Сергей Шерстобитов
Окончил Российский государственный гуманитарный университет, факультет защиты информации (с 2013 года — Институт информационных систем и безопасности). Специальность «Комплексная защита объектов информатизации», диплом с отличием.
В 2013–2015 гг. обучался в Научно-исследовательском университете «Высшая школа экономики» по программе MBA «Стратегический менеджмент».
В 2022–2023 гг. прошёл образовательную программу «СКОЛКОВО Практикум».
Работает в сфере информационной безопасности более 25 лет. В 1998 году начал карьеру в одном из научных центров Минатома РФ (сейчас — «Росатом»). С 2000 по 2014 гг. последовательно в роли менеджера по продажам, заместителя коммерческого директора и генерального директора ГК «Информзащита» отвечал за развитие бизнеса в России и на международном рынке.
В 2015 году основал компанию Angara Security (ООО «АТ Груп»). Сегодня это ведущий российский ИБ-интегратор и провайдер более 80 услуг в сфере информационной безопасности.
Компания входит в топ-10 крупнейших поставщиков решений в сфере ИБ в России и в топ-3 крупнейших поставщиков сторонних ИТ-решений из реестра отечественного ПО по версии TAdviser. Аккредитована Минцифры РФ, имеет лицензии ФСТЭК и ФСБ России, участвует в информационном обмене с ФинЦЕРТ.
Компания Angara Security готовится праздновать 10-летие. Самое время вспомнить, с чего всё начиналось. Что не получалось? Как найти своё место на сложном рынке информационной безопасности? О каком ещё успехе мечтать, когда ты уже на вершине? Поговорим об этом с генеральным директором Angara Security ― Сергеем Шерстобитовым.
Как вы пришли в ИБ и как на тот момент развивался рынок? С чего начинали строить компанию?
С. Ш.: Этим ремеслом я занимаюсь уже больше 30 лет. Когда-то я учился кибербезопасности, недолго работал на позиции заказчика на одном из предприятий Министерства атомной промышленности. С 2000 года работаю на стороне коммерческих компаний, занимаюсь продажами, интеграцией.
Ещё в начале нулевых некоторые заказчики придерживались мнения, что рынок кибербезопасности себя исчерпал. Компании подгоняли свои системы только под действующие документы Гостехкомиссии и ФСТЭК. Поэтому некоторые думали, что рынок в 2002–2003 годах остановился. Это совершенно не так. Я наблюдаю всё это время его бурный рост и не вижу никаких предпосылок для стагнации.
Кибербезопасность ― неотъемлемая часть нашей жизни. Цифровая трансформация, автоматизация бизнес-процессов и даже роботизация делают технологии, с одной стороны, более автономными, а с другой — более уязвимыми. Развивается и регуляторика. Всё это влечёт за собой ужесточение требований по кибербезопасности.
Единственное, что изменилось на рынке, ― количество доступных соискателей. Вспоминаю слова — свои и моих коллег — в середине нулевых: «Как трудно найти людей». Дефицит сумасшедшим образом нарастает. Сейчас это вообще главный сдерживающий фактор развития бизнеса. Ситуация не будет становиться лучше; нам всем, и заказчикам, и разработчикам, следует готовиться к тому, что количество задач будет заметно превышать число способных их решать профессионалов.
За 10 лет пройден огромный путь. Насколько он был трудным? Что получилось не так, как хотели изначально? Что бы вы сейчас делали иначе?
С. Ш.: Были две глобальные сложности. Первое ― это изменение самого себя. Я бы рекомендовал не останавливаться в образовании. Я ― апологет подхода «учиться в течение всей жизни». Второе ― собрать сплочённую и профессиональную команду. Те, кому это удалось, успешны на рынке, мы все их знаем. Те, у кого не получилось, быстро уходят. Работа с людьми ― это один из самых сложных аспектов. Мы работаем со звёздами, к каждой из которых нужен индивидуальный подход. Но если у тебя получается, это заводит и придаёт энергии.
Что бы вы посоветовали с высоты своего опыта тем компаниям, кто сейчас приходит в ИБ?
С. Ш.: Самое важное ― взаимодействие с людьми с ориентацией на долгосрочный результат и сотрудничество. Другой вариант ― результат здесь и сейчас — тоже имеет право на жизнь, но он краткосрочный. На мой взгляд, правильно ориентироваться на будущее. Стоит вкладывать сейчас в будущее своей команды время, усилия, деньги, чтобы она через год, три года, пять лет была успешной, стабильной и эффективной.
Сейчас компании конкурируют не продуктами и услугами, а культурами. Какая культура (или, как сейчас принято говорить, ДНК) у «Ангары», что в ней особенного?
