Алексей Раевский, 16/12/21
Продолжаем серию интервью с руководителями компаний – участников рынка информационной безопасности. Алексей Раевский, генеральный директор компании Zecurion, рассказал о себе, о бизнесе, о том, как не превратить хранение данных в “файловую помойку" и об экстриме в расследованиях экономических преступлений.
– Алексей, расскажите немного о себе.
– Образование у меня фундаментальное: я окончил МИФИ, а до института учился в физико-математической школе при МИФИ, которая в то время входила в тройку сильнейших в Москве. После окончания института я защитил кандидатскую диссертацию, а еще через некоторое время закончил курс Executive MBA (Master of Business Administration, мастер делового администрирования. – Прим. ред.) в Швейцарии. Мои родители инженеры, и мне передались их интересы. В детстве, как и многие мальчишки, я очень любил научную фантастику и увлекался журналами "Юный техник", "Квант", "Техника – молодежи". Поэтому тогда у меня возникла мечта – быть физиком: открывать тайны природы, изучать, как устроен мир.
Школа, в которой я учился, считалась очень серьезной. Она была уже в конце 80-х гг. обеспечена новейшим оборудованием, компьютерными классами, физическими лабораториями. И надо отметить, что обучение в этой школе проходило по институтской системе: семинары, лекции, лабораторные работы. Помню, на первой же лабораторной работе мы изучали механику силы тяжести: нам предстояло провести эксперимент, в котором шарик должен по наклоненному желобу скатиться вниз, и по результатам этого эксперимента надо было вычислить ускорение свободного падения. Я нашел это довольно скучным и понял, что заниматься наукой не так интересно, как мне казалось.
В то же время компьютеры стали входить в нашу жизнь, начинали распространяться первые ПК. И тогда же я услышал о Билле Гейтсе, который сумел заработать миллиарды на программном обеспечении. Это меня вдохновило, и я решил попробовать – стал заниматься компьютерами.
– А как вы пришли в сферу ИБ?
– Это отдельная история. Я тогда учился, если не ошибаюсь, на втором курсе института, и мой товарищ принес с одной из выставок дискету с программой производства немецкой компании, не открывающуюся без специального ключа. Задача состояла в том, чтобы взломать эту программу, запустить ее без ключа, а за решение полагался денежный приз. Мы вместе с товарищем около месяца изучали принципы работы и защиту этой системы и в результате сумели ее взломать, хотя денег нам, увы, так и не заплатили. Однако с этого момента я стал интересоваться информационной безопасностью. Позже я познакомился с российскими производителями различных средств защиты, но важно, что к этому моменту у меня уже был хороший бэкграунд.
– Как вы пришли к созданию собственного бизнеса?
– Вы знаете, есть ощущение, что будто кто-то подталкивал меня. Я очень долго пытался отмахиваться от создания собственной компании, ограничиваясь неформальными видами партнерства.
Вообще я изначально позиционировал себя как технического специалиста. Занимался разработкой, исследованиями, выпуском продукта, а кто-то другой продавал и продвигал его. Когда неформальные формы взаимодействия исчерпали себя, передо мной встал выбор: либо бросить дело, либо создать свою компанию. И хотя к тому времени у меня был опыт ведения бизнеса, было все же страшновато: я вообще не знал, с чего начать. К счастью, в тот момент рядом со мной оказались люди, которые оказали моральную поддержку. И все равно в первые два года работы компании я был техническим директором, старался держаться подальше от организационных вопросов и стремился заниматься исключительно продуктом. Но через некоторое время возникла ситуация, в которой мне пришлось взять бразды правления в свои руки, чтобы продолжить развитие компании так, как я считал нужным.
– Есть такое понятие, как миссия компании. У Zecurion есть миссия?
– Наша миссия – дать заказчикам удобное эффективное средство для борьбы с внутренними угрозами. Внутренние угрозы – очень серьезная проблема для нашей страны. Она особенно актуальна из-за распространенности сложных схем мошенничества, а также воровства и коррупции. Компания может терять огромные средства каждый год из-за внутреннего мошенничества. У большой компании может быть потеря даже 5% от годового оборота – это очень большие деньги, а 10% могут сравниться с величиной прибыли. Представьте, компания может удвоить чистую прибыль, просто избавившись от этих неприятных факторов.
– Есть еще и репутационные потери?
