Вячеслав Критов, Symantec: "Главная проблема IT-бизнеса в Украине – отсутствие грамотных архитекторов"

Всегда любопытно пообщаться со своим соотечественником, работающим за рубежом в известной IT-компании. Тем более если он там занимается таким не вполне привычным для нашего слуха и даже несколько загадочным делом, как «технологическая разведка» (technology scouting). Поэтому мы попросили Вячеслава для начала чуть подробнее рассказать о себе, а после попробовали даже выведать пару-тройку корпоративных секретов.

Вячеслав, как вы попали в Symantec?

В 1992 г., когда распался СССР, я закончил московский физтех, и возник вопрос, что делать дальше. Вначале я вернулся в Украину, работал в Институте кибернетики, в частности занимался их сайтом, затем перешел в местное представительство Apple, а оттуда – в проект ООН под названием FreeNet, целью которого было обеспечение бесплатным Интернетом негосударственных организаций в развивающихся странах. В 1996 г. по приглашению друзей я уехал в Сан-Франциско (США) в стартап Genesys Labs, где вместе с 700 инженерами, бывшими соотечественниками, занимался телекоммуникациями, call-центрами и т. п. Дела шли хорошо, штат вырос до 1500 человек, и в один прекрасный день Genesys был куплен Alcatel-Lucent и до сих пор является дочерней компанией. Оттуда я перешел в очередной стартап – Netli, который буквально в феврале нынешнего года был приобретен Akamai. Там я работал над созданием ЦОД для таких крупных клиентов, как, например, HP. Наконец в 2004 г. перешел в Veritas, в отдел Technology Scouting, т. е. технологической разведки. Этот термин подразумевает не «шпионские страсти», а выявление перспективных технологий и стартапов, уточнение лицензионных и патентных вопросов, а также формирование предложений по расширению компании либо ее технологического портфеля. Как известно, годом позднее Veritas была приобретена Symantec, и у нашей группы появились дополнительные возможности. А начиная с того же 2004 г. я регулярно приезжаю в Россию и Украину читать лекции и проводить семинары, посвященные современным технологиям и тому, как их правильно применять.

По вашему мнению, последнее столь актуально на наших просторах?

С моей точки зрения, одна из главных проблем IT-рынка СНГ в том, что при наличии очень грамотных инженеров, имеющих прекрасное образование, у нас крайне мало настоящих архитекторов, которые не просто обладали бы навыками внедрения, но и умели делать это оптимальным образом. Ведь решений всегда множество, и далеко не все они будут одинаково хороши с точки зрения, скажем, надежности. Соответственно я стараюсь научить местных специалистов максимально использовать мировой опыт. Ведь перед нашими организациями сегодня стоят те же задачи, что в свое время уже были решены за рубежом. И я склонен придерживаться консервативной точки зрения: как правило, самые последние продукты не являются самыми надежными. За редким исключением, внедрение новейших технологий – большой риск. Ведь их еще предстоит выверить, отладить... А компаниям нужно заниматься своим делом, зарабатывать деньги, поэтому все должно быть просто и надежно. По возможности как с обычными потребительскими товарами или услугами. Как с электричеством – вы ведь наверняка не знаете, какой марки трансформаторы стоят на вашей местной подстанции?

Veritas с самого начала продвигала идеи utility computing, а они по сути близки к SaaS. Клиенту нужна некоторая услуга или функция, и ему, по большому счету, неважно, как она реализована технически. К сожалению, для понимания этого необходим опыт, и не только положительный. Ведь известно, к примеру, что порядка 70% внедрений CRM и ERP терпят неудачу – именно потому, что соответствующие специалисты не обладают комплексными, архитектурными знаниями.

Конечно, нельзя не впечатлиться списком функций какой-нибудь корпоративной системы на 50 страницах. Но давайте взглянем с другой точки зрения. Вот говорят, что в военном уставе каждая строчка написана чьей-то кровью. Примерно так же нужно относиться и к продукту, от которого зависит бизнес. Каждую функцию необходимо тщательно выверить и перепроверить на практике. А их обилие может лишь запутать инженера, затруднить выбор оптимального пути решения задачи. Архитектор же должен уметь свести воедино разные и нередко противоречивые бизнес-потребности многих отделов или подразделений, у которых могут различаться не только системы отчетности, но и интересы.

А находят ли все эти идеи отражение в продукции Symantec?

