Более года назад по подозрению в госизмене был арестован Илья Сачков, основатель и генеральный директор компании Group-IB, которая занимается борьбой с киберпреступностью. Из следственного изолятора Лефортово Сачков написал колонку о том, как построить бизнес в сфере кибербезопасности стоимостью более $1 миллиарда долларов. Автор убежден, что количество киберпреступлений будет только расти, а значит услуги тех, кто расследует их, будут востребованы всегда. RTVI публикует письмо Сачкова без сокращений.
Илья Сачков основал компанию Group-IB, занимающуюся предотвращением и расследованием киберпреступлений, в 2003 году. Был арестован по подозрению в госизмене и помещен в следственный изолятор Лефортово в сентябре 2021 года. Суть обвинений, предъявленных ему, до сих пор неизвестна. Сам он заявлял, что расценивает свое уголовное дело как результат интереса отдельных групп к его деятельности в сфере кибербезопасности, а также исключал причастность государства к его инициированию.
Как построить в России компанию стоимостью более $1 млрд? Конечно, это немного провокационный вопрос, но мне его присылают. Ровно год назад нам до этой оценки оставалось спокойных два года, но произошли «черные лебеди» — две штуки. И путь к этой цифре, которая не была самоцелью, а лишь подтверждением правильности выбранной инженерной стратегии, немножко увеличился. И бьюсь об заклад, что Group-IB эту оценку получит. Тем интереснее ответить на этот вопрос уже в 2022-м. И хотелось бы ответом все же практически вдохновить.
Главное, что я попытаюсь рассказать, — это все же не о технологиях и о подходах-ключах. Как пишет Джозеф Кэмпбелл в «Тысячеликом герое»: «Функция ритуала и мифа заключается в том, чтобы сделать возможным, а затем и все более простым столь резкий переход из одного мира в другой — посредством аналогии. Формы и понятия, доступные разуму и чувствам, представлены и упорядочены здесь таким образом, что в них читается намек относительно истины или же откровения, ждущего по ту сторону. Они являются просто символами, приводящими в движение и пробуждающими дух и зовущими его по ту сторону самих себя».
Таким непростым цитированием я хочу, чтобы было заранее понятно, что это не совет инженерам заняться криминалистикой и через нее открыть технологии предсказаний и ими заниматься. Это рассказ о подходе, который можно назвать «русской стратегией голубого океана». Он позволяет создать компанию на миллиард долларов с изначально нулевыми ресурсами. Путь следующий:
- определить проблему;
- найти решение этой проблемы;
- построить сложные инженерные решения, конкурентоспособные на глобальном рынке;
- вывести их в мир в условиях и жесточайшей конкуренции, и многих, скажем так, геополитических сложностей (в моем случае это недоверие к компаниям из России по причине феномена русских хакеров и санкций 2014 года в сочетании с несколькими экономическими кризисами, сотнями тысяч проблем и приключений [Илья Сачков находится в СИЗО с сентября 2021 года, обвиняется в госизмене — прим. ред.].
Добавлю — я не сторонник «шапкозакидательских» настроений. То, о чем я пишу, и то, на что я пытаюсь вдохновить — это сложная задача. Но она решаема. И вероятность ее решения будет больше, если каждый, у кого есть опыт прохождения подобного пути будет помогать, рассказывая о своих ошибках и успехах. Мы же помним, что без прошлого нет будущего.
Делать сложные задачи решаемыми — это то, чем славились русские инженеры. Нас так учили в Бауманке [МГТУ им. Баумана — прим. ред.]. И я не вижу никаких причин от этой традиции отступать. Сложно, очень сложно, но возможно. Как красный диплом получить.
Когда мы в Бауманке познакомились с Димой Волковым [сооснователь Group-IB — прим. ред.] и другими ребятами, у нас даже мыслей о создании чего-то стоимостью в $1 млрд не было. Всех объединил интерес, глубокий и искренний, сделать что-то фундаментальное, великое, инженерное и из России. Собственно, наш кружок — это те, кто поступал с целью что-то создавать. Что-то технологическое.
Иллюзия вчерашних школьников о том, что в вузе нас научат делать технологии, да еще расскажут какие, превратилась в суровую реальность благодаря общительности и жизни в бауманском общежитии в Измайлово. Мы получили ответы на многие вопросы буквально в первые недели первого же курса.
