Хияс Айдемиров, Spacebit: Тренды цифровизации - стимул для появления новых продуктов в информационной безопасности

ХИЯС АЙДЕМИРОВ: У компании «Информзащита серьезная рыночная история. В какой-то момент у команды и руководства появились идеи продуктов, которые можно ориентировать не только на узкие задачи конкретных заказчиков, но и на потребности рынка ИБ в целом. Понятно, что применение этих решений гораздо шире возможностей продаж одной компании «Информзащита». Поэтому в начале года всю команду (программисты, аналитики, дизайнеры, проектировщики) перевели в новую компанию Spacebit и усилили собственным коммерческим блоком.

Чтобы в процессе работы на рынке не «сталкиваться лбами» с другими интеграторами, сделана ставка на независимого вендора, который развивает продажи только через партнеров. Один из этих партнеров – «Информзащита». Отмечу, что за полгода список компаний, которые готовы продвигать наши продукты и зарабатывать вместе с нами, существенно расширился. Нельзя сказать, что наш путь создания нового бизнеса очень простой. Ведь культура и правила работы интегратора и вендора различаются. Задача первого – проектировать и создавать из множества продуктов разных производителей железа и софта интеграционные решения, внедрять их у заказчиков и поддерживать. Компания, которая занимается разработкой продукта – вкладывает усилия в постоянное развитие продукта, обогащение новым функционалом, совершенствование и продвижение его на широкий рынок партнеров-интеграторов для использования его как одного из элементов решения. Поэтому абсолютно логично вывести вендорский стартап за рамки конкретного интегратора.

ХИЯС АЙДЕМИРОВ: Инсорсинговые компании идут своим путем и не являются для нас прямыми конкурентами. На данный момент мы предлагаем вендорские продукты, которые распространяем через партнерскую сеть, и не собираемся пока менять эту позицию.

Вектор на развитие облачных технологий, конечно, мы понимаем и постепенно присматриваемся к движению в этом направлении. С высокой долей вероятности в нашем портфеле будут и облачные продукты.

ХИЯС АЙДЕМИРОВ: Сейчас у нас четыре продукта, которые мы выводим на рынок. И у каждого – своя ниша. Например, продукт X-Control – из области средств криптографической защиты. Перспективность этого направления в последние пару лет обусловливает широкое использование удаленной работы, передачи части инфраструктуры в коммерческие ЦОД, повсеместное использование облачных сервисов. Необходимость организовывать юридически значимый электронный документооборот привела к тому, что в компаниях, особенно в крупных распределенных структурах, появилось большое количество СКЗИ (средств криптографической защиты информации). Для их выдачи, учета, мониторинга и контроля срока действия можно использовать наше решение и освободить специалистов для выполнения других задач. Рыночная ниша для этого продукта - компании, которые имеют СКЗИ и хотят контролировать их жизненный цикл и вести учет.

Напомню отдельно, что если в компании используется российская криптография (ГОСТ), то обязательно создание органа криптографической защиты информации и ведение строгого поэкземплярного учета. Весь процесс, от приобретения электронных цифровых подписей или СКЗИ до его уничтожения и вывода из эксплуатации, можно вести в нашей информационной системе. Она наполнена функционалом, который значительно облегчает работу органов криптографической защиты: интеграция с AD, автоматическая загрузка большого количества СКЗИ, автоматическая проверка сети компании на наличие средств криптографической защиты. Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 298.7 т

Остальные продукты могут занять сразу несколько ниш, так как связаны с решением универсальных задач мониторинга и управления правами доступа пользователей, идентификацией и аутентификацией, управления ролевыми моделями и безопасными конфигурациями. По сути, любая организация размером от 400 - 500 пользователей – это наш потенциальный клиент.

ХИЯС АЙДЕМИРОВ: В последние два-три года, особенно с популяризацией удаленной работы, ИТ-ландшафты многих заказчиков претерпели серьезные изменения. Как строилась система безопасности корпоративных ресурсов до этого? При всех прочих, служба ИБ всегда делала ставку на защиту периметра. Что мы наблюдаем сегодня? Сотрудники работают из дома, часто с личного ноутбука, возможно, через VPN, а завтра работают уже с рабочего компьютера. Кроме того, в инфраструктуре заказчика появляется много внешних партнеров, которые внутри инфраструктуры развивают и поддерживают информационные системы. Понятие периметра защиты постепенно размывается.

Поэтому на первый план выходят концепции класса Zero Trust, то есть нулевого доверия. Иными словами, система информационной безопасности, встроенная в ИТ-ландшафт предприятия, делает основной упор на защиту непосредственно самих информационных ресурсов и доступ к ним. Доступа нет до тех пор, пока мы не докажем, что пользователь идентифицирован и авторизован на его получение.

В этой связи именно переход от защиты периметра к системам мониторинга, контроля и предоставления доступа к информационной системе знаменуют собой очень серьезный сдвиг в процессах.

ХИЯС АЙДЕМИРОВ: Именно эти тенденции сподвигли нас на разработку решений X-ROLE и X-IDBox.

Продукт X-ROLE ведет мониторинг и контролирует, кто имеет доступ, у кого он авторизованный, а у кого излишний и представляет полную картину прав доступа. Тут сразу выявляется нетипичное поведение определенных сотрудников. Например, под какой-то служебной учётной записью регулярно в определенный период времени предпринимаются попытки доступа к ресурсам с информацией ограниченного доступа. Понятно, что это нетипичное поведение, и возможно, что это «зловред» или злоумышленник выполняет определенную задачу. Или рядовой пользователь неавторизованно повышает уровень доступа для своей учетной записи, взаимодействует с сетевыми ресурсами и через некоторое время понижает уровень доступа. Система выявляет подобные ситуации нетипичного поведения и уведомляет об этом службу информационной безопасности.