Конечно. Смотрите, Symantec на протяжении длительного времени занимается компьютерной безопасностью. То есть были и продукты другого класса, но они позиционировались на конечного потребителя, а теперь и вовсе превращаются в сервисы. Покупка Veritas означала окончательную переориентацию на корпоративный рынок. Получилось так, что решения двух компаний прекрасно дополняют друг друга и практически не пересекаются. Действительно, важно ли пользователю, по какой причине он потеряет критичные данные – из-за проделок вирусов, аппаратного сбоя, хищения? Их защищенность и сохранность воспринимаются как единая задача. В идеале новый сотрудник должен получать стандартный настроенный компьютер и даже не задумываться о том, как он обслуживается и т. д. Поэтому сегодня Symantec предлагает комплексные решения различного уровня, и именно здесь, я считаю, заключается наше главное преимущество.

В качестве примера могу привести продукты линейки Symantec Database Security, доступные в том числе и на готовых сетевых устройствах. Это одна из наших новейших разработок. Самая серьезная проблема, касающаяся безопасности баз данных (БД), заключается в том, что большинство утечек информации связаны с действиями сотрудников, у которых есть права на доступ к ней, либо с действиями людей, каким-то образом получивших пароли этих сотрудников. Иными словами, это не тот случай, когда система взламывается извне, а когда все обставлено более или менее законно. Так вот наше решение умеет оценивать характер действий, производимых с БД. Предположим, банковский клерк со своего компьютера запрашивает на экран информацию об одном клиенте и начинает с ней работать – такое поведение характерно для него и не должно вызывать подозрений. Совсем другое дело, если с помощью его учетной записи осуществляется выборка десятков или сотен клиентов в минуту – понятно, что с точки зрения типичного бизнес-процесса необходимости в этом быть не может, ведь ему требуется проделать какие-то действия с каждым из них. Это нехарактерное поведение и в любом случае – нарушение. То есть или клерк занимается не своим делом, или, что значительно хуже, от его имени кто-то просто ворует ценную информацию.

По сути, эти решения представляют собой некую экспертную систему?

Да. Фактически это поведенческий монитор, контролирующий действия людей, которые должны в рамках своих обязанностей выполнять определенные операции, и каждая из них может быть законной и честной. Но слишком высокая их частота будет воспринята как подозрительная, и система сгенерирует соответствующее предупреждение. Как на него реагировать – дело компании, можно, к примеру, оперативно блокировать доступ или просто взять сотрудника «на заметку». Ведь выявлено некоторое нарушение бизнес-процесса, а это плохо в любом случае. Соответственно, Symantec Database Security представляет собой симбиоз различных технологий для решения такой вот интересной задачи.

Означает ли такая ориентация, что в области антивирусов, брандмауэров и прочих стандартных систем защиты наблюдается определенная стагнация?

Пожалуй, нет. Дело в том, что «традиционные» угрозы также развиваются, мутируют. В прошлом году австралийский центр CERT выяснил, что 80% всего вредоносного ПО (malware) является полиморфным, т. е. для него отсутствует четкая сигнатура. Поэтому в наших последних антивирусных продуктах присутствует, по сути, виртуальная машина, внутри которой исполняется проверяемый код. Таким образом можно отловить попытки расшифровки программой фрагментов своей памяти или организации переполнения буфера. Но здесь возникает очередная любопытная проблема – ведь надо соблюсти баланс между безопасностью и производительностью. Так что развитие продолжается.

Но ведь в последнее время злоумышленники все чаще пользуются социальными уловками, а не техническими...

Социальная инженерия применяется в таком ключе давно, и главным средством борьбы с подобными уловками должно быть образование пользователей. Однако мы как поставщики средств безопасности тоже способны кое-что сделать. В частности, в наших пакетах для персонального применения есть нечто вроде репутационного сервиса, который оценивает посещаемые сайты. Он основывается на отзывах клиентов, а также на информации, собираемой нашей автоматизированной системой со всего Интернета.

На ваш взгляд, меняется ли характер угроз, появляются ли принципиально новые? Нужна ли какая-то новая защита и от чего?

Давайте начнем с примера. Совсем недавно взломано большое количество учетных записей на eBay. Вообще-то у этого сервиса есть определенные защитные механизмы против таких атак, например, нельзя более трех раз ввести неправильный пароль с одного IP-адреса. Злоумышленники же создали бот-сеть, а их ПО работало на уровне API, т. е. вызывало функцию аутентификации напрямую. При этом каждый зараженный компьютер пробовал лишь два варианта пароля для одной учетной записи, затем передавал эстафету дальше, а сам принимался за следующую. В результате их атака оказалась крайне успешной. Вот вам и новая угроза, ведь защита от подобных распределенных систем – крайне сложная задача, требующая тонкого анализа поведения пользователя (будь он реальный человек или бот). Скажем, оплата через систему электронного банкинга двух-трех различных счетов – нормальное явление, но если их сотня или тысяча и все они направляются на Каймановы острова, то есть повод что-то заподозрить.

