Глава TrustWorks считает, что компания пережила этап технологических амбиций, и сейчас, наконец, выбрана стратегия, которая неплохо работает. Главное — быть сфокусированным

Я хотел бы, пользуясь случаем, обратиться к российским хакерам. Меня интересуют серьезные хакеры, готовые работать в интересном проекте. Александр Галицкий, президент компании TrustWorks

Десять лет назад Александр Галицкий, бывший тогда главным конструктором программы Совмина СССР по созданию нового поколения космических компьютерных систем, учредил компанию ЭЛВИС+. Старт ее был необычен: уже в 1993 году корпорация Sun Microsystems выкупила 10-процентный пакет акций молодой российской компании и подписала с ней пятилетний контракт о технологическом сотрудничестве. ЭЛВИС+ была среди первых разработчиков радиомодемов для компьютерных сетей в 1993-м и VPN-решений — в 1997-м. Сотрудничество с Sun омрачил конфликт с американскими властями в 1997 году, когда из-за экспортных ограничений на криптографические средства у обеих компаний возникли проблемы из-за разработанного ЭЛВИС+ SunScreen SKIP E+, базировавшегося на протоколе Sun SKIP. Затем Галицкий основал новую компанию в Голландии. Редактор еженедельника Computerworld Россия Игорь Левшин встретился с президентом компании TrustWorks Александром Галицким в его офисе в Амстердаме.

Почему вы открыли офис в Амстердаме, а не где-то еще?

В 1997 году, после истории с Sun Microsystems, американское правительство на нас сильно давило, но главное, что тогда был строжайший экспортный контроль всего, связанного с безопасностью. В России тоже были проблемы: во-первых, сложности с получением инвестиций, да и серьезного менеджера не затащишь в Москву, а во-вторых, тоже мощное давление, но уже со стороны собственного правительства: чуть ли не посадить грозились. Оставалась Европа. Швеция или Ирландия — далеко, Швейцария — дорого. Откроешь офис в Германии, будут сложности с французами, во Франции — с англичанами, и так далее. Голландия нейтральна и к англичанам, и к французам, и к немцам. И потом, Голландия — единственное место в Европе, где не чувствуешь себя иностранцем. Так же чувствуешь себя только в Калифорнии. Здесь все говорят по-английски, и никого не волнует твой акцент. Конечно, не все гладко: это страна большого социализма со всеми вытекающими последствиями. У нас есть офис в США, но мы там ведем только маркетинг, отдела продаж там нет. Что-то предпринимать для «нашествия» на США мы не торопимся.

Trustworks была зарегистрирована в 1998-м, и практически сразу мы поселились здесь, на юго-востоке Амстердама. Тогда в окрестностях было лишь несколько зданий. За три года вырос и застроился целый деловой район.

Какой статус у ваших сотрудников из России?

Разрешение на работу на три года и на проживание на год, которое ежегодно продлевается. А вообще у нас интернациональный коллектив: американцы занимаются англоязычной документацией, но все они говорят по-русски, потому что какое-то время проработали в России. Один из них даже был редактором журнала, выпускаемого Академией наук. Есть, разумеется, голландцы, люди из России, всего в этом офисе 27 человек. Разработку, главный интеллектуальный потенциал мы стараемся оставить в России, поскольку стремимся показать, что способны создать продукт, который может успешно продаваться на мировом рынке, и что технологии, на которых основан его успех, рождаются в России.

Звучит гордо. А чисто экономически: может, вам было бы выгодней, если бы на Западе считали, что разработчики сидят не в России, а в Голландии?

Если работаешь с серьезным заказчиком, партнером или инвестором, от них ничего не скроешь. Инвестору надо показать компанию, центр разработки, показать людей, чтобы он удостоверился, что интеллектуальная собственность защищена, что это люди, которые работают официально, а не «летучие отряды» программистов. Тут ничего не придумаешь и не спрячешь. Другое дело — как ты обыгрываешь российскую принадлежность разработчиков. Один знакомый англичанин предложил: «Назовите продукт Alekhin Defence (?Защита Алехина?). Все знают, что в России великие шахматисты, вот и разыграйте русскую карту». Сейчас у нас идет ревизия маркетинговых идей, переосмысление. Нас не удовлетворяет, как сейчас называются наши продукты. Скажем, Trusted Global Security Manager инженеры в шутку называют «Доверительный GSM».