Продукт X-ROLE функционально готов, сейчас идет работа над улучшением юзабилити. Планово, в ближайшие месяцы этот продукт выйдет в обновленном дизайне.

Вторая система – это продукт X-IDBox. Он обеспечивает функцию аутентификации, идентификации и, конечно же, управления доступом. Когда пользователь обращается к информационной системе компании, он должен доказать, что это именно он, действительно, имеет доступ к конкретному ресурсу. Здесь реализуется не только функционал идентификации и аутентификации, но также обеспечивается изменение полномочий пользователя и защиту доступа сразу ко множеству информационных систем. На мой взгляд, этот продукт будет интересен рынку. Плановая дата вывода X-IDBox – конец этого года.

ХИЯС АЙДЕМИРОВ: В зависимости от продукта ситуация сильно разнится. Например, у продукта X-Config явного конкурента нет. Остальные продукты в хорошем конкурентном окружении, в большинстве своем западных продуктов. Конкуренты – это нормальный аспект здорового рынка: их наличие поддерживает стремление разработчиков выпускать действительно качественный и необходимый заказчикам продукт.

За счет чего наша команда достигает высокого качества программного продукта? Унас хорошо выстроены внутренние процессы. Реализован серьезный контроль качества выходящего кода и стандарты безопасной разработки. А команда пентестеров (penetration test) «Информзащиты» проверяет наши продукты на наличие внутренних уязвимостей и на соответствие требований безопасности.

Отдельный параметр конкурентоспособности – цена. Конечно, она ниже западных аналогов. И еще один несомненный плюс, по сравнению с зарубежными продуктами, - это возможность оперативно кастомизировать функционал под требования конкретного заказчика, а также осуществить интеграцию с уже работающими ИТ-системами. Я сталкивался в своей практике с ситуациями, когда крупный зарубежный вендор, в ответ на пожелания заказчика доработать некоторый функционал ставил его в длинную очередь с на конец следующего года. А мы можем быть очень оперативными: не только разработать определенный функционал под специфические требования заказчика, но и продать его с серьезной скидкой, при условии добавления данного функционала в тиражируемый продукт. В этом смысле мы можем занимать гораздо более выигрышную конкурентную позицию по сравнению с зарубежными вендорами.

ХИЯС АЙДЕМИРОВ: Честно говоря, я еще не видел ни одной компании, которая бы уверенно говорила, что ее команда укомплектована на 100% и не имеет проблем с поиском и наймом квалифицированного персонала. Действительно, требования к квалификации к разработчикам очень высокие. Ведь нам нужно достаточно быстро выводить продукты на рынок, чтобы быть в конкурентной гонке в группе лидеров. А скорость в соотношении с качеством – это компетенции и опыт команды: аналитиков, разработчиков, тестировщиков и т.д.

Поиск новых сотрудников – это, конечно, большая проблема. И рынок достаточно сильно перегрет: много мелких ИТ стартапов, привлекая внешние инвестиции, считают, что создадут лучший в мире продукт. Их участие в конкурентной борьбе за кадры сильно повышает уровень оплат разработчиков и программистов. Крупные корпорации создают собственные ИТ-стартапы, используя серьёзные, в том числе государсвтенные, инвестиции, тоже переманивают профессионалов, потому что могут позволить себе платить существенно выше рынка, и этим тоже перегревают рынок кадров. Мы в постоянном поиске новых инструментов привлечения и удержания сотрудников, и пока нам это удается.

На текущий момент у нас в компании - более 75 сотрудников, из них 60 – это разработчики. Естественно, они разбиты на продуктовые команды, и каждая из них делает свой продукт.

ХИЯС АЙДЕМИРОВ: На самом деле, процессы информатизации, автоматизации, цифровизации идут уже десятки лет, просто несколько меняются наименования и вектор их приложения. Когда речь идет про цифровизацию, скажем, на каких-то критически важных объектах, мы понимаем, что заказчик полностью отдает себе отчет в том, какие риски возможны при перехвате управления данной системой злоумышленниками и какие последствия от этого риска могут быть. Поэтому, любая автоматизация влечет за собой необходимость обеспечения безопасности либо встроенными цифровыми средствами, либо решениями, которые позволяют минимизировать разнообразные риски: утечки, компрометации, возможности перехвата управления и т.д. Это означает увеличение работы и повышение уровня ответственности служб информационной безопасности компании, особенно, когда это связано с определенными технологическими процессами, где простои и аварии могут стоить дорого.

ХИЯС АЙДЕМИРОВ: До конца текущего финансового года мы планируем, вдобавок к имеющимся продуктам, вывести на рынок еще два, которые на финальной стадии разработки и о которых я рассказал ранее. На текущий момент все проекты инвестиционные, финансируются акционерами компании. Краткосрочная цель - выйти на самоокупаемость в течение календарного года.

Конечно, мы не планируем останавливаться на четырех продуктах. В наших планах –построение конвейера по поиску новых идей для развития текущих продуктов и созданию новых, изготовления их прототипов и проверки идей на рынке. Иными словами, это будет некий внутренний R&D для продуктовых идей и передачи их в производство. Такая стратегия принята в компании, и мы планируем двигаться в этом направлении. Стандартная практика говорит, что из 100 идей и продуктов некоторое развитие получают 10-15, и только 3-5 из них получают коммерческий успех. Поэтому важно быстро понять, интересен продукт рынку или нет, стоит ли в него вкладывать деньги и развивать его. Для этих целей нужен сильный продуктовый маркетинг и активная команда продающих менеджеров, тогда мы увидим потребности заказчика и их ожидания от наших решений. У нас поставлена конкретная задача на ближайшие три года – существенно укрепить позиции как продуктового вендора и захватить существенный объем пока Российского рынка.