|
|||||||||||||||||||||||
– В принципе, наверное, у ИТ-компаний положение попроще, чем у сектора реального бизнеса. «Просели» все, но произошло нормальное расслоение. Часть компаний плачется, как все плохо, я называю это «плач Ярославны», а есть компании, которые, наоборот, приобрели в это время новых клиентов, новые возможности. Такой искусственный отсев очень позитивен и полезен для ИТ-компаний. В свое время, когда я был в Канаде на экскурсиях по стране, там тушили пожары в лесах. А потом перестали, просто начали огораживать лесные участки, чтобы все выгорело, потому что тогда поднимаются новые, более здоровые деревья и улучшается экология. Так, наверное, и в ИТ-отрасли – пандемия привнесет естественный отбор, при котором выживут наиболее сильные компании. Когда пищи вокруг много, ее хватает на всех, когда становится мало – выживает сильнейший. Так что кризис для ИТ-отрасли – это больше позитив, чем негатив, по крайней мере, по сравнению с остальными. Правда, все потеряли в доходах, в том числе и ИТ-отрасль. – А как у вас в компании? Как бы вы оценили влияние пандемии? – Мы незначительно превышаем показатели прошлого года, хотя у нас по плану намечался рост показателей на 40–50 % по сравнению с 2019 годом. Уже несколько лет наша компания растет от 30 до 50 % каждый год. Из-за нынешней ситуации мы прогнозируем, что в 2020 году превысим всего на 10 % свои показатели 2019 года, а не на 40 %, как хотелось бы. Да, это потери, но не критичные. Есть определенный плюс в том, что люди научились гигиене, не только бытовой. Очень многие начали осваивать основы информационной безопасности. И это позитив. В апреле-мае мы проводили ряд бесплатных акций – на наши пятидневные курсы каждый день записывались более двух тысяч человек! Причем это бизнес, а не физлица. Раньше такого не было. Во время пандемии наконец-то обрела свое право на жизнь удаленная работа. До большого числа людей начало доходить, что в мире нет черного и белого, есть много оттенков серого. Нельзя говорить: работай или только удаленно, или только в офисе. Надо комбинировать то и другое. Условно говоря, два дня работай удаленно, три дня – в офисе. У нас вырос спрос на тот компонент, который контролирует рабочее время. – Изменилась ли роль информационной безопасности в новой реальности? – Для информационной безопасности пандемия – это плюс, но плюс немного отложенный. Любое развитие всегда идет по синусоиде. Соответственно, когда синусоида пройдет дно, образовавшееся из-за пандемии и дефицита финансов, начнется рост. Я жду всплеска в 2021 году. Люди уже понимают, что информационная безопасность необходима, поэтому точно так же как на бытовом уровне мы стали чаще мыть руки, так, думаю, сохранится привычка защищать данные своей компании. Главное, с чего-то начинать.
– На какие технологии следует делать ставку в ближайшем будущем? – Про технологии в будущем сложно рассуждать, все меняется очень быстро. Могу только сказать, что чем быстрее развивается цифровое сообщество, тем большую роль в нем играют информационные технологии. И назад дороги нет. Мы уже не готовы ехать через весь город в железнодорожную кассу покупать билеты и стоять в очередях, мы не готовы идти в администрацию района, чтобы записаться на прием – для этого есть портал Госуслуг.
Первые – нарушают ИБ-правила и воруют уверенно, все продумав и подготовив. Правда, каждый в меру своих навыков и знаний. Инсайдеры «поневоле» делают это под воздействием обстоятельств: сотрудника могут завербовать, надавив на больное. Его могут обмануть, как-то принудить к воровству. Наконец, он может нарушить правила по незнанию, из-за отсутствия четких ИБ-правил и инструкций в компании. Злонамеренные инсайдеры хотят либо обогатиться за счет работодателя, либо за что-то отомстить. Некоторые сотрудники на что-то обижены или недооценены. – Недавно Ростелеком провел исследование. Его результаты говорят о том, что более 60 % российских компаний называют уходящих специалистов виновниками утечек информации. В 13 % случаев речь идет о передаче служебной информации новому работодателю. Как бы вы прокомментировали это? – Мы каждый год проводим анонимный опрос ИБ-специалистов, и он подтверждает цифры коллег из Ростелекома. Действительно, увольняющиеся сотрудники – это одна из основных групп риска. У нас в копилке есть множество клиентских кейсов на эту тему – и сливы данных, и промышленный шпионаж, и месть уволенных сотрудников. Сейчас дополнительные риски компаниям в плане инсайда принес дистанционный формат работы. Люди не чувствуют себя под контролем, когда они дома. Тем более, если специалист работает с домашнего ПК, удаленно подключаясь к корпоративным ресурсам.