Выяснилось, например, что никто вплоть до шестого курса не знает, как что-то создавать. Все умные, учатся, работают, но не генерируют ничего из того, что для нас (совсем глупых и молодых) выглядело бы как инженерно-инновационное дело, которое мы фантазийно в голове сложили на основе прочтенных книг и статей.
Конечно, все бауманцы были и есть очень востребованы, все где-то работали. У нас, несмотря на общительность, все же было ограниченная выборка в сотню человек. В основном они работали где-то и делились на два типа: писали код для чего-то или обслуживали какие-либо сложные IT-системы. Благодаря тому, что в нашем кружке интерес не угасал, присутствовал юмор, то на уровне чтения и обсуждения мы продолжали мечтать и анализировать. И чтобы стало быстро понятно: ясного ответа на вопрос «а что именно можно создавать?» нет ни у кого.
В начале 2000-х уже были огромные компании и корпорации по кибербезопасности, кафедра была увешана объявлениями с вакансиями. И происходит событие, о котором я рассказывал много раз. Сегодня хочу описать его так, чтобы увеличить вероятность повторения нашего сценария для достижения того же эффекта.
Как по книгам
Событие — это книжка Кевина Мандиа «Расследование компьютерных преступлений». Именно она стала катализатором всей нашей истории — от появления Group-IB до созданных нами технологий. То, что произошло с нами, уже описано во многих книгах и биографиях инноваторов. Взять хотя бы «Гениев и аутсайдеров» и «(Не) совершенную случайность. Как случай управляет нашей жизнью».
У нас была фанатичная идея что-то создать. Мы очень и очень много читали, исследовали и искали. Но все было или малоинтересно, или нереально, или банально. Я не знаю, как это описать научно, но сердце и мозг не давали «зеленый свет». Но мы были едины и оптимистичны. И хотя по характеру и нашим качествам мы есть и были достаточно разные, нас объединяло обостренное чувство справедливости и желание помогать и отдавать, какой-то детский романтизм.
Сейчас внимание. Я повторюсь, что все, что я сейчас пишу — это не инструкция по похожему старту. Это пример для похожих конструкций, но не с такими же параметрами. Я считаю, если мы ставим задачу стартовать малыми или нулевыми ресурсами, то:
- первое — нужна команда,
- второе — у команды должно быть одно или несколько выпирающих, объединяющих качеств.
Я не могу представить свой путь в одиночку. И не могу представить, сколько бы мы продержались — такие разные, если бы не эта невидимая спайка в виде маниакального желания создавать что-то, несущее справедливость/помощь. Это качество было и есть у нас. В вашем случае оно может быть любым другим.
Но я искренне верю (по своему примеру и по всем биографиям командных инноваторов), что их объединяло что-то подобное — что-то, что ложится не лозунгами, а истинными действиями и становится миссией. Когда команда и объединяющее качество есть, то дальше начинают работать комбинаторика, время и сила воли.
Вы подбрасываете и подбрасываете игральные кубики вариантов, пока в один момент (а он обязательно настанет) вы все единогласно не поймете: «Эврика! Вот оно!». Это неописуемое чувство, когда мурашки идут по коже, когда интуиция сигналит «Да-да-да!». И это передается всей команде и не отпускает днями.
Я уже сказал, что не имею права претендовать на описание универсального пути к инженерным достижениям, нужным России сейчас. Я лишь описываю один из возможных путей. И в нем я уверен.
Это не путь к $1 млрд как к цели (что не отменяет $1 млрд). Это путь к чему-то, что отсвечивает в сердце, мозге словом «Эврика». Но это не необъяснимая эврика. Далее я все инженерно разложу по полочкам. Но к этим полочкам — логичным, инженерно и маркетингово понятным — ведет вот этот вот эврика-светильник, ведет команда и объединяющее качество.
Я имею в виду, что эврика — это маркер, на который стоит обратить внимание. А упомянутое качество — если вы его нашли искренне и поняли внутри команды, то считайте, что положили в стартовый капитал несколько миллионов долларов. Это не покупаемое конкурентное преимущество, позволяющее очень многое.
Кто-то скажет, что мне повезло, раз я смог на своем курсе найти людей, близких по духу. Да, доля везения есть. Но решает другое. Моя общительность позволила мне увеличить выборку и найти людей, близких по духу. Дима Волков — не из моей группы.