А экономическая выгода Росии от нашей принадлежности к России будет тогда, когда в стране сложится нормальный инвестиционный климат. Если Запад поймет, что Россия способна создавать высокотехнологичные продукты для мирового рынка, в компьютерную индустрию польются инвестиции не от людей случайных, шальных, а от традиционных венчурных капиталистов, с российскими компаниями начнут работать высокопрофессиональные менеджеры. Важно к имеющимся идеям и технологиям уметь правильно взять деньги на разных стадиях развития компании (то есть у правильных людей в правильное время), и, конечно, создать квалифицированную команду менеджеров. Многие наши неудачи — следствие неправильных действий на ранних этапах развития компании.

Вы готовы рассказать, в чем же ваши ошибки?

Мы пережили этап технологических амбиций. Любая управляемая инженерами технологическая компания и в России, и на Западе через это проходит. Инженерам кажется, что они могут решить любую проблему. Меня часто спрашивали: не слишком ли на многое вы замахнулись сразу? Сейчас я отвечаю иностранцам так: сходите в Кремль, посмотрите на самую большую пушку, которая не стреляла, самой большой колокол, который не звонил. Посмотрите на ракету «Энергия», которая слетала два раза, на «Буран», который летал один раз. Но именно благодаря этому в нас верят. Вопрос в том, как со всем этим технологическим багажом войти в рынок. Сейчас, наконец, мы выбрали стратегию, которая неплохо работает.

Главное — быть сфокусированным. Более того, часть уже наработанных технологий мы придержали. Маркетинговая часть нашей компании не в силах столько переварить, и это помешало бы правильно спозиционировать компанию. Часть стараемся запустить через OEM-соглашения — отдать за не очень большие деньги, в надежде на то, что они как-то разовьются. Нам же надо разобраться с тем, что уже есть.

Давайте о главном. Что вам удалось сделать?

Мы создали платформу управления сетевой безопасностью. Своего рода «клей» связывает платформу с агентами, осуществляющими собственно меры безопасности в сетевых устройствах. А теперь делаем следующий шаг, начиная управлять агентами безопасности, созданными третьими фирмами, и собирая вместе компоненты, необходимые для защиты сетевых устройств: межсетевые экраны, VPN, сертификаты, ключи, жетоны, криптосредства. Наша цель — платформа управления безопасностью предприятия. Фактически мы разработали и формализовали язык, на котором можно описать все бизнес-объекты и процессы с ними с точки зрения безопасности. Теперь можно будет протранслировать описания бизнес-процессов в инфраструктуру, которая поможет эти процессы защитить. Возможно, Cisco предлагает лучший межсетевой экран. Но как он защищает сеть, определяется не тем, как он работает, а тем, кто и как его конфигурировал. Сегодняшние платформы разных производителей потенциально конфликтуют. Cisco или CheckPoint управляют лишь своими решениями. Мы предлагаем программировать не отдельные коробки, а отношения между пользователями и услугами, которые им доступны: электронная почта, Web-сервер и так далее. Cisco или CheckPoint таких средств не предлагают. Например, их управление доступом мобильных пользователей совершенно не соответствует динамике современных бизнес-процессов: какую политику поставили мобильным пользователям, такая и будет. Да и как иначе: если таких пользователей тысячи, без системы управления безопасностью, построенной на бизнес-отношениях, разные политики различным пользователям и не задашь. Мы же не только управляем своими агентами, обеспечивая сквозную безопасность, мы можем управлять сегодня и безопасностью всего набора маршрутизаторов и межсетевых экранов Cisco. Но это непросто: раз мы управляем чужими агентами, значит, нам еще одновременно надо дружить со всеми производителями систем PKI, со всеми производителями жетонов, со всеми криптографами.

Происходит важная с точки зрения управления предприятием вещь: люди получают возможность заниматься своим делом — менеджер по безопасности дает доступ определенным группам пользователей к тем или иным услугам, а системный администратор определяет тип аутентификации, протоколы шифрования, необходимость туннелирования, конфигурации межсетевых экранов и прочее. Но главное — описывает политику безопасности в бизнес-объектах: например, разрешить доступ партнеров компании к технологическим спецификациям. По этой «глобальной политике» транслятор создает «локальную политику» для каждого отдельного устройства сети, но уже в технических терминах, причем она может меняться каждый день: кто-то теряет право изменять файлы, в которые вчера сам же внес сведения. Теперь он просто вставляет свою смарт-карту в компьютер, идентифицируется, соединяется с сервером политик и оттуда получает обновленную политику. С этой точки зрения дело менеджера — определить, как защитить информацию, а технический специалист ему в этом помогает.

Великое множество прекрасных продуктов, в том числе отечественных, погибло, не дойдя до рынка...

