Белоусов (Parallels), Ратмир Тимашев с Андреем Бароновым (Aelita Software). Есть, конечно, ещё, но их всё равно мало.
Почему они являются ключевым звеном? Есть четыре причины.
Во-первых — это деньги, которые вкладываются в конкретную отрасль, потому что если люди на ИТ уже 'собаку съели', то они и будут работать в этой области. Вряд ли человек, который добился успеха в ИТ, потом пойдёт и начнёт вкладывать деньги в нанотехнологии. Глупо не использовать знания, добытые потом и кровью за много лет.
Второе, это не просто деньги, а умные деньги. Это люди, которые готовы передавать стартапам свой бесценный опыт: как сделать из маленькой компании большую и потом её продать.
Третий момент, это 'трансляция культур'. Работая в международной компании, очень хорошо понимаешь, насколько люди по-разному мыслят и по- разному ведут себя. Требуется очень большой опыт, чтобы научиться работать с людьми за рубежом, чтобы они тебя понимали и чтобы с ними можно было вести бизнес. Иногда то, как ты строишь фразы, или какие-то привычки в манере переписки могут мешать взаимопониманию. Люди, которые такого успеха добились, умеют 'транслировать культуру' и помогают своим компаниям за счёт этого быть успешными на других рынках.
И четвёртое, конечно, то, что они заражают своим примером. Люди становятся миллионерами на своих мозгах в софтверном бизнесе, это помогает притягивать молодежь в отрасль. Для этого надо, чтобы создалась некая критическая масса таких людей, потому что сейчас их несколько человек, и сколько бы они ни говорили, сколько бы о них ни говорили, этого всё равно мало. Этих людей должны быть ну хотя бы сотни, чтобы они звучали везде, на каждом шагу. Как в Кремниевой Долине…
Что мешает образоваться «серийности»? Это некий процесс, сейчас он в принципе запущен. Люди понимают, как такая модель работает, есть много стартаперов, которые сориентировались на неё, пытаются поднять инвестиции и сделать бизнес, но должно пройти время. Во-первых, чаще всего с первого раза бизнес не получается. Если взять истории успешных компаний, чаще всего это не первая попытка их основателей, а вторая или третья. Поэтому время довольно существенно. Скажем, я задумал идею, год с ней носился, потом два года реализовывал продукт, он у меня провалился на четвертый год (продажи не пошли или ещё что). Хорошо, со второго раза получилось, это ещё лет шесть. Итого, с момента, как у меня появилась первая идея, до момента, когда я уже стал матёрым предпринимателем и заработал деньги, проходит больше десяти лет. Процесс в России по-серьёзному пошел году в 2007–2008. По моей оценке, ещё лет семь пройдёт до того, как у нас могут появиться массово серийные предприниматели новой волны.
После неуспеха некоторые люди плюют, бросают и начинают заниматься чем-то другим. А кто-то стиснет зубы, извлечёт опыт из своих ошибок и пойдет реализовывать следующий проект. Все отмечают, что есть разница в культурах. В американской культуре человека, который потерпел неудачу в своем предприятии, будут с большей охотой слушать второй раз и иметь с ним дело, потому что у него есть опыт. Негативный опыт считается хорошим, человек учится на своих ошибках. А у нас, в российской культуре, таких людей считают неудачниками и часто боятся с ними связываться. Сейчас российские предприниматели более пробивные, более толерантные к риску, к своим ошибкам, в этом смысле они приближаются культурально к западным. Вчера, был на приёме в посольстве Люксембурга по случаю юбилея одного из известнейших европейских венчурных фондов Mangrove Capital. Так знаете, что сказал один из основателей фонда? Что им очень нравится работать в России, так как здесь предприниматели ТАК хотят заработать деньги, что дают фору самым капиталистическим капиталистам. Опять-таки потому, что происходит этот трансфер знаний, люди смотрят, как это происходит за рубежом, хотят, чтобы здесь было так же, хотят ходить в сандаликах и с рюкзачком, имея как минимум несколько миллионов долларов за спиной. Они уже не так боятся, они видят, что это возможно.
Ещё один момент, который я хотел бы отметить. В России как-то побаиваются международного опыта, почему-то считают, что если российские программисты участвуют в некотором международном предприятии, то об этом рассказывать не надо. То ли стыдно, то ли нехорошо. Уж не знаю, как это себе пресса видит. Мол, вот если бы компания была чисто российской, тогда в неё можно смело вкладывать деньги (особенно государственные) и рассказывать о ней. На мой взгляд, это 'неправильный патриотизм'. Я сам считаю себя патриотом, но нужно уметь учиться у других. В данном контексте, если мы сами не понимаем мировой рынок, хорошо умеем писать код и создавать технологии, но плохо умеем упаковывать продукты, так давайте учиться у тех, кто хорошо умеет.
Это означает, что должны создаваться предприятия, у которых штаб-квартиры за рубежом, при этом команда разработки в России, и хорошо, когда у разработчиков есть доля в компании. Когда эта компания растёт и становится успешной, у наших людей, пускай они занимаются не бизнес-менеджментом, а отвечают за разработку, появляются деньги. И после выхода из этой компании, после того как она продана, они могут выбирать: становиться CTO в других стартапах, в которых у них будет большая доля или пытаться строить бизнес — они всё-таки постепенно усваивают и бизнес-практику после работы в таком «дуальном» стартапе. У них уже есть свобода выбора, они могут дальше двигаться в любую сторону. Отсюда и могут взяться 'серийные предприниматели'.