Поэтому вывод такой: идея себя найдет, если имеется сверхжелание что-то сделать и найти команду, объединенную несколькими очень схожими ценностями. В контексте конкуренции малыми ресурсами — это сверхактив, который в абсолютно разных странах, индустриях и в разные годы помогал маленьким побеждать больших или становиться большими. Возможно ли сделать такое одному? Уверен, что да. Но в моем случае (с точки зрения логики) команда разных людей — это больше разных умений одновременно. Больше умений ведь лучше?
По полочкам
Теперь про логические, инженерные и другие полочки, которые мы получили через прочтение книги Мандиа про компьютерные расследования и форензику. А прочли мы после нее все-все-все, что только можно себе представить на эту тему.
Я еще интересовался маркетингом, брендингом, начал читать тонны книг. Меня и по сей день очень интересует, как люди думают и принимают решения. Что у человека должно случиться в голове, чтобы он выбрал какой-то бренд или просто что-то решил. Ибо в начале 2000-х мне как студенту казалось, что наука выбирать и инженерная наука если не рядом, то неразрывно связаны. Под «выбирать» я имею в виду понимать, как человек принимает решения, и, с другой стороны, как инженеру оформить продукт, донести мысль, упаковать ее. Но по рассказам преподавателей и опять же через чтение было ощущение, что мы в этом направлении отстаем или не уделяем ему должного внимания.
Сколько талантливых изобретателей были не востребованы у нас, уехали. Конец истории вы знаете. Нам уезжать не хотелось, но идти в мир из России хотелось. Я с головой погрузился как в технологии, так и в маркетинг. Меня волновала история создания брендов с нуля. Если мы что-то крутое сделаем, то как люди об этом узнают и почему купят? Денег-то на рекламу у нас не было. И важное замечание — о технологии пока речи тоже не шло.
Мы влюбились в книгу про Mandiant [американскую компанию в сфере кибербезопасности — прим. ред.] не только потому, что они проводили расследования и занимались реагированием на инциденты (что равно помощи и справедливости), и не только потому, что это наша специальность. Когда мы все прочитали, а потом еще раз, потом еще и еще (и много другой литературы по этой теме), сигнал «Эврика!» загорелся во второй раз.
И теперь обещанные полочки:
1) Кевин запустил этот бизнес с нуля. И да, это стало большим бизнесом и было уже тогда. Почти с нулем инвестиций, но зато с практическим опытом (в Бауманке, слава Богу, нам сразу сказали, что инженер — это не тот, кто все знает, а знает, где можно узнать). Это полностью подходило под наш случай.
2) Исходя из всего комплекса полученной информации мы поняли — инциденты происходят, их число растет и будет только увеличиваться. Компаниям нужна помощь, чтобы быстро локализовать, останавливать, расследовать, реагировать, мониторить. Почти все из этого списка на том этапе можно было делать головой, руками, инструментами, не требующими больших вложений. Только знания
Но главное в этом пункте — рост инцидентов и преступности. Пресса тогда очень мало писала о чем-то, что происходит в России. Чтобы понять, есть ли эта проблема в стране, мы использовали три подхода. Стали по принципу «шести рукопожатий» опрашивать айтишников и предпринимателей. Затем начали анализировать поисковые запросы в интернете (это два пункта — анализ клиентского спроса и осознание клиентами проблемы). Но главное — мы отправились на разнообразные хакерские форумы и в соответствующие сообщества.
Вывод был ошеломительный. Со стороны клиентов проблема редко, но случалась. А когда случалась, то все делали ровно все ошибки, которые описаны в стандартах на реагирование на инциденты.
Малочисленные структуры пытались найти помощь, но не могли ее найти. Не было ни одной компании, кто бы это предоставлял. Представляете! Пустой Яндекс! Только ссылки на книжку Кэвина Мандиа и статьи по этой теме! И запросы были! И это, конечно, уже было таким сигналом, что вроде можно про другие «полочки» и не говорить. Ведь было очевидно, что раз что-то популярно в США, это должно быть и у нас.
