Андрей Голов

Андрей Голов:
Разработчик должен создавать технологии будущего уже сегодня

Почему разработчики не должны жить сегодняшним днем, что ограничивает рост российских поставщиков решений для информационной безопасности, почему им сложно выйти на зарубежные рынки и какими катастрофами грозит кибервойна? Об этом CNews рассказывает генеральный директор компании «Код безопасности» Андрей Голов.

CNews: Какие изменения произошли в компании за последнее время? Как вы оцениваете сегодняшний уровень развития бизнеса «Кода безопасности»?

Андрей Голов: Оценить то, что происходит с компанией, очень просто, потому что основанный на R&D бизнес оценивается по двум важнейшим показателям. Первый – это финансовые результаты, то есть оценка вашей компании рынком. Второй – это стратегический параметр, который можно обозначить термином «капитализация компании», сюда же можно отнести такие понятия, как «долгосрочность» и «стабильность». Все это не всегда материальные, осязаемые критерии, но по ним можно понять, насколько вендор успешен в создании и выводе продуктов на рынок. Разработчикам важна уверенность в долгосрочных успешных показателях. И в последнее время рынок начинает осознавать, что у вендора может быть высокая капитализация, что бренд стоит денег. Так что очень бы хотелось, чтобы в нашем сегменте создавался рынок капитала.

По первому показателю мы демонстрируем абсолютно честный рост. В прошлом году по отношению к 2014-му оборот «Кода безопасности» вырос почти на 50% и превысил 2,5 млрд руб., а за 10 месяцев текущего года – на 58%. Получается, что за два года мы удвоили оборот. Такой показатель, как рентабельность бизнеса, тоже остался на прежнем, хорошем уровне.

Андрей Голов: Мы реализуем запланированную стратегию и движемся в новые ниши

Что касается второй составляющей, то мы считаем ее настолько существенной, что даже провели реорганизацию, необходимую для достижения долгосрочных целей компании. Два года назад мы разделили свой большой технический блок на два департамента – техническую дирекцию и департамент технологического развития. Первый сфокусировался на развитии наших флагманских продуктов для обеспечения безопасности сетей и рабочих станций: это Secret Net, Secret Net Studio, «Континент», «Соболь». Второй департамент численностью примерно 100 разработчиков специализируется на создании средств, защищающих новые для нас ниши, связанные с мобильностью и облаками.

Почему мы так поступили? Потому что технологические циклы у этих групп продуктов принципиально разные. Новинки создаются быстро, а выпуск основных продуктов можно сравнить с работой конвейера на большом заводе, где масштабны циклы проектирования, тестирования и доработок. Например, бета-тестирование новых функций «Континента» обычно длится около года, а защитные средства для новых ниш тестируются очень быстро.

Кроме того, мы соединили «физически» R&D и продавцов. Если раньше в Москве у нас было три офиса, то полгода назад мы объединили их в один – переехали в новый и современный бизнес-центр. И главное, что мы сделали в нем – организовали open space. Теперь у нас люди, отвечающие за различные направления, постоянно общаются друг с другом: продавцы – с разработчиками, а специалисты по сетевой безопасности – с теми, кто занимается защитой рабочих станций. Благодаря этому мы получили возможность объединить специалистов, занимающихся смежными задачами.

Наши офисы в Санкт-Петербурге и Пензе успешно освоили принципы удаленной разработки. Мы применяем средства коммуникации. И когда идет показ продукта разработчиком, нам безразлично, где он находится – в соседней комнате или в другом городе. Мы сумели это организовать.

Так что и операционные показатели у нас хорошие, и есть уверенность в хороших долгосрочных показателях. Мы реализуем запланированную стратегию и движемся в новые ниши.

CNews: Насколько активно вы осваиваете новые технологические направления?

Андрей Голов: Стараемся быстро занимать новые для нас ниши. Я уже отмечал, что мы занялись защитой облаков. Основная проблема при пользовании облаками – доверие. Мы можем ее решить. В следующем году мы представим решение для инфраструктур, в которых облако хостинг-провайдера является недоверенным элементом. Такое защитное средство нужно, чтобы эти удобные с точки зрения ИТ сервисы перестали вызывать подозрение у топ-менеджеров и служб безопасности.