– Да, но репутационные издержки в нашей стране влияют на компанию в меньшей степени, чем в других странах. Например, практически в каждом банке происходят утечки, по слитым данным гражданам регулярно звонят мошенники. И что? В западных странах за масштабную утечку компанию ожидает штраф под сотню миллионов долларов. У нас штрафные санкции менее заметны и в плане репутации утечки никаких особых проблем не создают, оттока клиентов из-за утечек не наблюдается. Конечно, есть те, кто к этому вопросу относится очень серьезно и принимает соответствующие меры безопасности, я встречал такие компании. Но, на мой взгляд, это скорее исключение.
Поэтому наши основные кейсы – экономическая безопасность, внутрикорпоративное мошенничество, воровство, манипуляции с тендерами, манипуляции с продажами. Кстати, мы недавно выступили сооснователями Forensic Alliance, ведь форензик-расследования – это крайне актуальная тема. Главная цель расследований – не просто увольнение виновника, а возмещение ущерба. Так вот, в альянс вошли важные для форензик-расследований эксперты: адвокатская коллегия, аудиторы, судебные эксперты, частные детективы, и благодаря этому мы можем предоставлять полный спектр услуг.
Те, кто занимается расследованиями, рассказывают совершенно потрясающие истории, например, как с нефтеперерабатывающих заводов эшелонами воруют бензин. Понятно, что в этот процесс должно быть вовлечено очень много людей, фактически половина завода. И найти всех, кто замешан, собрать юридически значимые доказательства, определить суммы ущерба, особенно в условиях противодействия с их стороны, – серьезная задача.
Более того, подобные истории случаются не только у нас. Я изучал отчет по внутрикорпоративному мошенничеству, в котором было проанализировано 2,5 тыс. кейсов из 125 стран мира. Лидируют по количеству случаев, как ни странно, Западная Европа и США, которые мы привыкли считать более цивилизованным миром, чем себя.
– Чем это можно объяснить?
– Просто в США и Западной Европе присутствует традиция доверять сотрудникам. То есть там на высоком уровне защищаются от внешних угроз, хакеров, атак, вторжений. Но, например, в Европе не принято просматривать электронную почту сотрудников, работодатели опасаются претензий со стороны профсоюзов, общественных деятелей и т.д. Только недавно там начали задумываться о предотвращении утечек, потому что несколько лет назад появился новый европейский закон, GDPR, похожий на наш закон о персональных данных, только более жесткий. В США все то же самое, но чуть в меньшей степени. Но все равно такое ощущение, что они живут в розовых очках и не понимают, что, например китайцы, у них уже все технологии "вынесли".
– Хорошо, давайте вернемся к теме основания бизнеса. Какой вы руководитель?
– Я никогда не давлю на людей. Если сотрудник не может сделать что-то в срок, то я говорю – о'кей. Я нахожу другие варианты, другие решения. Считаю, что я достаточно мягкий руководитель. Стараюсь подбирать ответственных сотрудников, которые понимают, для чего мы все собрались в одной компании, и разделяют миссию и ценности компании.
– Существует ли проблема подготовки ИТ-специалистов?
– Я не думаю, что проблема в подготовке. Проблема в том, что сейчас резко вырос спрос на них. То есть какое-то время был некий баланс, а сейчас все занимаются цифровизацией и всем нужны программисты, специалисты по информационной безопасности. Все хотят быть цифровыми, особенно банки.
– Именно хотят, не вынуждены?
– А почему вынуждены? Посмотрите на Европу и на Америку. Там банки очень консервативны. Для них то, что делают наши, тот же самый Сбер, это просто космос. Для них возможность привязать карточку к мобильному приложению – это что-то невообразимое. У них появилась целая отрасль FinTech, которая как раз и заполняет эту нишу, потому что банки слишком консервативны и не готовы к какимлибо переменам.
– Тогда другой вопрос: почему у нас цифровизация так хорошо прижилась?
– Я думаю, что у нас просто нет многовековых традиций ведения бизнеса. Представьте уровень консерватизма банка, который существует 150 лет. А в России общественный уклад меняется каждые 30–40–50 лет. Поэтому у нас нет ощущения здорового консерватизма, здоровой стабильности. Можно сказать, что мы живем как в сейсмически небезопасном районе, поэтому мы вполне готовы рисковать и вкладываться в инновации.
На самом деле меня очень удивил Сбер, когда начал скупать ИТ-компании, а потом объявил себя экосистемой. Ну извините, где банк, а где торговля лекарствами и доставка еды? Хотя я себя считаю достаточно прогрессивным, но даже для меня это немного перебор.