Также мы посмотрели конкурентов Mandiant и поняли, что на тот момент все тянуло на географическую монополию. Всего несколько компаний в мире серьезно этим занимались. И стало ясно, что в области технологии форензики и реагирования все только начинается, в отличие от уже большого сформировавшегося рынка информационной безопасности. И, быть может, реагируя, расследуя, мы сможем создать какую-то технологию, которая будет круче (и, честно, техзадание на словах звучало именно так). И на том этапе эта новость отсигналила нам, что мы на правильном пути к технологиям, которые мы хотим создавать.
Но главное ошеломительное открытие ждало нас в исследовании хакерских форумов и их сообществ. По полным выводам можно было бы написать пару книг и снять пару сериалов, но основным было следующее:
- много тысяч людей в России заняты в компьютерной преступности;
- о большинстве инцидентов/преступлений вообще неизвестно пострадавшим;
- очень много всего происходит и в России, и в мире, и 100%, что это будет расти в геометрической прогрессии — речь идет как об участниках хакерского сообщества, так и о числе инцидентов, а значит, работа у нас точно будет;
- за этим всем нужно как-то осознанно, постоянно смотреть, запоминать, собирать, это кладезь знаний как для расследования, реагирования, так и вообще для понимания — что происходит и что будет происходить.
И, не осознавая будущие крутейшие последствия для нашей получившейся внутренней технологической структуры, мы начали писать разные скрипты (позднее превратившиеся в очень сложный человеко-машинный департамент). Они занимались мониторингом дарквеба. Это случилось за 8 лет до появления рынка Threat Intelligence, куда этот функционал частично входит.
Возвращаясь к выводам: дисбаланс между реальностью мира киберпреступности и осознанностью реального бизнеса о том, что происходит, был космический — просто невероятный. На мой взгляд, только последние лет пять этот дисбаланс начинает меняться, и то очень медленно. Но в начале нулевых и в последующие 10-15 лет это было как два непересекающихся множества. Хакеры жили своей жизнью, бизнес своей, а наши попытки и попытки коллег показать и рассказать, что творится, очень и очень многими воспринимались как картинки, страшилки и так далее. Крутили пальцем у виска.
Про эту борьбу с незнанием можно тоже написать книжку-многотомник. Для нас было очевидно — как можно от чего-то защищаться, если ты не знаешь, кто твой враг, что он планирует и с каким оружием. Но когда мы посмотрели всю литературу, статьи, учебные программы всех вузов с кафедрами информационной безопасности, стало понятно, что никто об этом не пишет, не преподает, не говорит. Были единичные исключения, некоторые из них, к счастью для меня, спустя годы стали частью семьи Group-IB.
Ну и вывод для нашей идеи. Преступлений много. Будет больше. Точно потребуется помощь. Надо вгрызаться в реагирование, мониторинг и форензику, в изучение преступлений. Вгрызаться изо всех сил.
И мы вгрызлись. Все закрутилось. Начались реагирования, расследования, криминалистика и все, что с этим связано. Мы очень переживали, как не подвести первых клиентов, и никого не подвели. Опыт растет, кейсов еще больше, больше знаний. Мы читаем, исследуем, жадно глотая очень-очень много информации. И все больше и больше удивляясь парадоксу: нас вызывают крупные и защищенные компании, но раз они таковы, то почему эти инциденты системно повторяются и нарастают. И этот парадокс привел к очередной эврике: нужно не только обнаружить то, с чем уже сталкивался, — важна возможность понимать будущее, видеть подготовку к преступлению. Предупрежден — значит вооружен. Мы начали опять суперпоиск! Кто это делает у нас или в мире? Никто! Огонь! Вот оно! Ловите такие парадоксы на любых рынках, они — путь к хорошим инновациям.
Стало понятно, что мы будем делать как инженеры — бороться с преступностью, изучать ее и делать технологии, которые предсказывают ее действия. И эти технологии абсолютно не мешают текущему рынку, а лишь его дополняют. Рынок, который мы сами нащупали, был нулевым, крошечным, никто не видел в нем (кроме нас и поначалу единичных клиентов) никакой ценности. Позже очень многие в материалах стенфордских курсов и в книгах по стратегии стали советовать концентрироваться и наращивать потенциал этих рынков. Именно так сделали мы. Тогда интуитивно, а затем два раза осознанно.
Начать с парадокса текущего рынка и не побояться со всем скепсисом создать свой миниатюрный изначальный рынок и его масштабировать — это одна из точно работающих моделей. Тогда мы, сами того не осознавая, приняли участие в создании рынка Threat Intelligence.