Конечно, у такого отношения есть несколько объективных причин. Все понимают, что облачный провайдер может получить несанкционированный доступ к вашим данным. Или могут случиться ситуации, когда в дата-центре в рамках следственных действий изъяли серверы, на которых хранятся в том числе и ваши данные. Или конкуренты сумели убедить сотрудников провайдера «поделиться информацией».

Поэтому сейчас «Код безопасности» создает решение, которое будет предоставлять доступ к вашим данным только доверенным лицам и сигнализировать о попытках несанкционированного доступа: вы будете знать, кто и где это делает. В этом решении будут объединены технологии виртуализации и шифрования, и я считаю, что оно будет востребованным.

Если говорить об освоении новых технологических направлений в 2015 году, то мы разработали комплексное решение Secret Net Studio для защиты рабочих станций. Мы связали данные с методами их обработки и воплотили весь наш 20-летний опыт. Как известно, зловредное ПО может находиться как до операционной системы, так и на ее уровне, оно может воздействовать через приложение, через компьютерные сети; атака может быть направлена на данные. Осознав это все, мы создали комплексное решение, обеспечивающее безопасность на пяти уровнях. Интересно, что его первыми заказчиками стали финансовые организации («ВТБ Депозитарий» и Внешфинбанк). А по окончании официальной процедуры сертификации (это логичная процедура апгрейда Secret Net в Secret Net Studio) мы рассчитываем на интерес государственных структур, так как это решение позволяет надежно защищать данные, содержащие гостайну.

В области мобильной безопасности мы также довольно сильно продвинулись. Разработали и запускаем в продажу Secret MDM – решение для управления корпоративной мобильностью и защиты данных на мобильных устройствах. Это система класса Mobile Device Management. Я не считаю сам продукт революционным, поскольку похожие по функциональным возможностям системы есть на рынке. Но зато честно могу сказать, что наш продукт в отличие от конкурирующих предназначен не для избранных устройств, а для всех.

Сейчас мы ищем пути его развития, например, разработали возможность шифрования голоса, разработали мессенджер. Такая функция нужна всем: люди хотят общаться по телефону абсолютно приватно и быть уверенными, что их не прослушивают злоумышленники. И мы можем это обеспечить. Но сама тема требует отдельной проработки, поскольку затрагивает вопросы, связанные с регулированием: в соответствии с требованиями законодательства и регуляторов голосовой трафик должен контролироваться. Поэтому сейчас мы изучаем законодательные особенности, связанные с возможностями сертификации такого решения.

CNews: Вы же не только сами ведете разработки, но и привлекаете к ним заказчиков? В прошлогоднем интервью вы говорили о переходе к такой модели.

Андрей Голов: Да, мы поняли, что нужный рынку продукт можно создавать только в союзе с клиентами и иногда с интеграторами. Здесь мы нашли консенсус, потому что заказчик четко знает свои потребности, а интегратор обладает обширными знаниями в области проектирования и архитектуры многих решений разных вендоров.

Андрей Голов: Мы поддерживаем очень крупные, знаковые ИТ-системы, и это накладывает на нас большую ответственность

Понимаете, самая большая ошибка разработчиков – это создать «коня в вакууме», то есть идеальное по замыслу, но очень далекое от жизни решение. Это реальная бизнес-катастрофа, это значительная потеря денег. В большинстве случаев разработчики работают через партнерскую сеть и не видят клиентов. Мы в компании долгое время боролись с ситуациями, когда программист говорит: «Я лучше знаю, что нужно пользователю и как он должен работать», а департаменту сервиса приходилось ему объяснять: «Мы занимаемся решением проблем заказчика, а не реализацией своих представлений о том, как надо программировать приложения».

Как происходит у нас? Мы до продажи продукта проводим очень кропотливое и широкое бета-тестирование продуктов у заказчиков. Особенно это касается средств обеспечения сетевой безопасности. Мы очень благодарны клиентам за то, что они дают нам обратную связь.

