CNews: Какие события 2018 г. в сфере ИБ вы считаете наиболее значительными?

Андрей Голов: Если говорить о международной ситуации в контексте ИБ, то сейчас наблюдается достаточно грустная ситуация. Я недавно вернулся с Internet Governance Forum 2018, который прошел в парижской штаб-квартире ЮНЕСКО, где выступил президент Франции Эммануэль Макрон. Несколько стран, включая Россию, Иран, Северную Корею и США, отказались подписывать декларацию о кибербезопасности, предложенную президентом Франции. Россия справедливо предложила вначале принять отдельный документ в рамках резолюции ООН и определить правила поведения в интернете, юридически это закрепить, а страны, нарушившие эти правила, должны попадать под санкции. Этого не произошло. Значит, мир продолжит оставаться многополярным в понятиях центров влияния на киберпространство, а противодействие кибертерроризму будет носить разобщенный характер.

В общем-то, изначально было непонятно, как подписывать такую хартию, если, например, в доктрине информационной безопасности США прописано право военных проводить «превентивные кибератаки», если они заподозрят условного противника в попытках атаковать критическую инфраструктуру. То есть США считают, что имеют право нападать на кого угодно. Но при этом все базовые технологии ИТ-инфраструктуры, которой пользуются люди во всем мире, созданы в этой стране.

Если говорить о тенденциях в области информационной безопасности в России, то нельзя не отметить усиление регуляторной базы, в первую очередь в области защиты критической инфраструктуры. ФСБ учредила НКЦКИ (Национальный координационный центр по компьютерным инцидентам). Центр занимается обнаружением, предупреждением и ликвидацией последствий компьютерных атак. Это первый орган, куда поступает и где обрабатывается вся информация о подобных инцидентах.

Усилена законодательная база государства и нормативная база ФСТЭК. Началась кропотливая работа по инвентаризации всех критических информационных активов страны.

Все это свидетельствует о том, что государство четко понимает значимость информации и критичность рисков, связанных с воздействием на нее. И что очень радует, это понимание присутствует у первого лица – президента, который подписал Доктрину информационной безопасности. А значит, процесс защиты данных будет совершенствоваться.

CNews: Отношение к ИБ меняется?

Андрей Голов: Конечно. Все сегодня понимают, что информационной безопасностью надо заниматься очень серьезно. Если посмотреть на множество различных масштабных проектов, в которых мы и наши продукты участвовали в последние годы – от защиты информационных систем Чемпионата мира по футболу 2018 и до обеспечения работы и безопасности системы «Платон», НСПК, то мы увидим, как глубоко в нашу повседневную жизнь проникли ИТ-сервисы. Они окружают нас повсюду: с их помощью мы записываем ребенка в детский сад, получаем пособия, платим налоги, пользуемся банковскими услугами и так далее. Кроме того, в нашу жизнь все больше проникает ИТ-инфраструктура, в первую очередь посредством интернета вещей. В ближайшие 3–5 лет, помимо ставших привычными мобильных телефонов, мы будем окружены огромным количеством подключенных к Сети гаджетов. Проблема в том, что их производители мало задумываются над проблемой обеспечения безопасности и базовых механизмах ИБ, таких как аутентификация, шифрование информации, получаемой от устройства, и т.д. Они больше концентрируются на функциональности, чем на обеспечении информационной безопасности.

CNews: Работа систем защиты информации либо инфраструктуры в большинстве случаев направлена на защиту компьютера, сетей, данных. В то же время киноиндустрия нас пугает страшными сюжетами, в которых у человека крадут его «цифровую» личность и он фактически перестает существовать как гражданин. То есть ущерб от такой кражи значительно серьезнее, чем от вируса или утечки данных. Смогут ли разработчики систем информационной безопасности предотвращать такие кражи? Или мы как обычно будем двигаться по пути: сначала кража, а потом решение проблемы?

