Positive Technologies — РБК: «Эта русская компания точно связана с KGB»
«Предпочитаю считать, что это ошибка»
— Администрация президента США Джо Байдена ввела новые санкции в отношении более чем 30 российских компаний и физлиц, в том числе Positive Technologies. Это было для вас неожиданностью или допускали такой риск?
— Нас никто не предупреждал. Были ли мы готовы? Да. Потому что, если посмотреть, как развивались события в мире в течение последних лет, многое говорило о том, что это может произойти. Но нам все же хочется надеяться, что это ошибка.
20 лет назад мы выбрали свой путь, а именно: разработку продуктов и консалтинг, направленные на защиту. И все это время мы неукоснительно следовали ему. Поэтому все наши взаимодействия с заказчиками, включая спецслужбы, были исключительно в рамках предоставления продуктов и услуг в области defensive security (оборонительной кибербезопасности).
Сейчас мы готовимся к выходу на биржу, и вся наша деятельность открыта и прозрачна: можно видеть нашу финансовую отчетность, кому и когда мы поставляли программное обеспечение и консалтинговые услуги и какие именно. Это касается любых контрактов, включая госкомпании или те же спецслужбы.
— Формально делалась отсылка к хакерской атаке на американскую компанию SolarWinds, среди клиентов которой крупнейшие корпорации и госструктуры США. Конкретно про Positive Technologies упоминалось, что якобы на ваших конференциях сотрудники российских спецслужб рекрутируют хакеров.
— Здесь важно обратиться к первоисточнику. В отношении нашей компании используются две формулировки: поддержка государственных органов, включая ФСБ, и организация широкомасштабных мероприятий, на которых представители силовых ведомств занимались рекрутингом. Все остальное — это уже интерпретации или пересказы со стороны СМИ. И если разобраться в написанном, то мы, с одной стороны, отвергаем выдвинутые обвинения. С другой — нельзя сказать, что это какая-то неправда. С 2011 года мы делаем большое мероприятие (Positive Hack Days, международный форум по практической кибербезопасности. — РБК), на котором встречаются десятки тысяч людей. Каждый год там присутствуют эксперты, представители бизнеса, государства, а также спецслужбы со всего мира. И, конечно, среди такой большой аудитории происходят какие-то дискуссии, которые мы не контролируем.
Мы даем площадку, где люди могут делиться информацией и делать мир безопаснее, и не вводим никаких ограничений на участие: каждый может приобрести билет и прийти — специалисты по кибербезопасности, исследователи, представители бизнеса, просто интересующиеся современными технологиями и информационной безопасностью люди, сотрудники российских, американских, немецких или каких-то других спецслужб. Одна из задач форума — открыто показать все, что происходит в кибермире. К примеру, там есть киберполигон The Standoff, который представляет собой цифровой двойник современной страны с различными отраслями: банки, нефтянка, телеком и другие. В течение нескольких дней этот полигон является «полем битвы» между атакующими командами (белыми хакерами) и защитниками. А мы за этим наблюдаем через центр мониторинга, ведем онлайн-трансляции всего, что происходит, на широкую аудиторию в интернет с синхронным переводом на английский. В результате мы понимаем, как ломают софт и железо и к каким последствиям это может привести. Все это является ценными знаниями о том, как строить правильную защиту в реальном мире и не допустить подобных инцидентов.
Теперь к вопросу о поддержке госорганов. Продаем продукты и консалтинг спецслужбам точно так же, как и всем другим компаниям по всему миру, — и здесь нам нечего скрывать: мы готовим отчетность, в которой видны все наши поставки и контракты. Любая организация может купить наш продукт, и ограничивать эти возможности на территории России для отдельных организаций (в том числе государственных или силовых структур) просто незаконно. Получается, что если санкции не ошибка, то они наложены США против российской компании, которая не оказывает противодействия российским же компаниям. Поэтому я предпочитаю все же считать, что это ошибка.
