Siguranța cibernetică în era AI. Interviu cu Alexandru Popa, fondator “Caporalu Cybersecurity Services”

Rivali și competitori în antreprenoriatul românesc (IX)

Piața de cybersecurity din România a înregistrat o creștere semnificativă în ultimii ani, pe fondul creșterii amenințărilor cibernetice și a nevoii tot mai mari de protecție a datelor și sistemelor informatice. Acest sector a beneficiat de investiții atât din partea companiilor private, cât și din partea instituțiilor guvernamentale. De pildă, în 2021, piața globală de cybersecurity era estimată la aproximativ 150 de miliarde de dolari, iar România a reprezentat o mică parte din această piață, cu o valoare estimată la câteva sute de milioane de euro. Conform unor studii recente, piața de cybersecurity din România crește constant cu o rată anuală compusă (CAGR) de peste 10%, fiind impulsionată de digitalizarea rapidă și de legislațiile privind protecția datelor (cum ar fi GDPR). 

În ediția cu nr. IX din miniserialul intitulat: “Rivali și competitori în antreprenoriatul românesc”, ne propunem un dialog tematic cu Alexandru Popa, fost CTI (Cyber Threat Intelligence) Analyst la Secureworks (Dell) si Infrastructure & Security Specialist la IBM, actualmente, fondator al companiei “Caporalu Cybersecurity Services”, firmă care oferă o gamă largă de servicii în securitatea cibernetică.

Înainte de a începe dialogul propriu-zis, mi-a atras atenția titulatura firmei, de ce: “Caporalu”? Pare, așa, un nume de companie militarizată, ierarhizată…A fost, serios vorbind, o alegere premeditată în contextul vreunei strategii de marketing, de branding?

De ce Caporalu? În industria asta se poartă din ce în ce mai des nickname-urile, iar Caporalu este porecla mea din copilărie, o perioadă frumoasă din viață. Ca amuzament, se trage din filmul Caracatița  (La Piovra). Practic, am plecat de la comisar și am ajuns caporal. Dar mi-am asumat porecla pentru că mi-a plăcut și a devenit un fel de brand personal, plus că este un grad militar care te duce cu gândul la disciplină, iar eu prețuiesc disciplina, mi se pare importantă în orice domeniu și în viață în general.

Cu ce argumente specifice vine pe piața serviciilor de securitate cibernetică o companie mică din zona microîntreprinderilor, precum cea fondată de tine? Ai făcut o evaluare prealabilă a pieței? Care au fost principalele lacune din industrie pe care firma ta a dorit/dorește să le acopere și să le livreze clienților?

Înainte de toate, trebuie spus că microîntreprinderile se dovedesc a fi chiar mai profitabile decât marile companii, acestea realizând peste o treime din profitul net total din economie. Plus că nu există la microîntreprinderi un soi de autosuficiență, să spunem, vrei să intri în piață și atunci trebuie să acorzi atenție fiecărui detaliu, asculți judicios nevoile clientului, nu te duci cu atitudinea de “îți spun eu ce ai nevoie” înainte sa auzi ce îl “doare” pe potențialul client. Nu pot să spun că am făcut o evaluare ca la carte a pieței. A fost o evaluare bazată pe mediul profesional înconjurător. Spre exemplu, am văzut firme care erau deja la al treilea furnizor pentru o anumită gamă de servicii în 5 ani. Înseamnă că ceva nu era făcut cum trebuie și clientul era nemulțumit. Și strict legat de un asemenea caz, pot să spun că nu era ceva foarte complex, doar că, din varii motive, nu era abordat cum trebuie. Și atunci m-am întrebat dacă aș putea să fac mai bine. Răspunsul mi l-am dat sub forma unei întrebări: “De ce nu?”. Și s-a dovedit că se poate mai bine. Nu este doar cazul meu, este și cazul altor firme de tipul companiei pe care o dețin, firme deținute de prieteni sau cunoștințe. 

Cine consideri că sunt principalii tăi competitori în acest moment și care dintre serviciile pe care le oferi crezi că sunt cele mai importante?