Такой союз имеет очень большие перспективы. Например, крупнейшим государственным и коммерческим заказчикам крайне важно прямое партнерство с вендором, когда речь идет об ИТ-системах такого уровня, как ГАС «Выборы», «Платон» или НСПК. У нас сильно расширился департамент, связанный с техподдержкой и профессиональными сервисами. Мы поддерживаем очень крупные, знаковые ИТ-системы, и это накладывает на нас большую ответственность. У нас реально в 5 утра может по аварии подняться оперативная группа, которая формируется вместе с представителями заказчика и партнеров, и мы решаем проблему вне зависимости от часового пояса и времени суток. То есть происходит реальная синергия усилий партнера, заказчика и вендора и поиск источника проблемы, которая может быть где угодно – у провайдера, в системах связи, в приложениях.

Ведь как обычно идет работа с западным вендором? Вы как заказчик к нему обращаетесь с просьбой, а он заводит заявку, присваивает ей определенный приоритет… При этом у него есть клиенты по всему миру, и не факт, что за вас скоро кто-нибудь возьмется. А у вас работа нон-стоп и онлайн-обслуживание клиентов, вы не можете остановиться. В этом смысле российские вендоры имеют реальное преимущество. Именно благодаря такому подходу заказчики выбирают отечественных разработчиков. Они всегда ближе к клиенту: географически, по менталитету и по уровню доверия.

CNews: На что еще вы делаете ставку в бизнес-стратегии компании?

Андрей Голов: Серьезный толчок развитию рынка ИБ способна дать ОЕМ-интеграция. «Код безопасности» выпускает свои продукты уже порядка 20 лет, накопил огромный опыт в разработке защитных решений для инфраструктуры, сетей и рабочих станций. Но у нас нет специализации во всех областях ИБ. Например, в тестах на проникновение из веба в сеть – так называемых пентестах, в защите от целенаправленных кибератак и многом другом. Зато на этом специализируются другие ИБ-компании. С некоторыми из них мы кооперируемся и ищем точки взаимопроникновения наших решений, что позволяет расширить их функциональные возможности.

Эта тенденция стала особенно заметна сейчас, когда рынок, включая госсектор, больше стал интересоваться инцидент-менеджментом, защитой от атак. Появились ситуационные центры – SOC. Мы постепенно включаемся в работу ситуационных центров в «Ростехе», других больших организациях. Участвуем в разработке единой российской системы распределенных ситуационных центров.

CNews: Какие самые интересные проекты вы реализовали за последний год?

Андрей Голов: Мы участвовали в очень многих проектах, обо всех не расскажешь подробно. Например, криптографическая сеть и защита колл-центров «РТ-Инвест Транспортные Системы» – это наша работа. Мы обеспечили безопасность сети Национального центра управления обороной, сделали очень нетривиальное инженерное решение по защите распределенного кластера МОЭК, реализовали большой проект в Минфине…

Если говорить о проектах 2015 года, то в числе наиболее крупных – Минобороны России, Федеральная таможенная служба, Центробанк РФ, «Ростех», Холдинг МРСК, «Гознак», «Росатом», ФСБ России, МВД России, ФМС России. «Код безопасности» сотрудничал с Федеральным казначейством по ряду задач, в том числе – участвовал в проекте «Электронный бюджет».

В результате реализации нашего проекта для Следственного комитета РФ сейчас следователь может прийти на место преступления просто со смартфоном или планшетом, на месте сделать фотографии и заполнить протокол. Это вместо того, чтобы писать на бумаге, а потом в кабинете перепечатывать. А ФСИН России получил защиту видеоконференций и ситуационного центра во время процессов, на которых подсудимый присутствует удаленно.

CNews: Какие задачи стоят пред вами на ближайшие год-два в области технологического развития?

