Красимир Коцев: Добрият хакер
Красимир Коцев използва уменията на „белите“ хакери в компанията си за киберсигурност SoCyber. С нов продукт – Kikimora, и новооткрит офис в САЩ той се готви за нови големи удари през 2023 г.
Хакерски атаки са довели до загуба на 6.9 млрд. долара само в САЩ през 2021 г. и 4.2 млрд. долара през 2020 г., сочи доклад на ФБР. През юли 2019 г. системата на Националната агенция по приходите беше хакната, което доведе до изтичането на лични данни на 6 млн. българи.
„Пропускането на критични уязвимости може да доведе до компрометиране на платформата, спиране на нейната работа или до изтичане на чувствителна информация. Например в една банка може да доведе до разкриване на информация за банковите акаунти, наличност в банковите сметки, транзакции. В сектора критична инфраструктура – ядрени централи, енергийни дружества, дружества за обработка и пренос на газ, авиокомпании, проблемите може да са от различно естество – може да се стигне не само до загуба на информация и активи, оставяме настрана репутационните вреди, може да струва човешки животи“, обяснява основателят на компанията за киберсигурност SoCyber и участник в клас 2022 на „30 под 30“ Красимир Коцев.
Компанията му е тясно специализирана в предоставяне на услуги по проверка на информационната сигурност и управление на уязвимости, или т.нар. бяло хакерство. „Белите“ хакери разкриват слабости в киберзащитата на дадена система и ги докладват, за да бъдат предотвратени злоупотреби.
Наред с по-обичайните похвати екипът на Коцев се специализира и в сферата на социалното инженерство – нерегламентиран достъп до данни чрез служителите на дадена фирма и дори опит за физически достъп до офиса например, като така се разкриват допълнителни пропуски в сигурността, а Коцев споделя, че това е един от любимите му методи за установяване на уязвимости, които изискват познаване на човешката природа, бързо да сменяш тактиката, ако човекът отсреща надуши какво се опитваш да направиш, и дори да избегнеш той да извика на помощ полиция.
През последната година SoCyber пусна на пазара и свой продукт – Kikimora – платформа за управление на уязвимостите в реално време, с която клиентите ѝ получават информация за всички налични проблеми със сигурността и как да ги отстранят.
ИНТЕРЕСЪТ НА КРАСИМИР КОЦЕВ
към компютрите започва още в детските му години, като към хакерството се насочва, когато е едва на 14. „По света има няколко типа деца. Такива, които искат да станат пожарникари, такива, които искат да станат пилоти на Формула 1, и може би третите ключови са тези, които искат да станат хакери. Аз бях от третите“, казва Коцев (28).
Тази му страст го насочва към сфера, много по-различна от тази, в която са професиите на родителите му. Майка му се занимава със счетоводство, а баща му работи в сферата на земеделието. И двамата обаче го подкрепят в начинанието му – майка му помага със счетоводството, а баща му осигурява финансова подкрепа в първите месеци на съществуването на SoCyber, с което Коцев има възможността да покрие две заплати непосредствено преди първата сделка за месечен абонамент на компанията.
Красимир все пак носи в себе си интереса към земеделието, наследен от баща му. Доказва го опитът му да отглежда различни култури, предимно орехи.
Основната част от вниманието му все пак е насочена към киберсигурността. Самообучава се да открива пробиви в сигурността. Учи специалност „Компютърни мрежи“ в Технологично училище „Електронни системи“ и на 18 започва първата си работа.
Решен е да остане в сферата, която го интересува – бяло хакерство и проверка на сигурността, но докато на Запад гигантите плащат доста добре за подобна услуга (смята се, че от 2010 г. до 2022 г. Google е платила над 21 млн. долара, като само през 2019 г. е изплатила 6 млн. долара на „бели“ хакери), у нас тя не е толкова популярна.
„В България нямаше компании, които да извършат такъв тип дейност, затова започнах да правя неща, които са близки до хакерството – мрежова сигурност, сигурност на приложенията, многофакторна идентификация.“ Коцев работи за фирми като Hewlett-Packard, преди да основе своя компания за киберсигурност през 2018 г., за да запълни липсата на пазара. Освен това, „работейки за една или друга компания, нямах лостовете, механизмите, с които да помогна на по-голям брой организации“.
Началото на SoCyber не е никак лесно. Коцев стартира с 1000 евро лични средства. В първите четири месеца работи сам и му се налага да изпълнява всички роли в компанията. След това наема търговски представител, а по-късно и двама стажанти, които с времето стават експерти. Тримата са все още в компанията и са активна част от нейното ядро, като служителите са вече общо 18.
През първите три години от съществуването си SoCyber се развива като сървис компания и има клиенти в Англия, Германия, България, Израел, Саудитска Арабия и САЩ. Дружеството „СоуСайбър“, собственост на Коцев, удвоява оборота си всяка година – от 46 хил. лева през първата година на основаване на SoCyber (2018) до 745 хил. лева през 2021 г. През 2022 г. темпът на увеличение на приходите се запазва, като по думите на Коцев те са 1.3 млн. лв.
Проверката на сигурността най-често протича на технологично ниво – работиш в продължение на дни или седмици, докато не намериш всички проблеми със сигурността. Наред с това има компании, които дават разрешение на SoCyber да провери сигурността и чрез т.нар. социално инженерство – за пробив през служителите. Именно това е любимият метод за работа на Коцев.
