Ștefan Dumitrașcu, românul de 31 de ani din Londra care vrea să revoluționeze modul în care sunt testate soluțiile de securitate cibernetică
Ștefan Dumitrașcu (31 de ani) a plecat din București la Londra la vârsta de 14 ani împreună cu familia, iar trei ani mai târziu a început să lucreze în domeniul securității cibernetice. După mai multe roluri tehnice, a preluat funcția de Chief Technical Officer la unul dintre cei mai cunoscuți furnizori de teste pentru industria soluțiilor de securitate cibernetică. De la începutul acestui an a luat însă calea antreprenoriatului și a fondat Artifact Security, o companie cu sediul în Londra care „democratizează” accesul companiilor de cybersecurity la teste provocatoare și relevante, prin intermediul unei platforme.
„Mi‑am început cariera în domeniul securității cibernetice la 17 ani. Căutam un job de vară pentru a mă pregăti pentru facultate. La momentul respectiv voiam să mă specializez în Software Engineering, dar un job de Security Software Tester suna mult mai bine decât celălalt interviu pe care îl aveam stabilit, la Madame Tussauds”, își amintește Ștefan.
Așa a ajuns să facă analiză de malware la o companie numită Dennis Technology Labs (DTL), care nu mai există în prezent și unde, spune el, a avut noroc de un mentor care i‑a arătat ce înseamnă Targeted Attacks.
„Filmul meu preferat din copilărie era The Matrix, așa că ideea de a pretinde că sunt un hacker era un vis devenit realitate, iar domeniul cybersecurity m‑a atras mai mult decât ceea ce făceam la universitate.”
Pe parcursul facultății, s‑a întors ori de câte ori avea timp liber să ajute în laborator sau testa cum reacționează soluțiile de securitate la diferite tipuri de atacuri. După DTL, a făcut parte din echipa care a fondat SE Labs, unul dintre cele mai cunoscute laboratoare de testare în domeniul securității cibernetice pentru companii și furnizori de soluții de securitate cibernetică.
Abilitățile „soft” sunt cel puțin la fel de importante ca și cele tehnice în IT
Inițial, la SE Labs a fost Advanced Threat Engineer, apoi a devenit Technical Lead și, odată cu creșterea companiei, Chief Technical Officer.
„A trebuit să învăț rapid cum să creez infrastructură, să dezvolt metodologii și să îmi formez o perspectivă echilibrată. În paralel cu partea tehnică, rolurile de lider tehnic și CTO m‑au forțat să construiesc echipe din oameni cu experiențe extrem de diferite, ceea ce a însemnat că a trebuit să‑mi adaptez stilul de leadership și comunicare. Nu e ușor să faci asta la o vârstă fragedă, când încă nu înțelegi pe deplin ce înseamnă să conduci oameni.”
Începutul activității la SE Labs a coincis și cu găsirea unui hobby: dansul, ca metodă de reducere a stresului. „Aveam nevoie de ceva complet diferit de computere. Mi‑am dat seama că mă ajută și la dezvoltarea abilităților sociale. Nu m‑am mai oprit de atunci. Deși nu e o pasiune comună în IT sau Cyber, cred că ajută mult să cunoști oameni și să îți îmbunătățești comunicarea – o abilitate adesea neglijată în industrie.”
Spune că, în trecut, își dorea să intre în domeniul IT ca să nu trebuiască să lucreze cu oameni. Acum însă le spune mereu celor aflați la început de drum că abilitățile „soft” sunt cel puțin la fel de importante ca și cele tehnice.
„Partea tehnică se poate preda, sunt cursuri, certificări, dar caracterul și socializarea se formează în timp. Sunt o persoană competitivă, așa că de obicei îmi consum energia în sport. Eram alergător de distanță lungă în trecut, așa că încerc să continui cât pot, iar de vreo 5 ani joc tenis o dată la două‑trei săptămâni. Înainte de o accidentare gravă la genunchi, mergeam constant la o ligă de dodgeball. Să lovești pe cineva cu o minge chiar te descarcă de stres.”
Testele din industria de cybersecurity, echivalentul testelor pentru siguranță în industria auto
Întrebat cum ar defini domeniul în care activează, cel al testării de soluții de securitate cibernetică, cuiva care nu e familiarizat cu domeniul, Ștefan a făcut o comparație cu o altă industrie.
„Aș face o paralelă cu testele Euro NCAP pentru siguranța auto – este cea mai apropiată analogie din afara domeniului cibernetic. Testarea publică poate fi un diferențiator pe piață, uneori este necesară din motive de reglementare sau este folosită pentru dezvoltarea produselor. Pentru companiile aflate la început, participarea la un test public e o oportunitate să se compare cu liderii pieței. Pentru brandurile consacrate, participarea constantă la testele publice arată că susțin cu adevărat produsul lor, iar rezultatele bune și consecvente demonstrează că au procese de cercetare şi dezvoltare foarte solide.”
Ideea de business din spatele Artifact Security, compania pe care a fondat‑o, o avea în minte de câțiva ani, însă abia anul acesta s‑a simțit pregătit pentru acest pas, deși avea deja experiență cu start‑upuri, mai ales pe partea tehnică.
„Drumul tradițional pentru cineva cu profilul meu ar fi fost să merg spre o companie mare, eventual de partea furnizorilor de securitate. Dar eu am simțit că am idei care pot schimba felul în care se face public testing. De ani buni am observat că IMM‑urile sunt complet neglijate de industrie și, în general, se bazează pe MSP‑uri sau pe funcționalități «de mâna a doua». În plus, actualul model de testare e lent în a se adapta la noi tehnologii. Din experiență, chiar și în cel mai bun scenariu, durează cam doi ani de la o nouă abordare până la un test public cu adevărat util. Până atunci, multe teste își pierd relevanța.”
