Наталья Касперская, глава группы компаний InfoWatch, разрабатывающей решения в области информационной безопасности и искусственного интеллекта, рассказала корреспонденту РИА Новости Ивану Шадрину о том, кто мешает развитию российских IT-разработок, что нужно сделать, чтобы рынок поверил в эффективность средств защиты от утечек информации, а также о том, почему политическая ситуация в Белоруссии удобна для российских IT-разработчиков.
Многие эксперты считают рынок решений для защиты от утечек конфиденциальных данных (DLP, Data Leak Prevention) бесперспективным, поскольку все больше компаний разочаровываются в подобных решениях, да и размеры его недостаточно велики (около 300 миллионов долларов в год, по данным Gartner). Почему после прибыльных и понятных антивирусов Вы занялись именно DLP, и почему вы считаете, что это перспективное занятие?
Когда я пришла на этот рынок из антивирусной компании (с 1997 по 2011 год Наталья Касперская занимала пост председателя совета директоров антивирусной компании "Лаборатория Касперского" - ред.), то полагала, что DLP - это полный аналог антивируса, такой же софт, который достаточно установить, и он излечит проблему. Выяснилось, что это не так.
В отличие от антивируса, который имеет дело с бинарной логикой - либо это вирус, либо нет, - логика обнаружения утечки конфиденциальной информации совершенно другая. Кто определяет, является ли данная информация конфиденциальной? Когда истекает конфиденциальность? Как зависит конфиденциальность от индустрии, от конкретной компании? Большинство ранних внедрений нашего продукта на заре становления рынка (речь идет о 2007 годе, когда Касперская стала генеральным директором InfoWatch) проводилось без учета этих вопросов. Вскоре пришло понимание, что для корректного внедрения DLP-системы необходима большая подготовительная работа, обязательно совместно с клиентом.
DLP - это не софт, это процесс, в котором программное обеспечение - лишь около 40% решения. Интересно, что в 2006-2009 годах прошла сеть поглощений DLP-компаний антивирусными вендорами. И все они без исключения попадали в ту же ловушку, что и я. То есть пытались продавать DLP как антивирус, а многие так и пытаются до сих пор. В результате мы наблюдаем интересный рыночный феномен. Многие компании из любопытства или по причине громадной скидки покупают DLP у антивирусного вендора, устанавливают и разочаровываются. Потому что система ничего не ловит.
Мы много раз (особенно за рубежом) наталкивались на таких разочарованных клиентов: "Ааа, DLP - знаем, пробовали. Это не работает". - "А какую систему пробовали?" - Далее идет название крупного антивирусного вендора. Приходится разъяснять отличия нашего подхода, объяснять, почему не работает та система, и как мы решаем эту проблему. Не скажу, что мы продвигаемся быстро, но постепенно меняем ситуацию. Нет большей радости, чем видеть внезапное понимание клиента, что DLP, оказывается, работает!
Ряд экспертов склонны считать, что небольшая емкость рынка в сочетании с наличием у крупных вендоров собственных решений в области DLP серьезно ограничивает, если не "заказывает" небольшим компаниям путь в этот сегмент. Вы согласны с этим?
DLP - направление пока узкое, денег на этом можно заработать сравнительно немного. Поэтому крупные вендоры особо не "зацикливаются", и, если у них есть выбор, провести целый перечень сложных процедур в рамках внедрения DLP или продать антивирус, они продадут антивирус. Так, например, Symantec из-за широты своей линейки не очень активно играет на DLP-рынке. Их продавцы просто не продают эти системы, хотя могут.
При этом я бы не сказала, что в DLP-сегмент путь маленьким компаниям заказан. Только в России за последние два года появилось три новых игрока. Все - в СМБ-сегменте (средний и малый бизнес - ред.). Пока об успешных внедрениях не слышно. Что будет дальше? Либо они научатся реализовывать проекты, чтобы обеспечивать защиту даже при низкой цене, либо вылетят с рынка.
Вы признаете, что рынок DLP мал, а делать для успеха на нем нужно много. Почему Infowatch продолжает этим заниматься?
