«Актив»: зашифрован — значит вооружен

В действительности Россия — одна из немногих стран с собственной криптографией, своего рода экономическим оружием. Оно способно эффективно защитить не только информацию, но и внутренний рынок от иностранных ИТ-вендоров, а также от предвзятости и заезженных штампов. Примерно к таким выводам можно придти, прочитав интервью с Дмитрием Гореловым, коммерческим директором компании «Актив».

CNews: Когда была создана компания «Актив»? Как это произошло?

Дмитрий Горелов: Официально компания «Актив» была основана в 1994 году. Тогда же окончательно сформировался состав акционеров — российских физических лиц в том виде, в каком он существует и поныне. Все мы, основатели компании, работали до этого в организации похожего профиля, занимавшейся ИБ, но знали друг друга еще со времен учебы в Московском лесотехническом институте (МЛТИ).

CNews: Сегодня это Московский государственный университет леса?

Дмитрий Горелов: Да. В те времена в МЛТИ была кафедра, которую специально создали для куста «королевских» заводов, работающих на космическую отрасль. Был организован полусекретный факультет, не имевший к лесу никакого отношения: студентам преподавали вычислительную технику, системы управления, автоматику и телемеханику. Я, например, изучал прикладную математику, а код полученной специальности в моем дипломе тот же, что у выпускников факультета вычислительной математики и кибернетики МГУ.

Часть людей, которые работают в «Активе» сегодня, вместе оканчивали этот институт. С тех времен мы все и работаем, не теряя связи с нашими бывшими одногруппниками. Еще на третьем курсе, когда мы начали заниматься программированием систем безопасности, многие из известных сегодня на рынке ИБ людей работали вместе с нами. Кто-то из них уходил, кто-то — возвращался… Сегодня в компании работают семь человек, хорошо знающих друг друга еще с 1989 года. Другая наша особенность в том, что компания организована только за счет личных средств учредителей, а внешнего финансирования никогда не привлекала. Часть нашей прибыли реинвестируется в развитие, по сути, каждый день.

CNews: Какое направление деятельности изначально считалось приоритетным для ее руководства?

Дмитрий Горелов: File_PROTECTION — одна из первых трех систем защиты от нелегального копирования с привязкой к ключевым дискетам — стала, пожалуй, первым рыночным продуктом, созданным теми, кто сегодня работает в «Активе». С ним мы участвовали от имени другой компании на второй по счету выставке Softool. Это было в самом начале 90-х, в то время, когда еще не существовало интернета в современном понимании, не были распространены ПК, а такая отрасль как информационная безопасность фактически только зарождалась.

Мы продолжали заниматься разработкой технических средств защиты от нелегального копирования, постепенно наращивали опыт и стали серьезными игроками. Причем не только на рынке защиты от копирования софтверными средствами (которые мы выпускаем и сейчас). В том же 1994 году, когда у нас появилась фирма «Актив» как юрлицо, началась и история наших аппаратных разработок. Тогда были разработаны по сегодняшним меркам простые, основанные на памяти электронные ключи.

CNews: File_PROTECTION использовала дискеты, а, значит, программно-аппаратные решения вы начали создавать еще до 1994 года?

Дмитрий Горелов: Дискеты мы не делали, они просто покупались и специальным образом форматировались. Под аппаратными же решениями мы подразумеваем полноценную разработку: свой НИОКР, который связан с аппаратной частью. Мы являемся создателями принципиальной схемы, прошивки микроконтроллера и всего прочего — вплоть до дизайна.

«Актив» всегда была компанией полного цикла разработки, потому что в безопасности очень сложно что-то делать на стороне. Не изготавливаем лишь пластик и микросхемы, — это совершенно другой бизнес. Все же конструкторские и производственные вещи делаем всегда сами — от идеи и прототипа до массового изготовления готового продукта. Обычно мы делаем фрагменты — «кубики» для систем безопасности, из которых потом системные интеграторы или наши технологические партнеры строят части готовых решений для пользователей. Проектов для конкретных конечных заказчиков или же полностью готовых потребительских решений пока в списке нашей продукции гораздо меньше.

CNews: Что было дальше, после 1994 года?