Сегодня системы стали динамичными и с трудом поддаются статическому анализу. В них нет явных точек контроля, способных, к примеру, идентифицировать бот, а последние при этом используют хитрейшие трюки, чтобы избежать обнаружения. Обратите внимание, если раньше многие вирусы и «черви» были нацелены на нанесение явного урона зараженной системе, то сегодня они стараются действовать как можно незаметнее и дольше. По сути, современное злоумышленное ПО правильней было бы сравнивать не с вирусами, а с паразитами. Это ставит перед нами совершенно новые задачи.

Вероятно, поэтому, согласно последним отчетам, растет доля IT-расходов именно на безопасность?

Конечно. Ведь бизнес становится сервисным. Очень многие малые и средние компании практикуют аутсорсинг, т. е. увеличивается число внешних ресурсов. Модель SaaS становится привычной и распространенной, но ведь предоставляемая таким образом функция должна быть непрерывной и безопасной. Время изолированных компьютеров безвозвратно ушло, и очевидно, что чем больше вы связаны с Интернетом, тем больше внимания приходится уделять защите.

Если вы считаете, что будущее IT-отрасли за SaaS, то как вы видите в этом мире свою компанию, свои решения?

Очень важный момент. Я действительно думаю, что в конце концов большинство наших данных будут размещаться, как говорится, в «облаке», т. е. в различных сервисных центрах. Обратите внимание, даже сегодня подобные услуги предлагают не только такие компании, как Google, но и совершенно, казалось бы, непрофильные, вроде Amazon с ее S3 (Simple Storage Service). Конечно, Amazon строила это решение в первую очередь для себя (вложив около 400 млн долл.), а потом начала сдавать в аренду свободные ресурсы. Но ведь все это не отменяет необходимости в резервном копировании, просто данная операция также будет предоставляться в виде услуги – соответственно здесь рынок для нас сохранится.

В целом сегодня еще не понятно, какая модель победит. Но я думаю, что в перспективе наши локальные устройства – ноутбуки, телефоны, плееры и пр. – будут хранить только кэш данных. Это логично, поскольку таким образом вы как минимум застрахованы от их поломки, потери, кражи. Но ведь даже если вы работаете с одним браузером, а контент сегодня становится все более динамичным, вы по-прежнему должны заботиться о безопасности. Не проник ли к вам какой-то «троянец»? Не на фишинговый ли сайт ведет данная ссылка?

А насколько остра конкуренция? Особенно со стороны Microsoft – ведь сегодня вы сталкиваетесь буквально во всех сегментах...

Если хотите, то это скорее «coopetition», т. е. одновременно и сотрудничество, и конкуренция. Однако если вы посмотрите на Norton 360 и Microsoft OneCare, то с функциональной точки зрения оба решения очень похожи. Но как только дело доходит до реальных тестов, преимущество Symantec неоспоримо. И это понятно, ведь за нашими плечами – многолетний опыт.

Но это может быть временным явлением...

Конечно. Но ведь мы тоже не стоим на месте. Сейчас в индустрии происходят важные изменения, и выиграет тот, кто первый поймет, куда все движется. Взгляните на тот же антивирус – ведь это уже сервис, а не готовый продукт. Его же необходимо регулярно обновлять. Вот почему мы иногда продаем коробки для конечных пользователей фактически за $0, вкладывая в них купоны на возврат полной стоимости!

Но с учетом стандартного годичного цикла обновления ваших продуктовых линеек, разве не ставит такая политика под вопрос всю бизнес-модель?

Однако именно таким образом Symantec выросла в 4-миллиардную компанию. Тут нет никаких секретов. Пользователи привыкают к достаточно качественным продуктам и уже не хотят ничего менять. Наверняка вы знаете, что переинсталляция всей системы – утомительная и долгая процедура. Поэтому многие устанавливают ОС, антивирус и другое ПО, а затем создают эталонный образ раздела. Windows свойственно ломаться, и в таком случае вы просто и быстро разворачиваете данный образ. Кстати, обратите внимание, что все это делается с помощью инструментов Symantec.

Давайте вернемся к началу нашей беседы. Все же что собой представляет технологическая разведка?