Андрей Голов: У нас есть несколько ключевых технологий, которые мы будем развивать. В первую очередь, мы реализуем планы в области сетевой безопасности. В этой нише мы прежде всего работаем над увеличением быстродействия, повышением гибкости и управляемости. И, самое главное, наполнением сетей логикой безопасности – над этим мы работаем в союзе с нашими ОЕМ-партнерами.

Мы с другими разработчиками решений для информационной безопасности не видим друг в друге конкурентов. В России, наверное, вообще нет сильной конкуренции между компаниями в сфере ИБ, поэтому сохраняются хорошие возможности для маневра и сотрудничества.

Нашему бизнесу мешает развиваться не конкуренция, а существующая рыночная модель. Специфика бизнеса ИБ в России такова, что мы можем развиваться только за счет собственных средств. У нас нет выхода на рынок капитала. Мы не можем привлечь средства с рынка, несмотря на то, что привлекательны как бизнес. Наша компания не имеет возможности брать кредиты, потому что у нас нет прямых контактов с заказчиками – мы работаем через партнерскую сеть. И получается, что компания с огромным потенциалом роста не может выйти за установленные финансовые рамки.

Андрей Голов: Нам приходится жить в «несуществующем» мире – в будущем

Если говорить о технологических векторах, то обычно всех крупных разработчиков преследует большая проблема: вы три года назад взяли какую-то существующую технологию, начали делать на ней продукт, а через год она уже неактуальна, нужно переделывать.

Поэтому нам приходится жить в «несуществующем» мире – в будущем. Мы должны понимать, какие технологии будут актуальными через три года. Поэтому при формулировании требований к продукту мы ориентируемся на прогнозы, а не на сегодняшний день. Иначе к моменту выхода новые решения уже устареют. Откуда мы черпаем информацию для своих прогнозов? Вендор – это точка концентрации контактов в мире ИТ. Мы очень тесно работаем и с партнерами, и с заказчиками, получаем знания на отраслевых мероприятиях, участвуем в работе ассоциаций. И получаем информацию о том, чем они собираются жить года через три. А то, чем живут сейчас – это уже неактуально.

CNews: Если продолжить тему партнерства: вас интересуют только крупные партнеры? А как же стартапы?

Андрей Голов: Я как бизнесмен не верю, что в России стартап может стать финансово выгодным предприятием, что с ним можно сотрудничать на равных. В плане условий для стартапов здесь не США – нет такого, чтобы ты придумал идею, продал ее или сам устроился развивать ее в Силиконовую долину, где работает огромное число таких же как ты. То, что создано в России для поддержки стартапов, несопоставимо по соотношению вложений и результата. Ситуацию пробуют изменить, в частности, этим занимаются в технопарках, в «Сколково», в Иннополисе. Но это еще не созданная индустрия.

Андрей Голов: В России очень хорошая база знаний, но плохо обстоят дела с построением бизнеса

В России покупают только финансовый успех, готовый продукт. Поэтому продуктовому стартапу необходимы сеть дистрибуции, вложения в разработку, тестирование и сервис. А на это у него, как правило, нет ни денег, ни людей.

Но некоторыми стартапами «Код безопасности» занимается. Мы решили, что будем принимать участие в самых интересных из них и помогать доводить разработки до состояния продуктов. Но на одном условии: мы не занимаемся покупкой стартапов, нас интересует только взаимовыгодное сотрудничество. Для нас выгода заключается в том, что мы приобретаем нишевые специализации, которые можем использовать в своих типовых решениях.

Я думаю, это очень поможет нам в конкуренции даже с ведущими западными вендорами, потому что в России очень сильные программисты, одни из лучших в мире. Не все, конечно – рынок сейчас очень перегрет из-за несоответствия высоких зарплат низкому уровню знаний многих выпускников. У нас «классическая» школа. Выпускники институтов иногда «страшно далеки от народа». Их компетенции надо оттачивать, в чем-то переучивать. Но российские вузы формируют правильную систему мышления, правильные подходы к задачам. Если выпускников доучивать на стажировках, получается хороший результат. Так что высококлассных программистов очень много, и это реальная проблема, когда они не могут из своего занятия делать бизнес. Мы надеемся, что «Код безопасности» сумеет помочь исправлению ситуации.

