Дмитрий Пудов, NGR Softlab: Не верьте тем, кто говорит, что ИБ-продукт можно создать быстро

Дмитрий Пудов: Несмотря на то что наша компания обладает духом стартапа, по сути, она им никогда не являлась. Причины — в истории ее возникновения. Мысль о монетизации нашей экспертизы через продуктовое предложение появилась задолго до основания NGR Softlab, когда я еще работал в системной интеграции. Мы рассматривали разные способы реализации проекта, включая покупку готового бизнеса, аутсорсинг и создание собственной разработки. В итоге мы остановились на последнем варианте, понимая, что он наиболее сложный, но стратегически самый выигрышный. Требовалось время для формирования и вызревания ряда идей, а также удачного «окна» для старта инвестиций в проект. Собственно, этой точкой на временной шкале стал июль 2019 года, когда была зарегистрирована наша компания.

Ключевой идеей, заложенной в проект, было создание решений, приносящих практическую пользу. То есть мы рассматривали только те продуктовые направления, которые ориентированы на реальную безопасность.

Дмитрий Пудов: При выборе ниш мы руководствовались продуктовым подходом: анализировали рыночные возможности, незакрытые потребности, прорабатывали и исследовали большое количество гипотез. Однако ключевую роль сыграла экспертиза, накопленная за годы работы в системной интеграции, когда я отвечал за управление портфелем решений и часто имел дело с различными, в том числе зарубежными, стартапами. Этот опыт помог сделать верный выбор наиболее перспективных направлений. В результате нам удалось достаточно быстро, всего за два года, пройти стадию R&D и в 2021 году выйти на рынок с первыми релизами всех трех продуктов: платформой для решения аналитических задач в информационной безопасности Dataplan, SIEM-системой Alertix и решением класса PAM — Infrascope. Уверен, что в России не так много команд, способных похвастаться подобным результатом или повторить его.

На тот момент рынок был совершенно другим. Пандемия и геополитическая ситуация еще не оказали своего влияния, и практически во всех продуктовых нишах доминировали известные зарубежные бренды. Тем не менее мы были уверены в успехе. Отрасль информационной безопасности демонстрировала стабильный рост как в мире, так и в России, где уже оформился тренд на импортозамещение. Российских производителей было еще не так много, но локальный рынок уже был готов к дальнейшей эволюции: он обзавелся необходимыми инфраструктурными элементами для интенсивного развития собственных качественных технологических решений. В тоже время организации достигли определенной зрелости — появилось больше осознанности в отношении защиты информации, и продукты ИБ становились все более востребованными.

Дмитрий Пудов: Пандемия имела сильное воздействие на жизнь общества и вызвала системные изменения рынка, оказав как положительное, так и отрицательное влияние на наш бизнес. Уже через полгода после запуска проекта началась эпидемия, и практически на самом старте нам пришлось адаптироваться к внешним факторам. Правда, это не сильно отразилось на наших процессах, так как компания была еще совсем небольшой, операционная модель только формировалась, и разработку было легко перевести на дистанционный формат. Однако локдаун и последовавшая «вынужденная» цифровизация повлияли на рынок труда: компании перестраивались, ИТ-сегмент сильно вырос, а люди в условиях неопределенности не спешили менять работу — все это привело к нешуточной борьбе за кадры. И несмотря на то что наши идеи были заразительными и у нас получалось привлекать единомышленников, сроки подбора и стоимость ресурсов резко возросли относительно первоначального бизнес-плана.

В то же время пандемия дала мощный импульс развитию российского ИТ-рынка, который именно в этот момент начал обращать внимание на отечественные решения.

Дмитрий Пудов: В первой половине 2021 года мы представили широкой аудитории наши продукты и стали отлаживать каналы продаж. Мы подходили к этому системно: выстраивали внутренние процессы пресейла и продаж, формировали коммерческий блок и маркетинг, развивали каналы продаж и активно привлекали партнеров. Однако уже с декабря 2021 года начала нарастать геополитическая напряженность, которая добавила нервозности команде и рынку, а в феврале-марте 2022 года произошел настоящий шок — бизнес замер в ожидании.