Практика InfoWatch доказывает, что DLP работает - при правильном подходе к внедрению, при верном понимании клиентом и разработчиком задач продукта. И мы рассчитываем, что с распространением этого подхода будет расти и интерес клиентов, и сам рынок.
Ограничением роста рынка является также отсутствие т.н. подлеска в виде СМБ-компаний. Все вендоры соревнуются за рынок крупных корпораций, который весьма узок. Сейчас InfoWatch работает над тем, чтобы предложить простое, относительно недорогое, а главное работающее решение СМБ-рынку. Сможем это сделать - на рынке произойдет реальный прорыв. Ну, а если не произойдет, то вряд ли стоит ожидать серьезного роста. Скорее всего, рынок просто заморозится.
И что тогда будет с Infowatch?
Мы идем сразу в нескольких направлениях. Помимо того, что мы пытаемся внедрить работающую концепцию системы защиты от утечек, мы диверсифицируем бизнес, чтобы работать не только в DLP. Недавно в Группе InfoWatch появилось решение, которое помогает защитить рабочие станции компьютерной сети, куда входят средства контроля за приложениями и портами, шифрования данных, управления электроснабжением, мобильными системами, а в будущем мы планируем еще и облачное решение, чтобы всем этим управлять. В скором времени мы представим новый продукт на российском рынке.
С бизнес-перспективами рынка DLP ясно, а что с технологическими? В технологическом плане в какую сторону, по вашему мнению, движутся технологии защиты от утечек данных?
Необходимость упрощения DLP-систем вынуждает вендоров искать решения для преодоления противоречия между ожиданиями рынка и сложностью технологий. Но информация также усложняется, растет объем неструктурированных данных. Чем больше информации, тем сложнее выискивать среди нее конфиденциальную. А это значит, что системы DLP вынуждены становиться все более интеллектуальными.
Следующее направление - увеличение числа каналов, по которым может уходить информация. Это постоянная забота, потому что каналов становится все больше и больше. В частности, серьезным каналом утечки сейчас являются мобильные системы. Это огромная дыра в безопасности, потому что мобильные устройства стали такими же мощными, как компьютеры, но имеют ограниченную функциональность с точки зрения внешнего контроля над ними. Это головная боль для сотрудников служб безопасности. Они, как правило, либо запрещают мобильные устройства, либо пытаются стандартизировать их использование, закупая определенные смартфоны для всей компании. Но все это полумеры, т.к. все чаще в сети компаний появляются личные смартфоны, что ставит под угрозу конфиденциальность данных.
Использование мобильных устройств связано с применением голосовых технологий. Условно говоря, имея смартфон, инсайдер может сообщить на сторону чувствительную информацию, просто совершив звонок. Есть ли у InfoWatch ответ этой тенденции?
О перехвате голосовых сообщений много говорят, но разговоров больше, чем в этом есть реальная потребность. Если спросить клиента, он ответит, мол, да, неплохо бы такое иметь в активе. Но когда задаешь прямой вопрос: "А вы купите?", начинаются всякие "может быть". Когда мы делали мини-исследование рынка, чтобы выяснить, сколько клиенты готовы за это платить, выяснилось, что очень малый процент готов платить вообще. Нам это просто экономически неинтересно.
Вообще блокировка голосовых сообщений на лету весьма затруднительна. Можно говорить только о режиме мониторинга. То есть обнаруживать утечку уже после того, как она была рассказана какой-то третьей стороне. Полагаю, что это также является причиной, по которой клиенты не очень заинтересованы в подобной технологии.
InfoWatch - уже вторая российская компания, которой вы управляете и которая специализируется в области информационной безопасности. Означает ли это, что в России проще найти именно специалистов в области ИБ?
