Наталья Касперская
Российский предприниматель в сфере информационных технологий, президент группы компаний InfoWatch, сооснователь компании «Лаборатория Касперского», общественный деятель. Имеет отраслевые и государственные награды.
Бизнес
В 1997 году Н. И. Касперская стала соучредителем и генеральным директором «Лаборатории Касперского». За десять лет под её руководством новая компания, разрабатывавшая программное обеспечение по защите от компьютерных вирусов, превратилась в крупное международное предприятие с оборотом в несколько сотен миллионов долларов, лидирующее на российском и международном рынках.
В 2007 году Касперская возглавила компанию InfoWatch («ИнфоВотч»), разрабатывающую ПО по защите корпораций от утечек конфиденциальных данных. Под её руководством компания выросла в системообразующее предприятие РФ. Сегодня ГК InfoWatch разрабатывает ПО в области защиты предприятий от утечек конфиденциальной информации, а также комплексной защиты систем АСУ ТП от вторжений. Клиенты группы компаний InfoWatch — государственные органы и крупные предприятия РФ, предприятия ближнего и дальнего зарубежья.
В 2016 году Наталья Касперская была признана российским экспертным сообществом «Персоной года» в ИКТ-индустрии в рамках бизнес-премии «Лучшие в России». В 2017 г. стала победителем национального этапа международного конкурса EY «Предприниматель года». В 2018 году заняла 1-е место в рейтинге газеты «Коммерсантъ» «ТОП-1000 российских менеджеров» в категории «ИТ».
Общественная работа
В 2009 году Н. И. Касперская стала одним из инициаторов создания Ассоциации российских разработчиков программных продуктов (АРПП) «Отечественный софт», а InfoWatch — одним из учредителей Ассоциации. В 2017 году Касперскую выбрали председателем АРПП. Сейчас в АРПП входит 290 компаний — разработчиков российского ПО с совокупным оборотом 320 млрд рублей.
Касперская является экспертом Единого реестра российских программ для электронных вычислительных машин и баз данных при Министерстве цифрового развития с момента его основания. Сегодня в реестр входит около 23 тыс. российских программных продуктов.
В 2019–2020 гг. Касперская была членом рабочей группы по подготовке предложений о внесении поправок в Конституцию РФ. По её предложению в Конституцию РФ внесены две поправки к статье 71. Согласно этим поправкам ИТ отнесены в ведение государства и приравнены по важности к ядерной энергетике. Также в ведение государства отнесены безопасность ИТ и личных данных российских граждан. Целями данных поправок, по мнению Н. И. Касперской, стали защита данных граждан, их прав на тайну личности и цифровой идентификации, запрет на создание неравенства на основании цифровых профилей и рейтингов и т. п.
Наталья Касперская является соавтором книги «Цифровая гигиена», написанной в соавторстве с супругом, Игорем Ашмановым. Книга в доступной форме рассказывает родителям о рисках, имеющихся в Интернете, и методах борьбы с этими рисками.
Самый животрепещущий вопрос в сфере разработки программного обеспечения — исполнение указов по импортозамещению к 1 января 2025 года. Насколько российский рынок ИТ готов к нему? Об этом и о многом другом мы поговорим с Натальей Касперской, президентом группы компаний InfoWatch, общественным деятелем, председателем правления Ассоциации разработчиков программных продуктов «Отечественный софт».
Тема готовности к 1 января 2025 года является сегодня одной из главных. Вы — человек, который давно на рынке, общается с органами власти, с бизнесом. Как вы считаете, мы в целом готовы к этому рубежу? Или всё-таки состоится пересмотр некоторых дедлайнов?
Н. К.: Мы опросили участников ассоциации BISA, насколько они готовы перейти на отечественные решения с 1 января. Опросы проводили по указам Президента № 250 и № 166 соответственно. Получили такой результат: 9 % готовы, вот прямо сейчас уже готовы, к реализации 166-го указа и 33 % уже перешли на отечественные средства защиты информации во исполнение требований 250-го указа.
