Перенесемся в начало 2000-х. Как в те годы выглядела российская ИБ-индустрия?
На мой взгляд, индустрии в те годы еще не существовало. О кибербезопасности редко задумывались даже крупные компании — про средний и малый бизнес вообще молчу. Компьютеров и подключенных к интернету устройств было гораздо меньше, поэтому никто не осознавал рисков: ну отформатируют мне винчестер, и что дальше? Крупных ИБ-компаний тоже, мягко говоря, было немного. Выделить могу разве что «Информзащиту»: ребята активно продавали америкосовский сканер и оказывали услуги именно в области кибербеза, а не физической безопасности.
При этом общий уровень ИБ-компетенций на рынке был достаточно низким. Понятия «человек, занимающийся кибербезопасностью» тоже не было: эти задачи в силу своей осведомленности решали обычные администраторы. Проще говоря, все вокруг было в дырах — золотая эра для взломов!
А вот хакерское сообщество существовало, но не в формате полноценной тусовки с очными встречами, как в книжках Лукьяненко про Диптаун. Все сидели на профильных сайтах, общались и постепенно обрастали знакомствами.
Если индустрия только развивалась, почему ты так хотел создать собственную компанию? Ты не боялся, что на ваши услуги и продукты просто не будет спроса?
Юрка с Женькой (Юрий Максимов, Евгений Киреев. — Прим. ред.) поначалу сомневались, что у нас что-то получится. Я их полгода уговаривал, пока мы беседку строили. К тому моменту XSpider действительно был на голову выше аналогов, им уже пользовалось огромное количество людей. К тому же я четко осознавал, что больше не хочу быть наемным сотрудником. В этом случае ты себе не принадлежишь: просто выполняешь спущенные сверху задачи — и все. А мне нравилась свобода и возможность самому решать, в какую сторону расти и развивать продукт. Да и банальные бытовые моменты из серии «не захотел в офис — сегодня работаешь дома» играли не последнюю роль.
Конечно, первый год Позитива выдался тяжелым. Бизнес все-таки не совсем моя тема, а Женька влез в эту авантюру с философской позицией: получится — хорошо, не получится — хотя бы попробовали». А вот Юра — чистой воды коммерс, поэтому на старте нам его сильно не хватало. Тем не менее вариант «не получится» меня совершенно не устраивал, поэтому я тащил изо всех сил.
Женькины инвестиции ушли в оборудование, офис и первых сотрудников, но деньги быстро заканчивались. Тем не менее за счет оказания дополнительных ИБ-услуг мы всегда выходили в ноль. Затем мы выпустили коммерческую версию XSpider и начали участвовать в профильных выставках.
В итоге на нас обратили внимание первые крупные клиенты — Сбербанк и «Билайн». Их бюджеты стали для нас большим открытием. Помню, как представители Сбербанка спросили, сколько стоит безлимитная версия XSpider. Мы сказали, что 20 тыс. долл., а они ответили: «О, сделки до 25 тысяч мы даже без согласований можем подписывать!» Причем потом в разговоре несколько раз звучала фраза «как-то дешево…». Для сравнения: проекты для мелких компаний тогда приносили нам порядка 200–300 долл., а весь бюджет Позитива составлял около 5 тыс. долларов в месяц :) Решения Cisco и других топовых вендоров стоили гораздо больше, а мы на их фоне делали крутой и недорогой продукт. Но, как оказалось, для крупных компаний дешево не значит хорошо: «Как обосновывать, что мы так мало потратили?» Это было для меня настоящим откровением.
После продажи XSpider в Сбербанк и «Билайн» мы с Женей и Юрой пошли праздновать в ресторан «Сыр», как сейчас помню. На тот момент у Юры был свой маленький провайдерский бизнес, он хорошо зарабатывал и его все устраивало. Но, к счастью, он наконец созрел присоединиться к Позитиву. После этого жизнь стала проще: Юра сразу перехватил общение с заказчиками, а я с большим удовольствием ушел обратно в программирование. Женька же занимался всем по чуть-чуть, потому что он реально талантлив во всем. Он может рисовать сайты, программировать и т. д., а еще помнит все, что когда-либо читал, и может ответить на любой вопрос :) Дай задание — он разберется и сделает в лучшем виде.
К слову, на той встрече в ресторане у меня впервые появилось чувство, что теперь все получится. Но осознания, что мы создали что-то действительно крутое, еще не было — скорее, уверенность, что мы на правильном пути.
Подробнее об XSpider и первых годах Позитива читайте в первом интервью Дмитрия Максимова для нашего журнала.
А в какой момент ты осознал, что у вас получилось — идея Позитива взлетела?