Когда первые иностранные компании стали покидать наш рынок, произошел резкий разворот в сторону российских производителей. Я бы даже сказал, что начался настоящий ажиотаж. Мы как молодой бренд еще не успели завоевать признание рынка, но вдруг получили спрос, о котором не могли и мечтать некоторое время назад. Однако этот взрывной интерес оказался эмоциональной реакцией происходящее — многие активно изучали предложения, но не принимали решения о покупке. Тем не менее все это стало для нас сильнейшим импульсом: рынки очистились, появилось много пространства для развития бизнеса, кроме того, нам удалось попасть в фокус внимания компаний из различных сфер и уже через год прийти к системным продажам. Но на тот момент мы просто продолжили свою работу, форсируя некоторые процессы, чтобы отвечать новым вызовам.

Оглядываясь назад, вспоминаю высказывание: «Трудные времена рождают сильных людей. Сильные люди создают хорошие времена…» За первые пять лет наша компания прошла через множество испытаний и стала сильной, не отклоняясь от своей миссии — поддерживать и улучшать качество жизни общества, защищая компании в цифровой среде.

Дмитрий Пудов: Люди — ключевой актив любой компании, занимающейся программным обеспечением. И в этот период самым сложным было сохранять концентрацию команды на фоне внешней турбулентности, так как многие оказались под сильным давлением. Фактор неопределенности был очень высок: что будет с экономикой, в каком виде она будет существовать и как это отразится на жизни каждого.

Нужно было сохранить трезвый ум, успокоить людей и переключить их внимание с внешнего негатива на открывающиеся возможности — показать, что все благоволит развитию и есть отличный шанс ворваться в «высшую» лигу. Мы стали вовлекать широкий круг сотрудников в стратегическое планирование, подсвечивать появившиеся перспективы и возможности и обеспечили регулярный диалог топ-менеджмента с командой.

Кроме того, трудности с подбором персонала, возникшие еще с началом пандемии, усугубились после 2022 года. Ни один бизнес-план при запуске проекта не мог предусмотреть, что зарплаты разработчиков будут ежегодно увеличиваться на 30–50%. Мы ориентировались на уровень инфляции (с некоторым плюсом), но такой опережающий рост зарплат было сложно спрогнозировать.

Еще одной сложностью стало восприятие концепции импортозамещения клиентами. Они хотели получить копию иностранного решения, но только от российского производителя. Однако любой технологический продукт обладает уникальными характеристиками и реализует собственный концепт. Более того, у нас изначально не было задачи разрабатывать аналоги западных решений. Мы всегда хотели создавать собственные продукты мирового уровня, вкладывая в них свою философию и видение того, как с ними будут работать операторы и офицеры безопасности и что они должны получить. При этом надо понимать, что новый продукт не может сразу удовлетворить все запросы заказчиков — как с точки зрения функциональности, так и во внефункциональном плане, например в вопросах поддержки российских операционных систем, различных схем и сценариев работы, реализации требований по масштабированию, отказоустойчивости, наличия широких возможностей для интеграции с другими решениями. Хороший продукт не возникает в одночасье. Необходимо сначала получить обратную связь, собрать проблемы и запросы реальных пользователей. Это нормальный эволюционный цикл. Поэтому, если кто-то говорит, что может создать продукт быстро, не верьте.

В 2022 году был огромный всплеск интереса к российской разработке. Мы получали большое количество предложений: от покупки компании или объединения до создания клона какого-нибудь продукта. Приходилось проводить просветительские беседы, объясняя, что если у вас есть 100 млн рублей в год и готовность поддерживать этот уровень инвестиций три года, то мы можем начать сотрудничать и прийти к нужному результату. Но не через три месяца.