На самом деле желание быть неуязвимыми к обвинениям в сотрудничестве со спецслужбами при игре на международной деловой арене как раз и заставляет российские компании быть очень и очень аккуратными. При этом те же американцы занимают прямо противоположную позицию: в их случае речь идет и об инвестициях фондов, созданных при участии спецслужб в капитал компаний, и об участии представителей спецслужб в управлении компаниями (что является абсолютно открытой информацией), и об организации мероприятий, на которых на самом деле происходит вербовка технических специалистов в пользу спецслужб (не российских, конечно же, как вы понимаете). То есть мы видим, что у американских компаний так принято, и это считается нормой. И одновременно в свой адрес получаем обвинения в том, что мы устроили мероприятие, на котором кто-то кого-то хантил, и это были даже не мы. Все это вызывает недоумение, а выдвинутые обвинения кажутся нам вдвойне странными.
Что такое Positive Technologies
Группа компаний Positive Technologies занимается созданием решений в области информационной безопасности. Обслуживает более 2 тыс. компаний в 30 странах. Основное юрлицо — АО «Группа Позитив», на 56% принадлежит Юрию Максимову, по 12,7% у его брата Дмитрия Максимова и еще одного основателя, Евгения Киреева, остальное — у миноритариев. Выручка в 2020 году, по собственным данным, — 5,6 млрд руб.
«День-два была паника»
— Вы сказали, что в течение нескольких лет понимали, что возможность санкций существует. Из чего вы делали такой вывод?
— Я не специалист в геополитике, а вот с точки зрения ИТ могу констатировать, что мы как страна достаточно сильно зависим от продуктов Запада: процессоров, операционных систем, софта и др. Но обладая неким уровнем своей кибербезопасности, мы можем построить доверенную среду из так называемых недоверенных ИТ-элементов. Кибербезопасность в этом случае — своего рода последний рубеж, когда мы можем противостоять атакам извне со стороны потенциальных противников. Если предположить, что этот элемент позволяет обеспечить или повысить защищенность, то было бы логично в ходе геополитического противостояния сделать так, чтобы у потенциальных противников этого не было. Поэтому с самого начала я рассматривал отечественную отрасль кибербезопасности как наиболее вероятную область для массированной санкционной атаки. Поскольку Positive является одним из серьезных игроков, мы начали думать о возможных санкциях уже более пяти лет назад.
— Тогда почему только вас, а не всех основных участников рынка?
— Если мы принимаем за данность то, что санкции — это не ошибка и речь идет о противостоянии, то очень логичным становится воздействие на отдельную компанию, т.е. такое постепенное воздействие на индустрию, шаг за шагом. Атака сразу на всю индустрию кибербезопасности России — очень масштабный прецедент, который может привести к соответствующему ответу. Если же целью выбираются одна-две компании, то формат вторичных санкций приводит к непрямому давлению на рынок: внутренние игроки рынка, опасаясь оказаться под вторичными санкциями, отказываются от того или иного сотрудничества с компаниями, уже находящимися под санкциями. Хотя за всю историю работы России под санкциями я не знаю ни одного случая, когда вторичные санкции были бы наложены именно на контрагентов.
— Какие юридические шаги в связи с санкциями намерены предпринять?
— Мы выбрали два направления реакций. Будем становиться еще более прозрачными и открытыми, разговаривать с рынком, как российским, так и международным. Интервью, открытые письма, коммуникации с комьюнити. За годы своей работы мы нашли сотни, если не тысячи критических уязвимостей в различных продуктах, в том числе у западных вендоров. Отдавали им все найденное, помогали исправлять, сохраняя информацию в секрете до момента, когда они исправляли уязвимость, чтобы никто из злоумышленников не мог ею воспользоваться. В результате мы заработали очень хорошую репутацию, в том числе и в западной части мира. И сейчас нам приходит множество слов поддержки от признанных в мире исследователей: они пишут у себя в Twitter, Facebook, указывают на странность происходящего.
Во-вторых, мы намерены разговаривать с официальными лицами США. Объясним свою позицию, послушаем, что они скажут. Мы не будем подавать в суд: если санкции — это ошибка, тогда и суд не нужен — достаточно диалога, а если же это намеренное действие, то судиться по большому счету бессмысленно. На самом деле это суверенное право любого государства — отстаивать свои интересы всеми доступными ему способами, нравятся они нам или нет. Но я все еще надеюсь, что это недоразумение.