Если у компании нет системы информационной безопасности, инсайд практически неизбежен. К простым человеческим порокам – вроде «взять, что плохо лежит» – добавляется недовольство, стресс, обида на компанию из-за сокращения зарплат. Люди во время карантина работали на своих компьютерах, многим из них урезали зарплату на 30–40 %, поэтому они обозлились и начали рассуждать так: раз мне не доплатили, я найду, как мне это компенсировать... – Ваша компания работала удаленно или вы в офисе собирались? – Дело в том, что мы и так частично работаем удаленно. У нас офисы расположены во всех федеральных округах России, нет одного, очень большого офиса, есть много небольших. Мы нанимаем много людей в регионах, и если в городе всего один программист, то он трудится из дома, нет смысла открывать ему офис. По сути, я и мои ближайшие замы частично руководим компанией тоже удаленно, из командировок. Для сотрудников неважно, в какой части мира я нахожусь, важно, что я доступен для решения вопросов. Для нас удаленная работа – это не новшество. Однако у меня никогда не возникало идеи разрешить сотрудникам работать на своих личных компьютерах из дома –только на корпоративных и со всем нашим ПО «на борту». – Кроме России вы работаете также на зарубежных рынках. Отличается ли подход к разработке продуктов по защите информации у нас и за рубежом? – Отличается. У нас информационная безопасность гораздо сильнее, чем за рубежом. В начале 90-х годов в России в сферу пришли выходцы из силовых структур, они понимали цену информации и ее утечки, понимали, что не все люди «белые и пушистые». Вот эти люди и ставили задачи, которые должны были решать системы защиты информации. Сложные задачи в связке с сильными отечественными разработчиками дали нужный эффект – системы информационной безопасности российских производителей по качеству сегодня значительно выше западных. Я считаю, что это золотая жила для России. Мы работаем сегодня в Латинской Америке, на арабском рынке, в Южной Африке. Там часто возникает эффект «вау» – когда люди смотрят, что мы делаем, и удивляются: неужели такое возможно? – Почему же российские системы производят такой эффект? – В любом бизнесе есть правило: решение начинает широко масштабироваться, когда оно эффективно. Условно говоря, пока сотовые телефоны весили пару килограмм, а стоили при этом очень дорого, сотовая телефония не развивалась. И дело даже не в деньгах. Двухкилограммовый чемодан с собой носить, крутить, настраивать тяжело. Когда же сотовые телефоны стали простыми, они сразу стали набирать популярность. То же самое с информационной безопасностью. Когда люди видят, какие поисковые и аналитические возможности есть у нашей системы и при этом – ее не нужно полгода настраивать и внедрять, тогда она начинает широко применяться. В России нас хорошо знают, во многих компаниях прекрасно понимают, что трата денег на нашу систему – это не затрата, а возвратная инвестиция. У меня есть собственная статистика оценки эффективности службы информационной безопасности. Если через три месяца после внедрения нашей системы уволено от 0,5 до 2 % сотрудников, благодаря нашей системе, значит, служба безопасности работает, потому что чудес не бывает. В любой компании, где трудится более 50 человек, увы, найдутся недобросовестные люди. Мы не нужны компании, где только 10–15 компьютеров, там все друг у друга на виду. – У DLP-систем когда-то было не так много заказчиков в России, поскольку рынок не был готов к восприятию DLP-систем, часто наши разработчики находили себе заказчиков быстрее за рубежом, чем в России. А как сейчас? – Наверное, еще в 2005 году, когда мы только выходили на рынок инфобеза, российские компании не были обеспокоены своей информационной безопасностью так, как сегодня. Во-первых, уровень зрелости компаний был не тот, во-вторых, на рынке не было достойных решений. Из-за низкого уровня технологий внедрение DLP-систем занимало полгода – год. Мало того, за пилотирование решения некоторые из вендоров брали до 5000 долларов. Просто за то, чтобы попробовать решение! Сейчас платное тестирование – что-то немыслимое.