С. Ш.: Культуру должен создавать топ-менеджмент компании. Важно выстраивать её на всех уровнях, чтобы коллеги где-то становились друзьями, наставниками, формируя единую систему ценностей и помогая компании согласованно двигаться вперёд. По-другому ДНК не формируется и не приживается.
Компанию сейчас нельзя рассматривать в вакууме. Любой рынок для настоящих профессионалов — компактный. Все знают лучших профессионалов и середнячков на нашем тесном рынке ИБ. Именно на кадры идёт основная охота. ДНК должна быть такой, чтобы привлекать и удерживать людей. Нужно показывать, что вы даёте сотрудникам за их приверженность корпоративным ценностям. Люди ценят и понимают, когда им дают определённую свободу, в их развитие вкладываются, создают условия для дальнейшего роста. Это хорошая школа в профессии. Те, кто через неё проходит, становятся сильнее, умнее, выносливее, изобретательнее и стратегически конкурентоспособнее.
Что сегодня представляет собой рынок информационной безопасности и какое место на нём занимает Angara Security?
С. Ш.: Рынок информационной безопасности совершил большой рывок за последние годы. Это характеризует и техники / тактики нападения, и средства защиты. Это традиционное соревнование брони и снаряда. Если в прошлом киберпреступники руководствовались целями финансового обогащения, то в последние пару лет мы столкнулись с тем, что активность злоумышленников нацелена на вывод из строя критически важных секторов экономики. Целями могут быть предотвращение доступа граждан к «Госуслугам», затруднение доступа к коммунальным сервисам.
Мы входим в тройку лидеров среди негосударственных компаний, которые представляют рынок в части интеграции, и у нас есть две задачи. Задача-минимум ― в этой тройке удержаться, задача-максимум ― её возглавить. Этого получится достигнуть только в том случае, если упорно трудиться и предлагать рынку инновационные удобные продукты и сервисы.
Насколько изменились за 10 лет угрозы, с которыми сталкивается бизнес? Как менялся подход к борьбе с ними?
С. Ш.: Методы взлома становятся более изощрёнными. Можно сказать, что мы участвуем в кибервойне. Она разворачивается как между отдельными группировками, так и между специальными службами противоборствующих стран. Это повышает требования к кибербезопасности на всех уровнях иерархии (госорганы, крупные корпорации). В последнее время всё чаще слышим об атаках через цепочки поставок, через дочерние предприятия, подрядчиков, поставщиков и прочее. Социальная инженерия в наше время вообще приобрела масштабы эпидемии.
Я пока не вижу, чтобы количество задач по обеспечению информационной безопасности снижалось. Мы сейчас находимся в интересном временном промежутке, когда классические средства защиты есть у многих крупных компаний. Более мелким предприятиям ещё, конечно, есть чем заниматься. Другой аспект ― мы понимаем, что кибербезопасность не бывает абсолютной и идеальной. Всегда есть место человеческой ошибке, какой-то коллизии в настройках, из-за которых система может быть скомпрометирована. В этом случае будет определённый рост у сегмента страхования киберрисков. Если до конца года Государственная Дума утвердит законопроект об оборотных штрафах, это станет хорошим стимулом для повышения нашего киберздоровья.
Каким вы видите российский рынок через три года?
С. Ш.: С одной стороны, безусловно, не будет ослабевать давление на рынок. Количество атак тоже не будет снижаться. Пока нет предпосылок к тому, чтобы это произошло. С другой стороны, количество денег, которые заказчик готов потратить на защиту, вряд ли станет больше.
Сейчас по-прежнему актуален вопрос импортозамещения. Под это были забюджетированы значительные средства. Они уже тратятся с 2023 года и по ряду направлений будут расходоваться и дальше. Однако очень трудно, в силу масштабов распределённости крупных компаний и возможностей наших производителей, «по щелчку» переоснастить всю инфраструктуру с зарубежных решений на отечественные.
Если ничто принципиально не изменится в регулировании и формировании ниш на рынке, то, думаю, в течение 2025–2026 годов этот эффект будет исчерпан и дальше мы перейдём на более спокойный рост. Внедрение простых и понятных сервисов кибербезопасности, которые позволят надлежащим образом защищать активы среднего бизнеса и предоставлять сервисы страхового покрытия, также станет мощным стимулом для индустрии.
Возможен ли сценарий, при котором вернутся зарубежные вендоры?
С. Ш.: Безусловно, возможен. Это вопрос времени. После любого кризиса ему на смену приходят мир и нормализация договорённостей. История человечества видела немало таких примеров. Но тут нужно сделать одну важную поправку: зарубежные поставщики уходили с рынка вероломно. Они обнулили все договорённости, многолетние инвестиции в инфраструктуру, людей, доверие. Этот кризис преодолеть будет крайне трудно — из-за опасений по поводу повторения ситуации.