— После объявления о санкциях в отношении Positive Technologies кто-то из ваших заказчиков, партнеров уведомил о желании прекратить отношения?
— Первые день-два была паника: никто не понимал, что это значит, и процессы останавливались. Мы начали аккуратно объяснять партнерам, что это значит для них, и ситуация стала быстро размораживаться. На самом деле санкции не влияют на бизнес Positive Technologies напрямую. После крымских событий оказалось, что вести международный бизнес от российского юрлица стало практически невозможно — в западном мире наши конкуренты начали использовать тезис о том, что «эта русская компания точно связана с KGB» (причем именно KGB). Поэтому мы разделили бизнес на три части: российскую, европейскую и американскую (к слову, в США у нас сейчас минимальный бизнес, практически равный нулю). У каждого направления свой набор сервисов и продуктов, своя разработка. Появились иностранные акционеры и топ-менеджмент. Российская компания также состоит из нескольких юридических лиц. Так вот, под санкции попало только одно юридическое лицо из группы компаний в России, и мы сохранили возможность продавать наши продукты, обеспечивая своим клиентам условия, при которых для них не возникают санкционные риски. Таким образом, мы можем работать с нашими партнерами без участия нашего санкционного юрлица.
С точки зрения нашего основного бизнеса мы делаем софт и не зависим от оборудования и его поставщиков. Если наш софт участвует в построении каких-то больших систем и требуется оборудование, то [его закупка и поставка] происходит на стороне интеграторов, дистрибьюторов и пр. А при непосредственном создании софта мы зачастую используем в качестве инструментария open source решения (на открытом коде. — РБК) и свои собственные наработки, что позволяет нам сохранить независимость от тех же американских продуктов. То есть санкции не окажут большого воздействия на компанию. Но паника среди российских компаний, вызванная возможностью вторичных санкций, — это большой элемент давления, и именно с ним нам сейчас приходится работать.
— Как происходящее отразится на международном сотрудничестве в сфере кибербезопасности?
— Понятно, что пострадает какая-то работа, связанная с устранением уязвимостей в американских компаниях, которую мы помогали делать. Является ли это драматичным для всего мира? Нет. Но сам факт того, что какие-то краткосрочные, не важно, политические, экономические или конкурентные, причины довлеют над долгосрочными и стратегическими, вызывает сожаление.
Мы семимильными шагами движемся в технологический мир и не справляемся с этим. Очевидно, что проблемы, которые возникают по дороге, существенно больше, чем проблемы геополитического противостояния двух стран. Сейчас все наблюдают за разработкой беспилотных автомобилей и есть задача «научить» их ездить. Пока злоумышленники еще не включились в эту историю на полную мощность, но когда это произойдет, станет очевидно, что такие автомобили просто нельзя выпускать на дороги, потому что хакеры смогут устраивать реальные катастрофы. В тех же алгоритмах машинного обучения есть уязвимости, которые могут привести к весьма критичным результатам. К примеру, на знаке нарисована скорость 20 км/ч, но на него можно условно наклеить невидимый человеческому глазу квадратик, который этот алгоритм будет распознавать как 120 км/ч, и это потенциально может привести к реальной катастрофе. Конечно, выбирая между условным очень уставшим водителем и каким-то алгоритмом искусственного интеллекта, доказавшим свою надежность, хотелось бы пользоваться наиболее надежным механизмом. Но, положа руку на сердце, люди не отдают себе отчет, насколько мы в реальности далеки от этого. Positive Technologies сейчас очень сильно вкладывается в то, чтобы этот мир стал безопаснее.
«Они могут выбрать, что будут делать в тюрьме»
— Чем занимается попавшее под санкции юрлицо?
— В нем работают исследователи и технари. Они имеют экспертизу, которую можно назвать в хорошем смысле слова хакерской. Это люди, которые обладают глубокими знаниями в том, как работают те или иные системы, могут понять, как вообще устроен этот мир, что нужно делать, чтобы сделать его более безопасным.
— Те, кого обычно называют белыми хакерами?