Мы постоянно общаемся с нашими производственными подразделениями, их ведущими менеджерами, чтобы выяснить их внутренние цели и задачи. Таким образом мы узнаем об их потребностях в каких-то новых технологиях или решениях. Всегда стоит дилемма, разрабатывать ли что-то самим или попытаться купить готовое. В конечном итоге решение принимается руководителями подразделений, но для этого им необходимо сделать анализ рынка и подготовить какие-то рекомендации. Так, мы исследовали сегменты Endpoint Management и обеспечения соответствия регуляторным требованиям (Compliance Management), когда почувствовали, что они становятся важными и приоритетными. Результатом была сравнительная характеристика нескольких профильных компаний, которые можно было отнести к категории «потенциальных лидеров» – т. е. сейчас они еще не являются лидерами, но у них стабильное положение, перспективные технологии, достаточная клиентская база, и во всяком случае у всех у них есть четкое понимание того, чего и как они хотят добиться. Всякие дискуссии, консультации, дополнительные исследования длятся около полугода (конечно, несколько таких процессов по разным направлениям могут происходить параллельно), продукты наиболее приглянувшихся компаний мы тестируем в своих лабораториях и т. д. Одновременно наши адвокаты уточняют патентные и лицензионные вопросы, это также очень важно.

А какие направления в IT-индустрии сегодня перспективны с точки зрения Symantec? Может быть, у вас на примете есть еще какие-то подающие надежду стартапы?

Конечно, попытка доминировать в одной конкретной области может принести некоторый успех, но вообще это примерно то же самое, что инвестировать все деньги в один стартап. То есть в таком случае риск слишком велик, и, конечно, лучше иметь диверсифицированный портфель. Именно такова бизнес-модель у Symantec, что подтверждает и история наших приобретений. В большинстве случаев это были развивающиеся фирмы с валовым доходом 30–60 млн долл. в год, чья клиентская база удвоилась за последние 2–3 года. Учитывая, что интересы Symantec весьма разнообразны, кому-то из 17 тыс. наших сотрудников может приглянуться практически любая сервисная или продуктовая IT-компания.

Что касается конкретных технологий, то я бы особо отметил SaaS, а вернее ряд аспектов, недостаточная проработка которых пока мешает данной модели развернуться в полную силу. В первую очередь это Identity Management (IM). Представить себе проблему очень просто. Вы оплачиваете кредиткой чашку кофе, а кассир одновременно узнает ваше имя, адрес. Лично мне даже это кажется чрезмерным, тем более что я ведь плачу! В Интернете же подобные проблемы усугубляются многократно, и проблема хищения регистрационной или персональной информации стоит очень остро. Прорывом в IM будет решение, которое позволит дозировать такую информацию. То есть сайт будет получать не полный ваш профиль, а лишь действительно необходимый ему фрагмент или даже единичный факт, а подлинность будет подтверждаться какой-то уполномоченной доверенной организацией – государственной, VeriSign или какой-то еще. В результате кардинально сократится «поверхность для атак», задействуемая сегодня для хищения персональной информации. Неслучайно в этой области сейчас работают и Microsoft, и IBM, и, конечно же, Symantec.

C этой темой тесно связаны и другие аспекты – унификация регистрации в различных системах, обеспечение между последними федеративных отношений, организация так называемого Single Sign-On. Представьте, что маленькая компания подписалась на ряд SaaS-сервисов – банковский, бухгалтерский, налоговый, страховой. Значит, для каждого нового сотрудника нужно создавать множество разных учетных записей, и это порождает очевидную проблему, поскольку определенными правами и обязанностями мы наделяем реального человека, а не десяток его «виртуальных сущностей».

Но ведь были же попытки решить проблему Single Sign-On? Со стороны той же Microsoft...

Собственно, Microsoft Passport и потерпел неудачу именно из-за того, о чем мы сейчас с вами говорим. Они не смогли обеспечить федеративных отношений с иными системами и дозированной выдачи персональной информации, т. е. любому сайту, где требуется регистрация, доступен весь мой профиль. Но одно дело, если это – Microsoft или любая иная IT-компания, и совсем другое – какой-нибудь интернет-магазин. В последнем случае мои данные подвергаются значительному риску, могут быть утеряны, украдены. У них может просто не быть надлежащей системы безопасности.

Однако большинство подобных проблем сойдут на нет сами собой, как только будут обеспечены федеративные взаимоотношения регистрационных сервисов. Возможно, в основу такого решения ляжет Secure XML, или Liberty, или OpenID, или Higgins, а «транспортом» будет, скажем, InfoCard или что-то другое. С последним аспектом, кстати, пока совсем не ясно, и мы сами не собираемся заниматься вопросами транспорта, но у нас, несомненно, будет клиентское решение.