RuSEIM
Публикации

Максим Степченков: «Бытует ошибочное мнение, что SIEM нужно внедрять последним, когда все остальное уже есть»

Защита данных и информации — одна из главных задач, которую необходимо решить для создания цифрового суверенитета. После ухода с российского рынка западных вендоров и принятия ряда нормативных актов, сделавших защитные решения обязательными, отечественный рынок SIEM пришел в движение. О том, с какими сложностями столкнулись крупные игроки на пути импортозамещения и какие перспективы для них открыли западные санкции, CNews рассказал совладелец компании RuSIEM Максим Степченков.

«В 2022 году все кардинально изменилось»

CNews: Как вы оцениваете ситуацию на отечественном рынке SIEM, в том числе с точки зрения спроса и предложения? Какого прогресса удалось добиться за последние годы?
Максим Степченков: Отечественный рынок хорошо и активно рос в период с 2014 по 2022 годы. Однако большинство игроков действовали с тем настроем, что мы будем использовать западные решения. Импортозамещение в те годы шло очень тяжело. В огромном количестве новых проектов отечественным решениям предпочитали продукты IBM, ArkSight, Fortinet и прочие.

В 2022 году все кардинально изменилось. Начали рассматриваться практически только российские решения. На них появился колоссальный спрос, в первую очередь на аналитические центры информационной безопасности. Без них построить защитный комплекс невозможно. Огромное количество предприятий обязаны использовать такой центр.

Бытует ошибочное мнение, что SIEM нужно внедрять последним, когда все остальное уже есть в периметре. Это заблуждение. Если у вас есть антивирус, служба каталога, межсетевой экран, да вообще любая бизнес-система — вы уже наш клиент. На базе этих четырех систем можно создать сотню правил, выявлять огромное количество инцидентов и, соответственно, вовремя на них реагировать.

Помимо всего прочего, есть нормативные документы, согласно которым данный класс решений является обязательным, например, защита государственных информационных систем, критической информационной инфраструктуры. Также решение класса SIEM позволяет упростить, автоматизировать и качественно осуществлять взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак для передачи сведений о возникших инцидентах.
CNews: Для RuSIEM насколько сложным оказалось импортозамещение? Ваш продукт существует уже 10 лет. Насколько тяжело было адаптироваться к тому, что нет возможности взаимодействовать с иностранными партнерами, использовать западные системы? Что изменилось для вас в 2022 году?
Максим Степченков: Мы в один день остались без крупного иностранного клиента, потеряв проект, который готовился в Австрии. Все остальное значительного влияния на наш бизнес не оказало.

Мы даже гипотетически не рассматривали экспансию на классические западные рынки, зато другие рынки в связи с тем, что произошло в России, стали очень внимательно на нас смотреть. В феврале 2022 года они увидели, что западные решения, которые используются для построения комплексной защиты сети, предприятий, организаций — критическая информационная структура страны, может быть отключена извне в один день, при введении санкций.

Соответственно, стал актуален вопрос цифрового суверенитета. Многие страны понимают, что американские решения очень сильно зависят от политики. Поэтому сейчас на многих рынках идет активное движение по их замене. Западные санкции в отношении России открыли эти рынки для наших продуктов.

Еще одна проблема, с которой мы столкнулись, это осознание того, что любой западный компонент в определенный момент может попасть под запрет. Мы сейчас, например, в очередной раз меняем используемую базу данных. Потому что при разделении «Яндекса» «ClickHouse» оказался под контролем той части бизнеса, которая открыто выступила в поддержку недружественных сил. И нам ряд наших клиентов сказал: никакого «ClickHouse» даже гипотетически «на борту» не должно быть. Одно политическое высказывание руководства компании, и мы не можем использовать эту базу данных для новых заказчиков.

«Наши клиенты — компании с оборотом от одного миллиарда рублей в год и выше»

CNews: Как в этой ситуации быть? Рассчитывать только на свои силы или исключительно на каких-то других российских проверенных партнеров?
Максим Степченков: Мы начали действовать по правилу: все больше и больше собственных компонентов, все меньше и меньше open-source. Со временем его использование будет сводиться к нулю.
CNews: Кто главные покупатели на российском рынке?
Максим Степченков: Финтех, медицина, промышленность, оборона, фудтех, ритейл. Сегодня мы работаем практически во всех сферах экономики. Как правило, наши клиенты — компании с оборотом от одного миллиарда рублей в год и выше. Но это может быть и, например, небольшое медицинское учреждение или компания, которой решение необходимо для получения лицензии. К нам не обращаются, наверное, только организации, в которых совсем небольшое количество компьютеров.
CNews: С какими угрозами информационной безопасности им приходится иметь дело ежедневно?
Максим Степченков: Есть клиенты, от которых установку SIEM-решений требует регулятор. Очень часто к нам обращаются, когда «все пропало, все сломалось». Мы тогда анализируем — это целенаправленные атаки, массовый фишинг или что-то еще, проводим поиск уязвимостей. Во всех этих случаях решение класса SIEM очень хорошо ложится в парадигму защиты.

«Готовимся к активной экспансии на новые рынки»

CNews: Какой экспортный потенциал отечественных систем безопасности и какие страны проявляют к ним интерес?
Максим Степченков: У нас идет активная работа в Латинской Америке. Рассматриваем несколько проектов в Африке, на Ближнем Востоке, в Юго-Восточной Азии и в странах СНГ. Мы не проводим пока агрессивную экспансию, но активно изучаем, анализируем эти рынки для комплексного захода на них.