Наверное, в каких-то нишах они себя найдут. Скорее всего, это будет малый и средний бизнес, где по соотношению цены и качества они пока могут быть более эффективными. Для того чтобы успешно конкурировать с ними, мы должны выходить на зарубежный рынок и догонять их по количеству инсталляций. Тогда мы сможем играть в одной лиге, и это будет другой мир, иная картина. Другой вариант ― введение ограничительных и протекционистских мер со стороны нашего правительства. Иначе говоря, успех возврата зарубежных вендоров будет зависеть от двух факторов: насколько государство позволит это сделать и насколько клиенты будут готовы это покупать.
«Джентльменский» набор инструментов для защиты бизнеса: существует ли он? Или для каждого сектора это — индивидуальная история?
С. Ш.: «Джентльменский набор», безусловно, существует. Он должен включать в себя меры по защите инфраструктуры организации и базовые инструменты, которые она должна внедрить в свою работу. Уже это будет являться минимальным достаточным уровнем для обеспечения кибербезопасности. Главное в этом вопросе ― не быть последним. Перед любым взломом выполняются разведка и анализ, для проведения атаки выбираются самые уязвимые элементы.
На «джентльменский набор» в большей степени влияет не столько отрасль, сколько масштаб компании. Впрочем, отрасль тоже определяет уровень зрелости. Например, у нас в России традиционно в авангарде безопасности находится финансовая сфера. Это банки, страховые компании, МФО ― все те, кто находится под контролем Центробанка. Он внимательно следит за тем, как выполняются требования по информационной безопасности, разрабатывает стандарты, контролирует их соблюдение.
Контроль Центробанка и давление мошенников (для которых охота за «живыми» деньгами интереснее) приводят к тому, что эти два течения сталкиваются и выводят финансовую сферу нашего рынка в число пионеров. Энергетика и госструктуры, думаю, тоже немало внимания уделяют вопросам кибербезопасности. Тут ещё нужно смотреть, как чувствует себя отрасль в существующих реалиях. Но те, для кого киберзащита производства является критически важным моментом, безусловно, будут уделять этому направлению внимание.
Каким вы видите дальнейший путь развития компании?
С. Ш.: Одно из потенциальных направлений, которое мы хотим протестировать, ― выход на зарубежные рынки. Там есть спрос на альтернативу доминирующим американским разработкам. Мы планируем для себя выход чуть дальше СНГ. Наверное, это будут рынки Юго-Восточной Азии и какие-то регионы Северной Африки. Но пока это гипотеза. Сейчас мы проводим тестирование; примерно через год, к концу 2025-го, мы поймём, насколько справедливы были наши гипотезы.
Чем вы гордитесь?
С. Ш.: Предметов для гордости немало. Размер компании по количеству сотрудников и уровню выручки ― самый объективный индикатор успешности модели. Одна из лучших команд на рынке. Качество предлагаемых услуг. Наш софт и сервисы. Уникальные для российского рынка проекты (решения по поведенческой аналитике). Партнёрская сеть. Репутация надёжного и ответственного партнёра.
О чём вы мечтаете для отрасли, компании и для себя лично?
С. Ш.: Что касается отрасли, убеждён, что та турбулентность, в которой мы оказались, ― временная.
За последние два года выросло огромное количество компаний-разработчиков. Они, прежде всего, инжиниринговые по своей сути. Это толковые ребята, инженеры, на волне роста рынка почувствовавшие себя успешными бизнесменами. Они начинают двигать свои продукты, не понимая своей принципиальной роли на рынке.
Если говорить об Angara Security, мы ― системные интеграторы. У нас есть разработка ― мы нацеливаем её на автоматизацию, улучшение клиентских сервисов. Есть вендоры, которые занимаются разработкой продуктов, их технической поддержкой и сопровождением. Это — тоже понятная модель. Есть дистрибьюторы. Важно, чтобы все работали в своих нишах, выполняя поставленные задачи, соблюдая деловую этику. Как только начинается смешивание функций, новички на рынке совершают свою главную ошибку: обрезают возможности для масштабирования. Эта тенденция со временем уйдёт, все снова вернутся к тому, чем должны заниматься.
Я верю, что в России есть возможности для развития и масштабирования частного бизнеса. Здоровая конкуренция делает нас более «поджарыми». Независимая частная компания Angara Security ― яркий пример.
Для себя лично хотел бы нового генерального директора «Ангары». Процедуры и практика операционного управления уже достаточно отработаны компанией, хотелось бы заняться каким-то трансфером, обменом опытом с молодёжью, новичками, улучшить взаимодействие с вузами.
Сергей, ещё раз поздравляем компанию с 10-летием. Большое вам спасибо за интересную и познавательную беседу!