Андрей Голов: Это зависит не только от разработчиков ИБ-систем. На самом деле, термин «цифровая экономика» должен был появиться еще 5 лет назад. Именно для того, чтобы государство в лице структур, которые занимаются безопасностью граждан, четко осознало, что проблема информационной безопасности решается в комплексе.

Государство создает электронные паспорта, ПТС, пенсионные книжки, медицинские карты, мы используем телемедицину, скоро будем сдавать биометрические данные для аутентификации в банках и глотать нанороботов для проведения диагностики организма. И при этом только сейчас человечество задумывается о том, что будет, если кто-то получит доступ к этим данным.

Цифровая экономика необходима как раз для систематизации рисков и объединения государства и вендоров в борьбе с ними. Надо произвести инвентаризацию всех активов, обозначить угрозы, распределить, кто с чем борется, кто за что и какую ответственность несет. Необходимо понять, что в этот процесс вовлечено все общество – от гражданина до президента. И что с развитием технологий количество уязвимостей будет только расти.

Андрей Голов, генеральный директор компании «Код безопасности»

Андрей Голов: Все сегодня понимают, что информационной безопасностью надо заниматься очень серьезно

Андрей Голов: Цифровая экономика необходима для систематизации рисков и объединения государства и вендоров в борьбе с ними

Андрей Голов: Многие ругают Закон Яровой. Но я думаю, что обычного гражданина он не коснется

Андрей Голов, генеральный директор компании «Код безопасности»

CNews: Самый простой способ – это закрыть национальный интернет, как это сделано в Китае, и таким образом обеспечить его безопасность. В то же время сама идея интернета подразумевает, что это глобальный ресурс. Как, по вашему мнению, обеспечить баланс между свободой информации и безопасностью?

Андрей Голов: Я много путешествую и могу сравнить подходы к решению этого вопроса на Ближнем Востоке, в Китае и России. На мой взгляд, в нашей стране достигнут разумный баланс. С одной стороны, у нас создана система обеспечения информационной безопасности – есть четко сформулированная законодательная база, подзаконные акты, ведомства, которые выступают в роли регуляторов. Деятельность в сфере ИБ лицензируется. В институтах создаются кафедры по подготовке специалистов информационной безопасности. Есть вендоры, которые производят ИБ-продукты, эти продукты сертифицируются регуляторами. То есть существует сложившаяся отрасль. Такое можно увидеть далеко не везде. Например, на Ближнем Востоке ИБ-рынок только формируется.

Большой плюс России в том, что у нас информационная безопасность появилась на базе спецслужб и силовых ведомств. А это значит, что мы давно знаем, как работать с информацией. В России никому не придет в голову взять секретные документы домой или дать ребенку поиграть с рабочим компьютером госчиновника, как это часто происходит, например, в США. С другой стороны, ИБ – наукоемкая отрасль, построенная на фундаментальных науках, инвестиции в нее в состоянии сделать только государство.

Многие ругают Закон Яровой. Но я думаю, что обычного гражданина он не коснется. Спецслужбы не в состоянии и не будут контролировать каждого – это стоит огромных денег. Например, СОРМ (Система оперативно-розыскных мероприятий) существует уже очень давно, но она никого не беспокоит, потому что направлена на борьбу с преступниками и террористами. Кстати, в США и Китае десяток подобных систем, причем разных категорий. Вы думаете, использование мессенджеров с шифрованной связью разрешено везде? Съездите в Дубай – там запрещены и Skype, и WhatsApp (голос и видео). В Китае – запрещены все мессенджеры, кроме собственного WeChat.

Каждая страна пытается навести порядок в сфере информационной безопасности, потому что потенциальный ущерб огромен. В России же порядок был изначально. Мы знаем, как работать с информацией, и в этом огромная заслуга наших регуляторов. Некоторые пользователи недовольны тем, что регулятор выдвигает жесткие требования – дескать, это вредит эргономике решения. Но на самом деле регулятор не говорит, как разработчику следует повышать удобство пользования продуктом, как управлять его развертыванием, эксплуатацией своего продукта. Ему важен результат правильности выполнения требований – как к механизмам ИБ, так и к продукту ИБ в целом. А сделать так, чтобы при этом решение не перестало быть удобным, – это задача вендора.