— Да. Это умные люди с глубокими техническими знаниями. Быть белым хакером — большой труд. Это люди, которые преодолевают все возможные соблазны и применяют свои знания во имя безопасности мира. Но когда ты хакер и еще молод, у тебя есть ощущение, что это не так опасно, не так вредно: ну подумаешь, в компьютере что-то поделал. А на самом деле оказывается, что это такое же преступление. Рано или поздно их — черных хакеров — ловят. Еще известный факт, что, когда их ловят, они становятся…
— Сотрудниками спецслужб?
— Нет. Но когда их поймают, они могут выбрать, что будут делать в тюрьме: шить матрасы или продолжить эксплуатировать свой ум и интеллект. И насколько я знаю, многие из них становятся теми, кто работает на государство. И это причина, почему спецслужбы не занимаются серьезным рекрутментом на профессиональных конференциях и мероприятиях. Дистанция между свободолюбивыми хакерами, исследователями и спецслужбами очень большая.
— Насколько вы уверены в своих сотрудниках? Компания Group-IB, например, периодически проверяет своих сотрудников на полиграфе, потому что грань между белым и черным хакером действительно тонкая.
— Мы не проверяем своих людей на полиграфе и не хотим этого. Но мы работаем с ними рука об руку многие годы в очень сложных проектах. Когда собирается команда, которую ты начинаешь чувствовать так, что веришь им, ты сам становишься лучше, чем полиграф.
— Корректно ли утверждение, что сейчас меньше хакеров, которые взламывают, грубо говоря, из любопытства и баловства, и больше тех, кто ищет финансовую выгоду?
— Если хакеру 14 лет, это баловство, если 18 — он выбирает свой путь и или приходит в компанию, где может найти работу, которая удовлетворит его любопытство и амбиции, или направляется по извилистой дорожке на темную сторону. Почему важны такие компании, как мы? У нас широкий перечень того, что люди с такой квалификацией могут делать с соблюдением этических принципов и закона. Например, компании привлекают нас проверить, правда ли выстроенная у них система безопасности не позволит злоумышленнику, скажем, украсть деньги со счетов, или взорвать атомную станцию, или «погасить» электроснабжение, или еще что-то, но без настоящего ущерба. Мы заключаем NDA (non-disclosure agreement — договор о неразглашении. — РБК) и начинаем хакерскими методами взламывать эту компанию. Чтобы проторить себе дорогу, ищем уязвимости в системе — в том, как она спроектирована, в используемом оборудовании. На выходе получаем не только понимание, можно ли взломать ту или иную компанию, но и полный перечень потенциально взламываемого. Информацию об оборудовании и софте, которое мы исследовали, отправляем непосредственно разработчикам, а в публичное пространство эти данные даем только после того, как разработчик устранит все найденные нами уязвимости.
Представить все многообразие исследовательских работ, которые проводят наши ребята, в другом месте просто невозможно. За прошедшие 20 лет чего мы только не делали: нас звали провести условный захват скоростного поезда, остановить снабжение водой большого города, показать, как можно устроить взрыв на ГРЭС и многое другое. И мы показывали, естественно, каждый раз останавливаясь в шаге от того, чтобы произошла реальная катастрофа. Но каждый раз заказчик такой демонстрации видел, как может произойти такой взлом в реальности.
«Зависимость от иностранных продуктов кибербезопасности становится неприемлемой»
— Из чего складывалась выручка компании в 2020 году? Как на этот показатель повлияют санкции?
— Больше 90% — продажа программного обеспечения в России. Из них не более 20% пришлось на госструктуры, основные покупатели — коммерческие компании. При этом компания в 2020 году выросла на 55% к предыдущему году. Последние пять лет мы в среднем растем не менее чем на 40% ежегодно. В этом году также ожидаем существенный рост по сравнению с прошлым. Сейчас эскалируется противостояние между российскими вендорами и иностранными. На западные продукты приходятся десятки миллиардов рублей. Общий объем рынка [кибербезопасности], который помимо стоимости решений включает услуги интеграторов по их внедрению, консалтинг, составляет примерно 120 млрд руб. Прямо сейчас многие компании со стопроцентным государственным капиталом покупают американские продукты кибербезопасности. Это не саботаж или преступные намерения — для специалистов среднего уровня или тех, кто занимается закупками, использование американского продукта кибербезопасности на уровне compliance (комплекс мер, нацеленный на мониторинг и устранение внутренних нарушений законодательных и этических норм. — РБК) может считаться абсолютно приемлемым.