Придя на рынок информационной безопасности, мы немного поменяли ситуацию. Пробную версию мы давали бесплатно, потом доказали эффективность нашей системы – с ее помощью один специалист службы безопасности может контролировать несколько тысяч сотрудников, а это важный показатель с точки зрения бюджета на безопасность. Потому что если на каждые 50 сотрудников к программе необходим «надсмотрщик», то это очень дорого. Если же на 2000 сотрудников нужен всего один ИБ-специалист, это экономически гораздо более эффективно. Повысив эффективность нашей DLP-системы, мы стали обходить конкурентов и сильно расширили российский рынок. А дальше мы его перевернули в 2007 году, первыми выпустив контроль Skype. Конкуренты только через 4–5 лет это повторили. Получается, что DLP-системы не были популярны, потому что не было достаточного функционала. В 2006–2007 годах считалось, что Skype контролировать невозможно. Когда мы показали, что можно, выросла польза DLP-систем для информационной безопасности. Соответственно, начался рост. Кроме того, мы понимали, что внедрение DLP-системы – вещь достаточно интимная, никто не захочет вывешивать грязное белье на всеобщее обозрение, она требует личного общения, поэтому надо плотно работать с клиентами, помогать им настраивать систему. Мы, по сути, и сейчас единственные производители инфобеза в России, которые имеют офисы во всех федеральных округах. Мы стремились расширить свою потенциальную клиентскую базу и много вкладывались в вузы. Около 60 российских вузов сейчас читают программы информационной безопасности на базе наших наработок. Каждую осень мы проводим Road Show по 25–30 городам России, собираем конференции, делимся кейсами клиентов, рассказываем о новинках в ИБ. – Чем отличается наш подход к разработке продуктов защиты информации от зарубежного? – Наш подход более глубокий в принципе. Возможно, это звучит немного нескромно, но мы сделали инфобез в России «масс-маркетом». Безусловно, многое было создано для развития информационной безопасности и до нашего прихода на рынок. Однако мы пришли на него с другим взглядом – не безопасника, а специалиста по поиску информации. И это принесло хорошие плоды. Почему IBM в свое время проиграла Microsoft битву за операционные системы? IBM – это большой, неповоротливый гигант, а молодой в то время Билл Гейтс был пробивным, инициативным человеком. Он по-другому на все смотрел, и это принесло положительный эффект. В любом бизнесе рано или поздно меняются монстры, которые проработали на рынке много лет, у них замыленный взгляд, потому что все хорошо, а известно, что сытый кот мышей не ловит. «Сытый» IBM мышей под названием «операционные системы» в принципе не ловил, хотя у IBM была лучшая в то время система. По сути, она дала Биллу Гейтсу прерогативу, о чем потом не раз пожалела. Я считаю, также и в инфобезе: западные производители уже очень отстали от того, что есть у нас и у некоторых других российских производителей. – Как менялись средства хищения служебной информации за последние десять лет? Как воруют сегодня корпоративную информацию? – Раньше всё было на бумаге, ее физически нужно было выносить, или, пока Интернет был слабый, записать информацию на флешку через USB-порт. Сейчас, когда есть неограниченный Интернет, можно и 100 Мбайт, и 200 Мбайт, и Гигабайт без проблем переписать в облако, закинуть в мессенджеры – идет движение в сторону передачи информации по электронным каналам. Объемы информации значительно выросли. Одно дело, когда было достаточно распечатать 15 листов, а если печатать 200–300, то, во-первых, это внимание привлечет, во-вторых, выносить кипу бумаг неудобно. Гораздо эффективнее послать информацию по e-mail, по скайпу, в свое же облако, на свой же домашний e-mail. Одно в хищении информации неизменно: недобросовестные сотрудники, даже находясь под контролем, все равно не оставляют попыток что-то унести, смошенничать. Увы, даже в нашей компании мы «ловим» какие-то чудеса, хотя все сотрудники прекрасно знают, что мы занимаемся инфобезом. Мы увольняли людей из-за некорректного поведения. Просто человеческая натура такова, что, когда говоришь: «Ты находишься под контролем», – страха перед запретом хватает на 2–3 месяца. – Есть вечный спор, что лучше: покупать сложные технические решения для защиты информации или просто хорошо организовать работу с персоналом, обучать его основам информационной безопасности, чтобы минимизировать утечки? – Невозможно научить человека не писать в соцсети лишнего, без контроля он все равно будет это делать. Пойти по тому пути, что Соединенные Штаты пошли, где призывают распустить полицию? Всегда должны быть и кнут, и пряник. Как показывает история, невозможен только пряник. Так называемые «бирюзовые» компании, которые проповедуют самоуправление, всё это «делай, что хочешь», – они все-таки не выживают.
Дисциплина должна быть, потому что бесполезно только учить, раз. Второе, всех не обучишь. Какой-то процент людей всегда будет с криминальными наклонностями. Как бы мы их ни воспитывали, как бы ни старались, их нужно еще и контролировать. Что касается «научить». Давайте начнем экономить на замках в офисах. Уберем турникеты, охрану, пропускную систему, оставим все комнаты и дома незакрытыми и станем всем говорить: «Воровать нехорошо». Думаете со всеми сработает? В жизни все иначе. Поэтому, когда говорят, что информационная безопасность – лишнее, я предлагаю таким людям не тратиться в собственной квартире на дорогой замок. Лучше сделать хороший ремонт, а дверь оставлять открытой. Почему-то никто на этот эксперимент не соглашается. То же самое в безопасности: просто учить персонал основам инфобеза недостаточно. Все, естественно, будут внимательно слушать и соглашаться, но позже начнут твориться чудеса с клиентской базой, либо появится разгильдяйство, обсуждение руководства и выброс сплетен в соцсети. Сейчас стало критичным появление негатива о компании в социальных сетях, хотя информация, попадающая в соцсеть, на самом деле, достаточно далека от правды. – Что сегодня все-таки представляет большую опасность – хищение корпоративной информации или банальные DDOS-атаки? – Хищение корпоративной информации. DDOS-атаки – хорошо описаны в плане их реализации. Поэтому понятно, как от них защищаться. А вот инсайдер – это человек, он может быть бесконечно изобретателен. – У вас было достаточно жесткое мнение по поводу налогового маневра, предложенного государством для поддержки ИТ-отрасли. Как вы теперь относитесь к новым требованиям для получения налоговых льгот (то же присутствие в Реестре отечественного ПО)? Как оцениваете вновь предложенные меры поддержки (гранты, стимулирование спроса, развитие ГЧП, стимулирование подготовки кадров)? – С уточнениями все выглядит в целом нормально, но остались тонкости. Из основного – непонятно, как будут получать льготы интеграторы и дилеры ПО. Пока обещают, что дилеров, которые продают ПО из Реестра отечественного софта, тоже освободят от НДС. Но четких формулировок нет, и здесь хотелось бы большей определенности – это звено очень критично. Плюс часто бывает, что внедрение, настройку и обслуживание ПО ведет не вендор, а некий сторонний сервис. Что делать этим сервисам, если они тоже работают с софтом из Реестра? Логично, чтобы налоговая льгота распространялась и на них: например, при условии, что не менее 90 % оборота такой компании связано с продажами, сопровождением и поставкой оборудования под отечественное ПО. Если такой пункт добавят – или хотя бы разъяснят, – налоговый маневр в «новой редакции» рынок встретит оптимистичнее.