В ходе проекта по обеспечению безопасности системы «Платон» и НСПК мы столкнулись с очень жесткими требованиями заказчика по бесперебойности, отказоустойчивости и эргономике. Мне кажется, что мы смогли их удовлетворить.

Аналитики Gartner при составлении своих обзоров ориентируются на возможности решений и их удобство для пользователей – и мы попадаем в эти обзоры.

В то же время, когда мы пришли на рынок Ближнего Востока, оказалось, что наши продукты очень конкурентоспособны. Почему? Ну, например, в области криптографии. В России нет понятия «слабая криптография» – все сделано по-честному, без оглядки на якобы удобство использования. Мы не собираемся отключать некоторые функции в угоду пресловутой эргономике, мы делаем решение удобным без ущерба качеству и надежности наших продуктов.

CNews: Вы вышли на рынок Ближнего Востока. И как вам впечатления от первого года работы?

Андрей Голов: Геополитическая ситуация сегодня крайне негативная. Например, наш партнер на Ближнем Востоке получил от местного регулятора письмо с рекомендацией не работать с российскими компаниями. Когда начали разбираться, выяснилось, что англичане написали в ОАЭ письмо о том, что не рекомендуют работать с «Лабораторией Касперского», а те решили подстраховаться и рекомендовали ограничить контакты со всеми сразу. В общем, нам приходится пожинать плоды торговой войны, которая ведется на самом верху.

CNews: А государство как-то поддерживает ваши попытки выйти на зарубежный рынок?

Андрей Голов: Со стороны регуляторов мы получили полное понимание и поддержку. Со стороны бизнесовых историй (Минэкономразвития, РЭЦ и др.) начались первые инициативы – это и создание хабов (например, в Дубае), и организация бизнес-миссий в различные страны, и кооперация по другим отраслям экономики, кроме ИТ. Но результаты можно будет оценить минимум через год-два.

Но рынок ИБ растет очень быстро, только в РФ объем уже составляет больше миллиарда долларов. Думаю, в ближайшее время интерес к таким решениям во всем мире будет только расти. Ведь, по сути, что сейчас происходит? Вся ИТ-инфраструктура построена одним государством – США. А это значит, что они, владея всей инфраструктурой, имеют доступ к любым данным и основным бизнес-процессам в любой точке мира. Это называется цифровая колонизация. И все осознали это только сейчас, когда в мире обострились отношения и появились случаи манипуляции информацией.

Андрей Голов: Мы можем строить собственные сегменты защиты данных и отделять их от операционных систем, от инфраструктуры

Андрей Голов: Информационные технологии – это количество людей, помноженное на количество лет, помноженное на количество денег

Андрей Голов: Я пока не могу понять, чей путь нам ближе – Китая или Европы. Похоже, он у нас собственный

Андрей Голов: Мы можем строить собственные сегменты защиты данных и отделять их от операционных систем, от инфраструктуры

CNews: Но Google, Apple, Microsoft и другие вендоры заявляют, что не предоставляют данные пользователей государству по первому требованию.

Андрей Голов: Смотрите, вы едете на машине, которая связана с «облаком», и не знаете, какую команду она получит от него через 5 минут. Вы пользуетесь водой, светом, а вся коммунальная инфраструктура управляется контроллерами иностранного производства, и никто не знает, что с ними может произойти. И так практически во всех сферах жизни. Ведь когда государство в официальных документах заявляет, что имеет право совершать наступательные кибероперации, и есть пример нападения на системы управления ядерными станциями, например, в Иране, возникает вопрос: кто следующий?

Поэтому надо создавать систему безопасности. И в России умеют это делать. У нас существует понятие «наложенная безопасность». Мы можем строить собственные сегменты защиты данных и отделять их от операционных систем, от инфраструктуры. Например, в нашей компании вся система безопасности построена исключительно на собственных решениях. И она прекрасно работает! Аналогичным образом работают наши продукты и у наших клиентов.