Но на рынке кибербезопасности происходят глобальные изменения. Эта тема начала выходить на уровень первых лиц. Для них абсолютно очевидно — я это вижу, — что строить систему кибербезопасности, в которой потенциальным противником может оказаться производитель этого решения, абсурдно. В условиях нынешнего геополитического противостояния зависимость от иностранных продуктов кибербезопасности становится неприемлемой. Будет какая-то тенденция к добровольному импортозамещению: люди осознают, что речь идет не о соблюдении регуляторки, а о безопасности, предсказуемости и надежности. Когда ты покупаешь решения, которые могут оказаться под запретом (и здесь уже не важно, по чьей инициативе), в какой-то момент ты можешь оказаться в прямом смысле у разбитого корыта, не имея возможности полноценно использовать приобретенный продукт и потеряв деньги, потраченные на его внедрение, обслуживание, развитие. Есть много примеров, были случаи, когда американские компании буквально в одночасье уходили с российского рынка.
Другая причина — в изменении модели кибербезопасности. Сегодня компаниям недостаточно внедрять антивирус или файервол, построить центр мониторинга угроз. Задача звучит по-другому: компания должна понимать, какие риски для нее неприемлемы, и безопасность должна быть такой, чтобы сделать эти риски нереализуемыми. И все это должно быть практически полностью автоматизировано. В итоге мы переходим к парадигме «недопущение неприемлемых рисков», а эту задачу можно решить только с включением первого лица компании. Именно оно вовлекает другие бизнес-единицы. Ведь многие вопросы кибербезопасности решаются даже не с помощью технических средств, а изменениями регламента взаимодействия с банком, работы подразделения юристов и пр.
С технологической точки зрения этого можно достичь, создав из средств защиты единую метасистему для того, чтобы решить одну задачу: обнаружить и остановить хакера, а также устранить последствия его пребывания в инфраструктуре до того, как он сможет нанести непоправимый ущерб бизнесу. Я думаю, что эта парадигма позволит качественно изменить уровень защиты бизнеса, отраслей и государства в целом и стать одним из драйверов роста нашей выручки в ближайшие годы.
— Готовы ли российские игроки рынка кибербезопасности полностью заместить американские продукты?
— Один к одному заменить все продукты не получится, да это и не нужно. Наша задача — предоставлять необходимый результат, гарантированную нереализуемость неприемлемых для бизнеса рисков. Эту задачу с помощью российской линейки продуктов мы сейчас можем решить даже лучше, чем с помощью иностранных средств. Хотя да, это требует, скажем так, более творческого подхода, даже креативного. Необходимо переосмыслить линейку продуктов (что мы и делаем сейчас).
Если представить, что мы, отечественный рынок, прямо сейчас откажемся от использования западных продуктов, то в безопасности по большому счету мы не потеряем, так как многие наши технологии кибербезопасности даже обгоняют западные разработки. Приведу пример: мы как компания договариваемся с теми конкурентами на рынке, кто имеет свою хакерскую экспертизу, о том, чтобы атаковать друг друга хакерскими методами, и строим безопасность до уровня, когда мы не можем сделать то, чего боится каждый из нас. Технологически мы как отрасль готовы к тому, чтобы иметь свою кибербезопасность. Другое дело, что это изменение не будет безболезненным: мы потеряем в удобстве, в каких-то сферах придется быстро что-то дорабатывать, потому что в ряде областей у нас все-таки есть некоторое отставание. Но это все быстро изменится, когда появится реальный спрос. Если переход будет добровольным, это нивелирует и сгладит дискомфорт.
«Реализованная угроза перестает быть угрозой»
— Какие планы вам пришлось поменять в связи с санкциями?