Дело в том, что до сих пор мало кто всерьез думал о платформе управления безопасностью предприятия. Мы были немного впереди рынка, что всегда плохо. Вместе с Sun были пионерами VPN и предложили понятие распределенного межсетевого экрана, и уже в 1996 или 1997 году поняли важность интегрирующей платформы для управления безопасности сетью, которая стала безграничной. Зато сейчас это как раз шумное место, и у нас появляется шанс устоять как независимой компании — не быть мгновенно купленной или растоптанной. Теперь другие наступают на грабли, через которые мы перешагнули, и это дает нам определенную фору.

Системные интеграторы — вот на кого мы сейчас ориентируемся как на распространителя решений на основе нашего продуктового ряда. Мы на собственном опыте поняли, что компании, которые предлагают наши продукты как дистрибьюторы, для нас мало интересны. Интеграторы и поставщики услуг хостинга привлекательны потому, что воспринимают наше изделие как стратегический продукт, который добавит ценность к их решениям и поможет зарабатывать деньги. Компании типа Ernst&Young и Deloitt&Touche тоже интересны. Управление политиками существует в двух моделях: делается собственными силами или отдается на аутсорсинг консалтинговым компаниям. Сегодня создание политик безопасности предприятий является очень важным направлением деятельности больших консалтинговых компаний. А мы даем им инструмент.

Это готовый инструмент?

Да, все готово, системы уже стоят у потребителей. Мы собираемся предпринять в Европе большой roll-out этой осенью, как это на Западе называют, нечто типа нашествия. Пройдемся по Испании, Великобритании, Швейцарии, странам Бенилюкса. По Франции, которая должна скоро опередить Швейцарию по заказам. Во Франции на нас играет то, что французы не хотят брать системы безопасности у англичан и немцев, а у русских с голландцами — почему бы нет. Есть заказы и из Америки, но мы их подталкиваем к тому, чтобы подобные проекты начинались в их европейских офисах.

Собираетесь ли вы выйти на фондовый рынок?

Это сейчас всеобщая мечта, забота и тревога. Через год-полтора это было бы для нас очень полезно, ну а к тому времени мы как раз и созреем, быть может. Для инвестора важна exit strategy — как он вернет вложенные деньги. Мы пытаемся для них посчитать объемы продаж, которые будут достаточны для выхода на биржу, но это произойдет не раньше, чем через 15-18 месяцев. Сейчас надо вкалывать.

Вы обнародуете объемы продаж?

Нет пока. Но могу сказать, что пока мы зарабатываем меньше, чем тратим. Для раскрутки такого рода «платформенных» проектов нужно много денег и времени. «Бизнес-школу» в 20 млн. долл. я уже прошел. Может быть, 40% этих денег было пущено на ветер, но остальное потрачено правильно. По оценкам, надо потратить еще 12-15 млн. долл.

Некоторые компании пытаются продвигать на рынок и свои собственные технологии, и услуги, ищут заказы. А вы?

Начинающей компании в области высоких технологий работать таким образом невозможно: вы должны быть предельно сфокусированны. Мы пробовали идти этим путем в Элвис+. Сначала мы были лабораторией Sun Microsystems. Потом решили, что надо иметь собственные разработки, открыли подразделение разработчиков. Потом захотели еще большей независимости и открыли интеграционное подразделение. Но дальше я столкнулся с проблемой организации бизнеса компании: все эти подразделения совсем разные по процессам, по оборотам, одно требует постоянного инвестирования, заказные же проекты более динамичны, а интеграция (особенно в России) — это деньги в конце проекта. В результате возникают постоянные конфликты. В такой корпорации, как у Карачинского, решить эти проблемы можно: дилинговое подразделение поддерживает системную интеграцию, но для этого нужны значительные объемы продаж, и все равно выделять разные направления в отдельные профит-центры. В небольших компаниях легче пустить себе пулю в лоб: ты не занимаешься строительством бизнеса, а постоянно решаешь текущие проблемы.

Все сейчас в один голос говорят, что в Европе и в США программистов не хватает и надо их импортировать из Азии и России.

