Илья Сачков: «Раньше мы работали как патологоанатом» | Большие Идеи

? Технологии

Илья Сачков: «Раньше мы работали
как патологоанатом»

Генеральный директор Group-IB о работе на глобальном рынке и о том, почему предотвращать киберпреступления выгоднее, чем их раскрывать

Автор: Сачков Илья

Илья Сачков: «Раньше мы работали как патологоанатом»

читайте также

Обнаглел!

Ракшенко Лилия

Критика как инвестиция в сотрудника

Лайан Дэви

Cтратегия местных против чужаков

Бхаттачарья Ариндам,  Майкл Дэвид

С миру по лайку: краудсорсинг

Дагаева Анастасия

Заниматься компьютерной криминалистикой и расследованиями высокотехнологичных преступлений я начал в 2003 году, когда еще учился в МГТУ им. Баумана. Вместе с несколькими однокурсниками мы основали компанию Group-IB и с тех пор раскрываем сотни киберпреступлений ежегодно — в 2014 году наши специалисты принимали участие более чем в 200 расследованиях, в 2015 году — в 140. Например, в прошлом году при нашем содействии была задержана группа киберпреступников PhishEye — они представлялись сотрудниками банков и вымогали у потерпевших СМС-коды авторизаций, необходимых для кражи денег.

Со временем к расследованиям и криминалистике добавились новые услуги — экспертиза и аудит информационной безопасности, защита брендов в интернете и т. д. Сегодня наши конкуренты — это, в первую очередь, израильские и американские компании. В России до сих пор нет прямых конкурентов, хотя каждый год появляются и закрываются несколько стартапов в этой сфере. Причина простая — новому игроку нужно много времени, чтобы наработать базу расследованных преступлений и собрать команду. К тому же на нашем рынке важно наработать репутацию, чтобы клиенты доверяли компании.

Развиваться нам мешала не конкуренция, а особенности бизнеса — наши услуги сложно масштабировать. Group-IB работала как патологоанатом — к нам обращались, когда все плохое уже случилось. Но расследования нельзя продавать проактивно, как нельзя продать человеку лечение от рака, если у него нет онкологического заболевания. В один ­месяц может быть 5 расследований, в другой — 25, в такой ситуации сложно прогнозировать выручку. Если проектов много, приходится искать новых сотрудников, но профессионалов не хватает. Например, недавно мы проводили олимпиаду по компьютерной криминалистике среди студентов и старшеклассников, и из 50 тысяч участников с заданием справились только двое. Есть еще одно важное ограничение — человек должен быть кристально честным, поскольку утечка информации, которую нам доверяют клиенты, может разрушить их бизнес. Со временем мы поняли, как решить эти проблемы.

Американская история

История Group-IB делится на два этапа — до 2010 года и после. Именно в этом году у нас по­явился инвестор — LETA Group купила 50% компании (через три года мы выкупили долю обратно), и часть этих денег мы потратили на открытие офиса в Нью-Йорке. Выбор страны очевиден: американский рынок — самый большой и понятный в области информационной безопасности, здесь работают все крупные игроки. Технологии и сервисы развиваются, если компания конкурирует с сильным противником, как в боксе. Но сегодня мне этот шаг кажется сумасшествием. Со стороны выглядело наглостью, что молодая российская компания собирается расследовать компьютерные преступления в США. К нам еженедельно приходили «экскурсии» — разные спецслужбы проверяли, кто мы такие. Но, в конце концов, убедились в нашей благонадежности. Дело в том, что потенциальные клиенты ищут информацию в интернете по рекомендациям, и о нас ­многие могут дать хорошие отзывы. Мы стали выполнять заказы для американских компаний в России (это дешевле, чем командировать своих специалистов), со временем нас нанимала на консалтинговые проекты даже местная полиция.

Директора американского офиса мы наняли из французской компании аналогичного профиля, он жил в Монреале и согласился переехать в Нью-Йорк. Потом появился еще один человек с международным опытом работы, который знал несколько языков. Они вдвоем вели всех наших зарубежных клиентов. Содержание американского офиса окупалось — несмотря на то, что мы снимали помещение на престижном Манхэттене, на углу Madison Square Garden, аренда московского офиса в районе метро Электрозаводская обходилась дороже, чем в США.

Детская уверенность, что нам непременно нужно идти в Америку, положительным образом сказалась на бизнесе. Мы узнали, как устроен местный рынок, познакомились с огромным количеством компаний. Мы видели, что делают местные конкуренты, и вслед за ними открыли подразделение круг­лосуточного мониторинга CERT (Computer Emergency Response Team) — своего рода МЧС для компьютерных инцидентов, связанных с безопасностью. Но также стало ясно, что в США надо предлагать не разовый консалтинг, а продукты, которые можно тиражировать.