Дмитрий Пудов: До недавнего времени эволюция в регулировании ИТ-отрасли происходила постепенно, без системных сдвигов. Однако после начала СВО были приняты постановления и приказы, которые открыли рынки для российских компаний и вызвали огромный спрос со стороны клиентов. В то же время регулятор стал уделять больше внимания безопасности отечественных технологий: компонентам, на которых они строятся, операционным системам и базам данных. Требования к нашим продуктам стремительно росли, значительно увеличивая и барьер входа на рынок.

В сфере информационной безопасности компаниям, настроенным на серьезную работу, помимо получения лицензии, необходимо пройти процедуру сертификации. Из трех наших продуктов два уже прошли ее. Мы эволюционировали вместе с ужесточением требований. Я считаю, регулятор делает много, чтобы отвечать современным вызовам. Он предпринимает правильные шаги, но для соответствия его решениям требуются значительные финансовые и временные затраты.

Дмитрий Пудов: В российских реалиях современная разработка больших комплексных продуктов корпоративного уровня немыслима без использования заимствованных компонентов. Сейчас регулятор требует системного подхода к безопасности их применения. Мы и раньше осознавали, что подобный подход к разработке — необходимое условие для участников российского рынка ИБ. Мы вели системную работу в этом направлении еще до появления новых стандартов, основываясь на своем понимании ситуации и реагируя на происходящие события, и у нас внедрена система безопасной разработки, которая является обязательным требованием к созданию сертифицированных продуктов. На данный момент мы перестраиваем процессы в соответствии с новым ГОСТом и планируем пройти сертификацию.

Дмитрий Пудов: Рынок крайне неоднороден. С одной стороны, крупные компании уже давно инвестируют в информационную безопасность, и многие добились значительного прогресса. С другой — уровень зрелости ИБ среднего и малого бизнеса существенно отстает. Может показаться, что небольшие компании менее интересны для злоумышленников, однако последние годы мы наблюдаем рост рисков для всех российских организаций. Геополитическая напряженность усугубила ситуацию, и мы стали свидетелями расцвета хактивизма, существенного повышения атак на промышленные объекты и появления новых типов атак. Все это сильно усложнило задачу сохранения приемлемого уровня риска для организаций на фоне вынужденной трансформации ИТ- и ИБ-ландшафта. Для крупных организаций, управляющих существенными ИТ-активами, это стало настоящим вызовом. Большинству из них пришлось одновременно с пересмотром своих ИТ- и ИБ-стратегий и планов проводить срочную миграцию с решений, которые перестали работать. Полагаю, отголоски этих изменений мы еще услышим в ближайшие несколько лет. Атаки и утечки, попадающие в медиа, демонстрируют, что даже крупные компании, системно занимающиеся информационной безопасностью, сейчас находятся в зоне повышенного риска.

В то же время владельцы бизнеса и руководители организаций стали уделять больше внимания вопросам кибербезопасности. За последнее десятилетие произошла интересная трансформация: запрос на информационную безопасность часто формируется сверху, и ИБ-функция уже воспринимается как неотъемлемый элемент системы корпоративного управления рисками. Руководители служб ИБ, вовлекаемые в этот диалог, лучше понимают реальные потребности и запросы бизнеса. Такое встречное движение позволяет увеличивать зрелость ИБ в организациях.

Дмитрий Пудов: Для достижения технологического суверенитета в целом еще потребуется немало времени и усилий. Однако в сферах ИТ и ИБ, несмотря на некоторые проблемы с аппаратными решениями, наблюдается более позитивная динамика, и говорить о недоступности технологий не приходится. Во многих сегментах уже представлено по несколько игроков, что создает здоровую конкуренцию и способствует развитию. Вендоры предлагают широкий спектр решений с положительной оценкой локального рынка, быстро совершенствуя продукты. Некоторые из них демонстрируют потенциал для выхода и на глобальный рынок.

