Донецкий техникум промышленной автоматики

Кібербезпека і захист даних: перспективи та загрози для стартапів

Експерти з Group-IB, Центробанку РФ, Управління «К» МВС РФ, ЦИБ ФСБ, «Лабораторії Касперського» і Microsoft обговорили перспективи для стартапів.

16 липня у ФРІІ Сіті Холі пройшов захід, організований Фондом розвитку інтернет-ініціатив спільно з компанією Group-IB. На захід були запрошені експерти з Group-IB, Центробанку РФ, Управління «К» МВС РФ, ЦИБ ФСБ, «Лабораторії Касперського», Microsoft, Softline, «Інфосистеми Джет», Acronis, а також представники акселератора і фонду ФРІІ. Зустріч проходила в рамках відкритої дискусії, на якій обговорювалися можливості для розвитку нових продуктів на ринку кібербезпеки і захисту даних, підтримка стартапів, перспективні напрямки та загрози. Ми публікуємо вичавку обговорення.

Стартапи в сфері кібербезпеки очима системних інтеграторів і великих вендорів

Співорганізатор заходу, компанія Group-IB, не так давно перестала бути стартапом. В якості перспективних для розвитку напрямків в індустрії Group-IB були виділені комп'ютерна криміналістика і cyber intelligence - кіберрозвідку. За словами засновника компанії Іллі Сачкова, технологія «дозволяє за певними аналітичними, технічним, або стратегічним індикаторами давати замовникам інформацію, яка дозволяє запобігти злочинам», і це швидко зростаючий ринок, «блакитний океан».

«Лабораторія Касперського» теж колись була стартапом, близько 18 років тому в ній було четверо людей і технологія, яка вміла відносно швидко знаходити конкретні віруси. Зараз компанія пропонує близько 40 різних продуктів і сервісів. На початку нульових бізнес почав зростати в сторону b2b-ринку, відбулася різка диверсифікація продуктової лінійки. Зараз «Лабораторія Касперського» починає займатися продуктами, які попереджають, пророкують моменти зараження. Починаючи з минулого року, в «Лабораторії» активно дивляться на стартапи в області інформаційної безпеки. Якщо в 90-х у компанії була задача охопити якомога більше ніш, то зараз, за ​​словами керівника центру інвестицій та інновацій в «Лабораторії Касперського» Вартана Мінасяна, «ніякого кількості розробників не вистачить, щоб охопити всі ніші», тому компанії цікавий розвиток екосистеми галузі і співробітництво з зовнішніми стартапами.

В'ячеслав Железняков, який керує департаментом безпеки в компанії Softline, розповів, що з точки зору підтримки стартапів в компанії є фонд Softline Ventures Partners. По-перше, фонд займається інвестиціями в стартапи, а по-друге, аналітики Softline добре знають ринок: кому і який продукт можна продати. Відповідно в компанії активно працюють зі стартапами як з боку фонду, так і з боку ринку в цілому.

Стартапи в сфері кібербезпеки та захисту даних - це один із пріоритетних напрямків для інвестування і для Фонду розвитку інтернет-ініціатив, саме тому ФРІІ виступив ініціатором заходу в цій сфері і зацікавлений у партнерстві з ключовими гравцями ринку. Наприклад, з Microsoft вже діє партнерська акселеративному програма.

Юрій Черкас, менеджер з розвитку бізнесу в компанії «Інфосистеми Джет», розповів, що очима інтегратора стартап - це включення в портфель інтегратора нової послуги. Але на жаль, на сьогоднішній день 95% бізнесу «Інфосистеми Джет» побудовано на базі іноземних рішень, і лише 5% - продукти вітчизняного виробництва. На думку Юрія Черкаса, це відбувається не тому, що компанія орієнтована на іноземні товари, а з тієї причини, що якісної вітчизняної продукції дуже мало на ринку. Як інтегратор, «Інфосистеми Джет» готові купити ідею і вкладатися в її розвиток. Багато стартапи народжуються і всередині самого інтегратора. «Інтегратор, коли він запускає новий продукт, ставить перед собою не матеріальні цілі - заробити грошей. Йому важливіше, наприклад, можливість стартапу вийти на зарубіжний ринок, його потенціал. Потрібно знайти свою нішу і продати ідею інтегратора », - пояснює Юрій Черкас.