А для того чтобы понять, действительно ли иностранные вендоры предоставляют данные пользователей государству – предлагаю посмотреть, сколько Роскомнадзор судится с ними и выписывает штрафы, чтобы решения этих производителей были приведены в соответствие с требованиями нашего законодательства.

CNews: В России уже несколько лет идет импортозамещение, и сегодня понятно, что единственная сфера, где мы можем отказаться от западных продуктов, это ИБ. Как вы думаете, с чем это связано?

Андрей Голов: Информационные технологии – это количество людей, помноженное на количество лет, помноженное на количество денег. В IBM работают около 100 тыс. человек в течение 40–50 лет, и на это уже потрачено около триллиона долларов. Соревноваться бесполезно.

Что можно сделать? Сосредоточиться на нишах, где требуются мегамозги программистов и математиков, которыми славится Россия. А математика – это часть информационной безопасности, в первую очередь криптографии, статистики, необходимых для обнаружения атак. А значит, в этой сфере мы можем конкурировать не деньгами, а мозгами и компетенциями.

Для того чтобы создать полный стек российских продуктов – от операционной системы до мессенджера, надо вкладывать в это миллиарды рублей на протяжении длительного времени. Как это было в космосе или нефтянке – ведь в этих отраслях мы конкурентоспособны? Но в свое время Россия отказалась от вложений в развитие ИТ и постепенно превратилась в рынок сбыта для американских компаний. Сегодня оборот Apple в России – 150 миллиардов рублей в год, а годовой ИТ-бюджет всех ФОИВов 120 миллиардов. То есть, одна американская компания зарабатывает в России больше, чем всё государство тратит на ИТ.

Поэтому я не очень верю в импортозамещение вообще, но уверен в том, что оно может состояться в информационной безопасности. Потому что это узкая ниша, которая зависит от технологий и мозгов. И то и другое у нас есть. И здесь мы можем сделать прорыв. Мы умеем защищать большие системы федерального уровня, а таких разработчиков в мире немного. Единственное, что нам мешает – геополитическая ситуация и макроэкономический фактор, который, к сожалению, невозможно просчитать.

CNews: Есть какой-то сегмент ИБ, где пока еще доминируют западные компании?

Андрей Голов: Конечно. Это средства обеспечения безопасности сетей. Иностранные компании выигрывают там, где тесно переплетаются ИТ и ИБ.

CNews: Но в России есть свои решения?

Андрей Голов: Да. Половина страны работает на российских решениях. Правда, они лет на 5–7 отстают от западных по производительности и иногда по функционалу. Но пока этого достаточно – ведь у нас нет собственных Amazon, Azure, но при этом электронное правительство обслуживает около 50 миллионов человек – это практически как всё население Франции. Того функционала, что есть у нас, достаточно для создания и функционирования систем федерального уровня.

Я не могу назвать Россию отсталой страной с точки зрения ИТ. Мы очень крепкий середнячок. Сумеем ли мы мигрировать на «Эльбрусы» и «Байкалы» в широком масштабе и построить системы массового обслуживания? В это я не очень верю, хотя мы этим занимаемся. Опять из-за того, что все конкурентоспособные решения – это сотни тысяч человек, десятки лет, огромнейшие деньги. Плюс обратная связь от пользователей, которая заставляет делать продукты более функциональными и удобными. А значит, чем больше инсталляций у разных клиентов, тем лучше для продукта. Мы это можем подтвердить, исходя из собственной практики: наши решения установлены у более 32 тыс. заказчиков, в крупнейших государственных информационных системах внедрены наши продукты.

CNews: В прошлом году вы говорили, что рынок меняется, игроки укрупняются и консолидируются, их приобретают государственные корпорации. Но цифровая экономика требует от компаний мобильности и оперативности, а крупные корпорации, как правило, очень забюрократизированы и неповоротливы. Не будет ли это мешать развитию рынка?