Нет, просто я давно работаю в этой области и лучше в ней разбираюсь. Что же касается кадрового вопроса, то и в ИБ, и в IT в целом наблюдается значительный дефицит кадров. Люди в России почему-то не хотят заниматься IT. Все хотят быть экономистами и юристами. Согласно расчетам АПКиТ, в российской ИТ-индустрии нехватка специалистов составляет около 75 тысяч человек в год. Эта нехватка создает сложности привлечения людей на любых этапах, но хорошие разработчики - самый большой дефицит. Раньше мы брали студентов, сейчас эта лавочка закрылась, потому что толковые студенты к третьему-четвертому курсу уже разобраны. Сейчас в IT-вузах нет такого, чтоб студенты ходили и искали по рынку работу. У меня сын учится на ВМиК в МГУ и говорит, что у них в группе не работает только два человека. Google, Intel, системные интеграторы, другие IT-компании всех расхватывают.
И как же в таких условиях компания Infowatch добывает кадры?
К счастью для нас, в Google не всех берут. Потом, все же небольшая компания дает больше комфорта, больше возможностей для роста и более интересные задачи, если мы говорим о разработке. Если человек хочет заниматься разработкой, то ему особо нечего делать, например, в Microsoft - в Редмонд его вряд ли пригласят, а разработческих задач в России у них почти нет. У такого программиста есть еще вариант - заниматься "оффшорными" задачами и писать "одну штучку" для большого Intel на протяжении всей своей жизни. Это тоже как-то не очень привлекательно. С точки зрения интересности задач у маленьких компаний здесь гораздо больше шансов понравиться перспективным соискателям.
Если в России сложно с кадрами, то, возможно, их следует искать за рубежом?
Во-первых, качество программистов у нас достаточно хорошее, и я не думаю, что нам удалось бы получить качественных программистов по такой же цене где-то еще. Ну, за исключением близлежащих стран - Белоруссии, Казахстана и Украины. Там специалисты есть, но там тоже уже дефицит кадров. Вендоры быстро сообразили, что в Казахстане и Украине дешевле разрабатывать, и стали открывать в этих странах R&D-центры. Полянка начинает "заселяться", а зарплаты - расти.
Белоруссия более выигрышно смотрится. Из-за специфической политической ситуации западные вендоры туда пока не идут, и для нас это счастье. У нас как раз там есть центр разработки, и я очень надеюсь, что в ближайшее время там не будет политических изменений, что позволит нам сохранить в Белоруссии адекватный уровень зарплат для своего персонала. Потому что та же Украина по данному параметру приближается к России. Регионы России - Новосибирск, Нижний Новогород, Казань, практически все города, где есть крупные университеты, - тоже приближаются к столичным ценам. Мы считали стоимость открытия центра разработки, например, в Казани. Зарплата там примерно на 30% ниже, но с учетом возрастания расходов на управление и коммуникацию с Москвой, выигрыш в стоимости получается незначительным. То есть особого смысла строить R&D в регионах нет.
В таких условиях в России проще или сложнее строить бизнес по разработке ПО, чем за рубежом?
Проще. У нас, конечно, существует дефицит кадров, но, например, в Германии их просто нет. Там крайне мало IT-разработчиков и, как следствие, почти нет IT-компаний. Это довольно странно, т.к. Германия вообще лидирует в области создания чего бы то ни было, начиная от автомобилей и кончая прочей сложной техникой. А программистов крайне мало, так что правительство Германии даже одно время открывало квоты на иностранных разработчиков.
Но Германия - это пример совсем сложной ситуации, в других странах Европы попроще, хотя тоже есть дефицит кадров. Из примеров более-менее неплохой ситуации с кадрами можно привести США, потому что они как пылесос в себя всасывают таланты со всего света. При этом сами американские компании по экономическим соображениям выводят центры разработки за пределы страны - в Индию, Китай.
Вот в этих двух странах дефицита разработчиков нет. Однако работать с китайцами - это отдельное искусство. У меня был опыт построения в Китае лаборатории тестирования еще в мою бытность гендиректором "Лаборатории Касперского". Изначально мы даже хотели поручить китайцам какую-то часть задач по разработке продуктов. Но от этой идеи быстро отказались, потому что слишком много приходилось объяснять. Даже просто лабораторию по тестированию своих программных продуктов на основании уже разработанных методик мы налаживали два года, потому что и менталитет другой, и схемы взаимодействия другие, и расписывать им нужно все совершенно детально. А потом еще выяснится, что тебя не так перевели, не так поняли. Накладные расходы на управление в случае с китайцами очень высоки. Только по прошествии времени нам удалось, наконец, так отладить все процессы. А как поручать китайцам программистские задачи, я вообще не понимаю. Получается, что особых кадровых альтернатив России в области разработки пока нет.
