# Идан Плотник (Apiiro): «Код стал дизайном, и это меняет всё в кибербезопасности»

Источник: https://www.youtube.com/watch?v=FQRHr9xuB7I
Канал: Greylock
Опубликовано: 17.02.2023

---

В эпоху стремительной цифровой трансформации традиционные методы обеспечения кибербезопасности перестают работать. В рамках подкаста «Gray Matter» от венчурного фонда Greylock партнер фонда Сэм Мотамеди обсуждает с основателем компании Apiiro Иданом Плотником и CISO компании Imperva Самиром Шарифом концепцию «Secure by Design» и то, как движение DevSecOps меняет подход к управлению рисками в крупных предприятиях.

## 🚀 Путь основателя: от элитной разведки до Microsoft
[[JUMP:00:39]]

Идан Плотник начал свою карьеру в кибербезопасности более 19 лет назад в специализированном подразделении Армии обороны Израиля (IDF) [00:51]. Его профессиональный путь включает несколько ключевых этапов:

*   **Консалтинг и аудит:** После пяти лет службы Идан основал консалтинговую компанию, специализирующуюся на тестировании на проникновение (пентестах), оценке рисков и проверке безопасности архитектуры. В 2011 году этот бизнес был успешно продан [01:05].
*   **Aorato и UEBA:** Вторым стартапом Плотника стала компания Aorato, которая стала пионером в области поведенческого анализа пользователей и сущностей (UEBA). 
*   **Сделка с Microsoft:** В 2015 году Microsoft приобрела Aorato [01:18]. В технологическом гиганте Идан занял пост директора по инженерии, где руководил разработкой продуктов, безопасностью, исследованиями и Data Science для двух продуктовых линеек [01:30].
*   **Создание Apiiro:** Опыт работы в Microsoft помог Плотнику увидеть системную проблему в том, как разработчики и специалисты по безопасности взаимодействуют друг с другом, что и привело к созданию Apiiro.

## 📈 Ускорение цифровой трансформации и «Код как дизайн»
[[JUMP:02:52]]

Сэм Мотамеди отмечает, что пандемия COVID-19 сжала два года цифровой трансформации в пару месяцев [02:52]. По мнению Идана Плотника, этот процесс фундаментально изменил культуру разработки:

1.  **Смена ответственности:** Компании-лидеры передают разработчикам полную ответственность за весь процесс поставки ПО — от архитектуры и контроля безопасности до бизнес-логики и инфраструктуры [03:46].
2.  **Исчезновение документации:** В мире Agile и CI/CD больше нет длинных спецификаций дизайна, которые архитекторы безопасности могли бы изучать неделями [04:52].
3.  **Код как первоисточник:** Идан Плотник подчеркивает: в современных реалиях код и есть актуальный дизайн системы [05:17]. Если код является дизайном, то и выявлять проблемы комплаенса и безопасности нужно непосредственно в нём, а не в бумажных документах.

Самир Шариф добавляет, что потребительские ожидания также изменились. Если раньше торговая операция требовала звонка брокеру, то теперь она совершается мгновенно через приложение. Это создает новый профиль рисков: нужно понимать, кто именно стоит за устройством, и каков «аппетит к риску» при транзакциях на миллионы долларов [07:02].

## 🏗️ Проблема «стека» и устаревших процессов
[[JUMP:08:07]]

Основная сложность трансформации, по мнению Самира Шарифа, заключается в конфликте скоростей. В то время как бизнес и технологии перешли на Agile, отделы рисков и комплаенса часто продолжают работать в модели Waterfall [08:07].

*   **Регуляторное давление:** Регуляторы требуют соблюдения тысяч контролей, и эти требования не исчезают только потому, что компания перешла в облако [07:55].
*   **Дробление изменений:** Вместо одного крупного релиза раз в квартал теперь происходят десятки мелких изменений. Традиционные контроли легко «обойти» в таком потоке, но при финальном релизе компания всё равно сталкивается с жесткими требованиями комплаенса [14:59].
*   **Инфраструктура как код:** Разработчики больше не открывают тикеты на создание серверов — они запускают вычислительные ресурсы и меняют конфигурации API-шлюзов через код [11:14].

Идан Плотник вспоминает свой опыт в Microsoft: количество функций, поставляемых в продакшн, росло экспоненциально, а процессы оценки рисков оставались трудоемкими и ручными [12:07]. Это приводило к низкому качеству данных и недоверию между командами.

## 💡 Apiiro: переосмысление жизненного цикла разработки
[[JUMP:13:54]]

Apiiro была создана, чтобы устранить разрыв между CISO, разработчиками и специалистами по комплаенсу. Основная идея продукта — добавить «контекст» в процесс обеспечения безопасности.

По мнению Плотника, существующие инструменты сканирования (SAST и другие) выдают слишком много ложных срабатываний (false positives), потому что им не хватает знаний о поведении разработчиков и реальном влиянии изменений на бизнес [13:54]. Apiiro решает эту проблему за счет:

*   **Автоматизации оценки рисков:** Вместо ручных анкет система автоматически проверяет изменения кода перед деплоем [18:04].
*   **Фокуса на критических изменениях:** Вместо того чтобы проверять всё подряд, Apiiro позволяет сузить область анализа до «материально значимых» рискованных изменений [18:29].
*   **Оптимизации пентестов:** Идан утверждает, что клиенты Apiiro смогли сократить расходы на услуги тестировщиков, сфокусировав их работу только на тех частях системы, которые действительно подверглись рискованным изменениям [18:42].

Самир Шариф считает, что индустрии не хватало инструмента, который давал бы целостную картину технологических изменений, агрегируя данные о том, кто, что и где делает, без привлечения сотен людей для ручного аудита [16:56].

## 🤝 Взаимодействие стартапов и корпораций
[[JUMP:19:37]]

Обсуждая сотрудничество между инноваторами и крупным бизнесом, участники выделили несколько важных принципов:

1.  **«Слушай, а не говори»:** Идан Плотник считает бесценным общение с такими лидерами, как Самир, для формирования стратегии продукта. Главный совет основателям — сидеть и слушать инсайты CISO, не пытаясь сразу продать решение [21:35].
2.  **Быстрая обратная связь:** Стартап должен иметь максимально короткий цикл обратной связи от клиента к продуктовой команде [22:03].
3.  **Демократизация риск-менеджмента:** Инструменты вроде Apiiro позволяют даже средним компаниям внедрять культуру управления рисками, которая раньше была доступна только гигантам с огромными бюджетами [20:04].

## 🧘 Культура и лидерство в условиях удаленной работы
[[JUMP:22:17]]

В завершение беседы спикеры поделились своими методами поддержания энергии в командах в условиях пандемии (запись велась в период активных ограничений). 

Идан Плотник использует тактические приемы: рассылку вина и пива сотрудникам с последующими неформальными созвонами в Zoom, где запрещено обсуждать работу [22:46]. Также он инвестирует от 2 до 4 часов в месяц в обучение команды тому, как выстраивать доверие с клиентами через видеосвязь [23:38].

Самир Шариф делает упор на физическую активность. Он призывает сотрудников выходить на улицу, кататься на велосипедах и двигаться, так как креативность людей напрямую связана с социальным взаимодействием и физическим тонусом [24:19]. По его мнению, гибкость удаленной работы значительно улучшила баланс между работой и личной жизнью [24:47].