La acest nivel, concurența o reprezintă tot astfel de firme, și anume IMM-urile. Sigur, am putea spune că și firmele mari, consacrate, din domeniu, reprezintă concurența, dar este dificil să iei clienți mari în fața acestor companii. Totuși, în definitiv, partea bună este că se pot semna contracte de colaborare cu firme din ambele sfere, unde, unora, le lipsesc cunoștințele pe o anumită arie. Ca să simplific: entitățile mici se specializează și se revendică de la probleme de securitate punctuale și ultraspecializate, dacă vrei. E ca la fotbal: unele echipe vor consiliere in corpore (totală), altele, doar unde consideră că au slăbiciuni: în apărare, la mijloc, în atac, etc. Ca puncte forte ale companiei mele aș menționa partea de engineering – SOAR (Security orchestration, automation and response), SIEM (Security information and event management), EDR (Endpoint Detection and Response); răspunsul la incidente de securitate și construirea unui SOC (Security Operation Center).

Ce piedici consideri că există în calea dezvoltării unei astfel de companii, cum se face trecerea de la un IMM la o firmă cu adevărat mare?

În principiu, pentru o firmă la început de drum, clienții vin pe bază de networking, recomandări. Acesta este un lucru cu doua tăișuri. Te ajută să pornești la drum, dar, ulterior, face dificilă scalarea, trecerea la nivelul următor. Sună ciudat probabil, dar așa stau lucrurile. Pentru că respectivii clienți vor să lucreze cu tine, individul, pentru că au încredere totală în tine și în cunoștințele tale și atunci e posibil să fii nevoit să ții tu ca persoană mai multe proiecte, ceea ce pe termen lung nu e sustenabil din punct de vedere mental. Va trebui să faci parte de mentoring cu cineva căruia să îi predai ulterior toata activitatea și, în același timp, munca de convingere cu clientul că îl lași pe maini bune. Dar dacă ai găsit rețeta sa faci asta și ai găsit și persoana cea mai potrivită pe care sa o pregătești, atunci ti s-a deschis drumul către creștere.

Ce ar trebui să știe cineva care dorește să se specializeze în cybersecurity?

Din punctul meu de vedere, este important sa nu se ardă etape. Un background de administrator de sistem sau de administrator de rețea ajută foarte mult.În felul ăsta, nu se pleaca de la 0. Practic, ar trebui sa înțelegi cum funcționează sistemele de operare, ce particularități au sau cum funcționează o rețea, protocoale, bune practici, lucruri de felul acesta. Ulterior, se pot face niste cursuri de entry level in cybersecurity, unele sunt gratuite. Aceste cursuri trebuie alese cu grija, este o “inundație” de cursuri și de asa-zisi influenceri care îți promit marea cu sarea, cum ar fi ca după cursurile lor, în 3 saptamani, esti guru in cybersecurity. Cum spuneam, atenție la promisiuni deșarte și astfel de exagerari. In general, nu te ajută să te minți singur.

Cum se prezintă piața de cybersecurity din România din punctul tău de vedere, mă refer atât legat de companii cât și de clienți?

Piața este în creștere în România, aici ajuta și normativele europene care se transpun în legi (GDPR, NIS). Sunt mai mulți furnizori mari, consacrati, care furnizează servicii de cybersecurity și sunt listați la bursă. Însă, în continuare, este mult de lucru în acest domeniu, în sensul că nu toată lumea conștientizează pericolele cibernetice la care se expune. Din ce am văzut eu în piață, companiile care iau în serios cybersecurity sunt băncile, firmele de telecomunicații și filialele din România ale multinationalelor cu adevărat mari. Încă mai sunt companii care au senzația că dacă fac un document cu bife, sunt acoperiti si acest lucru nu e deloc în regulă. Cine se înscrie să facă astfel de documente fără nimic palpabil pe care sa se bazeze (implementare si configurare), se compromite profesional în viziunea mea și nu ajuta nici profesia, dând impresia ca “se poate și așa”. Nici la autoritățile de stat nu stăm foarte bine, am avut incidentul de la Camera Deputaților cu exfiltrarea de date, incidentul cu ransomware in spitale, deci mai este mult de lucru. Directoratul Național de Securitate Cibernetica încearcă să miște lucrurile pe partea asta, dar este o munca grea, de durată și, fiind o autoritate de stat, rămâne de văzut cât va fi lăsată să-și facă treaba. 