Я думаю, что не пройдя через этот этап, когда компании будут совместными, американско-российскими, европейско-российскими, мы никуда не двинемся, потому что мы будем вариться в своем соку, не понимая, какие возникают технологии на западе, какие там инновации, не выезжая на форумы и симпозиумы, о которых я сказал в начале. Мы так и останемся внутри себя, а мир-то двигается.
Все серийные предприниматели, которых я упомянул, создавали свои компании с прицелом на продажу на западном рынке. Скажем, главная компания Сергея Белоусова это Parallels, у которой вся команда разработки сидит в России, а штаб-квартира на западе, и вообще офисы практически по всему миру. Какой компанией её считать, российской или нет? Это компания с 'российским ДНК', которая умеет извлекать пользу из того, что у нас отличные технические кадры. Она создает конкурентоспособный на мировом рынке продукт, при этом я точно знаю, что у российских кадров здесь есть доля в компании. Они являются полноценными акционерами и могут становиться обеспеченными людьми, по мере того, как компания растет, и дальше уже реализовывать что-то своё.
Александр Галицкий всегда ориентировал свои бизнесы на международный рынок и успешно работал с той же Sun Microsystems. Ратмир Тимашев и Андрей Баронов создали компанию в Америке с командой разработки в России, продали и теперь повторяют этот опыт. А также поддерживают малый российский бизнес с прицелом на выход на международный рынок за счёт деятельности собственного венчурного фонда.
Я считаю, что это совершенно закономерный процесс, и его надо не бояться, а наоборот всячески поддерживать и ориентировать молодых ребят, на то чтобы они искали перспективные стартапы, в которых можно развиваться вместе с компанией. Если ты ну совсем не бизнесмен, а программист 'до мозга костей', пожалуйста, у тебя есть путь до Chief Technical Officer в такой компании, и дальше, если ты акционер, ты можешь получить достойный доход. Если твоя цель — заработать денег, будучи программистом, вот хороший путь. И надо искать таких предпринимателей, которые готовы взять перспективных людей в свои быстро развивающиеся компании.
Хочу сказать спасибо всем, кто комментирует, действительно очень рад услышать мнения. Моя основная задача — это дать какую-то новую продуктивную информацию тем, кто думает, как им строить карьеру в ИТ. Мне было бы интересно отвечать на конкретные вопросы, а не на комментарии, что 'это невозможно' и 'то невозможно', поскольку я-то точно знаю, что возможно, и знаю людей, которые это делают. Некоторых из них уже позвал писать в «Компьютерру» в раздел «Readitorial». История компании «Атилект» уже появилась. Будут и ещё. В общем, приглашаю комментировать всех, кто хочет узнать что-то новое, и рад буду ответить на вопросы.
Информационная безопасность 2010
За последний год меня часто спрашивали будущие выпускники ВУЗов и аспирантур о том, какую тему выбрать им для своего диплома/диссертации, какие направления информационной безопасности наиболее актуальны сейчас и будут востребованы в будущем. Предвидя, что такие вопросы и дальше будут продолжаться, я решил аккумулировать в данной заметке ключевые направления исследований в области ИБ, над которыми сейчас бьются лучшие умы отрасли. Но чтобы не быть голословным, я буду опираться также на отечественные и американские (в первую очередь) документы, описывающие направления развития отрасли на ближайшие годы.
Итак, начну с 126-тистраничного документа 'A Roadmap for Cybersecurity Research', выпущенного в ноябре прошлого года Министерством национальной безопасности США (U.S. Department of Homeland Security). В этом документе выделено 11 направлений для исследований и инвестиций со стороны государства, бизнеса и научного сообщества. К ним относятся:
1. Масштабируемые системы, вызывающие доверие (trustworthy). Термин trustworthy очень сложно перевести на русский язык одним словом. Перевод его как «достоверный» не совсем отражает весь спектр взаимоотношений, заложенный в исходный термин. Это и целостность систем, и их доступность и конфиденциальность, и жизнеспособности и гарантированная производительность, а также подотчетность, удобство использования и многие другие критические свойства. Иными словами, речь идет не просто о защищенных системах, а о системах, обладающих гораздо большим числом важных свойств.
2. Метрики уровня предприятия. Об измерении эффективности и результативности ИБ говорят уже давно, но до сих пор эта работа ведется многими спустя рукава. Отчасти именно по причине отсутствия адекватных методик и инструментов измерения, которые могут быть применены не только к защищенным, но и в более широком смысле, к системам, вызывающим доверие. Насколько защищена моя организация? Как изменился уровень защищенности за прошедший год? Как мы соотносимся с другими компаниями в отрасли в части ИБ? Насколько защищен приобретаемый нами продукт или технология? Сколько безопасности достаточно и сколько на нее можно и нужно тратить? Все эти вопросы пока остаются без ответа.
3. Жизненный цикл оценки системы. Критика подхода ФСТЭК и ФСБ в части сертификации продуктов безопасности общеизвестна. Как можно месяцами или даже годами проверять продукт, если за это время успевает выйти не только несколько новых версий оцениваемого продукта, но и характер угроз и среда применения продукта могут существенно измениться? Но есть ли альтернатива, которая позволит за приемлемое время проанализировать систему с точки зрения ИБ, не тратят при этом колоссальные средства, зачастую превышающие стоимость самой системы? Этому и посвящено данное направление исследований.
4. Противодействие внутренним угрозам. Инсайдеры… Сотрудники, облеченные полномочиями, часто целенаправленно не учитываются в моделях угроз, т. к. им сложно противопоставить действительно эффективные защитные меры. Американцы столкнулись с этой проблемой в