Vrea să schimbe abordarea din industrie
Misiunea Artifact Security este, spune Ștefan, să ofere companiilor de toate dimensiunile acces la teste provocatoare, precise și relevante.
„Ne concentrăm pe simularea unor atacuri reale, complexe și avansate într‑un mod riguros și transparent. Pentru companiile care nu își permit testări personalizate, oferim o platformă care le permite să folosească informații de tip threat intelligence, să își prioritizeze nevoile și să creeze planuri de testare eficiente, adaptate specificului lor. Este singura platformă de acest fel și va schimba modul tradițional de a te baza pe rapoarte publice generice, care prin natura lor nu pot fi adaptate la nevoile fiecărei companii fără investiții masive. În prezent este în beta închis, dar suntem entuziasmați să colaborăm atât cu companii, cât și cu MSP‑uri pentru a le oferi acces la resurse care până acum erau rezervate doar celor mai mari organizații din lume.”
În ceea ce privește planurile de viitor ale companiei, spune că i‑ar plăcea ca Artifact să devină compania de referință pentru testarea realistă și relevantă a noilor abordări din cybersecurity.
„Dacă ai o idee nouă despre cum să abordezi cybersecurity, noi putem oferi un test realist care să îți demonstreze capabilitățile. Avem planuri mari în zona IMM‑urilor, care sunt în mod obișnuit tratate ca o prioritate secundară. Este o piață dificilă, cu puține resurse, dar extrem de importantă, pentru că IMM‑urile fac parte din lanțurile de aprovizionare ale tuturor. Pentru ei aș vrea să devenim echivalentul unui Forrester/Gartner (companii de cercetare în domeniul tech – n.red.).”
Întrebat cum se vede, de la Londra, evoluția companiei românești de soluții de securitate cibernetică Bitdefender în clasamente atunci când vine vorba de public testing, Ștefan a răspuns: „Bitdefender are performanțe foarte bune pe partea de protecție în segmentul Endpoint Security. Participă constant în testări independente care au influență în segmentul lor țintă. Așa cum am menționat anterior, performanțele constante arată un angajament puternic în dezvoltare și oferă indicii despre comportamentul produsului în realitate.”
Legat de gândurile unei eventuale relocări în România – țară pe care o vizitează destul de des –, Ștefan a spus: „Dacă m‑ai fi întrebat acum câțiva ani dacă m‑aș întoarce în România, aș fi spus nu. Dar în ultima vreme am început să mă gândesc mai serios. Recent m‑am implicat în RACC‑IT, care conectează afaceri din România cu cele din străinătate. Am fost în București, unde am ținut un workshop despre NIS2 și am încercat să înțeleg mai bine starea industriei de cybersecurity din România. Văd posibilitatea ca Artifact să aibă o prezență – fie prin personal, fie prin piață – în România, în următorii 5 ani”.
Ce a mai spus Ștefan Dumitrașcu despre:
Care sunt miturile asociate public testingului pentru industria de cybersecurity
„100% într‑un test înseamnă 100% protecție în lumea reală”. Procente precum 100% sau 99% arată bine în titluri, dar de fapt denotă o înțelegere superficială a ceea ce înseamnă testarea. Rezultatele unui test se bazează pe setul de malware/atacuri folosit și modul de implementare. Dacă un test spune 100% protecție contra APT29, asta nu înseamnă că produsul te va proteja întotdeauna împotriva acestui grup. Rolul testerului este să se asigure că testele sunt corecte din punct de vedere tehnic și să încerce să anticipeze cum pot evolua tehnicile. Cititorii ar trebui să se uite la rezultate bune constante, în mai multe teste, nu la scoruri perfecte. Dacă un produs obține mereu 100%, poate însemna că testul este prea ușor.
Ce li se reproșează cel mai des furnizorilor de teste
Testele sponsorizate și sursa finanțării – acesta este „elefantul din încăpere”. Majoritatea firmelor de testare se bazează pe finanțare de la furnizori de securitate, ceea ce este un conflict de interese. Cum poți fi obiectiv dacă ești plătit de cel pe care îl testezi? Cel mai bun mod de a combate acest lucru este transparența completă în rapoartele publicate. Standardul AMTSO (Anti‑Malware Testing Standards Organization, ONG‑ul care reglementează standardele din industria de testare) a ajutat mult în această privință.
Testele comparative publice, unde toți plătesc și toți sunt publicați indiferent de rezultat, sunt cele mai dificile, dar și cele mai valoroase. Acestea au cel mai mare impact și sunt urmărite atent de analiști de piață.
Reputația testerilor este esențială. Încrederea se construiește greu și se pierde rapid. Testarea publică presupune echilibru între interesele clienților și cele ale furnizorilor. Mi‑aș dori ca industria să ajungă într‑un punct în care toți contribuie la un fond comun pentru testare – inclusiv prin fonduri publice. O organizație ca AMTSO ar putea fi un început, dar nu are autoritatea necesară fără sprijinul masiv al industriei.
Dimensiunea pieței furnizorilor de public testing
Depinde de cum o definim. La nivel global, testarea publică făcută de terți are o valoare sub 20 de milioane de dolari, într‑un scenariu optimist. În Europa, probabil este în jur de 5 milioane. Uneori există suprapuneri cu serviciile de penetration testing, deoarece competențele tehnice sunt similare, iar dacă includem și aceste servicii, piața devine mult mai mare.
Foto: Ștefan Dumitrașcu
Acest articol este preluat din ediția print a Revistei CARIERE nr. 299 | Iulie 2025