Есть ли разница в ведении бизнеса в России между тем временем, когда вы создавали "Лабораторию Касперского" и нынешним положением дел? В частности, есть ли разница во взаимоотношении IT-бизнеса и государства тогда и сейчас?
Разница в том, что тогда государство нас просто не замечало, взаимоотношений не было в принципе. Я не могу себе представить, что я в конце девяностых пришла бы в Министерство связи, и кто-то там со мной бы стал разговаривать. Я не могу представить, что мы могли бы получить какое-то финансирование, тем более государственное. Опять же для компаний-разработчиков не существовало никаких льгот. Все просто платили зарплаты "в черную", и все. С этой точки зрения нынешняя ситуация гораздо лучше.
Понимание нужности и важности IT есть даже на самом высшем уровне, есть диалог между разработчиками и государственными чиновниками. Нами интересуются, спрашивают, что нужно, пытаются помочь, приглашают на встречи (в феврале Наталья Касперская приняла участие во встрече представителей IT-сообщества разработчиков программного обеспечения с Владимиром Путиным, тогдашним премьер-министром - ред.). Я уже не говорю про замечательную льготу - снижение социального налога на сотрудников компаний-разработчиков ПО. Для таких компаний, у которых затраты на персонал составляют до 75% всех затрат, это очень большое подспорье. Предоставление кредитов, помощь в финансировании, Сколково, наконец - грех жаловаться.
И что же еще нужно?
Есть большая проблема в отношениях стартап-компаний и налогового ведомства. Инновационные проекты по определению убыточны в течение некоторого времени, когда еще не окончена разработка продукта. В этот период только создается технология, стартап выходит на рынок. К сожалению, имеющаяся у налоговой инспекции практика предписывает компании становиться прибыльной уже на второй год существования. В противном случае у налоговой возникает много вопросов, компания даже может быть принудительно закрыта. Инноваторы оказываются в крайне неприятной ситуации, а их собственники вынуждены "рисовать" прибыль, что никому не выгодно.
На встрече с премьером я предложила что-то с этим сделать, и Владимир Владимирович обещал подумать, отметив, что вопрос непростой. Понимаю, почему он непростой - если разрешить разработческим компаниям генерировать убытки, тут же подтянутся всякие фирмы-посредники и однодневки, которые будут изображать у себя компьютерную деятельность. У нас же народ ушлый. Значит надо как-то так сделать, чтобы правильным дать возможность, а неправильных ограничить. Например, создать саморегулирующуюся организацию на базе уже существующих отраслевых ассоциаций, которая бы проводила анализ деятельности стартапа и при этом отвечала бы чем-нибудь перед государством. Чтобы, если спросят, эта организация могла бы сказать: "мол, да, мы смотрели, у этого стартапа действительно есть разработки. А у этого нет, это мошенники".
Реализовать такой механизм можно. Тем более что мировая практика на этот счет есть. В той же Силиконовой долине полно убыточных компаний. Многие из них не выживают, а другие вырастают в Google или Facebook. Тут важно понимать, что инвестору совершенно неинтересно долго держать компанию, которая терпит убытки. Инвестор заинтересован в скорейшем получении прибыли. Так что тут интересы инвестора и налоговой совпадают. Но нужна техническая возможность для развития инновационной компании - вот тут понимания пока нет.
Но ведь есть проект Сколково, который по идее и должен решать такие проблемы...
Действительно, Сколково эту проблему должно решить, потому что в Сколково, насколько помню, налоговая инспекция, которая такого рода претензий предъявлять не должна. Точно не знаю, пока наша компания, являющаяся сколковским резидентом, не проходила ни одной налоговой проверки. Но Сколково не может принять все российские компании. Так что нужны альтернативы.
Кто-то кроме Вас такое решение проблемы поддерживает?