Дмитрий Горелов: Дальше мы сделали множество продуктов и проектов для защиты от нелегального копирования, но львиную долю с 1994 по 2002 годы в наших продажах составляли ключи защиты от нелегального копирования. Делали и софт, и железо. Но монетизация наших разработок, как правило, была такая, что софт шел бесплатно, а зарабатывали мы на железе — на электронных ключах Guardant. Сегодня нам принадлежит приличная доля российского рынка аппаратных ключей России и СНГ. Мы будем продолжать проект Guardant, которым «Актив» занимается уже 17 лет. Развитие направления Guardant было и остается перспективным для нашей компании.

Где-то до начала 2000-х годов, говоря «Актив», подразумевали «ключи Guardant». Но в 1999-2001 годах мы начали постепенно выходить за рамки средств защиты лицензионного ПО на более широкий рынок защиты информации. В 2001 г. мы выпустили продукт Рутокен. Его мы уже не решились делать полностью в одиночку, потому что там использовалась криптография, которая в тот период только начинала выходить «в массы».

Хорошо помню те времена, когда криптография была совершенно секретной дисциплиной. Люди, которые это слово говорили, обычно добавляли: «молчи, это большой секрет, это оружие». Хотя средства криптографической защиты гостайны и до сих пор приравниваются к оружию, да и, действительно, являются по сути дела — оружием.

Очень немногие страны мира имеют свои криптографические компании, которые делают действительно хорошие средства защиты информации. Даже во многих развитых странах нет такой возможности: там отсутствует школа, которая позволяла бы эти технологии поддерживать и развивать. Россия одна из немногих стран мира, — может быть таких стран пять, или около того, — где все это развито. Причем и в коммерческом, и в государственном секторе есть компании и организации, которые сохранили преемственность школы криптографии с тех времен, когда она только зарождалась.

CNews: Расскажите о Рутокен.

Дмитрий Горелов: Внешне Рутокен — это очень похожее на USB-ключи Guardant устройство (что позволило по максимуму задействовать наш опыт и технологии), но предназначено оно для совершенно других целей. Разница в софтверной обвязке и сферах применения. Криптографическую часть проекта Рутокен делал «Анкад», один из лидеров рынка криптографии. Остальное сделали мы.

Мы создали ключевой носитель для тех, кто делает в России криптографию для конечного потребителя. В криптографии есть такая вещь как аппаратные ключи, в роли которых раньше использовались дискеты, «таблетки» touch memory и прочее. Сегодня же основную долю российских средств аутентификации занимают USB-токены, — устройства, которые самостоятельно выполняют различные криптографические операции. Мы можем гордиться тем, что ключевые носители для российских средств защиты информации Рутокен занимают очень приличную долю этого рынка.

В 2001 году Рутокен был пробным проектом, который было непросто начинать и сложно окупить. Мы справились с задачей вместе с нашими партнерами и сейчас проект очень хорошо развивается. Оказалось, что те компании, которые еще 10 лет назад начинали вкладываться в развитие этого направления — сегодня получают хорошие обороты и хорошие объемы продаж. Сейчас заметно изменился ИТ-рынок и нужны другие технологии безопасности. Информации стало больше, каналы связи — лучше, средства криптографической защиты информации (СКЗИ) стали более востребованными.

CNews: Расскажите, пожалуйста, об основных моментах бизнес-стратегии компании, сохранившихся с момента основания.

Дмитрий Горелов: Рынок ПО меняется, но пока существуют локальные компьютеры, на которых должен стоять софт, будут востребованы и наши ключи Guardant. Кроме того, мы уже достаточно давно начали проект, связанный с реализацией защиты кода при помощи обфускации («запутывания» кода — ред.), защищающий «облачное» ПО и сами виртуальные машины от реверс-инжиниринга и модификации. Технологии разработки ПО пытаются сделать все более открытыми, пишут код на интерпретируемых языках, широко используют средства, не привязанные к аппаратной платформе, такие как Java. Мы же работаем над тем, чтобы разработчики, пишущие для открытых платформ, — таких как .NET — обладали средствами защиты не только от нелегального копирования, но и от анализа. Это наукоемкое и сложное направление. Хотя и не такое денежное и «самоочевидное» для заказчика, как аппаратные решения.

CNews: Как вы оцениваете свое положение на рынке систем безопасности в России и развитие этого рынка? Как повлиял на него кризис?