Вторым вопросом было: «Когда можете быть готовы? будете ли готовы к январю?». 21 % респондентов ответил утвердительно по СЗИ. В случае с программным обеспечением ситуация хуже: только 7 % заявили, что они, может быть, будут готовы.
Я полагаю, что это — более-менее реалистичная картина ситуации на рынке. Поскольку средства защиты информации в стране гораздо более зрелы, то и готовность заказчиков их применять высока. Меня даже удивила доля в 33 %: я бы сказала, таких должно быть больше. Что же касается ПО в целом, то надо понимать, что у нас не все классы ПО пока соответствуют требованиям заказчиков.
Все надеялись, что регуляторы выйдут и скажут: «Мы сроки отодвинем в связи с таким уровнем готовности». Но регуляторы так не сказали. А перейти за оставшиеся 2,5 месяца на всё отечественное практически нереально. Поэтому заказчики надеются, что штрафовать будут не сразу.
На самом деле эти цифры, которые вы озвучили, — ещё не такие плохие. Мы делали совместно с «К2 Кибербезопасностью» около года назад опрос и исследование, посвящённые 187-ФЗ, которому уже шесть лет, почти семь. Оказалось, что только 20 % выполнили все требования законодательства. Мне кажется, что на этот раз всё будет идти примерно такими же темпами.
Н. К.: Да, скорее всего. Хорошее, кстати, сравнение. Но всё-таки со 187-ФЗ есть одна серьёзная разница: мы наблюдаем беспрецедентное давление на государство. Мы же видим, что происходит в мире. Если ты в таком случае полагаешься на чужие технологии, высок риск, что оборудование дистанционно взорвут или остановят. Поэтому государство вынужденно защищается и тем самым создаёт давление на все значимые субъекты, требуя перехода на отечественные системы.
По поводу возможностей удалённого отключения или воздействия на инфраструктуру мы как безопасники говорили давно. Но одно дело — знать теоретически, а другое дело — увидеть это воочию. Я имею в виду взрывы пейджеров в Ливане. Полагаю, что это хороший толчок, на самом деле: люди часто хотят выполнить требования регуляторов формально и надеются, что к ним не придёт проверка, поэтому относятся к процессу халатно или саботируют его. Но в реальности альтернативы у нас нет. Если мы будем использовать импортное оборудование и импортный софт, его производители будут это использовать как оружие против нас.
Поэтому я всё-таки надеюсь, что импортозамещение пойдёт быстрее.
Как в такой ситуации должно действовать государство? Должно ли оно помогать или как-то подхлёстывать разработчиков, чтобы они быстрее разрабатывали свой софт? Или это не требуется?
Н. К.: На этот счёт есть разные мнения. Одни считают, что нужно жёстко всё регулировать. Другие считают, что надо, наоборот, всё отпустить, и пусть «рынок разрулит». Истина, видимо, где-то посередине.
Лично я считаю, что регуляторика нужна. Самый простой пример: у нас в реестре отечественного ПО, по разным оценкам, насчитывается до 60 операционных систем. Мне как разработчику портировать свой продукт на 60 операционных систем просто нереально. Для этого нужно нанять огромный штат людей, которые будут заниматься только портированием.
Поэтому должно быть какое-то ограничение, хотя бы в виде рекомендации от Минцифры: вот есть четыре ОС, на них портируйте, больше не надо. Стоит сказать, что эту рекомендацию Минцифры выпустило. Но остались без рекомендаций СУБД, мессенджеры, ВКС и куча другого софта. Получается распыление ресурсов, которых и так катастрофически не хватает.
Да, это верно и для информбезопасности. Например, сейчас уже насчитывается около 50 файрволов. Разве нам нужно столько? Нет, но разработчики это делают, и логика понятна: все идут за большими деньгами.
Н. К.: Рынок ИТ — как огромный корабль. Вдруг обнажился остров, на котором лежит 100 миллиардов, и все побежали туда. Раз — и корабль накренился в ту сторону, а другой борт оголился. Вот так и у нас: где-то — 50 компаний, а где-то — дыры. Например, нет средств разработки, отсутствуют собственные фреймворки для ИИ, драйверы для периферийных устройств, языки программирования. Их никто и не делает, потому что экономически нецелесообразно.
