Сергей Никитин, Газинформсервис: Заказчикам в ИБ нужен не только продукт, но и полноценный сервис вокруг этого продукта

Вопрос импортозамещения остается актуальным для российских компаний. Как интегрировать новые продукты в инфраструктуру, какие риски несет работа с западными поставщиками через прокси-компании и с опенсорсом, рассказал Сергей Никитин, руководитель группы управления продуктами «Газинформсервис».

Cyber Media: В процессе импортозамещения многие продукты создаются с нуля, начиная с операционных систем и заканчивая повседневным офисным ПО. Насколько сложна взаимная интеграция этих продуктов на конечном устройстве пользователя?

Сергей Никитин: Возможность интеграции продуктов между собой — это сейчас скорее хороший тон, чем требование. Эту возможность вендор обычно предоставляет, если он хочет занять какое-то серьезное место на рынке, дать заказчикам возможность использовать не только свои продукты, а лучшее со всего рынка решений ИБ, дать свободу с учетом всей специфики бизнеса. Мы придерживаемся именно такой идеологии, и все наши продукты обладают интерфейсами для интеграции и документацией на них. Для объединения решений в комплексную систему защиты информации заказчик может привлечь своего интегратора, обратиться к нам или, если у заказчика есть развитая IT-служба, то провести эти работы самостоятельно.

Cyber Media: Российский опыт импортозамещения интересен многим странам. По вашему опыту, кому интересны российские продукты и экспертиза? Почему?

Сергей Никитин: Вероятно, это страны, которые хотят иметь выбор и не зависеть от поставщиков, зачастую недобросовестно пользующихся монопольным положением, как упомянутый Microsoft. Если монополист уйдет, то вы оказываетесь в неудобном положении.

Или, например, как в случае с компанией Oracle в России, когда они сократили штат техподдержки до неприемлемо малого количества сотрудников. Информационные системы в российских компаниях крупные. В странах Аравийского бассейна или восточной Азии они наверняка не меньше. Может быть, некоторые компании просто не хотят стоять в очереди из-за того, что заказчики из других государств пользуются какими-то преференциями в силу тех или иных обстоятельств?

Наличие конкурентов на рынке — всегда благо. Это же свобода выбора — вы можете стоять в очереди к лидеру рынка или получить квалифицированную услугу здесь и сейчас у более молодых и динамичных компаний.

Компании хотят пользоваться тем, что их устраивает не только с точки зрения качества продукта, но и сопутствующих сервисов. Все говорят, что они B2B, а очень часто это не В2В, а Р2В — product to business. Если вы хотите быть по-настоящему В2В, то нужно строить модель так, чтобы ваш бизнес включал в себя не только разработку продуктов, а еще и все сопутствующие услуги: обновления, консультации, проектирование, внедрение, сопровождение, доработки.

Cyber Media: Многие иностранные организации покинули Россию только формально — они продолжают оказывать услуги, но через третьи компании. На ваш взгляд, какие риски такая «серая» поддержка может повлечь для заказчика?

Сергей Никитин: Основной риск, что прокси-компанию закроют, как только сотрудничество станет опасным для основного бизнеса. Вы покупаете как бы «пиратские диски» вместо оригинала — этот продукт или дешевле, или проще. Может быть, все пройдет гладко, но если что-то не заработает, куда обращаться? В «Рога и Копыта», где просто два человека оформляют документы и присылают по электронной почте ключи-дистрибутивы?

Возвращаясь к предыдущему тезису, В2В — это не прокси из двух человек, передающих ключики, а полноценная структура, которая оказывает весь комплекс услуг. Это выстроенный бизнес с учетом потребностей заказчика — иногда крупного государственного или корпоративного заказчика.

Cyber Media: Вы сказали интересную мысль, что В2В — это не только сам продукт, но и окружающая его структура, сервис. На ваш взгляд, каким должен быть идеальный В2В, какие компоненты включать? Что важно помимо хорошего продукта?

Сергей Никитин: На самом деле все важно. Начиная, во-первых, с маркетинга — нам нужно изучать рынок, понимать, куда он движется, какие потребности формируются, какие отрасли являются заказчиками. В случае информационной безопасности — неплохо бы еще знать, как атакуют эти отрасли, какие есть подводные течения в темных глубинах интернета.