Дмитрий Горелов: Мы являемся своего рода Швейцарией по отношению ко всем игрокам рынка ИБ потому, что делаем не готовые решения, а средства. Наши бизнес-партнеры — это подавляющее большинство наиболее значимых вендоров-разработчиков СЗИ в РФ. Российскому рынку безопасности, по сравнению с другими, повезло, наверное, больше всех. Во-первых, закон о защите персональных данных помог многим компаниям удержаться на плаву, помог сохранить в России некий пласт людей, делающих действительно сложные, наукоемкие вещи, сохранить команды — это самое важное в ИТ. Во-вторых, нашему рынку помогла электронная подпись, общий курс, взятый на информационное общество, что создало некий общий благоприятный для развития фон. За счет этих двух факторов, на рынке СКЗИ за последние 2 года практически нет закрывшихся фирм: те, кто делал продукцию среднего качества, остались в принципе на тех же объемах. Те же, кто изначально делал хорошо, после кризиса выросли в 1,5-2 раза.

CNews: А что насчет «Актив»?

Дмитрий Горелов: В кризисный год мы остались примерно в тех же объемах, что и были, а после его окончания выросли примерно на 40%. Накопился отложенный спрос, наша продукция стала востребована.

CNews: Вы много вкладываете в развитие перспективных разработок. Какие из них вам кажутся наиболее интересными? Почему?

Дмитрий Горелов: Наиболее интересным с коммерческой точки зрения мне кажутся не самые новые решения, а такие как Рутокен ЭЦП, который мы разработали достаточно давно и уже сертифицировали в ФСБ. Рутокен ЭЦП — это будущее. В нем реализовано многое из того, чего еще нет на рынке в широком виде: аппаратная реализация электронной (цифровой) подписи — честная, хорошая и быстрая. Есть возможность эффективным способом осуществлять шифрование для тех проектов, где это действительно нужно, что позволяет сделать то, что раньше было недоступно.

Мы стараемся продавать Рутокен ЭЦП через партнеров не только госорганам, но и коммерческим структурам. Поскольку мы сделали этот проект сами, то знаем, насколько хорошая там степень интеграции с разными решениями. Получился масштабируемый проект, который мы полностью контролируем и, в ряде случаев, можем под нужды заказчика подгонять даже саму аппаратную основу. Благодаря тому, что в Рутокен ЭЦП присутствуют все российские криптоалгоритмы, получается, что, решая практические задачи ИБ, заказчик еще отвечает требованиям госрегулирования.

CNews: Кто покупает вашу продукцию?

Дмитрий Горелов: Наши клиенты — это, во-первых, Удостоверяющие центры (УЦ), которые выдают ЭП. Во-вторых, компании, которые разрабатывают комплексные системы ИБ. В третьих, это системные интеграторы, работающие с конечным заказчиком, которые, допустим, делают проекты внутрикорпоративной PKI (строгая аутентификация при входе в домен, шифрование почты и пр.). Хотя, на самом деле, часто компании занимаются на практике всеми тремя видами деятельности одновременно. Сейчас самый серьезный рынок для «Актива» — это ключевые носители для российских СКЗИ. Есть регламентированные законодательством рынки сдачи различных отчетностей, электронных торгов, выдачи ЭП. Все, кого это касается, автоматически становятся клиентами наших партнеров. Наши Рутокены мы делаем для многих проектов, часто изготавливаем их в специальном виде, пишем на них имя оператора системы, который ведет проект и выдает их своим клиентам — юридическим, а иногда и физическим лицам.

CNews: Не получается ли, что ваш рынок существует лишь благодаря госрегулированию?

Дмитрий Горелов: Регуляторы, конечно, помогают рынку ИБ, но не определяют целиком его развитие. Их вклад я бы оценил в 50%, а остальные 50% — это рынок сам по себе, его естественные потребности. Например, когда говорилось про заказчиков из УЦ, имелись ввиду, в первую очередь, те УЦ, которые созданы банками. Банки хотят защитить своих клиентов, пользующихся ДБО, а под госрегулирование они попадают в меньшей степени.

CNews: Есть ли у вас примеры чисто коммерческих проектов?

Дмитрий Горелов: На более далекую перспективу и самую широкую аудиторию — всех, кто просто работает за ПК, рассчитан проект Рутокен Web. Он сложный и капиталоемкий, немедленной отдачи от проекта мы не требуем и пока деньги на него зарабатываем на других проектах. Сегодня те, кто пользуется логином и паролем, по сути дела не защищены. Технологии, которые стали применять, чтобы украсть деньги или аккаунты — просто удивительные. Системы анти-фрода, привязки к IP, sms-оповещений и т.п. защищают лишь частично, но не решают проблему.