– Согласна с вами. Помню, какое-то время назад СберБанк позиционировал себя как раз как традиционный стабильный банк. В свете всех происходящих перемен возникает вопрос: кто такой современный безопасник и какими навыками он должен обладать?
– Вы знаете, для меня специалист по безопасности в первую очередь клиент. Поскольку наша компания выпускает средства, которые такой специалист будет закупать и использовать, то он для нас – источник вдохновения. Мы учитываем не только потребности, но и пожелания заказчиков. Понимание всего процесса работы и способность оценить, чего на каждом конкретном этапе не хватает в продукте, – это самое главное, что мы получаем от заказчиков. Нам очень важно, чтобы наши пользователи делились с нами обратной связью по продукту.
– А какие решения на сегодняшний день наиболее актуальны для ваших заказчиков?
– Мы занимаемся защитой от внутренних угроз. Раньше мы говорили, что это защита информации от утечек, но сейчас трактуем спектр решаемых задач более широко, где утечки – только одна из составляющих. Системы, которыми мы занимаемся, – это новое поколение, они находятся на более продвинутом уровне, чем просто защита от утечек. Для многих компаний защита от внутренних угроз является важным шагом в построении безопасности организации.
– Учитывая переход к цифровизации, защита от внутренних угроз должна становиться все более популярной и востребованной?
– Да, мы наблюдаем рост выручки и повышение интереса. Спрос растет, это действительно так.
– Почему вы выбрали именно это направление в бизнесе?
– Направление мы выбрали на самом деле случайно: просто увидели интересную и актуальную задачу и решили рискнуть и взяться за ее решение. Для начала предстояло создать жизнеспособный продукт, который сможет удовлетворять нужды заказчиков, пусть и самым базовым функционалом. Потом возникла необходимость развития продукта, чтобы он мог стать конкурентоспособным, это обычная бизнес-история. Сейчас мы довольно зрелая компания, нас воспринимают как солидного партнера.
– Кажется ли вам перспективной модель MSSP для DLP и для других продуктов Zecurion?
– Это тоже очень интересный вопрос, потому что сейчас данная модель в России развивается весьма активно. Но, мне кажется, на нашем рынке она будет приживаться тяжело. Есть большие компании, где скапливаются огромные массивы критически важных данных, и если произойдет их утечка, то это будет очень неприятно. Поэтому они не могут отдать защиту от утечек внешнему сервис-провайдеру. Аутсорсинг и внешние провайдеры – хороший вариант для небольших компаний, потому что содержание собственной инфраструктуры обходится слишком дорого для них.
Но у нас есть партнерские проекты. Например, в партнерстве с ГК "Инфосекьюрити", которая входит в группу Softline, мы предлагаем MSSP как модель защиты от утечек. Но пока этот сервис требует дополнительных усилий по продвижению для того, чтобы стать успешным.
– С чего начать человеку, который хочет создать свой бизнес в сфере информационной безопасности?
– Не тратить время на ерунду, которая не приближает вас к поставленной цели! На самом деле я считаю, что своим бизнесом заниматься нужно, как в поговорке "Если можешь не писать – не пиши" (автор высказывания Л.Н. Толстой. – Прим. ред.). Так и здесь: надо делать свой бизнес не просто для того, чтобы денег заработать или стать успешным. Стоит этим заниматься, только если есть внутренняя страсть, искра. Когда понимаешь, что ничем другим заниматься не можешь. Если есть такое понимание, то тут уже советы никакие давать не нужно, потому что так или иначе это позыв проявится и сработает. Конечно, есть много книг, как надо тестировать гипотезы, как искать финансирование и т.д., – в принципе они тоже помогут.
– Каковы ближайшие планы Zecurion?
– Мы планируем выпустить новые продукты и увеличить продажи. В планах также есть выход на международные рынки – я считаю это очень важным, потому что все-таки в России для российских компаний созданы тепличные условия: импортозамещение, реестр отечественного ПО и оборудования, сертификация. В результате с западными ИТ-вендорами мы практически не конкурируем, и это иногда проявляется в тенденции делать продукт из разряда "берите, что есть" – страдает качество получаемой заказчиком защиты.
А на международных рынках приходится конкурировать по обычным правилам: нет импортозамещения, нет лицензий, нет господдержки, лоббирования – там приходиться конкурировать качеством продукта, уровнем сервиса и ценами. Я считаю, что всем российским компаниям в обязательном порядке нужно работать на международных рынках, потому что это дает бесценный опыт, который на отечественном рынке получить почти невозможно.
