Отечественные разработчики могут блоху подковать, но никому об этом не скажут

14.03.2023

Доходы российских разработчиков решений по кибербезопасности в 2022 г. выросли. Среди причин увеличения выручки — необходимость реагировать на беспрецедентное количество хакерских атак, замещение ушедших зарубежных вендоров и ужесточение регулирования сегмента информационной безопасности (ИБ). Наталья Касперская, председатель правления АРПП «Отечественный софт», президент ГК InfoWatch, в интервью «Ведомостям» рассказала о том, какие зарубежные IT-решения не получается заменить, почему госкомпаниям порой вредно разрабатывать собственный софт, как эффективнее бороться с утечками персональных данных и почему ее не пугает эмиграция айтишников.

Наталья Касперская.jpg— В 2021 г. выручка InfoWatch составляла 1,9 млрд руб., прибыль — 116 млн руб. Как вы закончили 2022 г.?

— В 2022 г. выручка была на уровне 2,2 млрд руб., т. е. выросла на 16%. Прибыль пока не посчитали.

— Это сильно отличается от ваших прогнозов?

— По плану было чуть больше. Но никаких особых провалов и изменений в отличие от ковидного года (2020 г. — «Ведомости»), когда в апреле встали все продажи и мы не знали, что будет завтра. В прошлом году ничего такого не было. Многие компании заявляют, что у них дикий рост в связи с импортозамещением, а в нашем сегменте, к счастью или к сожалению, все заместили еще пять лет назад, и у нас на рынке почти не осталось иностранных игроков. Я имею в виду рынок DLP (Data Leak Prevention — специализированное ПО для защиты от утечек данных). Россия по количеству DLP-решений впереди планеты всей — у нас их семь отечественных. Кстати, и в других областях ИБ, например в антивирусах, тоже доминируют отечественные решения.

«Если мы что-то воруем, то почему бы странам, куда мы экспортируем, не начать делать то же самое?»

— Как вы оцениваете успехи проводимого в стране импортозамещения по другим сегментам?

— В стране наконец-то началось реальное импортозамещение, а не молчаливый саботаж, когда говорится одно, а делается совершенно другое. В 2022 г. импортозамещением реально занялись даже коммерческие компании, которые раньше смотрели на него сквозь пальцы. Цифр пока нет, но мне кажется, процент там хороший. Надо понимать, что импортозамещение не происходит вот так сразу, скачкообразно. Если компании не имели глупость купить, например, западный облачный сервис, который им просто отключили, то во всех остальных случаях решения продолжают работать, поэтому их замещение — долгий процесс.

— Много ли российских компаний до сих пор пользуются зарубежными решениями?

— Многие заказчики, с которыми мы общались, продолжают использовать то импортное, что купили раньше. Они понимают, что со временем ПО будет деградировать, потому что любое решение нуждается в обновлении, но пока неспешно ищут на рынке что-то аналогичное по функционалу.

— Какие типы решений не спешат заменять?

— Офисный софт, промышленный софт и ERP-системы (системы планирования ресурсов предприятия). Самые тяжелые для замены — системы управления предприятием и продажами, потому что их внедрение занимает очень много времени и затрагивает все процессы в компании. Когда люди уже внедрили ERP, приложив кучу усилий, им не хочется снова переживать внедрение, поэтому это точно задача не первого года.

— Как раз для таких ситуаций, когда компания хочет продолжать использовать иностранное ПО или когда отечественного решения нужного класса нет, обсуждался вопрос принудительного лицензирования иностранного софта. Насколько нам известно, в начале февраля законопроект планировали представить в обновленной версии, потому что первая не получила одобрения Минцифры. Как сейчас обстоят дела с этим законопроектом?

— Я могу сказать от имени АРПП «Отечественный софт», что здесь мы солидарны с Минцифры и выступаем категорически против. Введение принудительного лицензирования — это, по сути, узаконивание пиратства, которое нашей стране ничего хорошего не принесет. Если мы у себя в стране что-то воруем, то почему бы странам, куда мы экспортируем софт, не начать делать то же самое?

Во-вторых, непонятным является расчет платежей за иностранный софт. Ведь обычно цены на ПО устанавливаются вендором исходя из конкурентной ситуации на рынке и объема закупок. А тут кто будет определять эти цены? Не брать же их с американских сайтов производителей ПО?