Предоставление нулевого НДС для ПО в Реестре, конечно, лучше возврата 20 % налога для всех поголовно. Однако нужно учитывать, что в России много малых и средних компаний, не говоря о стартапах, продукты которых не включены в Реестр, – одномоментно туда не вступить. По крайней мере некоторое время им придется выдерживать полную налоговую нагрузку. И я не уверен, что все справятся. Что до других мер «стимулирования» – возьмем хотя бы экспорт российского софта, – то есть риск, что всё традиционно сведется к прямой раздаче денег, а это неэффективно. Субсидии не должны «падать» на счета бизнеса, полезнее реализовать их в виде компенсаций тех или иных затрат. Думаю, весь рынок хотел бы услышать конкретные предложения: например, «государство в качестве поддержки выдаст грант на зарплаты программистов и тестировщиков в компаниях, которые выходят на зарубежные рынки», или «государство возместит маркетинговые затраты на участие в зарубежных выставках». Россия как поставщик качественного софта должна стать брендом, узнаваемым во всем мире. И чтобы этого добиться, нужна четко определенная стратегия. Резюмирую: дьявол кроется в деталях. Пока озвученные предложения не превратятся в реальный документ с пошаговой инструкцией, сомнения в их эффективности останутся. Надеюсь, что поддержка пойдет по верному пути и государство поможет не стагнирующим, а растущим перспективным компаниям. – Господдержка ИТ-отрасли – какой она все-таки должна быть? И, каково ваше отношение к импортозамещению? – Повторяю – надо дать умереть слабым компаниям и поддерживать сильные, но ни в коем случае не живыми деньгами. Если компания сегодня находится на грани выживания, то ее должны поддерживать не государство, а венчурные инвесторы. Компания должна доказывать, что у нее временные сложности, и на каждый вложенный рубль инвестор заработает условно через 10 лет 10 рублей. Государство должно поддерживать зарубежную экспансию отечественной компании. У нас же ровно наоборот. До текущего момента все затраты на зарубежные отрасли российской компании облагались НДС, хотя, чтобы в какой-либо стране закрепиться, нужно минимум два года в это инвестировать – не зарабатывать, а только тратить деньги.
Второй момент, чем государство могло бы помогать, это сделать минимальный налог на прибыль, полученный из-за рубежа. Самое главное – не мешайте и освободите от налогов, которые и не собираете в принципе. Ну, и должна быть более активная работа наших постпредств, которые были бы заинтересованы в выставках, в продвижении российской продукции за рубежом, выполняли бы работу небольшого кадрового агентства отечественных компаний по поиску сотрудников за рубежом. Что касается импортозамещения, то, к сожалению, оно пошло путем политизации. Большинство отечественных продуктов, увы, отечественными назвать нельзя. Они построены на свободном коде, свободном софте. Чисто отечественных решений не так уж и много. Стимулируется не разработка отечественных продуктов, а написание надстройки над чем-то уже существующим. И еще один момент, касающийся импортозамещения: идет замах сразу на многое. Нельзя делать сейчас операционную систему. Надо создать сначала такой софт, в котором мы конкурентоспособны. У нас есть нормальные системы управления сайтами, нормальные ERP-системы. Надо, чтобы они обрастали функционалом, надо это лелеять, стимулировать. А сделать сразу операционную систему невозможно. Есть незыблемые правила бизнеса. Мы, например, росли постепенно. Почему? Потому что нельзя продать свои продукты компании, где 5000 компьютеров, если у тебя нет продаж в компании, где 2000 компьютеров. То, что работает на 100 компьютерах, не факт, что будет работать на 500. Если говорить о компаниях, где 70–100 тысяч компьютеров, которые мы сейчас обслуживаем, то к ним нужно пройти долгий путь. Чтобы писать операционку, должен в течение 4–5 лет скомпоноваться пул компаний, которые имеют большие ресурсы разработки. Также важны люди, которые замкнутся на написании своей операционки. А просто с нуля ее писать нельзя. – Ваше мнение о ситуации