Во-вторых, важна разработка как в плане качественного и безопасного написания кода, так и в плане аналитики предметной области. Если вы разрабатываете средства информационной безопасности, то у вас должна быть глубокая экспертиза в этой сфере. Нельзя просто взять и сказать подрядчику, который пишет «сайтики на пыхе», сделать хороший антивирус. Он не знает, как это. Он попросит ТЗ, а чтобы его написать, вам самим нужно очень глубоко понимать эту область.

В-третьих, нужно выстраивать каналы продаж, доверительные отношения с заказчиками — слышать их, адекватно и своевременно реагировать на их запросы. Наши заказчики могут быть из разных областей, и у них абсолютно разные требования. Мы должны уметь работать и с топливно-энергетическим комплексом, и с банковской сферой, и металлургической промышленностью, и ретейлом, и машиностроением, и прочими.

В-четвертых, предоставлять весь комплекс услуг, который нацелен на внедрение продукта: предпроектное исследование, проектирование, поставка инфраструктурных решений, включая комплектацию программно-аппаратных комплексов, внедрение, а также сопровождение, потому что заказчик всегда хочет какую-то новую фичу или старое что-то не работает. Например, поддерживается 90% оборудования, а хочется — 100%.

Cyber Media: Очень часто, особенно в контексте импортозамещения, говорят об опенсорсе. На ваш взгляд, может ли опенсорс стать доверенным в принципе в России? Например, через размещение на какие-то национальные гитхабы?

Сергей Никитин: Это вопрос для обсуждения, но я думаю, что опенсорс скорее не может стать доверенным, чем может. Вспомните кейсы с реализацией атак на цепочку поставок компонентов ПО. То же самое может случиться и с российским репозиторием, как общедоступным, так и частным — к сожалению, неуязвимых систем нет, и чем крупнее репозиторий, тем «интересней» будет его взломать. Не стоит пренебрегать и активностью спецслужб. Люди в ИТ зачастую работают на удаленке — человек позвонит и скажет, что проживает сейчас в Грузии, Европе или в Азии, где угодно. Окажется агентом спецслужб, и в репозитории появятся библиотеки с уязвимостями нулевого дня, о которых вы не будете знать.

Я считаю, что к опенсорсу нужно относиться с определенной долей скепсиса: «доверяй, но проверяй». И помнить, что бесплатный сыр бывает только в мышеловке — есть такая профессиональная поговорка: «Если вы не платите за продукт, то вы и есть продукт». Поэтому с опенсорсом нужно быть аккуратнее, хотя для не самых критических процессов, это может быть уместно.

Cyber Media: Насколько ощущается дефицит кадров в ИБ?

Сергей Никитин: Серьезный дефицит ощущается в специалистах уровня мидл плюс и сеньор. В новичках дефицита нет. Проблема в том, что новички видят в IT, в ИБ такую отрасль, где можно ничего не делать.

Классический портрет стартапера — это человек, пьющий смузи и катающийся на электросамокате, который живет в свое удовольствие, получает какие-то баснословные деньги за то, что немножко играет на компьютере. Много людей верят в это, а потом сталкиваются с суровой реальностью, где нужно работать, иногда ночью, иногда днем, иногда в командировке, ездить по регионам. К тому же наша сфера сопряжена с большой ответственностью, которую далеко не все готовы взять на себя.

У новичков есть фильтр, который они не проходят: я пришел сюда на самокате кататься и смузи пить, а не в Новом Уренгое настраивать в два часа ночи VPN-туннель. Но реальная информационная безопасность — это как раз про настройку VPN-туннеля ночью, потому что утром нужно запустить компрессорную станцию, или в Магнитогорске новый сталеплавильный цех, или на космодроме «Восточный» линию запуска ракеты. И сделать нужно в определенные сроки, чтобы все сработало. Эта работа связана с напряжением, она серьезная, сложная, поэтому за нее и платят.

Чтобы делать качественно, нужно набраться опыта и не испугаться. Людей, которые прошли этот путь, гораздо меньше, и за ними, естественно, ведется основная охота. Они понимают, куда пришли, и готовы работать, зачастую в условиях постоянной перегрузки, потому что дефицит действительно есть. Я считал, например, иногда приходится работать на 120-150% — вместо 8-ми часового рабочего дня, работаешь 9-12 часов в день, а зарплата, к сожалению, не всегда умножается оттого, что ты тратишь больше времени. Есть инициативная молодежь, они приходят, поначалу плачут, но потом собирают волю в кулак и за два-три года становятся повидавшими немножко, и через пять лет становятся уже «опытными коммандос», которые спокойно смотрят на все и говорят:«Раз надо — будем делать».