Продукт многоразового пользования

Продвигать продукты выгоднее, чем услуги, поскольку можно привлечь большее количество клиентов. Например, два десятка программистов могут создать продукт, который заинтересует тысячи клиентов, тогда как 20 расследователей способны одновременно вести не более 15 дел. А над крупным проектом должна работать целая команда из семи человек. В итоге нам приходилось выставлять заградительные меры в виде высокого среднего чека — около полутора миллионов рублей за расследование. Или же вовсе отказываться от проекта, если мы не могли получить новый интересный опыт.

Мне не хватало маркетинговой информации, поэтому я решил пообщаться с людьми, которые строили бизнес в области информационной безопасности в России, а также с теми, кто добился успеха на международной арене. В частности, хотел понять, как они продают свои услуги, через кого, какие были проблемы за рубежом. Встретился с большим количеством людей — Сергеем Белоусовым из Acronis, Натальей Касперской, сотрудниками ABBYY, «Лаборатории Касперского», «Доктор Веб». Поговорил с представителями американских компаний Mandiant, Symantec, McAfee, CheckPoint, Palo Alto, а также с основателями стартапов, которые переехали в США. Все, с кем я общался, в один голос говорили: нужно создавать тиражируемый продукт, иначе компании никогда не стать большой международной.

Советы коллег совпадали с нашими собственными наблюдениями. Мы все чаще обращали внимание на такой парадокс: наши клиенты — зрелый бизнес, крупные известные компании, которые довольно много тратят на технологии. Но если в конечном итоге они обращались к нам, значит, им чего-то не хватало для защиты от мошенничеств. Иными словами, нужны превентивные меры для предотвращения преступлений.

Мы поняли, что знания и базу инцидентов, собранные в результате расследований, стоит конвертировать в новый продукт для защиты от киберпреступников. Преступные группировки оставляют цифровые следы, и разные корреляционные признаки позволяют на ранней стадии предположить вероятность атаки. Такой продукт можно тиражировать и выходить с ним на международную арену.

Ассортиментная матрица

В 2010—2011 годах в Group-IB началась бурная деятельность — мы запустили множество новых проектов, в штате появились разработчики и тестировщики, которых раньше не было. И сразу возник хаос. Наверное, это был один из самых тяжелых этапов в жизни компании. Раньше мы росли органически — есть заказы на расследования, расследователи, есть фонд оплаты труда, а на оставшиеся деньги можно дополнительно нанять людей. С разработкой продуктов началась другая история — мы тратили больше, чем зарабатывали, потому что появилось подразделение, которое генерировало ежемесячные косты, а прибыли не приносило. Понятно, что вывод продукта на рынок — дело не быстрое, но у некоторых людей в компании началась паника, они даже предлагали закрыть разработку. Мне пришлось убеждать коллег, что неправильно закрывать проект на полпути. В каком-то смысле я тогда каждый год проживал целую жизнь и узнавал на 90% больше, чем знал раньше.

Нашим флагманским продуктом стал сервис киберразведки (на Западе такие продукты относятся к категории Threat Intelligence). Это система раннего предупреждения киберугроз. Собирая и анализируя огромные массивы информации, в том числе из закрытых источников, мы предоставляем клиентам оперативную информацию, если атака только готовится (например, в руках хакеров оказалась учетная запись сотрудника, был заражен мобильный телефон, скомпрометированы банковские карты) или же совершается прямо сейчас. Используя эти сведения, служба безопасности компании сможет отреагировать на взлом, а в большинстве случаев — предотвратить его или минимизировать потери.

Хакеры, осуществившие наиболее резонансные атаки последних лет, успешно миновали стандартные средства защиты и пробрались в корпоративную инфраструктуру организации. Именно по такой схеме атаковала банки и финансовые организации группировка Buhtrap, которой в 2015—2016 гг. удалось похитить более полутора миллиардов рублей. Для борьбы с подобными атаками мы создали следующий эшелон обороны, дополняющий сервис киберразведки — аппаратный комплекс TDS. Он не требует специфичных ИТ-знаний, иногда его покупают и частные клиенты, которые трепетно относятся к вопросам личной безопасности.

Еще один продукт — Secure Bank. Эта система сообщает, что устройство, с которого пользователь вошел в онлайн-банк, заражено, и банк автоматически блокирует аккаунт и не позволит злоумышленникам украсть у клиента деньги.