Недавно президент отмечал, что в России экспорт ПО достиг 6 млрд, а вооружения – 14 млрд. Вот как сильно отечественные разработчики нарастили рынок. Притом что он не поддерживается, не спонсируется государством. А если бы нас еще и поддерживали?

На самом деле разработка ПО – это точка роста для нашей экономики. Это и создание рабочих мест, и создание экспортных технологий. В России очень хорошая база знаний, но плохо обстоят дела с построением бизнеса. Если говорить про экспорт, то компании движутся на внешние рынки «партизанскими тропами». У нас нет такой поддержки экспорта, как в США или Израиле.

Сейчас происходит цифровизация экономики. ИТ не просто становятся помощником при ведении бизнеса, они становятся самим бизнесом, инструментом развития экономики. ИТ меняют парадигму, подходы, приоритеты, бизнес-процессы. Если взять биржи – там уже нет трейдеров, там торгуют роботы. Компьютеры формируют общественное мнение, они нами управляют. Именно поэтому вопросы безопасности ИТ-систем будут иметь первоочередное значение.

CNews: Почему российский ИБ-бизнес так слабо представлен на западном рынке?

Андрей Голов: Причина прежде всего в том, что в России сфера защиты информации очень сильно зарегулирована. Все, что касается механизмов безопасности, сертифицируется ФСТЭК, а криптографии – ФСБ. Наши разработки могут трактоваться как продукция двойного назначения, и в отношении нее действуют особые правила, мешающие выходу на зарубежный рынок. Прямо сейчас у «Кода безопасности» есть новые перспективные технологии, и примерно за три года мы на их базе сделаем конкурентоспособные решения, которые мы могли бы экспортировать.

Но регуляторы – это государственный аппарат, у которого не стоит задача развить отрасль ИБ как бизнес. Их задача – защита государства и повышение его обороноспособности. В этих различиях и кроется конфликт интересов. А значимых игроков, которые могли бы защищать интересы бизнеса ИБ, – немного. И мы – один из них. Должен выстроиться диалог с государством и должны измениться правила регулирования. Отрасль информационной безопасности – это не только создание продукции двойного назначения, но и средства получения денег, создания рабочих мест, высокотехнологичной продукции. Это реальное средство заработка для государства. Надо искать компромиссы, оценивать географию распространения, модель покупателя. Здесь возможен диалог о расширении возможностей конкуренции с мировыми брендами, причем не только за рубежом, но и на внутреннем рынке.

Одним из пунктов в этом обсуждении должно стать преодоление неравенства между отечественными и западными вендорами в России. Проблема заключается в том, что сейчас выпускники идут на работу в российские компании в основном чтобы «прокачать» знания и получить навыки, после чего уходят на высокую зарплату к более богатым западным вендорам. И фактически получается, что иностранцы продают в России продукт, созданный россиянами, только по более высокой цене. Конечно, они добавляют туда свои экспертизу и маркетинг, но суть от этого не меняется. Поэтому я считаю, что нужно как-то стимулировать российских производителей, тем более что в прошлом году сектор ИБ наконец официально зарегистрировали в качестве отрасли.

CNews: Насколько, по вашему мнению, тема кибербезопасности интересна руководителям государства?

Андрей Голов: Это очень серьезная тема, и сейчас власти осознали, что кибервойна – это не вымышленный апокалипсис, а реальная угроза. Государство хочет понимать, насколько мы защищены и сможем ли отразить атаки. И первые лица стали говорить о киберугрозах в финансовом и других секторах экономики.

Угрозы выросли настолько, что не обращать на них внимания больше не получается. И у людей включилось понимание того, что ИБ тоже относится к одной из базовых потребностей – безопасности. 