Впервые я подумал об этом на одном из корпоративов, когда в Позитиве было уже больше тысячи человек и мы тогда праздновали юбилей компании. Помню, как заиграла музыка, вверх полетели фейерверки и кто-то из старых сотрудников сказал мне: «Прикинь, это же ты создал!» Я смотрю на огни в небе, вокруг куча людей, и в голове впервые прозвучало: ну ни хрена себе! :)
Хотя четкого понимания, что все получилось, не было еще долго. Я и сейчас не до конца это осознаю. Вроде понимаю, что мы создали классную компанию и я приложил к этому много усилий, но внутри все равно возникает вопрос: это что, действительно я сделал?
Так что конкретной отсечки у меня нет: ты просто делаешь маленькие шажочки, которые постепенно складываются в один большой шаг. Это не похоже на торжественные сцены из фильмов и книг, в жизни все ощущается совсем по-другому.
Неизбежная плата
С какими еще сложностями вы столкнулись на старте?
Их было много, ведь никто не учил нас, как правильно делать компанию. Тогда не было никаких MBA, да и они вряд ли помогли бы. Наверное, для меня одной из главных сложностей было выстраивание правильных отношений с командой. Поначалу я воспринимал всех сотрудников Позитива просто как друзей и считал, что это нормально (ведь я никогда не работал иначе). Но нельзя забывать: когда речь идет о твоей компании, ты не только друг, но и начальник, который платит человеку зарплату. При этом, как всегда говорил Женя, людям свойственно лениться — это заложено в нашей ДНК. Поэтому коллеги, к которым ты относишься как к друзьям, так или иначе начинают этим пользоваться и немного халявить.
Человек первый раз опоздал, второй — и, как ребенок, прощупывает реакцию: накажут или нет. Но ты же к нему относишься как к другу, думаешь, что он сознательный и не будет этим пользоваться… А нет — будет, потому что люди по своей природе так устроены. Когда я понял, что дистанцию все же нужно держать, отношения в команде уже выстроились, поэтому перестраиваться было сложно.
Необходимость занимать более жесткую позицию нас изменила. К примеру, Юра со временем стал заметно жестче, да и я тоже. Это отражается даже в бытовых вопросах: у меня пропало ощущение неловкости, когда нужно кого-то напрягать. Раньше я бы подумал: ну принесли холодный кофе, и ладно … А теперь все по-другому.
Первые десять лет Позитива в принципе научили меня принимать сложные решения. Сначала было тяжело, но с каждым разом внутренней уверенности становилось больше. Один раз попробовал — получилось, на второй обжегся — ничего страшного, идем дальше. При этом я постепенно учился разрешать себе ошибаться. Это неизбежно, поэтому важно не рефлексировать слишком долго, а принимать ошибку просто как факт и использовать этот опыт в будущем.
Когда постоянно приходится принимать жесткие решения, это накладывает свой отпечаток. Мне кажется, это неизбежно, и мы постепенно этому учились — в том числе на своих ошибках.
Расскажи о системе ценностей Позитива образца 2000-х. Без чего человек не смог бы прижиться в компании?
Для меня огромную роль играло качество работы человека. Я не приемлю полумер и подхода «и так сойдет». Если мой продукт определяет уязвимость, он должен делать это эффективно — без false positive. Если мы оказываем ИБ-услугу (например, взламываем заказчика), нужно выкладываться на 100%. Я всегда работал по этому принципу и требовал этого от других.
Хороший пример — Сашка Анисимов (экс-сотрудник Позитива. — Прим. ред.), он тоже перфекционист и просто не мог выпустить код, в котором что-то не так. Я встречал много программистов, которые что-то написали, выпустили, а потом открываешь — и там все криво. Для меня и Сашки это было попросту невозможно.
К сожалению, со временем таких людей становилось все меньше. Сейчас мало разработчиков, которые выкладываются на все сто. Наверное, свою роль в этом играла наша советская закалка: ты понимаешь, что надо делать хорошо, иначе просто не выживешь. Сейчас люди гораздо более расслаблены. Конечно, в Позитиве много классных экспертов, но в процентном соотношении их куда меньше, чем раньше.
Мне сложно было принять тот факт, что по мере роста компании качество разработки усреднялось: оно все еще было высоким, но не таким идеальным, как хотелось мне. Причем я понимал, что нужно отпустить этот момент, потому что развитие невозможно без увеличения штата. В фильме «Пятый элемент» один из главных героев Зорг говорил: «Хочешь сделать хорошо — сделай это сам». С другой стороны, в одном из фильмов про друзей Оушена была фраза «Ты не можешь делать все сам — найми людей и делегируй». Для меня это была настоящая дилемма, но в какой-то момент я понял, что просто не могу делать все сам или контролировать всех вокруг — это неизбежная плата за расширение.
Риск в крови
Расскажи о самом рискованном шаге, который ты сделал в Позитиве и в итоге не пожалел?
Примерно в середине пути перед нами встала проблема роста. Мы понимали, в какую сторону нужно идти, но двигались слишком медленно, а для ускорения требовалось очень много денег. И тогда мы приняли сложное решение: заложили все, что у нас было, включая дома. Это была Юркина идея.