В-третьих, непонятно, за что вообще российские компании должны платить. Они же не получат за свои деньги (как бы там ни определили сумму покупки) ни обновление софта, ни его техподдержку. Они что, за воздух должны платить?

Ну и, наконец, разработчики отечественного ПО опасаются, что при принудительном лицензировании иностранного софта российские компании не будут спешить покупать отечественный.

«Придут госкорпорации с огромными деньгами и начнут разрабатывать какой-нибудь общеупотребительный софт»

— Разрабатываются ли еще какие-то механизмы поддержки производителей отечественного ПО или продолжения работы с западными игроками?

— Каждая компания на свой страх и риск решает, готова ли она продолжать работать с западным ПО. Чтобы помочь им, в прошлом году правительством было принято решение создать индустриальные центры компетенций по замещению зарубежных отраслевых цифровых продуктов и решений (ИЦК) и центры компетенций по развитию российского общесистемного и прикладного программного обеспечения (ЦКР). ИЦК должны оценить потребность разных индустрий в определенном софте. Они составили списки решений, которые были ранее и которые доступны сейчас, чтобы понять, насколько они соотносятся и удовлетворяют потенциальных клиентов. Почти по всем категориям им удалось найти российские аналоги. Далее предполагается давать субсидии на те виды ПО, аналоги которых либо отсутствуют, либо не дотягивают по функционалу до иностранных конкурентов.

Из нескольких сотен категорий нашлось всего 20-25, по которым аналогов нет. Это, например, очень специфические вещи типа управления продвижением лекарственных препаратов или управления процессом поставки и распределения нефтепродуктов. Узкий, специализированный, сложный софт. По таким направлениям и должны давать субсидии, но пока непонятно, кому их давать и по какому принципу.

Вторым направлением являются ЦКР, которые развивают не индустриальный софт, а средства разработки, операционные системы и т. д., то, что нужно непосредственно для функционирования IT. Там тоже есть значительные дыры. На их закрытие тоже должны выделяться субсидии и гранты.

— Некоторые разработчики ПО жаловались, что гранты, которые Минцифры обещало в рамках ЦКР, так никто и не получил.

— Нет, гранты выдавали точно, может, не в рамках ЦКР, но я знаю несколько компаний, которые их получили в прошлом году. Российский фонд развития информационных технологий (РФРИТ) отработал довольно энергично. На них была совершена DDоS-атака в том смысле, что одномоментно пришло около 1400 заявок, которые им пришлось быстро разбирать, поэтому могли быть ошибки.

— В этом году история с выдачей грантов продолжится?

— Мне кажется, да. Я не слышала, чтобы ее сворачивали. Однако в процедуре выдачи грантов РФРИТ есть некая непрозрачность, в этом плане он уступает «Сколково», которое за годы своего существования ее отработало. На месте РФРИТ я бы полностью скопировала эту процедуру. Сейчас многие компании жалуются, что они не получают никакой обратной связи по своим заявкам, а потом вдруг им отказывают без объяснения причин. Представляется разумным создать механизм, который будет открытым.

— А помимо прямых денежных вливаний в виде грантов есть еще какие-нибудь меры поддержки в разработке?

— Шла речь о поддержке заказов, ИЦК как раз для этого создавались. Планировалось давать заказчикам деньги на закупку отечественного софта. Но эти деньги, по-моему, выдавать не начали. По крайней мере я об этом не слышала.

— Эти гранты не стали выдавать из опасений, что исполнителями по контрактам станут «дочки» крупных компаний и госкорпораций, которые будут разрабатывать ПО в интересах собственных головных структур, а не рынка.

— Есть такой риск, АРПП как раз боится, что придут госкорпорации с огромными деньгами и начнут разрабатывать какой-нибудь общеупотребительный софт. С ними трудно конкурировать, потому что у них административный ресурс и неограниченное количество денег. Мы за то, чтобы давать шанс рыночным игрокам. Все-таки каждый должен заниматься своим делом. Например, в общесистемном софте уже есть много хороших качественных отечественных решений. Зачем же разрабатывать с нуля аналоги существующего?