Думаю, что это больше разговоры. Я проводил опрос как раз по части необходимости аутсорсинга. Практически все говорят, что для аутсорсинга хватает людей в Европе. У крупных компаний возникают вопросы, связанные с переписыванием приложений, тестированием, и это было и будет всегда, но сейчас много проектов закрывается. Заработные платы будут уменьшаться. Раньше менеджер по QA (фактически тестировщик) требовал 140 тыс. долл. в год. Амбиции падают, и это видно по ситуации на рынке труда. Те, кто требовал 150-200 тыс. долл. без премий на позицию вице-президента, быстро опускают уровень запросов. А год назад вообще найти людей нельзя было. Теперь предложения сыплются сотнями — из Европы, из Америки, из Калифорнии мне людей на работу недавно предлагали, именно программистов. Сейчас в ИТ острая проблема рабочих мест. Потребность в мозгах была и будет, но это не значит, что каждого студента прямо с университетской скамьи будут брать в компании и сразу на серьезные деньги. Хороших специалистов найти всегда сложно, а просто людей на рынке всегда полно.

Давайте вернемся к тому, с чего мы начали. Кто смог бы поддержать вас на западном рынке в попытке повышения престижа российских разработчиков?

Я был на инвестиционном форуме, который организовывал Томас Настас. Я бы и сам вложил деньги в несколько российских компаний, потому что вижу, что их решения могли бы быть интересны для Запада. Одна успешно занимается решениями peer-to-peer, другая — биллингом с очень интересной схемой оплаты по телефонному счету. У последних уникальная технология, на Западе таких решений нет, существующие подобные технологии работают только для локальных номеров. Например, вы приходите на сайт, когда вы хотите платить, вас перекидывают на 800-е номера и как бы записывают время, которое приходит на ваш счет. Для международного трафика это невозможно. Если большой трафик идет, скажем, из Германии в США, по такой схеме деньги забрать нельзя, а кредитными картами люди боятся расплачиваться, и интересные бизнес-проекты не могут быть развернуты. А у ребят есть схема, которая с определенными доработками позволит это делать.

Одна компания предлагала любопытные вещи на Linux. Еще там был замечательный парень из Екатеринбурга, он сделал некоторые средства защиты исполняемых файлов в Linux. Его взяли ребята из калифорнийской инвестиционной компании, перетащили его пока в Москву, наняли ему двух инженеров и под его идеи сейчас хотят собрать деньги других, более весомых инвесторов. Закончится это, конечно, тем, что его просто заберут в Америку.

Возможны ли какие-то альянсы между российскими компаниями, выходящими на мировой рынок?

У нас были переговоры с Натальей Касперской. Но встраивать чьи-то технологии в свою платформу мы точно сейчас не будем. Другое дело — возможность создания совместных решений, имеющих дополнительную ценность для бизнеса клиентов. У нас есть общие интересы, сотрудничество может дать результат, есть задачи, которые могут быть реализованы вместе. Главное преодолеть инженерные амбиции во имя дела, а это по-прежнему нелегко в России.

Нам не нужно встраивать антивирусы в наш продукт, нам важно решить задачу управления использованием антивирусных пакетов на предприятии в соответствие с принятой предприятием политикой безопасности. Кратко идея состоит в том, что я могу описать политику, где пользователь не получит доступа к почтовому серверу, если не установил последнюю версию антивирусного пакета. Методы распространения пакета сами по себе меня не интересуют, интересует факт, что дата установки зафиксирована. Это снижение бизнес-риска, а не полная, «бетонная» защищенность, которая недостижима.

Кто поможет отечественным технологиям прорваться на мировой рынок?

Если брать классику инвестирования, то сами технологии окажутся на последнем месте. Надо получить рекомендации, поверить в людей. Для венчурных капиталистов, которые сидят в Калифорнии (когда мы перебрались в Амстердам, здесь было всего три серьезных венчурных компании, теперь немного лучше), это нереально: венчурный капиталист должен посещать компанию каждую неделю, иначе он перестает контролировать процесс. Он не может рисковать, он должен слишком сильно доверять менеджменту. Никто не рискнет отправить деньги из Калифорнии в московскую компанию. Должна быть венчурная компания в России, которая бы имела партнера в Калифорнии. Чтобы во главе ее были люди, которым доверяют на Западе, — тогда бы эта схема заработала.

Я хотел бы, пользуясь случаем, обратиться к российским хакерам. Меня интересуют серьезные хакеры, готовые работать в интересном проекте. Вместе с Брюсом Шнайером мы мечтаем набрать команду для разработки атак. Механизмы, модели атак будут открыто доводиться до индустрии безопасности. Такой подход в каком-то виде уже применяется в антивирусной индустрии, а в защите от атак на системы безопасности — пока нет. Эта работа даст хакерам возможность получить мировое имя, честное имя и известность, но уже как нормального члена общества. Если они покажут себя с хорошей стороны, я уверен, у них будет много интересных предложений, да и мы будем готовы принять их к себе на постоянную работу.