Головна Спільнота

«IoT — це не просто розумні пристрої. Це велика відповідальність». Інтерв’ю з Богданом Савчуком, експертом із Software QA, IoT та кібербезпеки

16 листопада 2023 21:13 7 хвилин читання

Богдан Савчук — інженер із понад 12-річним досвідом у QA, IoT-тестуванні та кібербезпеці, Co-Founder & CTO американської компанії Anbosoft, член IEEE та ISQA. Він працює з комплексними IoT-системами, створює власні фреймворки для безпеки та автоматизації, виступає на міжнародних конференціях і консультує компанії в США та Європі. Ми поспілкувалася з Богданом про те, як змінилося тестування за останні роки, чому IoT-безпека — це виклик на десятиліття, і як виглядає робота QA-фахівця, коли у грі вже не тільки софт, а й «залізо», фабрики та реальний світ.

«IoT — це не просто розумні пристрої. Це велика відповідальність». Інтерв’ю з Богданом Савчуком, експертом із Software QA, IoT та кібербезпеки зображення 1

Як ви прийшли в IoT та cybersecurity? Це особлива ніша навіть для досвідчених QA-фахівців.

Богдан Савчук (далі — Б.С.): Моя історія почалася приблизно в 2014 році, коли я працював у проєктах, де софт взаємодіє з фізичним обладнанням. Я швидко зрозумів, що тестувати IoT — це зовсім не те саме, що перевіряти веб або мобільні застосунки. Помилка в інтерфейсі — це неприємно, але помилка в IoT-пристрої може зупинити виробництво, паралізувати інфраструктуру або навіть створити небезпеку для людей.

Читайте також: Інтернет речей та розумні міста. Василь Жучков про київський досвід у цій сфері

Тоді я почав розробляти власний фреймворк для тестування IoT-безпеки: від моделювання загроз до автоматизації сценаріїв, які імітують реальні атаки на пристрої та мережі. З того часу я працюю саме в цьому напрямку — від промислових IIoT-рішень до великих платформ із мільйонами даних про реальні об’єкти.

Часто кажуть, що сучасний софт «безпечний за замовчуванням». Це справді так?

Б.С.: Ні, і це найбільша помилка бізнесу. У IoT немає поняття «безпечний за замовчуванням». Є поняття «уразливий від народження».

Більшість пристроїв створюються без глибокої перевірки кібербезпеки. Старі протоколи, слабкі алгоритми, відсутність шифрування, викладені у відкритий доступ API, заводські паролі, неможливість оновити firmware — це реальність, а не виняток.

Сучасний IoT — це мільярди точок входу для атак.Тому QA тут — не перевірка кнопок. Це постійна боротьба за стійкість системи.

Які типові загрози ви бачите в IoT?

Б.С.: Є три великі категорії:

1. Атаки на пристрій

Фізичні маніпуляції, прошивання, підміна компонентів, доступ до debug-портів, підключення до локальної мережі.

2. Атаки на протоколи та мережу

Перехоплення даних, MITM-атаки, підміна команд, злам Wi-Fi/Bluetooth, небезпечні MQTT/CoAP-з’єднання.

3. Атаки на платформу та API

Підписуйтеся на наші соцмережі

Уразливі backend-сервіси, неправильні ролі та доступи, порушення логіки, витоки даних.

Моя робота — знаходити ці слабкі місця, моделювати сценарії атаки й автоматизувати перевірки, щоб вони запускалися на кожному релізі.

Ви працюєте як з цифровою частиною, так і з «залізом». Як це виглядає на практиці?

Б.С.: Це найбільш цікава частина IoT. QA повинен розуміти:

електроніку та протоколи зв’язку;
як поводиться пристрій у різних умовах — від температури до поганого інтернету;
як працює виробництво чи інфраструктура, до якої цей пристрій підключений.

Я працював із пристроями, які контролюють реальні заводські процеси, обладнання вагою в тонни, а також з платформами, що оперують сотнями мільйонів записів про реальні об’єкти в США.

У такій роботі не існує «маленької помилки». Все може впливати на бізнес, безпеку, людей.