Это же неправильно. На мой взгляд, в такие экономически невыгодные области должно инвестировать государство, поскольку это государственная задача. А в конкурентных областях, таких как те же файрволы, вполне возможно, потребуется какое-то объединение сил. Ведь файрвол — очень сложная, многоступенчатая система управления сетью, и с точки зрения государства было бы разумнее не писать одинаковые файрволы на одном и том же опенсорсном стеке, а разрабатывать разные кусочки, добавляющие и расширяющие функциональность. Сами вендоры вряд ли об этом договорятся, нужна помощь регулятора, который мог бы помочь каждому найти свой кусочек рынка. Но это вряд ли произойдёт.
Виталий Лютиков, заместитель директора ФСТЭК России, подсветил очень важную вещь: тему феодализма, как я её называю, на ИТ-рынке. Многие заказчики финансируют свои разработки через свои же дочерние структуры, и вместо того чтобы помогать независимым участникам рынка, они зачем-то начинают дублировать всё своё. Это лидирующие банки, крупные металлургические компании и так далее. Дескать, раздутые цены ведут к тому, что заказчики начинают разрабатывать сами, ибо им кажется, что это будет дешевле. Мне кажется, это усугубляет ситуацию.
Н. К.: Меня вообще поражает, что заказчики так мыслят. Ведь как они узнают цену разработки до начала этой разработки? Спросят своего айтишника, который никогда не разрабатывал никаких продуктов? Айтишник им, конечно, что-то спрогнозирует. Хотя на самом деле он этого никогда не делал и прогноз будет «пальцем в небо».
В результате предприятие начинает разработку, потом понимает, что ещё ему нужна вот такая функциональность, а вот эта оказалась слишком сложной в реализации, а вот та вообще не хочет работать. В итоге разработка начинает пухнуть, сроки — ползти. По итогу оказывается, что реальная стоимость собственной разработки существенно превосходит ту, что была изначально запланирована, и даже ту, что можно было бы купить на рынке. А дальше всё это надо ещё и поддерживать, на что тоже нужны ресурсы, которые, как правило, никто не считает.
Я знаю единичные истории, когда непрофильным предприятиям удавалось «с нуля» написать хороший софт — и то в тех случаях, когда софт был близок к бизнесу заказчика. Но подавляющее большинство известных мне внутренних разработок — это истории провала, плоды которых предприятие потом вынуждено использовать, всё браня и проклиная.
Кроме того, есть важный вопрос безопасности. Большинство внутренних разработок пишутся на опенсорсных стеках. Там могут быть закладки, недокументированные функции или просто такой код, который делает не то, что нужно. Если потом что-то случится, кто будет нести ответственность? Уже уволившийся айтишник?
Здесь есть такой фундаментальный момент: у нас же, например, все ведущие банки зарегистрированы как ИТ-компании.
Н. К.: Пусть они пишут свои финтехи. Они в этом разбираются, это близко к банковскому бизнесу, и это вполне нормально. Но чем дальше их разработки от банковской сферы, тем хуже получается софт. Некоторые банки объявляют себя, например, великими специалистами по искусственному интеллекту, просто выкачивая ChatGPT и даже не слишком его корректируя, потому что не понимают как. А потом, когда их система выдаёт русофобские лозунги, смущаются и не могут это объяснить.
Да, это отдельная проблема. Ещё одна — утверждение о завышенных ценах со стороны отрасли. С одной стороны, я вижу здесь некое непонимание экономических основ: цена не берётся с потолка. С другой стороны, здесь есть определённая доля правды. Я сам занимался анализом финансовой отчётности и удивился доходам некоторых отечественных разработчиков. Если ты видишь, что из двух миллиардов рублей у фирмы издержки на 500 миллионов, а всё остальное — это прибыль, встаёт вопрос: ребята, может быть, вы действительно завышаете цену? Это не должно столько стоить. Разве я неправ?