Потрібно знайти свою нішу і продати ідею інтегратора », - пояснює Юрій Черкас

Підтримка стартапів великими компаніями: чим системні інтегратори і вендори в сфері інформаційної безпеки можуть допомогти молодим компаніям?

На думку Вартана Мінасяна з «Лабораторії Касперського», буває три типи допомоги, яка необхідна стартапу. Технологічна: скажімо, компанія вирішила залізти в ринок з важкими технологічними рішеннями. У неї є ідея, як вирішити якусь проблему, але щоб втілити цю ідею, потрібні умовні 50 осіб. Стартап може прийти, наприклад, до «Лабораторії Касперського», і домовитися про ліцензування якийсь існуючої технології. Це захищає стартап від потенційних конкурентів: технологія є бар'єром для входу. Другий тип допомоги - продуктізація ідей і технологій. Часто буває, що у людей, які створюють нові продукти, виходить цілий фич-лист. Краще сфокусуватися на одній-двох фічах, вважає Вартан. Допомога з вибором цих фіч і їх реалізації - це і є продакт-менеджмент: як правильно сформувати продукт. Третій тип допомоги - доступ до клієнтів і каналу продажів великої компанії, які напрацьовуються на цьому ринку роками, так як інформаційна безпека - це про довіру до бренду і особистості.

Практично всі експерти з великих компаній згадали про те, що стартапи часто зароджуються прямо всередині корпорації. Як каже керівник програми інформаційної безпеки в Центральній і Східній Європі в Microsoft Андрій Бешков: «Microsoft - це єдина тканина, де всередині зріє безліч стартапів». За словами Андрія, Microsoft багато разів стикався з ситуацією, коли провідні люди в стартапи несподівано йдуть. Тому в компанії зазвичай запускаються кілька паралельних стартапів для вирішення однієї проблеми, з розрахунку, що якийсь так виживе. «Швидше за все, між ними буде люта сутичка, і якийсь один поглине інших», - резюмує Андрій Бешков. Зовнішні стартапи компанія підтримує грантами - технологічними і грошовими. Андрій виділяє наступні проблеми стартапів на етапі пошуку підтримки. «Часто за підтримкою приходять люди і кажуть, що винайшли щось нове, а на ділі це вже є. Також нерідко буває, що у стартапів є ідея, але їм не вистачає навичок, компетенцій, їм ми їм це даємо. Якщо ж продукт у них вже є, треба допомагати його продавати ».

Юрій Черкас з компанії «Інфосистеми Джет» стверджує, що в компанії можуть допомогти стартів зрозуміти: їх рішення - зовсім для іншої області, а цікавим стартапам готові надавати технологічні потужності.

Ілля Сачков з Group-IB розповів, що вони вже працюють з стартапами в області CERT. (CERT-GIB представляє собою команду з реагування на інциденти інформаційної безпеки (Computer Emergency Response Team), створену на базі Group-IB в Росії. В Group-IB шукають рішення, які просто і зрозуміло для замовника виявляють якусь негативну активність в інтернеті , всередині мережі, на базі серверів. Наприклад, компанія вже працює з ще одним портфельним проектом ФРІІ - Sitesecure. Тепер клієнти, які отримують CERT від Group-IB, отримуватимуть відразу і послуги Sitesecure щодо захисту сайтів.

ФРІІ надає стартапам в сфері кібербезпеки та захисту даних два види підтримки: інвестиції та акселеративному програма . Стартапи на передпосівної стадії можуть отримати 1,4 млн рублів, з яких 600 тисяч підуть на оплату програми акселерації. Цей тип підтримки отримали такі проекти з індустрії, як Sitesecure і Bitcalm. ФРІІ також інвестує на посівний (до 15 млн рублів) стадії і раунді А (до 340 млн рублів). Остання угода раунду А в розмірі 210 млн рублів як раз була анонсована з компанією Group-IB.