Андрей Голов: Такая опасность существует, полностью с вами согласен. Но государственные компании тоже меняются. Например, Ростелеком еще 3–4 года назад был похож на министерство, а сегодня становится цифровым провайдером, а не просто предоставляет услуги традиционной телефонии. Еще примеры: ВТБ или Сбербанк – с одной стороны, каждый из них – это практически олигополия, а другой стороны – весьма продвинутый банк с точки зрения предоставления разнообразных услуг.

Вообще, откуда берется идея всеобщей цифровизации? Госмонополиям и олигополиям надо построить эффективную систему управления финансами, бюджетами, отчетностью, мониторингом. Так появляются информационные системы, например, в Роскосмосе, Ростехе и так далее. Будут ли они гибкими? Не знаю. Я пока не могу понять, чей путь нам ближе – Китая или Европы. Похоже, он у нас собственный. Но, например, в Китае плановая экономика, и при этом вы посмотрите, как он развивается. Я три месяца назад приехал с Тибета. Там исключительно китайские автомобили. Еще 5 лет назад они были ужасными. А сегодня по динамике, проходимости и любым другим параметрам не уступают европейским. Вся техника, которой мы пользуемся, производится в Китае и прекрасно работает. Huawei – компания, построенная с участием государства, – стала крупнейшим мировым вендором несмотря на то, что у нее за спиной нет 50-летней истории развития, как у IBM.

Проблема может возникнуть, если в России исчезнет конкуренция. Китайцы готовы работать 24 часа в сутки. У них другой менталитет – нет понятия личности, есть понятие общества. В России ни в коем случае нельзя уничтожать капитализм и конкуренцию.

CNews: Давайте поговорим про кадры…

Андрей Голов: С кадрами все просто – их нет на рынке.

CNews: И как вы выходите из положения?

Андрей Голов: За три года мы подписали порядка 60 договоров с институтами. Мы организовываем там учебные курсы, лаборатории, разрабатываем для вузов методические пособия и так далее. Из 480 наших сотрудников 37 – это студенты, которые проходят стажировку и с наступлением 2019 г. будут переведены в штат.

Когда я стал генеральным директором, у нас наблюдались две проблемы в области кадров. Первая – отсутствие практики наставничества – была обусловлена высоким средним возрастом сотрудников. Они замыкались в себе и не хотели делиться знаниями с молодежью по двум причинам: во-первых, лень, во-вторых – зачем делать так, чтобы тебя могли заменить. Как мы решили эту проблему? У сотрудников было так много работы, что пришлось решать: или ты рискуешь поселиться в офисе, или берешь в помощь 2, 3, 4 человека и обучаешь всему, что знаешь сам, настолько качественно, чтобы за ними не приходилось подчищать недочеты, переписывать, перетестировать.

Проблема номер два – еще 5 лет назад мало кто знал, что такое «Код безопасности», и люди предпочитали работать в лидерах рынка, а не у нас. Сегодня у нас, конечно, не самая высокая зарплата (она средняя по ИТ-рынку), но мы занимаемся очень интересными вещами, часто в тесной интеграции с Intel, VMware, Microsoft и так далее. И возможность такой работы предоставляют далеко не все вендоры. Поэтому люди к нам приходят не за деньгами (не только за ними), а за опытом. У нас мегаконцентрация людей узких специализаций.

CNews: Но все-таки – к вам стоит очередь из соискателей или, скорее, вы за ними бегаете?

Андрей Голов: Скорее, мы бегаем. Часто студентам проще освоить Java, Python и писать игрушки, потому что за это платят 200–250 тысяч и это не очень тяжело. А мы занимаемся глубоким системным программированием на уровне ядер операционных систем и интеграции с высоконагруженным железом. Тесно работаем с Китаем. Изобретаем и патентуем технологии. А людей, способных это делать, немного. Они липнут друг к другу, потому что часто им просто не с кем поговорить. И мы стараемся изо всех финансовых сил создавать для них благоприятные условия.

CNews: Сейчас многие говорят про Agile в отношении сотрудников – им надо дать возможность работать в свободном режиме. Как вы к этому относитесь?