IT-индустрия в России неоднородна. Например, были мы в Минкомсвязи на одном совещании, где присутствовал представитель системного интегратора - не буду называть его имени. Он занял крайне агрессивную позицию, заявив: "А зачем нам вообще нужны русские разработки? Есть иностранное, давайте возьмем их. Выкинем все российское вообще". Он интегратор. Он умеет складывать домик из чужих кирпичиков, которые он приобрел где-то. Ему российские разработчики и российские разработки не нужны - в частности, потому что они не могут давать интеграторам такие большие маркетинговые фонды, как иностранцы. И в этом - фундаментальное разногласие, хотя мы технически принадлежим к одной и той же сфере.
К сожалению, этот интегратор не уникален. У остальных позиция похожая. Они не понимают, что если не вести собственные разработки, то постепенно в России исчезнут люди, что-то понимающие в разработке, мы потеряем все. Конечно, крупные системные интеграторы с точки зрения оборота больше, чем разработчики. Объем IT-рынка России порядка 57 миллиардов долларов, а весь софтверный рынок России - это около 3 миллиардов. Вопрос только в том, сколько из этих 57 миллиардов остается в стране. Львиная доля этих сумм уходит за рубеж в качестве платежей за программное обеспечение и "железо", что невыгодно стране ни в краткосрочной, ни тем более в долгосрочной перспективе.
А в чем проблема интеграторов? Почему, по вашему мнению, они так себя ведут?
Они не хотят российских технологий по вполне прагматическим соображениям. Крупные западные компании могут платить за маркетинг своих продуктов очень значительные суммы. И часто вперед. Например, что делал Intel в конце 90-х и начале двухтысячных? Intel тогда создал программу лояльности. Они платили за рекламу своей продукции всем, кто эту продукцию продает. И вот ты приходишь к Intel и говоришь - я вот тут прорекламировался в 15 изданиях, с вас миллиард рублей. Intel говорит: хорошо, вот миллиард рублей. Просто у западных вендоров так много денег, что они могут позволить себе купить место на рынке. Для перепродавцов это очень выгодная ситуация, им не надо вкладываться в рекламу продуктов, за них это сделают вендоры. Так что мотивы совершенно прагматические. Я их хорошо понимаю. Поэтому и просим мы помощи не у интеграторов, а у государства.
Продолжая о проблемах у российских IT-стартапов, помимо отсутствия взаимопонимания с интеграторами и налоговой, есть ли еще затруднения?
Тема получения зарубежных патентов. На встрече с Путиным в Новосибирске мы также ее озвучили. Патенты - это очень болезненная вещь, особенно для экспортеров. Когда компания пытается выйти на рынок, например, США, то сразу оказывается под угрозой потенциальных исков от держателей патентов. А какие там патенты, на что и где они зарегистрированы, это очень трудно установить, потому что их много, патент можно получить почти на что угодно. Может, ты даже первым изобрел свою технологию, но не зарегистрировал ее вовремя, а это сделал кто-то другой, то у тебя большие трудности.
В принципе, получение патентов не представляет особых трудностей при правильной постановке вопроса, а определяется лишь вложенной суммой. Для того чтобы получить патент в США, нужно минимум десять тысяч долларов. Даже "Лаборатория Касперского" начала более-менее систематически заниматься патентованием только с 2005 года. Раньше просто не могли себе этого позволить. Сейчас в этом отделе работает 35 человек, которые занимаются патентами, и "Лаборатория" ежегодно регистрирует 200-250 штук. И это не очень много по меркам американских компаний.
Как государство может помочь?
Мы просили - эту идею озвучил Сергей Андреев (генеральный директор ГК ABBYY - ред.) - просто материальной помощи "c возвратом". Патенты потом возвращаются в деньгах: либо в доходах компании, либо в виде выручки от продажи самого патента. Если, например, мы вкладываем 10-20 тысяч в сам патент, то продать мы его можем по цене начиная от 50 тысяч долларов и выше. Но для начала патент надо зарегистрировать, и на это нужны деньги, которые есть не у всех. Если бы государство под определенные гарантии могло бы помочь с оплатой хотя бы половины расходов, это было бы большим подспорьем. Вопрос пока обсуждается.