С модой на цифровизацию многие стали мнить себя IT-компаниями. При этом они думают, что если сегодня они прочтут, скажем, книжечку по Agile, внедрят у себя Agile-разработку, то завтра у них будет прекрасный продукт, который станет превосходить по качеству продукты Microsoft. С чего бы вдруг? Они никогда ранее этим не занимались, разработка софта — весьма специфическая деятельность. Я видела десятки случаев, когда компании с большими деньгами нанимали неправильных людей, делали неверную архитектуру, а потом закрывали проект, потому что ничего не вышло.

«Грань между open-source и проприетарным ПО в современном мире нечеткая»

— Как вам кажется, есть ли шанс, что через годы иностранные компании вернутся на российский рынок, когда он еще не успеет окрепнуть? И все деньги на гранты будут потрачены зря, потому что все заказчики вернутся на продукты, которые использовали исторически.

— Такой риск есть. Нужно хотя бы 2-3 года, чтобы реально заместить многие направления, потому что пока еще мы находимся в точке, когда возврат возможен. Если вернется Microsoft, все выберут его, потому что это проще, удобнее и качество гарантировано. Но качество нарабатывается, если есть живые клиенты с высокими требованиями. Поэтому если сейчас выбрать свое, то за 3-4 года качество вырастет до приемлемого уровня. Надо только, чтобы наши компании поняли, что в России есть неплохие разработки.

АРПП старается помогать процессу этого выбора. В прошлом году, например, АРПП организовала мероприятие для промышленных предприятий Самары по наиболее острым темам импортозамещения. Компании ассоциации выступали с докладами о своих решениях, а промышленники задавали вопросы. Многие удивлялись — сколько у нас, оказывается, софта в стране.

Мы хотим практику таких встреч продолжать, потому что донесение информации до потенциальных клиентов у отечественных разработчиков очень страдает. Они часто могут подковать блоху, но не умеют об этом рассказать. Это бич наших компаний. Они любят писать брошюры, которые никому не понятны, углубляться в технические детали своих решений, которые заказчику не очень нужны, а о функциональных возможностях молчат как партизаны.

— Насколько активнее разработчики в прошлом году регистрировали новые продукты в реестре отечественного ПО?

— В 2021 г. в реестр было включено 3668 новых продуктов, а в 2022 г. — еще 3745. Рост связан не с текущей ситуацией, а с тем, что с начала 2021 г. было принято решение о возврате 20% НДС на иностранный софт, при этом НДС на российский софт остался нулевым. Тогда все ломанулись подавать свои продукты в реестр, что и привело к резкому росту заявок в последние два года.

— Одной из проблем реестра было то, что часть продуктов в нем создавалась на основе открытого кода, причем не всегда значительно переработанного. Удалось ли эту проблему решить?

— Это очень тонкий вопрос, потому что у нас много чего пишется с использованием open-source библиотек. Если вы возьмете любое проприетарное ПО, то, скорее всего, найдете там десятки, а то и сотни open-source библиотек. Поэтому грань между open-source и проприетарным ПО в современном мире нечеткая. О том, где провести границу и что включать в реестр, было очень много споров на экспертном совете в Минцифры. В результате разработчики и министерство достигли консенсуса: если есть команда, которая способна поддерживать ПО в условиях отключения, например, кода основной ветки, то мы считаем, что это ПО можно включить в реестр.

Конечно, встает вопрос: как определить, что команда способна поддерживать работу ПО? Предлагалось, например, прописывать, какое количество людей для этого нужно, но по разным типам софта количество людей должно быть разным. Для поддержки операционной системы нужны десятки людей, а для поддержки небольшой программки хватит и одного. Поэтому сейчас решения принимаются экспертным путем. Но единого решения для всех классов софта нет. Более-менее удалось договориться по тому, как принимать в реестр операционные системы: наличие собственной команды разработки, команды поддержки, а также гарантия поддержания работы операционки при отключении основной open-source ветки.

«Мы нежданно-негаданно для себя шагнули в направление Firewall»

— Могут ли на российском рынке ИБ в горизонте года-двух произойти знаковые сделки? Например, в декабре 2022 г. «Росатом» объявил о покупке 50% «Кода безопасности», летом 2022 г. МТС выделила активы в сфере кибербезопасности в новое подразделение. Есть ли сейчас на ИБ-рынке место для новых игроков?

— И новые компании будут возникать, и поглощения будут. Возникают новые проблемы, новые уязвимости, и порой стартапы решают эти проблемы быстрее, чем крупные игроки. Что касается поглощений — этот процесс тоже идет. И как раз компании, которые раньше ИБ не занимались, начинают ею заниматься, часто путем инвестиций в другую российскую компанию. Но хорошо бы, чтобы при таком инвестировании у компании-разработчика сохранялась самостоятельность.