Н. К.: Я позволю себе высказать такое предположение. Поскольку и в этом году, и в прошлом, и в позапрошлом у ИТ-бизнеса ставка налога на прибыль была равна нулю, компании совершенно не стеснялись записывать в прибыль всё что угодно. Например, они могли вести часть разработок на аутсорсинге, но не хотели включать затраты. Так довольно часто делают. Или платили часть зарплат с дивидендов, игнорируя налоги.
Это моя гипотеза, ни в коем случае не хочу претендовать на истинность. Со следующего года для ИТ-компаний вводят пятипроцентный налог на прибыль, и вполне возможно, что эти прибыли вдруг снизятся. Интересно будет понаблюдать.
Подсчёт прибыли — это один аспект. Второй аспект — прибыли действительно выросли, поскольку резко выросли доходы. Но при этом не надо забывать, что и требования заказчиков также резко выросли, а это значит, что разработчикам надо нанимать больше людей, зарплаты растут, цены на оборудование сами знаете насколько рванули вверх. Так что расходы тоже вынужденно растут.
И, конечно, я должна сказать, что рост цен — это не тотальное явление по рынку. Мы, например, не подняли цен совсем. За три года у нас ноль повышений цен.
Сергей Демидов (Московская биржа) использовал очень классное выражение: «стокгольмский синдром ИБ». Он описал его так: регуляторы выдумывают всё новые требования, а бизнес радостно бежит их исполнять. Я хотел от этого тезиса оттолкнуться и узнать: на ваш взгляд, как выстраивается сейчас диалог между отраслью и регуляторами? Есть ли он вообще в каком-то виде и можно ли сделать его как-то лучше? Если да, то за счёт чего?
Н. К.: «ИнфоВотч» старается вести диалог с регуляторами. Работаем с Минпромторгом, со ФСТЭК России, с другими ведомствами тоже. Сейчас, скажем, прорабатываем стандарт по защите данных. Как раз ФСТЭК там выступает в роли наблюдателей. Более того, мы их приглашали поучаствовать в разработке. Они не пошли. Их понять можно: в преддверии 2025 года дел у ведомства сейчас невпроворот.
Банк России — на мой взгляд, самый жёсткий регулятор из всех, которые есть. Но я должна отдать Центробанку должное: это единственное ведомство, которое применило полноценный системный подход к импортозамещению. Банк России создал матрицу импортозамещения, где по одной оси установил важность системы для функционирования предприятия, а по другой — степень сложности замещения. Всё это реализовано в схеме классического светофора, который принят у безопасников: зелёный, жёлтый, красный. Начинали замещать то, что легче всего и при этом самое критически значимое, и дальше шли вверх. Это — грамотное управление рисками, и такая ясная, понятная, чёткая матрица даёт хороший фон. Поэтому — да, это жёсткий регулятор, но, с другой стороны, достаточно справедливый и достаточно системный.
Сейчас есть впечатление, будто пик проблем уже позади, впереди всё будет лучше, лучше и лучше, мы уже со всем справились. Так ли это на самом деле? С чем ещё предстоит побороться и где поработать?
Н. К.: На два года я бы не загадывала вообще, максимум на год, потому что мы медленно вползаем в глобальную войну и непонятно, чем это закончится. Что касается ближайших перспектив — у нас с точки зрения импортозамещения всё не слава Богу, потому что отсутствует системный подход — такой, как применил Центробанк. Почему у нас государство не распространит этот подход на все отрасли?
В некоторых отраслях не сдвигается ничего вообще. Где стояли 2,5 года назад, там и стоим. Многие даже не начали приступать к импортозамещению. Это видно по цифрам, которые я приводила в начале нашей беседы.
Например, не так давно, 12 сентября, США ввели очередные санкции по отключению облачных технологий. И сразу начинается плач Ярославны. Мне звонили многие СМИ, говорили, дескать, очень многие компании пострадали. Меня это просто поражает. Почему через два с половиной года после начала крупных масштабных санкций они сидели до сих пор на чужих облачных технологиях? Почему не заменили их на российское или хотя бы на что-то расположенное в России?
