Головна Спільнота

«IoT — це не просто розумні пристрої. Це велика відповідальність». Інтерв’ю з Богданом Савчуком, експертом із Software QA, IoT та кібербезпеки

7 хвилин читання

Богдан Савчук — інженер із понад 12-річним досвідом у QA, IoT-тестуванні та кібербезпеці, Co-Founder & CTO американської компанії Anbosoft, член IEEE та ISQA. Він працює з комплексними IoT-системами, створює власні фреймворки для безпеки та автоматизації, виступає на міжнародних конференціях і консультує компанії в США та Європі. Ми поспілкувалася з Богданом про те, як змінилося тестування за останні роки, чому IoT-безпека — це виклик на десятиліття, і як виглядає робота QA-фахівця, коли у грі вже не тільки софт, а й «залізо», фабрики та реальний світ.

Як ви прийшли в IoT та cybersecurity? Це особлива ніша навіть для досвідчених QA-фахівців.

Богдан Савчук (далі — Б.С.): Моя історія почалася приблизно в 2014 році, коли я працював у проєктах, де софт взаємодіє з фізичним обладнанням. Я швидко зрозумів, що тестувати IoT — це зовсім не те саме, що перевіряти веб або мобільні застосунки. Помилка в інтерфейсі — це неприємно, але помилка в IoT-пристрої може зупинити виробництво, паралізувати інфраструктуру або навіть створити небезпеку для людей.

Читайте також: Уявіть собі місто, яке використовує цифрові технології для розв’язання проблем, сталого розвитку та комфортного життя громадян. Саме такою є модель Smart city, тобто розумного міста. SPEKA поспілкувалася з Василем Жучковим, начальником відділу впровадження, розвитку та експлуатації систем міської телеметрії та інтернету речей спеціалізованого комунального підприємства «Київтелесервіс», аби дізнатися, що таке концепція Smart city, як під час її реалізації допомагають IoT-технології та як працює технологія зв’язку LoRaWAN. 

Тоді я почав розробляти власний фреймворк для тестування IoT-безпеки: від моделювання загроз до автоматизації сценаріїв, які імітують реальні атаки на пристрої та мережі. З того часу я працюю саме в цьому напрямку — від промислових IIoT-рішень до великих платформ із мільйонами даних про реальні об’єкти.

Часто кажуть, що сучасний софт «безпечний за замовчуванням». Це справді так?

Б.С.: Ні, і це найбільша помилка бізнесу. У IoT немає поняття «безпечний за замовчуванням». Є поняття «уразливий від народження».

Більшість пристроїв створюються без глибокої перевірки кібербезпеки. Старі протоколи, слабкі алгоритми, відсутність шифрування, викладені у відкритий доступ API, заводські паролі, неможливість оновити firmware — це реальність, а не виняток.

Сучасний IoT — це мільярди точок входу для атак.Тому QA тут — не перевірка кнопок. Це постійна боротьба за стійкість системи.

Які типові загрози ви бачите в IoT?

Б.С.: Є три великі категорії:

1. Атаки на пристрій

Фізичні маніпуляції, прошивання, підміна компонентів, доступ до debug-портів, підключення до локальної мережі.

2. Атаки на протоколи та мережу

Перехоплення даних, MITM-атаки, підміна команд, злам Wi-Fi/Bluetooth, небезпечні MQTT/CoAP-з’єднання.

3. Атаки на платформу та API

Підписуйтеся на наші соцмережі

Уразливі backend-сервіси, неправильні ролі та доступи, порушення логіки, витоки даних.

Моя робота — знаходити ці слабкі місця, моделювати сценарії атаки й автоматизувати перевірки, щоб вони запускалися на кожному релізі.

Ви працюєте як з цифровою частиною, так і з «залізом». Як це виглядає на практиці?

Б.С.: Це найбільш цікава частина IoT. QA повинен розуміти:

  • електроніку та протоколи зв’язку;
  • як поводиться пристрій у різних умовах — від температури до поганого інтернету;
  • як працює виробництво чи інфраструктура, до якої цей пристрій підключений.