Государство осознало, что кибервойна – это не вымышленный апокалипсис, а реальная угроза

Причина в том, что информационные технологии наконец настолько глубоко проникли в нашу жизнь, что нарушение их работы стало серьезной опасностью для нашей жизни. Злоумышленники уже не только крадут деньги из банков, они же могут переключать светофоры или перехватить управление беспилотным автомобилем. Технические разведки и кибервойска могут производить деструктивное воздействие на корневые системы, управляющие государством, экономикой, промышленностью, энергетикой, здравоохранением. 

К этому можно добавить, что в связи со сложной внешнеполитической обстановкой у нас, к сожалению, прекращается сотрудничество с другими странами в области борьбы с кибертерроризмом. Это на руку противникам, и не может не тревожить. Если политическая обстановка все-таки изменится, то это сотрудничество обязательно нужно восстановить.

CNews: Как в целом сейчас выглядит модель угроз для российских организаций? Какие из них в последнее время стали самыми актуальными?

Андрей Голов: Я предлагаю разделить коммерческий и государственный рынки при обсуждении этого вопроса. В коммерческой сфере, которая поступательно развивается, открывает ситуационные центры, главная задача – борьба с мошенничеством. В первую очередь это предотвращение таргетированных атак и защита конфиденциальных данных. Здесь все более или менее традиционно: есть периметр, банковские системы, которые нужно защищать, и есть подготовленные люди с другой стороны, которые пытаются получить к ним незаконный доступ.

То есть в бизнесе парадигма не изменилась: информационная безопасность – это управление рисками. Сколько вы можете потерять в результате инцидента? Сколько стоит система защиты? От сравнения этих показателей и зависит уровень защищенности.

На государственном уровне, наоборот, ситуация быстро меняется, и последствия оцениваются не только в деньгах. В первую очередь появляются потенциальные противники в виде специальных служб, технических специалистов других государств. И это меняет объекты защиты, потому что есть угроза дестабилизации крупных систем. Представьте, что произошел серьезный сбой в АИС ПФР, и люди не получили пенсии. Что будет, если в горводоканале выйдет из строя система, управляющая работой насосов, а в метрополитене собьется график движения поездов? Что произойдет, если преступники проникнут в информационные системы критически важных объектов?

Но здесь важно то, что усиливается роль государства в вопросах информационной защиты его интересов, а также в целом повышается базовый уровень защищенности систем. Роль государства проявляется, например, в том, что ЦБ пытается сконцентрировать экспертизу по информационной безопасности и распространить ее на банки, помочь им. Это очень хорошая тенденция и практика.

В том, как государство повернулось к вопросам инфобезопасности, нас даже немного пугают темпы законодателей: мы не успеваем за их растущими требованиями. Причина в том, что они все-таки далеки от понимания возможностей отрасли. Например, нельзя с нуля за короткий срок полностью создать российскую компонентную базу – это же целая индустрия. Нужно понимать, насколько микроэлектроника ресурсоемкая и наукоемкая отрасль, сколько инвестиций в нее нужно вложить и сколько времени потратить, прежде чем будет требуемый результат.

CNews: Как вы оцениваете роль регуляторов в развитии рынка информационной безопасности?

Андрей Голов: Я могу сказать, что за последние годы она изменилась кардинально. Если раньше с их стороны было много формализма, отсутствия интереса к результату, то сейчас все по-другому. Я искренне воспринимаю регуляцию как инструмент для повышения общего уровня защищенности российского рынка в целом. К примеру, во ФСТЭК все процессы регуляции идут в тесном союзе с разработчиками. Мы участвуем во всех экспертных советах, и нас реально слушают, наше мнение учитывается.

В том числе благодаря позиции регуляторов в госструктурах проводится реальный анализ защищенности, внедряются процессы управления информационной защитой, создан ГОСТ по процессам безопасной разработки продуктов.

Точно так же меняется и отношение к безопасности наших заказчиков в госсекторе. Если раньше сегмент был крайне консервативным, и вся работа велась ради оформления сертификатов продуктов и аттестатов систем, то сейчас стоит обнаружить уязвимость в продукте – тут же следует требование к вендору ее устранить. Видимо, поменялись приоритеты, и началась реальная работа над повышением защищенности информационных систем.

Вернуться на главную страницу обзора