Андрей Голов: В нашей компании, по сути, стерта грань между работой и семьей. Я даже не знаю, сколько времени проводят на работе мои сотрудники. Часто они днем играют, а ночью начинают кодить. Я абсолютно не против этого. Важен высококачественный результат к определенному времени.

Невозможно писать «Сикстинскую Мадонну» с 9 до 18, определенной краской и только теми приемами, которым тебя научили. Это творческая работа. Но я уверен, что мы сумели поселить в ребятах ответственность. Они прекрасно понимают, что такое продукт, от чего зависит его качество и как он зарабатывает деньги, которые мы потом распределяем между всеми сотрудниками.

Вообще, я очень доволен нашим коллективом. У нас нет внутренних распрей, вертикаль власти стремится к нулю – любой сотрудник может прийти ко мне и сказать, что ему нравится, а что нет. Мы работаем на общее дело. А любой продукт – это отражение своего создателя. Человек с кучей проблем и угрюмым настроением не сможет создать ничего хорошего.

CNews: В этом году вашей компании исполнилось 10 лет. Вы ожидали, что она будет именно такой?

Андрей Голов: Я являюсь одним из акционеров компании и последние 6 лет – ее генеральным директором. За это время она очень изменилась. В финансовых показателях мы выросли в 3–3,5 раза, в сотрудниках – со 170 до почти 500 человек. Главным активом компании всегда были люди. Надо любить свое дело, уважать и ценить людей, с которыми работаешь. И не только потому, что так нас научили родители. Просто это выгодно. Если ты честен с партнерами, с сотрудниками – они к тебе придут. Да, ты не заработаешь огромных денег в первый год, но зато обеспечишь себе долговременный постоянный рост.

Кроме того, за 10 лет серьезно изменились наши продукты. Мы вышли из «Информзащиты» с решениями, по сути, для малого и среднего бизнеса. У нас было 5–6 крупных заказчиков. Сегодня за нами полстраны. Сегодня доступно уже четвертое поколение наших продуктов. С точки зрения своих функциональных возможностей они приблизились по многим показателям к западным аналогам, но при этом соответствуют всем тем жестким требованиям, которые предъявляют к средствам информационной безопасности государственные регуляторы и наши заказчики.

Недавно один из наших продуктов – «Континент» 4 – был выбран вашим изданием в качестве лауреата премии CNews Awards в номинации «Защита сетевой инфраструктуры». Мы традиционно участвуем и занимаем высокие позиции в ключевых рейтингах аналитиков и специализированных СМИ. Наши аналитические исследования цитируют игроки рынка; мы постоянные участники работы отраслевых ассоциаций и вместе строим цифровую экономику. Тесно сотрудничаем с Gartner и другими западными консультантами. И так далее…

Я заодно ответил и на вопрос, доволен ли я результатами нашей работы.

CNews: Какой вы видите компанию через 5–10 лет?

Андрей Голов: Я хочу сохранить все те отношения, которые удалось построить в компании за эти годы. Конечно, я понимаю разницу между управлением 5000 и 500 людьми. Но сам дух компании хотелось бы оставить прежним.

Еще я вижу «Код безопасности» международной компанией, создающей уникальные технологии и качественные продукты. Людям нравится в ней работать, потому что они видят возможности для самореализации. Ведь это здорово, когда ты приходишь в МФЦ или в отделение ВТБ, когда едешь на ЦППК, или сидишь на матче ЧМ 2018, или участвуешь в выборах, – а там работает созданное тобой решение.

Цель моей жизни – доказать, что в России умеют не только торговать природными ресурсами, но и создавать уникальные высокоинтеллектуальные продукты и делать из этого бизнес. Да, мы меньше знаем про маркетинг и продажи, чем зарубежные коллеги, имеющие опыт построения бизнеса в мировом масштабе. Но это пока и этому можно научиться. Тогда наши ребята не будут стремиться уезжать за рубеж и работать в IBM или Intel. И мы будем гордиться еще одной замечательной отраслью нашей страны.