Дмитрий Пудов: Постепенно становится очевидным, что разработка продуктов требует времени, усилий и инвестиций. Свободных ниш становится все меньше, а количество участников рынка не будет бесконечно расти. Не может быть 15 или, как сейчас, 20 производителей NGFW — наш рынок не обладает такой емкостью. Конкуренция высока, и ситуация напоминает золотую лихорадку, когда все ищут, но золото найдут немногие, и далеко не все смогут его удержать. Рынок должен стабилизироваться. Скорее всего, ландшафт российских решений ИБ будет формироваться в ближайшие пару лет, после чего начнется консолидация рынка — наступит время слияний и поглощений — и кто-то просто сойдет с дистанции. Произойдет сегментация рынка: одни сосредоточатся на премиальном сегменте, другие будут предлагать доступные решения для широкой аудитории, третьи останутся в среднем сегменте. Крупные компании это понимают, а малые — не все. Все равно придется пройти этап очищения рынка. При этом я думаю, что будут появляться и новые игроки — талантливых разработчиков много.

Дмитрий Пудов: Несмотря на возрастающий уровень конкуренции, по-прежнему существует немало возможностей. Мы постоянно анализируем, как развивать технологии и продуктовую линейку. Оставаться ли нам в какой-то определенной нише или расширять функционал продуктов, затрагивая соседние сегменты. Это вопросы, на которые мы постоянно ищем ответы.

Изначально мы создавали компанию, которая должна стать заметным игроком рынка. С момента основания мы пару раз актуализировали свое стратегическое видение, так как произошли события, которые полностью поменяли правила игры. При первом пересмотре мы решили сосредоточиться на рынке Российской Федерации, поскольку здесь открылись новые перспективы. А после второго обновления стали рассматривать и рынки дружественных государств, на которые планируем выход в среднесрочной перспективе. Тем не менее мы понимаем, что не будем предлагать там тяжеловесные решения, которые внедряем в России. Это серьезные продукты, подразумевающие определенный уровень зрелости и передачу знаний. Для их продажи необходима готовность оказывать всестороннюю поддержку пользователям на нескольких языках, быть локально независимыми или иметь представительства. К этому мы пока не готовы. Мы видим сценарии выхода на эти рынки с новыми легковесными решениями, например работающими по модели SaaS, чтобы их можно было запускать из облака и быстро предоставлять результат. Таким нам видится трек с точки зрения дальнейшей экспансии.

Дмитрий Пудов: В последнее время мы стали менее внимательны к мировым трендам. Раньше мы активно участвовали в международных конференциях и стремились вписаться в глобальную повестку развития отрасли. Сейчас наблюдается тенденция к сегрегации, что может послужить толчком к формированию альтернативного видения и подходов в ИТ-сфере. Однако для того, чтобы эти технологии получили широкое признание и применение в мире, необходима поддержка на государственном и международном уровне.

Я являюсь убежденным сторонником того, что российская школа программирования — одна из самых сильных в мире. Наши специалисты доказали свою способность решать задачи любого масштаба, о чем свидетельствует успех российских ИТ-компаний на глобальном рынке. Они создали отличные инструменты разработки, системы виртуализации, резервного копирования и другие решения, которые завоевали уважение пользователей во всем мире. У российских продуктов есть большой потенциал для покорения зарубежных рынков, но, к сожалению, политическая ситуация создает определенные препятствия.

Россия сейчас проходит интересный этап трансформации ИТ- и ИБ-ландшафта. Мы получаем уникальную экспертизу, которую используем для защиты бизнес-интересов и государства, строим безопасные инфраструктуры. Этот опыт интересен многим странам и организациям, поскольку мир становится все более неоднородным, и любой может стать объектом внимания различных групп влияния и государственных органов. Умение управлять этим риском становится ключевым преимуществом и фундаментальным качеством устойчивости государства в современном мире.