на рынке со специалистами по информационной безопасности. Правда ли, что их гораздо меньше, чем остальных? – Их много, немало специалистов информационной безопасности ищут работу сейчас из-за кризиса. Но очень мало квалифицированных. Ни один по-настоящему квалифицированный специалист работу не ищет. И тут получается замкнутый круг. Человек, не поработав несколько лет, просто не получит достаточного опыта. А без опыта его никуда не берут. Поэтому нормальный специалист по безопасности по-прежнему на вес золота. Надо с чего-то начинать, чтобы разорвать этот круг. В июне прошлого года мы ввели аутсорсинг информационной безопасности. Это значит, что всю работу в компании, выбравшей ИБ-аутсорсинг, делают наши аналитики и предоставляют руководству отчеты. Необходимо, чтобы был какой-то переходный период, во время которого компания поняла, что для нее критично важно. И постепенно, спустя два-три года отказалась от услуг аутсорсинга информационной безопасности и наняла своего специалиста по ИБ. Второй вариант – компания в мягком режиме платит за ИБ-аутсорсинг и при этом берет на работу своего человека, который за год повышает свой уровень знаний. Да, это лишние деньги, да, в это нужно вложиться. Но зачастую возникает дилемма: готового специалиста не возьмешь, берешь не совсем готового и просто его прокачиваешь полгода–год.
У нас нередко новые программисты первые полгода работы приносят компании минус, а не плюс. Не потому, что они плохие. Просто нет другого выбора. Специалистов очень высокого уровня захантить – это большое счастье, редкость. Поэтому приходится брать мидлов и доучивать их. С тем, чтобы года через два они стали крутыми профессионалами. – Может, надо уже в вузе думать об этом? Не все же учебные программы, которые изучаются в вузе, близки к реалиям? – Не все, да. Мы какое-то количество лет инвестировали в образование, много вкладывали в эту работу. Наверное, порядка 10 миллионов рублей каждый год, чистое спонсорство. У нас был отдел по работе с вузами, мы готовили программы по обучению специалистов по информационной безопасности (как раз с прицелом, что их наймут наши клиенты). Пару лет назад мы свернули это направление деятельности, оставили пассивную поддержку вузов. Мы, если нужно, готовы подкорректировать программу, чем-то помочь, показать, провести тренинг, но без выезда в вуз. Потому что мы все-таки не федеральный орган, а обычная коммерческая компания. Вкладывать каждый год по 10–15 миллионов в обучение студентов – это, наверное, все же задача государства. – Что бы вы посоветовали компаниям предпринять сегодня для укрепления их информационной безопасности? – Воспользоваться на пару месяцев услугой аутсорсинга информационной безопасности. Одно дело купить за 3 миллиона рублей систему, да еще хорошего специалиста надо искать, и другое дело в течение двух месяцев платить по 200–250 тысяч рублей за ИБ-аутсорсинг. Пользуясь услугами аутсорсинга, люди убеждаются, что не всё в их компании благополучно в смысле информационной безопасности, что, заплатив небольшие деньги, они лучше защищают свою корпоративную информацию и экономят на этом гораздо больше, чем затраченные 250 тысяч рублей. Я давно выводил стоимость услуг информационной безопасности. В абсолютных цифрах она может быть большой для крупной компании, но в расчете на одного человека равна стоимости кофе, чая, сахара в течение года плюс новогоднего фуршета. – Так мало? – Да, представьте. Не все это понимают, тем не менее если у вас есть в компании бесплатный кофе, чай, сахар, то информационная безопасность обойдется вам не дороже. До сих пор существует миф, что защита корпоративной информации – это дорого, долго, сложно. Мы же стараемся старый миф развенчивать.
Вакансии на сайте Jooble
|
|
||||||||||||||||||||||
|
|||||||||||||||||||||||
Ассоциация разработчиков «Отечественный софт» отметила 15-летие 
РДТЕХ представил Технологическую карту российского ПО 2023 
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool 
На RIGF 2024 обсудили ключевые вопросы цифрового развития России 
_cover.jpg)