Рутокен Web, построенный на базе технологии Рутокен ЭЦП, заменяет логин и пароль на некую аппаратную, «железную» связку. Взять их и унести с собой можно лишь физически, завладев ключом. Перестав при этом быть хакером и став обыкновенным грабителем.

Мы сделали API, который позволяет владельцам различных интернет-порталов встраивать часть нашего ПО у себя на сервере, а клиентам, которые пользуются этими порталами, ставить у себя на машине простой, легкий плагин для браузера, поддерживающий наш Рутокен Web. Пользователь получает в коробочке устройство, не отличающееся по виду от флешки, и скретч-карту, на которой написан PIN-код к нему (его впоследствии легко можно поменять).

Мы сделали низкие цены и очень простую документацию для разработчиков, активно продвигаем Рутокен Web среди людей, делающих крупные интернет-проекты. Это не обязательно web, но и, например, SaaS-приложения, которых достаточно много: системы электронной почты, «облачные» СЭД и т.д. Пытаемся строить канал продаж, чтобы решение пошло в массы, стало актуальным для простых пользователей. Хочется сделать так, чтобы человек зашел в любой салон связи, купил коробочку с ключом и надежно решил свои проблемы с безопасностью.

CNews: Как вашей компании удается предугадывать развитие рыночных трендов? Существует ли у вас отдел стратегического планирования или же вы просто отслеживаете результаты профильных исследований?

Дмитрий Горелов: Честно говоря, не люблю такие слова, как «отдел стратегического планирования». Даже название аналитический отдел — излишне пафосное.

Есть некое количество разработчиков, лидеров команд, менеджеров проектов. Они должны быть в курсе того, что происходит в нашей области. Кто видит что-то новое — рассказывает другим, устраивает в компании стихийные или организованные мозговые штурмы. Тема аутентификации, ключевых носителей, smart card — очень специфическая. Чтобы пересчитать компании, которые у нас ее разрабатывают, хватит пальцев двух, или даже одной руки. Да и в мире их немного.

Ездим на отраслевые мероприятия, такие как французский CARTES, поддерживаем прямые связи в сообществе с людьми, которые в этом хорошо разбираются, сами организуем мероприятия. Например, я являюсь членом оргкомитета конференции «РусКрипто», которая в России существует уже много лет. В узких областях развитие должно идти всегда, а настоящие компетенции есть только у весьма ограниченного числа людей. Они должны общаться друг с другом, и от этого выигрывает весь рынок.

CNews: Ваша компания известна в вузах. Чем объясняется такое стремление присутствовать в системе образования?

Дмитрий Горелов: Если к нам обращается официальный представитель какого-либо вуза или даже преподаватель в частном порядке, и мы видим что хотя бы частично тематика обучения студентов и аспирантов пересекается с нашей, то мы сразу идем навстречу. Бесплатно даем некоторое количество нашей продукции, делаем методические материалы, помогаем создать информационное наполнение курсов.

В некоторых вузах наши специалисты уже прочитали курсы лекций, у нас налаженные отношения с МИФИ, МГУ и многими другими учебными заведениями. По своему личному опыту знаю, насколько студенту важно быть в курсе реальных разработок. Стандарты в ИБ меняются не так часто, как в ИТ в целом. Но все равно, все это происходит очень быстро. Наше «циничное» желание, чтобы к нам приходили хорошие специалисты, понятно. По технологиям Guardant у нас уже готовые курсы, о Рутокен мы пока рассказываем, как на практике применяются те или иные стандарты, как работают технологии.

CNews: Расскажите, пожалуйста, о наиболее удачных проектах и достижениях «Актива».

Дмитрий Горелов: Этого нельзя сделать, не рассказав о наших партнерах. У нас есть достаточно важные для нас системообразующие партнеры, но, наверное, одна из наших, что называется, любимых компаний — это СКБ Контур. Нам нравится, как они работают с рынком, как у них построены бизнес-процессы, как организована ИБ. Это самый крупный УЦ РФ, выдавший больше всех сертификатов и развивающий такие технологии, что другие использовать не хочется. Через «СКБ Контур» мы поставили сотни тысяч изделий, причем в ряде регионов их цена заложена в стоимость услуги, а сами устройства выдаются конечным пользователям бесплатно. Это грамотная коммерческая политика поднимает рынок ЭП, закладывает новые стандарты в отрасли ИТ. «СКБ Контур» подпадает под госрегулирование, но в то же время это — честная коммерция без лоббирования. Компания приносит пользу всему рынку, всем, кто работает в РФ. В таких регионах как московский и другие, наверное, каждый третий бухгалтер использует продукты «СКБ Контур» вместе с нашим устройством Рутокен для сдачи налоговой отчетности.