На этом пути встречаются неожиданные трудности. Например, я всегда думал, что айтишники во всем мире говорят на английском языке. Оказалось, что это не так. Я бы никогда не подумал, что для переговоров с ИТ-компанией понадобится человек, в совершенстве владеющий испанским языком. К счастью, у нас в штате такой сотрудник оказался. А уже после переговоров пришлось выпускать версию нашего решения на испанском языке. И для активного выхода на латиноамериканский рынок нам необходимо, как минимум, первую-вторую линию технической поддержки тоже сделать испаноязычной.
CNews: На этих рынках российские продукты конкурируют с западными, насколько наши продукты конкурентоспособны?
Максим Степченков: Абсолютно конкурентоспособны. Геополитическая ситуация и необходимость обеспечения цифрового суверенитета подогревает интерес к нашим решениям. Кроме того, мы выходим в эти страны с конкурентными ценами и, естественно, продуктом.

Но самое главное, на что обращают внимание наши партнеры, это скорость технической поддержки и доработки. Крупные западные игроки давным-давно работают по принципу: пользуйтесь тем, что есть, доработаем функционал до необходимого вам по остаточному принципу. У нас другой принцип и поэтому количество клиентов растет.

«Главное — это честная работа с заказчиками»

CNews: RuSIEM — один из лидеров российского рынка. Благодаря чему этого удалось добиться, на ваш взгляд?
Максим Степченков: Это был очень сложный путь длиной в 10 лет. Наверное, главное — это честная работа с заказчиками. Именно после того, как мы выстроили систему поддержки и доработки продукта с учетом потребностей заказчиков — начали активнее и агрессивнее расти.

Кроме того, некоторые игроки на российском рынке, увидев, что рынок вырос, подняли цены. На мой взгляд, это неэтично. Мы не поднимали цены последние два года. Заказчик понимает, что обозначенные бюджеты на использование нашего продукта не вырастут, тем более внезапно. Поэтому количество клиентов, которые переходят от других крупных игроков к нам, растет.
CNews: Хотелось бы поговорить о перспективах развития RuSIEM. В какую сторону планируете расширять функционал и линейку продукции? От каких факторов будет зависеть ценовая политика?
Максим Степченков: Рост линейки идет чуть медленнее, чем я планировал. Однако два-три продукта до конца года мы выпустим. Кроме того, мы совершенствуем производительность и функциональность текущего флагманского решения. Принципиально перерабатывается ядро. Предварительно, уже в первом-втором квартале следующего года выпустим следующий релиз, в котором существенно повысится производительность и снизится требование к оборудованию.

С точки зрения ценообразования, я на рынке информационной безопасности уже 20 лет и всю жизнь говорю одну и ту же фразу: лучше 10 раз заработать по 100 рублей, чем 1 раз не заработать 1000. Мы не планируем повышение цен. Возможно, произведем индексацию текущей версии для новых заказчиков, но принципиально не по младшей позиции.

«Ни в коем случае нельзя давать господдержку крупным игрокам»

CNews: Каковы, в целом, перспективы развития нишевых производителей? На какую поддержку от государства они могут рассчитывать?
Максим Степченков: Если мы не хотим загубить наших стартаперов — ни в коем случае нельзя давать поддержку существующим крупным игрокам. Когда гранты получают большие компании, это приводит к их превращению в монополии. И к гибели небольших компаний, которые сегодня активно участвуют в движении прогресса.

Второй момент: должна увеличиться лояльность заказчиков к апробации нового стартапа. То есть, необходима готовность рассматривать новые решения не только от крупных производителей, но и от новичков.
CNews: Рынок SIEM развивается очень динамично и, соответственно, меняются регуляторные требования. Как вы их оцениваете? Какие пункты, на ваш взгляд, требуют пересмотра?
Максим Степченков: Во-первых, я вообще против регуляторики с технической точки зрения. Я считаю, что должны быть рекомендации и штрафы, а не обязательные правила.

Во-вторых, регуляторика останавливает развитие конкуренции. Благодаря тому, что у нас была полная поддержка использования сертифицированной криптографии, межсетевых экранов — лишь в последние годы у нас начали появляться NGFW (межсетевой экран нового поколения). Тогда как на международном рынке они активно используются порядка 20 лет.

Если мы будем активно внедрять регуляторику, то у нас будет рынок больших игроков и не будет потребности развиваться.
CNews: Какие главные вызовы сейчас стоят перед индустрией, в целом, и перед российскими разработчиками, в частности?
Максим Степченков: Если мы говорим о вызовах для индустрии в целом, то это отсутствие аппаратной составляющей и небольшое количество разработчиков. Колоссальная нехватка специалистов. Других принципиальных проблем я не вижу: мы растем и развиваемся.

Но здесь надо правильно оценивать статистику. Например, если компания объявляет 20 вакансий, при анализе будет считаться, что она ищет 20 человек. Но я не буду публиковать 5 разных вакансий, например, на C++, если мне нужно 5 сотрудников с одинаковым функционалом. Поэтому можно как недооценить, так и переоценить количество требующихся специалистов. Когда мы говорим о вызовах — нужно помнить, что есть опросы, а есть измерения. Если мы вовремя не оценим потребности рынка на 10 лет качественно и не заложим процессы обучения, то вечно будем находиться в кадровом голоде и тормозить в развитии.
CNews: На каких задачах в ближайшее время сосредоточится RuSIEM? Каковы стратегические направления для инвестиций?
Максим Степченков: В первую очередь мы сосредоточимся на комплементарных решениях и увеличении производительности.