Поначалу мы думали, что достаточно сделать хороший продукт, который начнет сам продавать себя. Это была логика инженера. На деле оказалось не так просто. Причины для покупки могут быть разные — потому что модно, порекомендовал регулятор или подглядели у конкурентов.

В результате нам пришлось изменить структуру компании. Раньше в Group-IB не было маркетологов — первый специалист появился в 2011 году, как только мы начали работать над продуктами. Сегодня в штате уже четыре маркетолога. Пришлось заново заниматься планированием, ценообразованием, решать, продавать продукты напрямую или через партнеров. Изменился коммерческий отдел — выделили отдельно международников, людей, которые работают с парт­нерами. В результате в 2016 году мы стали больше зарабатывать на продуктах, чем на сервисах, хотя услуги по-прежнему составляют значительную часть нашей выручки. К 2020 году идеальной будет такая пропорция: 90% доходов от продуктов и 10% — от сервисов.

Культурный код

Два с половиной года назад мы открыли офис в Лондоне, здесь работают два человека. Летом 2016 года появился офис в Бейруте, а в следующем году откроем аналитический центр в Таиланде. Зарубежные подразделения себя окупают — цикл продаж в нашем бизнесе большой, но один контракт с иностранной компанией приносит доход в четыре раза больше, чем сделка в России.

Безусловно, работать на Западе сложно — к российским компаниям относятся с недоверием, плюс сказывается политическая ситуация. Приходилось во многом действовать методом проб и ошибок.

Главный вывод, который мы сделали, — все решают локальные партнеры. Продавец должен быть рядом с клиентом, они должны принадлежать к одной культуре. Деловые культуры безумно различаются, и если кто-то считает, что глобализация закончилась, он ошибается. Нам очень помогла книга Ричарда Льюиса «Деловые культуры в международном бизнесе», всем ее рекомендую. Мы поняли, что продукт нужно кастомизировать под культуру и язык клиента. Например, ни для кого не секрет, что французы плохо воспринимают английский язык. Американцы (как, впрочем, и русские) любят, чтобы им активно продавали — звонили, назначали встречи, присылали напоминания, а вот канадцы такой подход не воспринимают. Для представителей азиатской культуры же напоминание о том, что они что-то вам обещали, будет хуже плевка. Кто не знаком с этими правилами, продавать сможет, но с меньшей конверсией.

Нам помогает то, что мы продаем в основном SaaS-решения, их не нужно устанавливать на компьютер. Кроме того, в 2014 году мы стали первым российским игроком, кого консалтинговая компания Gartner включила в список семи лучших игроков в области Threat Intelligence. Для ИТ-специалистов это весомая рекомендация. Мы уже проводили международные расследования в США, и там поняли, что с Group-IB можно иметь дело. Американцы — нация предпринимателей, если технология помогает им экономить или больше продавать, им все равно, у кого покупать.

В 2016 году неожиданно для себя я оказался в списке американского Forbes «30 Under 30» (30 предпринимателей до 30 лет). Это уже принесло некоторые дивиденды — в частности, ­стало легче работать с клиентами в США. К тому же все международные номинанты из этого списка, а также менторы, которые их выдвигали, могут общаться друг с другом в закрытой социальной сети. Для предпринимателя это очень полезные связи.

Мировая цель

Чтобы быть ближе к культуре наших клиентов, мы стали чаще набирать на работу иностранцев, в том числе и в Москве. Среди 160 наших сотрудников есть канадец, британец и представители других национальностей. Еще мы увеличили количество продавцов. За российский рынок сейчас отвечают 15 человек, за зарубежные — немного меньше, но мы будем увеличивать их число.

Сервисы мы продаем клиентам напрямую (чтобы сохранять конфиденциальность), а продукты продвигаем через партнеров — компании-интеграторы, которые в качестве комиссионных получают скидку. В прошлом году 25% выручки компании принесли зарубежные клиенты, в этом году, наверное, приблизимся к 40%. Для сравнения — «Лаборатория Касперского» зарабатывает в России всего 14% выручки.

Наша цель — войти в десятку мировых компаний в области информационной безопасности по обороту и технологиям. Арифметика простая: российский рынок — это 3% от мирового. По технологиям мы уже конкурируем на равных, а по оборотам нам пока далеко до лидеров. Летом у нас появились новые совладельцы — фонды Altera Capital и Runa Capital купили 20% компании, и теперь их деньги и мозги помогут нам активнее продвигать наши продукты за рубежом.