Похоже, к тому моменту слово «риск» было у нас в крови: мы понимали, что иначе не получится. С другой стороны, мы уже были в том возрасте, когда терять абсолютно все совершенно не хотелось… В итоге все же решили рискнуть и не прогадали.
Эта эпопея длилась около трех лет, и они, откровенно говоря, были весьма тревожными. Похожее чувство я испытывал, когда мне в детстве вырезали аппендицит. Ты понимаешь, что так надо и деваться некуда, но когда тебя кладут на операционный стол и надевают маску, все равно думаешь: бляха-муха, ну и жесть конечно :)
Кто знает, где Позитив был бы сейчас, если бы мы этого не сделали. Возможно, какой-нибудь небольшой компанией второго эшелона…
Если бы ты мог вернуться в двухтысячные, что бы ты сделал иначе?
Я бы не стал ничего менять. Из компании, созданной с нуля практически без инвестиций, мы выросли в нынешний Позитив!
Где-то мы действовали правильно, где-то ошибались, но каждый из нас внес свою лепту в общее дело. Если бы я не начал писать XSpider, Позитива бы не было. Если бы Женька не поддержал меня на старте, Позитива тоже бы не было. А без колоссального Юркиного вклада мы никогда не дошли бы до нынешнего уровня — это, безусловно, его заслуга.
Что сейчас дается тебе сложнее, чем 25 лет назад?
Мозги работают не так быстро: раньше все как-то поживее шло, не так лениво :) К примеру, недавно я увлекся полетами: оказалось, что в Европе малая авиация очень развита и воспринимается чуть ли не как обычный транспорт. Я уже отучился, налетал 50 часов и совершил более 150 посадок — осталось сдать экзамен и получить лицензию. Но сначала, как и в автошколе, нужно сдать теорию и выучить кучу терминов, в моем случае — на французском. И вот я сижу, выписываю все в блокнот и как могу отодвигаю момент сдачи. Буквально ленюсь учиться, и меня самого это поражает. К тому же в голове возникает диссонанс: вроде ты столько всего сделал и добился в жизни, а тут кто-то будет тебя проверять и выставлять оценки. Ощущение такое, как будто вернулся в школу.
Зато сами полеты увлекают безумно: каждый раз открываю для себя что-то новое. Причем учиться, как оказалось, нужно вообще всему: например, летать вверх ногами или садиться с выключенным двигателем, когда самолет уходит чуть ли не в штопор. Я периодически скидываю видео Юрке и Женьке, а они отвечают, что это просто ужас :)
Конечно, был момент, когда я задумался: куда я вообще лезу? Ведь я всегда осуждал мотоциклистов и парашютистов за неоправданный риск, а тут летаю вверх ногами на самолете 1975 г. Но со временем понимаешь, что все сомнения идут от незнания. На самом деле небольшой самолет можно посадить на любое поле, даже если двигатель откажет. Конечно, риск все равно присутствует, но если делать все с умом, проблем быть не должно. Зато каждый раз, когда я прилетаю на аэродром и еду домой, возникает невероятное ощущение, как будто я вообще не здесь. Люди вокруг куда-то идут, суетятся, а я думаю: блин, ребята, вы вообще не в курсе, как круто бывает в жизни. Свобода, которую дают полеты, однозначно стоит этих рисков.
А что дальше?
У российской ИБ-индустрии свой путь или она все-таки должна быть частью мирового кибербеза?
Международные коммуникации важны, но у каждой страны, в том числе России, свой путь — тут к гадалке не ходи. К тому же ментальность отечественных хакеров и ИБ-специалистов сильно отличается, к примеру, от европейской. У меня есть друг француз, который почти пять лет прожил в России. Однажды он привел классный пример: если во Франции висит табличка «Не входить», люди туда не пойдут. В России же люди воспринимают это как «Good reason to go». Типа стопудово туда стоит сходить :) Поэтому мировые практики нам не всегда подходят, а отечественные хакеры, на мой взгляд, сильнее зарубежных. Наше любопытство и умение искать неочевидные пути — это важные преимущества.
Что бы ты сказал всей отрасли по итогам прошедших 25 лет?
Все еще впереди! Причем как хорошее, так и плохое. Число подключенных к сети устройств растет в геометрической прогрессии: каждый второй ставит дома умную лампочку, не задумываясь о том, что при желании через нее можно добраться до чего-то важного. Искусственный интеллект (который пока не совсем интеллект, но все же) тоже облегчает жизнь не только нам, но и хакерам…
Конечно, технологии — это круто, но они всегда несут за собой риски. Думаю, в ближайшее время мы столкнемся с принципиально новыми вызовами, некоторые из них пока даже представить себе не можем. Нужно быть к этому готовыми!