Перспективні напрямки для розвитку стартапів на ринку кібербезпеки

Експерти обговорили також, в яких напрямках стартапам точно не варто рухатися, чого стартапам не вистачає для зростання, і на ринок яких країн варто орієнтуватися.

Щоб велика компанія розуміла перспективність ідеї стартапу, в ідеалі він повинен підкріпити її дослідженням ринку. На жаль, в стартапі найчастіше нікому займатися дослідженнями. Як говорить Вартан Мінасян, «серйозне дослідження ринку робити довго, дорого і складно». За його словами, в «Лабораторії Касперського» приблизно раз на місяць приходить компанія, яка пропонує зробити новий менеджер паролів або нову технологію аутентифікації на мобільних телефонах. У таких компаній збігаються часом не тільки технологічні рішення, а й цільові ринки, і маркетингові активності, які вони припускають робити. З точки зору потенційного партнера та інвестора це зовсім не інновація. «Але ми з задоволенням поговоримо з тими, хто з порога скаже нам« паролі помруть завтра, і все зміниться, тому що з'явимося ми ». Такий підхід демонструє внутрішню енергію команди », - пояснює Вартан. У «Лабораторії Касперського» стартапи закликають, в першу чергу, не намагатися вийти на існуючі майже повністю зайняті ринки кібербезпеки, а дивитися вперед, створювати інновації.

З цією позицією не згоден Юрій Черкас з «Інфосистеми Джет»: «Якщо на ринку є місце для DVD, то знайдеться і для десятого гравця в уже розвиненою ніші», - говорить він. Юрій нагадує, що хороших вітчизняних товарів немає навіть серед поширених технологій, таких як web-шлюз. Експерт вважає, що не треба боятися конкуренції, боятися заходити на ті ринки, які вже міцно зайняті.

На думку В'ячеслава Железнякова з Softline, більше шансів у стартапів, які починають ні з розробки цікавої технології, а з вибору вузької ринкової ніші. Зробивши продукт для ніші, згодом можна окремо розвивати і саму технологію. Таким чином, стартапу краще орієнтуватися на конкретну нішу, ніж робити технологію, яку потім незрозуміло куди вбудовувати.

Ілля Сачков з Group-IB рекомендує всім стартапам прочитати книгу «Стратегії Блакитного Океану». За його словами, Group-IB зростає багато в чому завдяки тому, що вони знайшли свої «блакитні океани» у вигляді криміналістики і CERT. Що стосується перспективних напрямків для стартапів з кібербезпеки, то на думку Сачкова, в Росії не вистачає криміналістичних комплексів. З російських компаній це тільки Belkasoft і ставропольська компанія ACE Lab. Величезне число обладнання, яке ми закуповуємо, виробляють ізраїльські та американські компанії, хоча у їх продуктів є істотні недоліки. Мінус в тому, що в Росії відсутня система сертифікації криміналістичного обладнання, хоча саме у цього обладнання є доступ до найчутливішим даними, які хочуть вкрасти », - журиться Ілля.

Артем Сичов, заступник начальника Головного управління безпеки і захисту інформації Центрального банку РФ, запропонував пару ідей для стартапу, які б його зацікавили, виходячи з існуючих в галузі проблем. «Найпростіша проблема, з якою стикаються зараз власники платіжних карт, - це відсутність вітчизняного чіпа. Реалізувати технологію від вирощування кристала до виробництва чіпа ніхто не може. Такий стартап буде коштувати шалених грошей, але перспективи у нього дуже хороші: обсяг випущених карт великий, плюс є сім карти і інші сфери, яким потрібні чіпи », - пояснює експерт.