Я працював із пристроями, які контролюють реальні заводські процеси, обладнання вагою в тонни, а також з платформами, що оперують сотнями мільйонів записів про реальні об’єкти в США.

У такій роботі не існує «маленької помилки». Все може впливати на бізнес, безпеку, людей.

Які інструменти та технології зараз критично важливі у QA для IoT?

Б.С.:

  • Automation: Playwright, Selenium, власні фреймворки для hardware-тестів.
  • Security: Threat modeling, penetration testing, API-hardening, аналіз firmware.
  • Data QA: валідація великих обсягів геопросторових даних, автоматизація перевірок для мільйонів записів.
  • CI/CD: GitHub Actions, Jenkins, Google Cloud Storage інтеграції.
  • AI: моделі, які визначають аномалії, зони ризику, нестандартну поведінку IoT-пристроїв.

Я активно використовую AI у QA — для аналізу логів, класифікації помилок, пошуку патернів та прогнозування ризиків.

Що найскладніше в IoT-тестуванні?

Б.С.: Непередбачуваність.У вас є пристрій, який поводиться по-іншому в кожних умовах. Є платформа, яка обробляє сотні мільйонів подій. Є користувачі, які використовують усе це у непередбачуваних сценаріях.

QA у такому середовищі має бути одночасно інженером, аналітиком, хакером, data-спеціалістом і трохи божевільним, бо часто доводиться ламати систему, щоб зробити її сильнішою.

Ви працюєте і в США, і з українськими командами. Як відрізняється культура тестування?

Б.С.: В Україні — дуже сильні QA-інженери. Але часто компанії недооцінюють саме IoT-безпеку й automation-підхід.

У США кожен клієнт розуміє: якщо IoT-продукт зламають — це може коштувати мільйони, штрафи, зупинку виробництва, втрату контрактів. Тому IoT-безпека — один із ключових пріоритетів.

Зараз українські компанії також рухаються в цей бік, і це правильний сигнал.

У вас є власна компанія — Anbosoft. Чим вона займається?

Б.С.: Ми спеціалізуємося на QA-аутсорсингу, IoT-тестуванні, кібербезпеці та автоматизації. Наші клієнти — американські компанії у сфері промисловості, real-estate, e-commerce, data-platforms.

Ми акцентуємося на двох речах:

  • 1
    глибокій технічній експертизі, а не «галочках»;
  • 2
    побудові довгострокових рішень, а не тимчасових латок.

Це дозволило нам отримати кілька міжнародних відзнак — наприклад, Software Testing Management Team of the Year (2024, North America Business Awards), Most Influential CEO 2025 — Custom Software Development (USA), Great Companies Global Business Award 2025 та інші професійні нагороди.

Ви активно виступаєте на конференціях. Які теми вважаєте найбільш актуальними?

Б.С.:

  • Безпека IoT-пристроїв у промисловості
  • AI у тестуванні та кібербезпеці
  • Побудова автоматизованих фреймворків для складних систем
  • Тестування даних у масштабі понад 100 млн записів
  • Реалістичні атаки на IoT-інфраструктуру

На конференціях я часто показую реальні кейси — не злам системи, але процес того, як виявлена дрібна вразливість може призвести до великих проблем.

Що б ви порадили фахівцям, які хочуть у сферу IoT-тестування?

Б.С.:

  • 1
    Вивчайте основи електроніки та мереж.
  • 2
    Розвивайте навички безпеки — від OWASP до pentesting-практик.
  • 3
    Працюйте з реальними IoT-девайсами — навіть простими.
  • 4
    Вчіться автоматизувати все, що можна.
  • 5
    Розумійте бізнес-контекст — у IoT це критично.

І головне — будьте готові до того, що в цій сфері ніколи не буває нудно.

Що далі? Які ваші плани?

Б.С.: Моя ціль — розвивати екосистему IoT-безпеки, робити продукти стійкішими, а ринок — більш усвідомленим. Планую продовжувати виступи, розвивати Anbosoft, будувати нові фреймворки та ділитися досвідом з українською спільнотою.

IoT — це майбутнє. Але майбутнє, яке потрібно зробити безпечним.

Інші матеріали

Кібербезпека інтернет речей тестування ПЗ Спільнота
Читати на speka.media