментарів до коду AI працює ідеально – навіть краще, ніж senior-розробник, бо робить це структурно, якісно і не втомлюючись.

Що стосується функціоналу продуктів, то в нашому ITS Inventory вже працює помічник, якому можна «людською мовою» написати запит – що саме ви хочете побачити. Він перетворює це на набір команд і видає готовий дашборд. Це неймовірно спрощує використання системи.

Також у найближчих планах занурення в автоматичний аналіз документальних контролів в ITS Compliance за допомогою AI. Але все буде запускатися на власній інфраструктурі компанії з використанням локальної моделі. Тобто ми використовуємо можливості AI для аналізу документів, але робимо це так, щоб клієнт зберігав повний контроль над своїми даними. Це принципова позиція, особливо коли йдеться про чутливу або регульовану інформацію.

Ще таке питання: чи є взаємодія з вендорами в контексті розробки ваших рішень?

Оскільки майже всі рішення, що ми розробляємо, так чи інакше виникали навколо завдань SOC, ми дуже тісно співпрацюємо з IBM. Так історично склалося, що наші продукти дуже непогано інтегруються з QRadar, розширюючи його функціональність. І навіть ITS Inventory була верифікована IBM як розширення до QRadar.

Скільки людей у вас працює саме над розробкою?

Важливо розуміти, що ми не продаємо продукти в коробках. Наше рішення необхідно ще правильно імплементувати. І не лише розгорнути, бо розгортання відбувається за лічені хвилини. Все треба правильно налаштувати, підключити джерела даних та ін.

Як тільки ми виходимо в системи рівня ITS CSAT або ITS Compliance, ми виходимо вже на рівень взаємодії між технічними спеціалістами та бізнесом. Саме тому сьогодні в нас бізнес-аналітиків, які допомагають правильно описати необхідні налаштування системи, ледь не більше, ніж розробників. Тому, якщо ми говоримо про напрям розробки власних програмних продуктів, це сьогодні понад 30 фахівців: аналітики, розробники, інженери, тестувальники. Загалом у компанії IT Specialist зараз працює понад 300 співробітників.

Як ви оцінюєте поточні тренди сегменту кіберзагроз? Що сьогодні найбільше турбує ваших замовників?

Я би виокремив три основні тренди.

Перший – кількість фахівців з кібербезпеки зменшується через міграцію, мобілізацію та інші фактори, а кількість інцидентів відчутно зростає. Тому системи автоматизації обробки інцидентів є надзвичайно важливою задачею. Якщо ми не автоматизуємо рутину, ресурсів на протистояння такому об'єму атак просто не вистачить.

Ще один топовий тренд протягом багатьох років – «людський чинник». Майже 90% інцидентів, як і раніше, стаються саме через нього. Молодь сьогодні більш відкрита, вона інакше сприймає цифрові кордони, і це також створює додатковий тиск на кіберзахист. Тому важливо не просто вчити людей кібергігієні, а бачити, як знання закріплюються та переходять у навички.

І ще один тренд я би пов’язав з регуляцією. Я вважаю позитивним перехід від радянських паперових захистів (КСЗІ) до сучасних підходів на базі NIST. Держава (зокрема, ДССЗЗІ) робить правильні кроки у напрямі профілів безпеки для критичних систем. Проте відповідати новим правилам вручну неймовірно складно. В будь-якому банку є люди, які постійно зайняті тим, що готують звітну інформацію для аудиторів, замість того, щоб реально підвищувати рівень захисту. Автоматизація комплаєнсу – це те, що дозволить командам кібербезпеки зосередитись на дійсно вузьких місцях неповної відповідності.

Чи можна казати, що сприйняття безпеки українським бізнесом змінилося після подій 2017 року, під час розповсюдження вірусу NotPetya, а інший суттєвий поштовх стався на початку повномасштабного вторгнення?

«Петя» дійсно став своєрідною точкою біфуркації. До нього часто все зводилося до принципу: «Папірець є? Є. Живеш по папірцю? Клянуся!». А потім стався цей інцидент і він вплинув на велику кількість організацій та процесів в країні – виявилося, що папірці не захищають, а відчутний відсоток важливих систем вже не працює. Це певною мірою зламало стару парадигму. Агресія рф підштовхнула ринок ще сильніше. Вже не секрет, що ворог планував масовану кібератаку разом із фізичним вторгненням, але ядро більшості критичних систем встояло. Проте кількість кібератак з лютого 2022 року суттєво збільшилася. Сьогодні питання кібербезпеки звучать у високих кабінетах значно частіше і серйозніше. Бізнес масштабу вище середнього перестав сприймати безпеку інформаційних систем як формальність.

І традиційне питання у підсумок нашої бесіди: яким буде 2026 рік для вашої компанії?

Планів дуже багато, але якщо говорити про розробку продуктів і зону моєї відповідальності, то 2026-й – безумовно рік продукту ITS Compliance. Ми переходимо з рівня інженерів, які просто стежать за «індикаторами», на рівень CISO та CIO. Ми даємо їм інструмент, який автоматично виявляє зони невідповідності вимогам і повʼязані з цим ризики. Це дозволяє керівнику не просто констатувати проблему, а бачити конкретне правило, яке не виконується, і ухвалювати управлінське рішення. Це перетворення кібербезпеки на невід’ємну і зрозумілу частину бізнесу.