„По света има няколко типа деца. Такива, които искат да станат пожарникари, такива, които искат да станат пилоти на Формула 1, и такива, които искат да станат хакери. Аз бях от третите.“
„Изисква социални умения, познаване на човешката природа, манипулация с идеята да се разкрият проблеми на сигурността. Онлайн най-често е с изпращане на предварително подготвени имейли с фалшиви сайтове, целим човекът отсреща да отвори линка, да свали файла, с което да се зарази. Случвало се е на конференции да подхвърляме флашки – някой от аудиторията я намира, пуска я на компютъра си и се заразява. В 3 часа през нощта се обаждаме на служител на нощна смяна, използваме това, че е полузаспал, изискваме пароли, опитваме да го убедим да ни даде чувствителна информация за мрежовите настройки“, обяснява Коцев. По думите му тази услуга не е особено търсена в България, но за миналата година са имали няколко такива кампании.
SoCyber разработва и не твърде позната за страната ни услуга, позната като red teaming. В този случай човек от компанията се опитва физически да проникне в дадена организация. Той може да копира карта на служител, да използва това, че някой пред него е отворил врата за сграда с ограничен достъп, да се представи за системен администратор, нает от въпросната организация. Целта е да получи нерегламентиран достъп до чувствителна информация, като в този случай това става с разрешението на ръководството на фирмата, разбира се.
За да ти даде една компания достъп на такова ниво, трябва да ти има голямо доверие. SoCyber започва да печели доверието на клиентите си, особено след като работи с международна военна организация, като за целта част от служителите получават специален достъп до класифицирана информация.
ТРИ ГОДИНИ СЛЕД СЪЗДАВАНЕТО НА ФИРМАТА
Красимир Коцев решава да промени траекторията ѝ, като заедно с екипа създадат продукт, който да предлагат на клиентите си. „Видяхме един голям проблем – че клиентите не отстраняват уязвимостите си. Ние ги откриваме, споделяме докладите, шест месеца по-късно влизаме отново в тази организация и виждаме, че всичко си е същото.“
Установяват, че има няколко основни причини за това, сред които, че ръководството не е осведомено за откритите проблеми и съответно не е отпуснат бюджет за отстраняването им или че компанията не знае как да отстрани установените слабости. За да помогне, SoCyber създава Kikimora – платформа, която дава пълен поглед върху сигурността и риска от киберзаплахи в организацията.
Освен това помага на ръководството да намали драстично разходите за киберсигурност и на техническия екип да сведе отстраняването на проблемите от шест месеца до няколко дни. „По наши изчисления Kikimora помага на една средно голяма компания в енергийния сектор да спести 10 хил. долара на месец в отстраняване на уязвимостите и успява да намали необходимия екип за справяне с тези проблеми до един-двама души експерти по сигурност, които могат да бъдат насочени към същински анализ на уязвимости и отстраняване на проблемите, вместо да се занимават с обработката на данните“, обяснява Коцев.
За създаването на продукта помага грант от Европейската банка за развитие, както и финансиране чрез конвертируем заем в размер на 150 хил. евро от фонда „ИмВенчър II“, при което фондът получава дял в размер на 15% от компанията. SoCyber влага и още около 150 хил. евро за разработката на продукта.
Kikimora е пусната официално през май 2022 г. От тогава до сега се тества безплатно от 17 клиента. От февруари услугата става платена, като ще се предлага на абонаментен принцип.
„Продуктът има собствен живот, извън живота на сървис компанията, независимо дали сме доставчик на услуги за тях или не. За да може клиентът да работи с този софтуер, е абсолютно без значение коя ще е компанията доставчик за него. Много компании имат и вътрешни екипи, не работят с външни доставчици“, уточнява Коцев.
Работата по продукта продължава и в момента, като следващата цел е да се създаде възможност за автоматизиран анализ на до 85% от данните за сигурността посредством машинно обучение. „С помощта на изкуствен интелект ще правим препоръки към клиентите кои са реалните уязвимости при тях, кои са фалшивите аларми, чрез които един злонамерен хакер може да експлоатира активите в тази организация, преди те изобщо да са разбрали, че имат такива проблеми. В момента работим по този алгоритъм и очакваме платформата да се развива в тази посока, която ще я направи истински уникална в световен мащаб“, казва Коцев.
Таргет за Kikimora са компании от финансовата сфера, сферата на критичната инфраструктура и здравеопазването.
За усъвършенстването на продукта ще отиде и голяма част от следващия рунд на финансиране, в който се намира SoCyber. Компанията търси 1 млн. евро, като към момента има потвърждение от „Импетус капитал“ за участие чрез инструмента „ИмВенчър II“ и е в напреднал етап на преговори с двама бизнес ангели от финансовата индустрия.
През ноември миналата година фирмата за киберсигурност откри и свой офис в САЩ, като е избрала Юта, Маями, Ню Йорк и Бостън като потенциални пазари за развитие.
За да популяризира темата за киберсигурността и компанията си, Красимир Коцев възнамерява да заложи на социалните мрежи с влогове по темата в YouTube и с кампании в Instagram и Twitter.
И въпреки че голяма част от усилията на SoCyber са вложени в разработката на Kikimora, Коцев е категоричен, че компанията няма да се преквалифицира като продуктова. „За нас е много важно да доразвием услугите, защото нашето основно преимущество е, че сме в този бизнес и сме първите, които разбират, когато има нов тренд, свързан с проверката на сигурността. Ако оставим това звено, изпускаме едно конкурентно предимство“, казва той.