— Планирует ли InfoWatch какие-то сделки или вы будете оставаться самостоятельной компанией?

— Продаваться мы не планируем, у нас все хорошо с прибылью, с доходностью и с рынком, а кроме того, есть много интересных задач. У нас есть сейчас большое направление — защита АСУ ТП (автоматизированная система управления технологическим процессом). И нам бы его в этом году надо развивать дальше.

— Что уже для этого сделано?

— За четыре года мы выпустили уже третью версию продукта. Защита АСУ ТП — это система мониторов, которая устанавливается дополнительно к текущим датчикам и смотрит за тем, чтобы не было противоправного вмешательства. До недавнего времени этот сегмент рынка развивался плохо, потому что производители АСУ ТП заявляли о наличии встроенных средств безопасности. Однако в России большинство АСУ ТП из недружественных стран. И в прошлом году всем стало понятно, что встроенной защиты недостаточно, поэтому у нашей компании количество пилотов на направлении защиты АСУ ТП выросло в 10 раз. Пока оно не трансформировалось в деньги — у крупных компаний всегда долгий цикл тестирования и закупки. Но я надеюсь, что деньги мы увидим уже в этом году.

Помимо того, мы нежданно-негаданно для себя шагнули в направление межсетевых экранов (Firewall). Нас к этому подтолкнули заказчики из корпоративного сегмента, протестировавшие наш промышленный межсетевой экран для АСУ ТП и попросившие его «слегка» доработать. На доработку потребовалось месяцев 6-7, и к концу года мы представили решение, которое вполне решает задачи малого и среднего бизнеса. Редкий случай, когда продукт появился сам собой. Активный запрос с рынка нас на это подвигнул.

— Спрос есть, потому что ушли поставщики зарубежные?

— Да, причем ушли резко, а делать-то что-то надо. И те, кто не успел купить что-то до СВО, ищут сейчас отечественные аналоги.

— «Коммерсантъ» писал о возможном интересе группы Т1 к покупке вашей компании. Насколько это достоверная информация?

— Это как выдавать дочку сибирского мужика замуж за Рокфеллера. Нам позвонили и сказали: «Вы ведете переговоры с Т1, у нас есть надежный источник». Мы ответили, что мы переговоры не ведем, а потом выходит статья на эту тему. Пришлось найти контакт директора Т1 и задать вопрос ему. Он ответил, что о переговорах узнал из прессы. Такой вот поворот.

Кстати, зачем дистрибутору покупать вендора — это большой вопрос. Потому что, покупая конкретного вендора, он сам себя ограничивает от продажи конкурентных решений других производителей.

— В InfoWatch подсчитали, что в 2022 г. количество утечек конфиденциальных данных из госсектора выросло в 1,5 раза, при этом готовящийся закон об оборотных штрафах госорганов не коснется. Считаете ли вы, что аналогичный подход надо распространить и на госсектор?

— Я, честно говоря, не очень верю в то, что оборотные штрафы будут работать, по трем причинам. Первое. У любой утечки есть конкретный инициатор. В основном это рядовые сотрудники, которые получают свой маленький доход от продажи персональных данных либо клиентов, либо сотрудников. Их оборотный штраф на компанию не заденет никак. Просто крупные компании начнут включать оборотные штрафы в бюджет на следующий год, что никак не улучшит ситуацию с утечками.

Вторая причина — сами компании довольно беззастенчиво используют персональные данные своих клиентов, в том числе продавая их или используя не по назначению. Полагаю, они также предпочтут заплатить штраф, чем отказаться от дополнительного «бизнеса». И третье. Оборотные штрафы никак не повлияют на госорганы, а утечек из них, к сожалению, тоже довольно много.

Нарушители, естественно, попытаются отвертеться. Например, сейчас популярна версия о том, что за прошлый год все данные россиян уже были слиты украинцами и проданы. Это сейчас основная причина, по которой предлагается не ужесточать закон. Однако если не ужесточать закон, то мы не сможем остановить вакханалию с хищениями персональных данных, чем особенно грешат некоторые мобильные операторы.

— Была еще идея с персональной ответственностью для должностных лиц.