И внедрение отечественного идёт очень неравномерно. Те продукты и технологии, которые имели какие-то заделы и сильные отделы разработки, уходят в отрыв. А где у нас ничего не было, так ничего и нет. И это в софте; ситуация с оборудованием — вообще плачевная. Это означает, что мы не смогли пока поднять полное импортозамещение. Следовательно, мы продолжаем работать на импортном оборудовании и угрозы кибератак меньше пока не становятся.
Я вижу, что в целом рынок уходит от конкуренции между отдельными продуктами. Сейчас мы всё чаще сталкиваемся с конкуренцией экосистем, когда заказчик вынужден выбирать между целыми комплексами продуктов от одного или другого вендора. Кто-то этому сопротивляется, но мне кажется, что в целом такая тенденция есть.
Н. К.: У меня другой взгляд на это. Архитектура платформы может быть открытой или закрытой. Например, «ИнфоВотч» строит свою платформу по защите данных на принципах открытости. Это значит, что у нас есть открытый API и любой разработчик, который хочет интегрироваться с нашим продуктом, может это сделать без нас. А для заказчиков получается новое решение.
Приведу примеры этих разных подходов: Android и iOS. У Apple всегда была концепция закрытой архитектуры. «Мы делаем всё, мы контролируем ваше приложение. Если ваше приложение не прошло через нашу лабораторию, вы не можете встать в Apple Store». Подход Android — иной: вы сами тестируете, нам присылаете, мы выставим в маркет всё, что вы разработали. В результате на «Андроиде» — миллионы приложений, на iOS — сотни тысяч. Это колоссальная разница.
Подход «ИнфоВотч» близок к «Андроиду»: мы делаем открытую экосистему. Мы не хотим делать всё сами, потому что, во-первых, мы не специалисты во всём, а во-вторых, мы хотим фокусировать усилия, хотим доставлять клиентам лучший продукт по части того, в чём разбираемся. Всё остальное, пожалуйста, интегрируйте с нашей системой защиты данных. У нас сейчас 87 интеграций. Это больше всех на рынке ИБ, насколько мне известно. И мне кажется, что такой подход — гораздо более перспективный.
На ваш взгляд, есть ли у наших технологий сейчас экспортный потенциал? Я вижу, что многие вендоры пытаются выходить в дружественные страны, но о хороших результатах я ни от кого не слышал. Эта история закрыта на года или всё-таки здесь можно работать?
Н. К.: Во-первых, мы всегда работали и работаем с ближним зарубежьем. Сейчас стали работать активнее. Во-вторых, есть большой интерес в странах Юго-Восточной Азии, которым объективно не хватает технологий. Мне, конечно, хотелось бы видеть на иностранных рынках не только «ИнфоВотч», но и вообще больше отечественных разработок, благо они в стране есть.
Я вижу это как некое предложение от страны в виде наборов продуктов в разных отраслях: набор для банковской отрасли, набор для интернета (интернет под ключ), набор для информационной безопасности и тому подобное. При этом многие российские компании готовы не только поставлять софт, но и открывать исходные коды, давать право на модификацию, готовы на ребрендинг и многое другое.
Это предложение прямо противоположно тому, что делают, например, американские компании, которые в своих лицензионных соглашениях прямо запрещают декомпилировать и дизассемблировать софт, а также продают его «как есть». Мы же можем сказать: пользуйтесь, учитесь, создавайте новые произведения при помощи этого продукта, пожалуйста. Почему нет? Это, на самом деле, не новый подход. В своё время Советский Союз ровно так и поставлял свои технологии.
Да, я как раз тоже хотел об этом сказать.
Н. К.: Инженерные решения Советского Союза были устроены таким образом: приезжали инженеры, строили, условно, гидростанцию или завод, обучали местный персонал и уезжали. У местного населения (и у местных царей, да) появлялся свой собственный завод, они могли на нём что-то делать. А наши «коллеги» из США на камеру раздавали еду бедным и трубили на весь мир о своей гигантской помощи. Два совершенно разных подхода. Мы готовы учить, вытаскивать страны из цифровой нищеты, и мы как страна это можем. Скоординировать только всё это надо.
Я надеюсь, что у нас это получится.
Наталья, спасибо большое за беседу! Было очень интересно пообщаться.