Ще одна проблема, яка нас чекає на думку Артема Сичова, - це впровадження шкідливий на рівень процесорів, їх робота з security-модуля, який є в кожній машині. «Поточні засоби контролю не побачать їх, що дасть можливість цим шкідливий працювати. Проблема виявлення та ліквідації цієї активності гостра, вона знаходиться на стику hardware і software, і поки ми не бачимо на ринку рішень, які цього можуть протистояти ».

На ринок якої країни орієнтуватися стартапу?

Андрій Бешков з Microsoft не рекомендує стартапам з кібербезпеки цілитися виключно на російський ринок. Набагато важливіше відразу розуміти, чи буде продукт затребуваний десь за межами Росії, вважає він.

Артем Cичев з ЦБ РФ дотримується іншої точки зору. На його погляд, в будь-якій державі вимоги до безпеки виставляють певні органи, це тісно пов'язано із захистом держави. За його словами, орієнтація на ці вимоги дасть стартапу переваги при спробі продати товар для держструктур. «Багато американських великі виробники дещо недоговорюють: держконтракти в США дали таким компаніям величезні можливості. Чому ж в РФ має бути по-іншому? », - дивується Сичов. Він стверджує, що держава може профінансувати стартап, але це можливо тільки якщо стартап готовий йти на реалізацію вимог по сертифікації, які виставляє держава.

З цього приводу Вартан Мінасян з «Лабораторії Касперського» привів цікавий приклад. Десять років тому в Китаї почалося розвиток автомобілебудування, з'явилося багато компаній в цій галузі. Однак китайська держава встановило квоту: завод буде закритий, якщо високий відсоток продукції через якийсь час не буде експортуватися, тобто не буде визнаний іншими ринками. «Добре, коли стартап починає з батьківщини. Але не варто забувати, що вихід на інші ринки - це і перевірка конкурентоспроможності продукту, і збільшення його шансів вижити в не найкращі для економіки країни часи, і перевірка на сумісність продукту з іншими ментальностями », - резюмує Вартан.

Юрій Черкас з «Інфосистеми Джет» також згадав, що у стартапів може бути різна цільова аудиторія. Є великі представники ринку, а є дрібні, які теж потребують рішень з кібербезпеки. Як ще один варіант цікавої стратегії розвитку стартапу Юрій пропонує робити продукт під невеликі компанії, потім виходити на великих замовників, а вже після - на міжнародні ринки.

Чому корпораціям немає сенсу «тиснути» стартапи

Андрій Бешков на цей рахунок говорить: «Навіщо« тиснути »стартапи, коли можна їх купити?». З цього приводу Андрій згадує покупку компанією Microsoft стартапів Hotmail і FastSearch, з якого потім вийшов Bing. Чому «тиснути» стартап невигідно? «Microsoft схожий на каток: довго розганяється, дивиться, поки стартапи, що біжать попереду, набивають шишки, а потім щось купує, і їде вперед», - пояснює Андрій. «Копіювати розробку стартапу корпорації сенсу немає», - говорить Андрій Бешков. Простіше ліцензувати щось у стартапу з однієї причини: час розробника Microsoft коштує дорожче цієї ліцензії.

Вартан Мінасян теж згадує про проблему швидкості розвитку нових продуктів в корпорації. «Лабораторія Касперського» пишається якістю своїх технологій, своїми програмістами. Але високі вимоги до якості призводять до того, що мінімальний релізний цикл найпростішого продукту становить місяці, а іноді й роки. Так що ми можемо пропустити реліз інноваційної технології, просто тому що так влаштований процес secure development - по-іншому не можна. Якщо ж є стартап, який займається цією технологією, ми з радістю будемо з ним співпрацювати. Навіть якщо він потім вистрілить і стане нашим конкурентом, ми будемо тільки раді. Конкуренція веде до загального підвищення якості. Стартапи великим компаніям потрібні, щоб швидко пробувати щось на нових ринках », - говорить експерт.

B2C-стартапи у сфері кібербезпеки та захисту даних: на чому сконцентруватися?