Які інструменти та технології зараз критично важливі у QA для IoT?

Б.С.:

Automation: Playwright, Selenium, власні фреймворки для hardware-тестів.
Security: Threat modeling, penetration testing, API-hardening, аналіз firmware.
Data QA: валідація великих обсягів геопросторових даних, автоматизація перевірок для мільйонів записів.
CI/CD: GitHub Actions, Jenkins, Google Cloud Storage інтеграції.
AI: моделі, які визначають аномалії, зони ризику, нестандартну поведінку IoT-пристроїв.

Я активно використовую AI у QA — для аналізу логів, класифікації помилок, пошуку патернів та прогнозування ризиків.

Що найскладніше в IoT-тестуванні?

Б.С.: Непередбачуваність.У вас є пристрій, який поводиться по-іншому в кожних умовах. Є платформа, яка обробляє сотні мільйонів подій. Є користувачі, які використовують усе це у непередбачуваних сценаріях.

QA у такому середовищі має бути одночасно інженером, аналітиком, хакером, data-спеціалістом і трохи божевільним, бо часто доводиться ламати систему, щоб зробити її сильнішою.

Ви працюєте і в США, і з українськими командами. Як відрізняється культура тестування?

Б.С.: В Україні — дуже сильні QA-інженери. Але часто компанії недооцінюють саме IoT-безпеку й automation-підхід.

У США кожен клієнт розуміє: якщо IoT-продукт зламають — це може коштувати мільйони, штрафи, зупинку виробництва, втрату контрактів. Тому IoT-безпека — один із ключових пріоритетів.

Зараз українські компанії також рухаються в цей бік, і це правильний сигнал.

У вас є власна компанія — Anbosoft. Чим вона займається?

Б.С.: Ми спеціалізуємося на QA-аутсорсингу, IoT-тестуванні, кібербезпеці та автоматизації. Наші клієнти — американські компанії у сфері промисловості, real-estate, e-commerce, data-platforms.

Ми акцентуємося на двох речах:

1
глибокій технічній експертизі, а не «галочках»;
2
побудові довгострокових рішень, а не тимчасових латок.

Це дозволило нам отримати кілька міжнародних відзнак — наприклад, Software Testing Management Team of the Year (2024, North America Business Awards), Most Influential CEO 2025 — Custom Software Development (USA), Great Companies Global Business Award 2025 та інші професійні нагороди.

Ви активно виступаєте на конференціях. Які теми вважаєте найбільш актуальними?

Б.С.:

Безпека IoT-пристроїв у промисловості
AI у тестуванні та кібербезпеці
Побудова автоматизованих фреймворків для складних систем
Тестування даних у масштабі понад 100 млн записів
Реалістичні атаки на IoT-інфраструктуру

На конференціях я часто показую реальні кейси — не злам системи, але процес того, як виявлена дрібна вразливість може призвести до великих проблем.

Що б ви порадили фахівцям, які хочуть у сферу IoT-тестування?

Б.С.:

1
Вивчайте основи електроніки та мереж.
2
Розвивайте навички безпеки — від OWASP до pentesting-практик.
3
Працюйте з реальними IoT-девайсами — навіть простими.
4
Вчіться автоматизувати все, що можна.
5
Розумійте бізнес-контекст — у IoT це критично.

І головне — будьте готові до того, що в цій сфері ніколи не буває нудно.

Що далі? Які ваші плани?

Б.С.: Моя ціль — розвивати екосистему IoT-безпеки, робити продукти стійкішими, а ринок — більш усвідомленим. Планую продовжувати виступи, розвивати Anbosoft, будувати нові фреймворки та ділитися досвідом з українською спільнотою.

IoT — це майбутнє. Але майбутнє, яке потрібно зробити безпечним.

Якщо ви хочете поділитися з читачами SPEKA власним досвідом, розповісти свою історію чи опублікувати колонку на важливу для вас тему, долучайтеся. Відтепер ви можете зареєструватися на сайті SPEKA і самостійно опублікувати свій пост.