Есть и компании, которые считают, что можно сделать подешевле, а на поверку выходит, что получается дороже (если учесть техподдержку и всевозможные хитрые пассы, нужные лишь для того, чтобы законодательство их не трогало). Поэтому очень приятно хвалить не себя, а те компании и тех людей, которые с тобой работают. Еще пример — система интернет-трейдинга «Альфа-Директ». Проект «Альфа-Банка» позволяет физическим лицам удаленно торговать акциями. Он выдает им Рутокен с надписью «Альфа-Директ». Благодаря нашим партнерам, для большого количества клиентов, использующих устройства из линейки Рутокен, они стали неким физическим выражением технологии и самой идеи электронной подписи.

CNews: Каким вы видите будущее отрасли ИБ? Что для вашей компании является главным в долгосрочной перспективе?

Дмитрий Горелов: Сегмент ИБ будет расти по той причине, по которой будет расти сам ИТ-рынок. Будут нарастать и сближаться потоки личной и деловой информации, информатизироваться разные отрасли экономики. И будут увеличиваться соответствующие риски. От киберпреступности никуда не деться. Ведь не удалось же искоренить физические преступления? Замки на дверях за последние 100 лет не исчезли, а стали только надежнее и лучше.

Продолжается тренд объединения игроков. С другой стороны, ко многим пришло понимание того, что нельзя механически скрестить разноплановые продукты. Иногда события на рынке ИБ развиваются и в противоположную от консолидации сторону. С третьей стороны, громкие истории вроде взлома PlayStation Network делают бизнес ИБ-компаний привлекательным для покупки его с крупными корпорациями.

Безусловно, важно, что в России есть свои криптографические стандарты и законодательство в этой области, что, в какой-то мере, защитит внутренний рынок после вступления в ВТО. В то же время, рынок частных лиц они никак не регулируют. У российских разработчиков есть некая фора по времени, чтобы закрепиться на рынке. Пока на него не придут западные вендоры, с которыми придется конкурировать на равных.

Компания «Актив» уже давно к этому готова: за всю нашу историю основными конкурентами для нас были не российские компании, а крупнейшие мировые игроки, в частности, американские компании с огромными оборотами, для которых таможенные пошлины никогда не были серьезным препятствием. И мы методично, год за годом «отъедали» у них долю внутреннего рынка. Нашими преимуществами являются налаженная логистика, понимание особенностей менталитета россиян, то, что мы действительно являемся разработчиком полного цикла. В частности, у нас есть целый отдел, который создает роботов и автоматы для сборки и тестирования наших электронных изделий, которые мы производим десятками тысяч, а продали уже миллионы.

Компании, которые постоянно инвестируют в современное производство, имеют «подводную часть айсберга». Она не видна, но позволяет делать действительно качественный продукт и, в конечном итоге, выиграть в честной конкурентной борьбе. В нашем бизнесе еще 10 лет назад уже нельзя было пытаться делать что-то серьезное на коленке. На мировых рынках вендоров ИБ атакуют при помощи дешевой продукции, сделанной непонятно как и непонятно где, в результате чего многие пользователи вообще отказываются от систем безопасности. Мало взять и воткнуть куда-то готовый чип, руководствуясь чужим стандартом. Нужны люди, которые смогут качественно реализовать, поддерживать и развивать проекты, иначе дискредитируется сама идея ИБ.

Поэтому главное наше богатство — это люди, взаимоотношения с коллегами. Если у нас есть выбор: идти на рынок самим или через партнеров, то мы предпочитаем использовать партнерскую схему продаж, а от того, насколько качественный продукт мы им предложим, будет зависеть, используют они его или нет. Можно долго рассказывать и про то, как мы создаем условия для стабильной работы и постоянного развития наших сотрудников (такие, чтобы они даже не думали уходить из компании), но решающим фактором всегда бывает наличие в компании интересных проектов, через которые люди смогут внести вклад «в мировые ИТ». Никто из нас не хочет заниматься бесперспективной ерундой, даже если за нее сегодня платят хорошие деньги.

Пользуясь случаем, хочется еще раз поблагодарить всех, кто работает вместе с компанией «Актив».