— На мой взгляд, ужесточение персональной ответственности за потерю или хищение данных действительно бы повлияло на ситуацию в лучшую сторону. И в этом смысле неважно, госорганы это или коммерческая компания. Если украдены персональные данные, значит, нарушен закон и виновные должны быть наказаны. И это должны быть серьезные наказания, чтобы люди осознавали последствия.

«Популярность профессии айтишника, очевидно, снижается»

— Какое у вас мнение по поводу так называемой кибервойны, она действительно ведется против России?

— Против нас, конечно, ведутся довольно активные действия в сети, причем они гибридные. Это и воздействие на ментальную сферу, и воздействие на IT-структуры. Но что такое кибервойна? Все наши IT-системы в массе своей построены либо на иностранных компонентах, либо на иностранных базах. При жестком сценарии значительную их часть можно было бы вообще удаленно отключить. Но они этого не делают, из чего мы можем сделать вывод, что жесткий сценарий пока не настал.

— А может настать?

— Это зависит от того, как все будет развиваться и насколько Запад будет готов. Массовое отключение инфраструктуры — это уже практически прямое объявление войны. Кроме того, универсальность информационных технологий является также их слабостью, поскольку слишком много людей знают, как они устроены, и способны находить в них уязвимости. Мнение о том, что русские хакеры всесильны, сильно преувеличено, конечно, но тем не менее какие-то возможности у них есть. Поэтому если будет реализован жесткий сценарий, то он не останется без ответа. К тому же этот сценарий можно использовать только один раз. Из этого, кстати, следует, что чем быстрее Россия проведет импортозамещение, тем сложнее будет применить к ней жесткий сценарий.

— Если жесткий сценарий все же будет, по какой отрасли это ударит больше всего? Энергетика, финансы, транспорт?

— По отрасли, которая наиболее цифровизована, потому что цифровизация последних лет, к сожалению, не включала в себя требования по информационной безопасности. Когда безопасники говорили о возможных рисках, их не слушали. А сейчас внезапно все встрепенулись и начали включать требования по ИБ во все госпрограммы. Но насколько это реально усилило безопасность существующих объектов — непонятно.

— В последнее время много говорят, что у нас финансовый сектор очень хорошо цифровизован. Какие еще сегменты хорошо цифровизованы?

— Очень хорошо цифровизованы госуслуги. Активно цифровизовалась энергетика, но как раз энергетика ставит жесткие требования к безопасности. Там бездумно интернет вещей не внедряется. Основные риски связаны как раз с интернетом вещей, когда в существующую систему дополнительно устанавливаются устройства с прямым доступом в интернет. Тогда на эту систему начинают распространяться угрозы, свойственные интернету, — компьютерные вирусы, черви, DDoS-атаки и проч.

— Все пытаются подсчитать, сколько айтишников уехало в прошлом году в «Яндексе» и других крупных компаниях. Коснулась ли эта проблема ИБ-сектора и считаете ли вы, что айтишников нужно возвращать?

— В ГК InfoWatch уехало суммарно человек 15, наверное. Часть из них вернулась, часть — нет. Но рынок поменялся в лучшую сторону по сравнению, скажем, с 2021 г. Заработные платы айтишников с 2017 г. росли все время, год от года, и это становилось каким-то кошмаром, потому что основной расход для компаний-разработчиков, около 80%, — это как раз оплата труда. В этом году рост зарплат приостановился, и вакансии стали закрываться существенно быстрее. Так что в целом я оцениваю ситуацию более положительно, чем год назад. Поэтому надо ли принудительно возвращать айтишников? Не знаю.

— То есть рынок сейчас, в принципе, полон кадров?

— Да, их стало больше. Я думаю, что часть вышла на рынок после исхода иностранных компаний, которые попытались кого-то релоцировать, но всех не перевезешь, люди же не рабы. Сколько продлится эта ситуация, я не знаю, наверное, рано или поздно они все найдут работу. С другой стороны, и проектов по цифровизации стало меньше, а следовательно, меньше работодателей. Последнее, кстати, верно не только для России — посмотрите на массовые сокращения у мировых IT-гигантов. Популярность профессии айтишника, очевидно, снижается.



Компании упомянутые в новости:  ИнфоВотч
Источник:  «Ведомости»
Ссылка:  https://www.vedomosti.ru/technology/characters/2023/03/14/966324-otechestvennie-razrabotchiki-mogut