— Недавно заблокировали аккаунт компании на YouTube, пришлось поменять планы по публикациям нашего видеоконтента. Очень интересно наблюдать за изменениями вокруг форума Positive Hack Days (запланирован на май). В позапрошлом году мы расширили его аудиторию до 11–12 тыс., в прошлом — киберполигон The Standoff собрал уже до 30–40 тыс. в онлайне. В этом году мы планировали снизить офлайн-часть Positive Hack Days до нескольких тысяч участников, но история с санкциями вызвала большой интерес, и сейчас пересматриваем планы, увеличиваем офлайн, оставляя при этом масштабный онлайн-формат. Были изменения среди спонсоров мероприятия — часть побоялась ставить свои имена.
— В середине марта «Коммерсантъ» со ссылкой на свои источники писал, что вы можете провести IPO, разместив на Московской бирже до 10% акций. Такие планы действительно есть?
— У компании есть большое намерение стать публичной. Но наша цель — не привлечение инвестиций, это ключевой момент. У нас высокая EBITDA, высокий ежегодный рост выручки. Мы хотим привлечь совладельцев, которые смогут привнести что-то важное в наш бизнес, советы, примеры, осознание. У нас в отрасли очень много умных айтишников и тех, кто может дать хороший совет, просто рынок еще не научился взаимодействовать так, чтобы это было интересно и легко обеим сторонам. Я верю, что скоро профессиональными инвесторами станут те, кто понимает в своей профессии и инвестирует в компании своей области.
По поводу объема акций, размещаемых на бирже, не так важно, какой именно это процент, важно превратить акции в ликвидный инструмент. Чтобы можно было под залог этого инструмента брать большие кредиты, мотивировать сотрудников. Недавно Forbes написал, что я практически миллиардер. Но это на бумаге, у меня этих миллиардов даже близко нет. Становление компании публичной даст инструмент превращения акций в реальные деньги по щелчку пальцев. IPO — это один из инструментов. Лично я сейчас рассматриваю как более вероятный direct listing (прямое размещение. — РБК), когда акционеры компании смогут начать совершать операции на бирже. При классическом IPO предполагается массовая продажа, причем в большей степени ориентированная на фонды, но мир меняется.
— Как на эти планы повлияли санкции?
— Положительно. Если ты собираешься становиться публичным, самое неприятное — это риски, которые еще не проявлены, а реализованная угроза перестает быть угрозой. Если будет размещаться компания в отрасли кибербезопасности, которая не находится под санкциями, сам риск их наложения в любой момент провоцирует у инвесторов страх и ведет к дисконту в цене. Получить санкции, разобраться с ними, увеличить выручку — позволит убрать этот риск и сделать хорошую публичную историю.
Мы сейчас всерьез рассматриваем возможность сокращения сроков превращения компании в публичную. Пройдет буквально месяц-два, паника уйдет, профессиональное сообщество поймет, как дальше будет развиваться компания. Уже сейчас мы получаем много официальных писем, что та или иная компания не видит никаких проблем в продолжении работы, от партнеров, дистрибьюторов.
— На какие средства компания развивалась изначально? Есть ли у вас планы, которые зависят от возможности привлечь инвестиции?
— Изначально основатели вложили около $100 тыс., потом компания развивались на свои деньги, не привлекая других инвесторов. Сейчас у нас высокая EBITDA, эти деньги мы реинвестируем. Мы имеем успешную, быстрорастущую компанию с высокой капитализацией и уверены в своих возможностях. В таких условиях для дальнейшего расширения долговые инструменты выглядят даже более предпочтительными. Для превращения компании в публичную мы рассматриваем только один вариант — cash out, и сейчас между акционерами даже идет своего рода торг по поводу того, кто и в каком объеме будет выделять акции для представления их рынку. Нынешние акционеры очень верят в компанию и совсем не горят желанием расставаться со своими акциями.
Четыре факта о Юрии Максимове
11 апреля 1978 года родился во Фрязино. В 2001 году окончил физический факультет МГУ, в 2004-м — его аспирантуру;
с 1996 по 2004 год управлял проектами в области ИТ и информационной безопасности в российском разработчике прецизионной измерительной техники «Октава»;
в 2002 году стал одним из основателей Positive Technologies, с 2004 года был ее техническим директором, а с 2007-го — гендиректором;
участник соревнований по триатлону (Ironman), ведет мастер-классы по бегу для сотрудников.