Este o foarte mare agitație recent legată de AI, cum este AI-ul folosit în cybersecurity?

AI-ul există încă de dinainte de ChatGPT, dar subiectul a prins tracțiune abia după apariția acestuia. Este într-adevăr o mare agitație, chiar o bulă i-aș spune. Îmi aduce aminte de agitația de acum ceva ani cu DevOps. Toata lumea făcea DevOps, făceai un script care automatiza ceva banal, gata, erai inginer DevOps. Ei bine, nu, nu asta însemna atunci și nu înseamnă nici acum. Revenind la AI, multe firme afirmă că folosesc AI în produsele lor. Practic, e greu să găsești azi o companie care nu folosește sau nu implementează AI. Adevărul este, din punctul meu de vedere, că puține firme fac AI cu adevărat. De fapt, mulți folosesc Machine Learning, o subsectiune a AI-ului, dar o formă de Machine Learning rudimentară, care nu se pliază pe o varietate mare de date de intrare. AI-ul în cybersecurity este încă la debut. Au început furnizorii mari de produse de cybersecurity să integreze AI în aceste produse, dar domeniul acesta de cybersecurity este destul de complex și nu cred că cineva cu experiență ar lăsa un asistent AI nesupravegheat sa îi facă treaba acum. Intr-adevăr, și atacatorii au început să folosească AI și se tot vorbește despre ceea ce va fi o lupta AI cu AI dintre atacatori și “gardieni”, dar pare că e cale lungă până se va ajunge acolo. Indraznesc să spun ca AI-ul nu ne va lua joburile în următorii 10 ani, cel putin.

Dacă vreți să înțelegeți mai multe despre AI și cu niște istorie pe subiect, vă recomand următorul articol:
https://www.britannica.com/technology/artificial-intelligence/Is-artificial-general-intelligence-AGI-possible

Pentru că tot ai vorbit despre atacatori în răspunsul precedent, poți să explici, mai pe înțelesul tuturor, cine sunt atacatorii?

În domeniul nostru, atacatorii poartă denumirea de Threat Actors. Nu mă voi referi aici la atacatorii din interiorul companiei, sa spunem, ca de exemplu angajații nemulțumiți care vor sa facă rău, ma voi focusa pe atacatorii din exteriorul companiei.

Sunt mai multe categorii de atacatori:

1. Script kiddies (atacatori amatori) – nu dețin tehnici sofisticate sau cunostiinte temeinice, atacă pentru notorietate sau ca să facă cât mai mult rău cu putință. De obicei, țintele lor sunt sistemele ușor de penetrat cu vulnerabilitati cunoscute publicului larg. Cu toate acestea, acțiunile lor pot provoca daune mari și pierderi financiare
2. Grupuri sponsorizate de state – fiind sponsorizate de guverne, dețin resurse semnificative și pot dezvolta capabilități formidabile, ceea ce îi face unii dintre cei mai periculosi atacatori. Tintele lor sunt, de obicei, companiile mari și organizațiile guvernamentale, iar scopul lor poate fi spionajul, furtul de tehnologii sau date si activitatea disruptiva care se aliniaza cu strategia guvernului care îi sponsorizează
3. Grupari organizate – motivate financiar, au metode structurate de lucru si instrumente sofisticate, avand ca tinte companiile bogate din punct de vedere financiar.
4. Hacktivists (activiști cyber) – nu se limitează la anumite companii sau organizații. Încearcă să expună secretele sau să facă rău companiilor/organizațiilor percepute de ei ca fiind malefice. Acești atacatori au afilieri politice sau ideologii sociale puternice coroborate cu foarte bune aptitudini de hackeri. Putem spune că acest tip de atacatori este singurul care are și acțiuni pozitive.
5. 

Aș mai adăuga și eu câteva tipuri retro de “atacatori”: Răducioiu, Mutu, Balint…Asta ca să fac legătura cu întrebarea de final care este întotdeauna într-o notă mai amuzantă. Prin urmare, îmi poți spune un banc, vreo pildă, ceva cu resurse de fun din zona cybersecurity?

Îți pot spune o vorbă de duh din înțeleciunea breslei. Există două tipuri de companii, cele care au fost hackuite și cele care nu au aflat încă!