Україна Позиція Євген Іванченко: "Автоматизація — це щит кібербезпеки майбутнього"
Один із провідних експертів у сфері тестування та кібербезпеки з досвідом роботи в найбільших міжнародних компаніях, включно з Vodafone і CareMetx, LLC розповів, як автоматизація тестування допомагає захищати бізнес від кіберзагроз.
Related video
Сучасні IT-системи працюють в умовах постійних загроз і високих навантажень, а їхня відмова може коштувати компаніям мільйонів доларів. Для запобігання подібних збитків існують технічні рішення. Однак існують нюанси, які важливо враховувати ще на етапі їхнього розроблення, каже інженер із розроблення програмного забезпечення для автоматизованого тестування IT-продукту Євгеній Іванченко, автор інноваційних методик у сфері кібербезпеки, тестування та DevOps. Переможець міжнародної премії BrainTech Awards 2024 у номінації "Найкращий QA/QC-фахівець". Він понад 10 років створює автоматизовані рішення, що підвищують кіберзахист бізнесу. Їх уже застосовують у найбільших міжнародних проєктах. Поговорили з Євгеном, щоб дізнатися, чому автоматизація тестування стала ключовим елементом у захисті критично важливих ІТ-інфраструктур і як сучасні технології дають змогу запобігати вразливостям ще до їхньої появи.
Євгене, ви працювали з найбільшими фінансовими платформами, поясніть, чому саме автоматизація тестування сьогодні відіграє таку важливу роль у кібербезпеці? Як вона впливає на запобігання загрозам?
У світі, де дані стали новою нафтою, їхній захист — пріоритет для будь-якої компанії. Будь-яка помилка в коді може призвести до серйозних витоків, атак і фінансових втрат. І досвід роботи у фінансовому секторі дає змогу бачити, що автоматизація тестування вже допомогла запобігти мільйонам потенційних вразливостей і підвищити стійкість систем до кібератак.Кібератаки стають дедалі складнішими, з'являються нові вразливості, які можуть бути використані зловмисниками. Ручне тестування вже не справляється з обсягами перевірок, а автоматизація дає змогу систематично і швидко виявляти вразливості, мінімізуючи людський фактор.
Ви успішно застосовували свої рішення в таких компаніях, як Vodafone і CareMetx, допомагаючи значно зменшити кількість вразливостей у їхніх системах. Які методи та інструменти ви використовуєте для автоматизованого тестування безпеки? Як вони дають змогу виявляти вразливості?
Я впроваджую підходи, які комбінують автоматичне тестування API, навантажувальне тестування та аналіз вразливостей. Використовую такі інструменти, як Selenium і Playwright для автоматизації UI, REST-assured і Postman для API-тестування, а для виявлення вразливостей — SonarQube, OWASP ZAP і Snyk. Один із найбільших проєктів, у якому я брав участь, включав забезпечення кібербезпеки фінансової платформи, яку ви згадали, Vodafone, де автоматизація тестування допомогла скоротити кількість вразливостей у системі на 40%.
Як автоматизація тестування допомагає справлятися з високонавантаженими системами? Які проблеми виникають під час їх тестування?
Високонавантажені системи потребують постійного моніторингу та оптимізації. Без цього вони просто не витримають навантаження. Наприклад, в одному з проєктів, де система обробляла мільйони транзакцій на день, ми впровадили перформанс-тестування за допомогою JMeter і Gatling. Це дало змогу заздалегідь виявити вузькі місця і перерозподілити навантаження. Завдяки цьому ми скоротили затримки на 40% і збільшили відмовостійкість системи. Основні проблеми в таких системах — це затримки при збільшенні обсягу даних, перевантаження серверів і вузькі місця в архітектурі. Що більше процесів автоматизовано, то швидше можна реагувати на потенційні збої та покращувати продуктивність.
У тій же Vodafone, а також у CareMetx вам довіряли автоматизацію тестування, що забезпечує стабільність сотень мільйонів транзакцій щодня. Які виклики найбільш актуальні в цій сфері? Як їх можна вирішити за допомогою автоматизації?
Основний виклик — це баланс між швидкістю розробки та безпекою. Багато компаній прагнуть якомога швидше виводити продукти на ринок, але через це можуть пропустити критичні вразливості. Ще одна проблема — масштабованість. Коли система розростається, старі методи тестування можуть не справлятися. У таких випадках автоматизація CI/CD і DevOps-підходи дають змогу проводити тестування на кожному етапі розробки, запобігаючи проблемам ще до їхньої появи. Також важливо впроваджувати інструменти моніторингу та аналізу, які в реальному часі відстежують потенційні ризики і запобігають аварійним ситуаціям.
Євгене, ви вже понад 10 років працюєте у сфері тестування та кібербезпеки, впроваджуючи інноваційні підходи до автоматизації процесів. Ваші розробки відзначені міжнародною премією BrainTech Awards 2024 у номінації "Найкращий QA/QC-фахівець". Цю нагороду присуджують провідним експертам IT-галузі, чиї інновації в тестуванні та автоматизації кібербезпеки роблять значний внесок у розвиток технологій. Які тенденції в автоматизованому тестуванні сьогодні виходять на перший план, і як ваша робота впливає на розвиток цієї галузі? Які технології будуть затребувані в найближчому майбутньому?
Майбутнє — це інтеграція тестування зі штучним інтелектом і машинним навчанням. Уже зараз існують рішення, які аналізують код і передбачають можливі вразливості. Також розвивається концепція Continuous Security Testing, де безпека перевіряється в реальному часі на всіх етапах розробки. Я беру активну участь у розробці систем AI-аналізаторів вразливостей, які здатні прогнозувати атаки на основі машинного навчання. Цей напрямок уже показує чудові результати і, впевнений, у майбутньому стане стандартом в індустрії.Найближчими роками ми побачимо ще більше автоматизованих інструментів, які дадуть змогу компаніям не просто реагувати на загрози, а попереджати їх. AI-підходи дадуть змогу прогнозувати атаки, моделювати сценарії злому і підвищувати рівень захисту систем без необхідності ручного втручання.
Як ви оцінюєте роль тестувальників у сучасній кібербезпеці? У чому полягає їхня відповідальність?
Роль тестувальника давно вийшла за межі простого пошуку багів. Сьогодні це експерти, які впливають на якість і безпеку всієї системи. Без грамотного тестування неможливо забезпечити надійну роботу IT-продукту. Автоматизація робить нашу роботу ще більш стратегічно важливою, оскільки дає змогу не просто знаходити проблеми, а запобігати їхній появі. Сучасний тестувальник повинен розуміти принципи кібербезпеки, володіти інструментами аналізу вразливостей і працювати в тісній співпраці з DevOps-командами.
Євгене, які у вас плани на найближче майбутнє? Які проекти вас надихають?
Я хочу продовжувати розвивати автоматизацію тестування у сфері AI та кібербезпеки. Також планую запустити навчальну програму для інженерів, де буду ділитися своїм досвідом і допомагати іншим фахівцям освоювати сучасні методи тестування. Безпека і якість програмного забезпечення — це не просто професія, а внесок у майбутнє технологій. Крім того, в рамках CareMetx ми зараз працюємо над проєктом із впровадження AI-моделей в автоматизоване тестування фінансових транзакцій, що дасть змогу ще точніше передбачати й усувати потенційні загрози.