Вартан Мінасян як колишній менеджер по продуктах для домашніх користувачів «Лабораторії Касперського» дав кілька простих порад про b2c-ринок. «Перше: бренд, як не дивно, на цьому ринку означає не дуже багато. На комп'ютерному ринку люди часто не знають, чи користуються вони Windows або OS X, вже не кажучи про те, який у них коштує антивірус », - каже Вартан. На його думку, рівень цього знання продовжує падати. «У b2c важливі простота продукту, юзабіліті, UX, продукт повинен бути вкрай ефективний і зрозумілий на такому рівні, що їм зможе користуватися навіть дитина», - стверджує Вартан. Також в «Лабораторії Касперського» вважають: якщо у продукту є якийсь складний функціонал, який він продає як диференційовану фичу (за рахунок неї відрізняється від конкурентів), краще, якщо вона буде працювати автоматично. Інакше, швидше за все, велика частина користувачів їй ніколи користуватися не буде.

Андрій Бешков з Microsoft також відводить перше місце в b2c-продуктах простоті використання. «Перший час ми в Microsoft створювали складні продукти, тому що програмісти зазвичай пиляють щось« під себе ». Ми задавали користувачам Windows купу питань в процесі використання, хоча їм хочеться, щоб була одна велика кнопка «зроби мені добре», - говорить Андрій.

Олег Михальський, директор Acronis по Сонячно сервісів, считает, что стартап в сфері безпеки простіше почінаті в b2c. «Стартап з інформаційної безпеки - це технологічні ризики, помножені на маркетингові ризики. Потрібно создать складаний технологію, яка вірішує складаний проблему, а после - найти КЛІЄНТІВ, Яким можна поясніті, что у них ця проблема реально є ». Як каже Олег, більшість людей проблем з безпеки НЕ відчувають. І це перший рівень труднощів при створенні стартапу. «Другий рівень складності - потрібно створити бренд, що володіє довірою споживачів, зібрати багато даних і експертизу, щоб ви могли прийти до корпоративному клієнту, і вас не виставили з порога», - пояснює Михальський. На думку Олега, на b2c-ринку користувачі швидше і простіше дізнаються про нові технології і приймають їх. Але для цього, за словами експерта, повинен відбутися «compelling event - прецедент, який змусить усіх звернути увагу на цю проблему». Скажімо, у всіх масово пропадуть важливі дані з Dropbox.

Softline не працює з консьюмерской сегментом, але працює з сегментом SMB (Small Medium Business). На думку В'ячеслава Железнякова, там все дуже схоже на b2c: менше знань, більше емоцій. «Робити продукти для b2c або SMB, на мій погляд, навіть складніше, ніж для ринку enterprise. У b2c, наприклад, виникають складнощі з техподдержкой, продуктивністю, автоматизмом. З точки зору технологій ж такі продукти не менш складні. При цьому на цих ринках клієнти часто погано розбираються в продукті і приймають рішення на емоціях », - говорить В'ячеслав. Железняков також згадує про складнощі виходу на консьюмерской ринок для технологічних компаній. «На ринку enterprise ви можете дійти до пари великих клієнтів, зацікавити їх, і в підсумку вони можуть взяти продукт на тестування. У b2c і SMB крім кінцевих клієнтів при запуску продукту потрібно орієнтуватися і на основних дистриб'юторів або реселерів, які потім будуть його продавати, а це ускладнює завдання », - говорить В'ячеслав Железняков.

Повністю відео з заходу можна подивитися тут . Заходи формату «бізнес-секрети» у ФРІІ проводяться щомісяця, стежити за ними ви можете, підписавшись на паблік ФРІІ в FB .

Підтримка стартапів великими компаніями: чим системні інтегратори і вендори в сфері інформаційної безпеки можуть допомогти молодим компаніям?
На ринок якої країни орієнтуватися стартапу?
Чому ж в РФ має бути по-іншому?
Чому «тиснути» стартап невигідно?
B2C-стартапи у сфері кібербезпеки та захисту даних: на чому сконцентруватися?