Queria - eles conseguiram. Alexey Drozd (também conhecido como @Labyrinth ) conversou com Lev Matveev, um engenheiro de software no passado, fundador e proprietário do SearchInform no presente. A conversa acabou sendo sobre como a indústria de TI nasceu no espaço pós-soviético, como os programadores de hoje diferem dos “de ontem”, sobre motivos de orgulho e lições do fracasso.
O texto é grande, mas não se deixe assustar. Para os tímidos, guie-se pelas manchetes.
Salário por tempo de máquina
Alexey: A conversa foi programada para coincidir com o 25º aniversário da empresa. Aí obviamente tudo era diferente (melhor ou pior - não sei). Mas cresceu uma geração que pensa que os seguranças costumavam lutar contra mamutes. E o pessoal de TI em 95 ainda usava lanças. Portanto, a questão é: quais eram os valores então em 95, a esfera de TI era considerada elite?
Leo: Sim. Para descrever como os programadores eram "celestiais", descreverei como trabalhamos. Eu vi o computador pela primeira vez no primeiro ano do instituto no 86º ano. Era um EC 1036 com um grande monitor verde.
Então, para trabalhar para ele, você tinha no máximo uma ou duas horas por semana. Tive sorte, fiz amizade com um dos assistentes do departamento, que liderava o nosso fluxo “Tecnologia da Computação”. E sob seu login todos os dias das 21h às 23h ele trabalhou adicionalmente. Em seguida, avaliamos o "tempo da máquina" no valor de seu peso em ouro.
Quando me formei no ensino médio em 1993, um computador custava cerca de 100 salários mensais de um desenvolvedor médio. Poucas pessoas entendiam por que os computadores e a programação eram necessários, a maioria dos professores sabia menos do que alguns alunos. Não havia livros de referência, não havia internet. Portanto, aqueles que "cavaram a terra com o nariz" tornaram-se bons programadores.
Conversamos no chamado. bibieskah. 64 kilobits era considerado uma velocidade muito alta. A discagem era terrivelmente cara.
Alexey: O que você escreveu então?
Um leão:Em pascal e assembler, escrevi meu próprio banco de dados. Ele dedicou muito tempo à velocidade, estava interessado em busca, algoritmos. Eu gostava de programar no nível algorítmico sistêmico, tirando tudo do ferro. Agora, provavelmente, muito poucas pessoas entenderão por que, por exemplo, contar medidas. Era importante então. Quantos ciclos de clock estão sendo carregados no registrador? Quanto custa o descarregamento? Quanto custa o comando add? Quanto custa o comando de multiplicação? Às vezes, é melhor fazer dois comandos plus em vez de uma multiplicação para melhorar o desempenho. Não houve otimização do compilador - tudo tinha que ser feito manualmente.
Alexey: Eu entendi corretamente que havia mais ênfase em algoritmos do que em uma interface bonita?
Um leão:Sim. Hoje, menos atenção é dada a isso, porque o ferro ficou bom, barato. No entanto, ainda hoje na empresa peço que foquem na otimização, porque o desenvolvimento anda em espiral, e o problema de desempenho se reencarna. Se antes havia a questão de como classificar uma matriz de cem milhões de registros em 16 megabytes de RAM condicionais, agora surge o mesmo problema, mas em ordens diferentes: como garantir que não cem trilhões, mas cem trilhões sejam classificados em um gigabyte de memória.
Aleksey: Ou seja, temos um leitmotiv escondido em nosso desenvolvimento: “galera, foquem em algoritmos”, porque a otimização é uma tendência eterna. Que não seja popular com as massas.
Um leão:Sim! E então, e agora - você sempre precisa otimizar o trabalho do software, não mude tudo para o hardware. Mas agora é problemático encontrar especialistas que façam essa otimização. Eles essencialmente não estão lá. Programar era uma arte na época, e cada segunda pessoa na profissão era um guru. Agora, isso é artesanato, o limite de entrada caiu significativamente e isso afeta seriamente a qualidade.
Alexey: Não acho que seja tão simples. Como você notou, o desenvolvimento segue em espiral. Os mesmos gurus permaneceram, mas agora estão trabalhando em um nível diferente, o nível de seus próprios bancos de dados de Yandex, Facebook ou Google ...
Lev:Sim, essas pessoas ficaram, mas o principal foi embora. Em 92-93, tínhamos nosso próprio círculo social, canais Fido, onde os profissionais se sentavam. Como éramos poucos, todos nos conhecíamos, mesmo que não visualmente, não pessoalmente, mas por Bibies, por Bibies confes.
Aleksey: Eu entendi corretamente que os bibieski são uma espécie de "quadro", quadro de avisos? Você faz o download, adiciona sua pergunta e faz o download de volta.
Leo: Na verdade, não. Bibieska é um computador com um ou vários modems, possui um software especial. É essencialmente um servidor que possui uma estrutura de diretório. Ele transfere tudo para o seu computador, você vê e depois baixa novamente.
Na verdade, trata-se de um protótipo de chat, mas a resposta demorou muito, pois você se conectou ao bibiesco por 15 a 20 minutos - era caro usar a Internet (principalmente para um estudante), era impossível ocupar uma linha telefônica em um apartamento por muito tempo. Você precisa de conselhos sobre o trabalho - você grita: "Gente, perguntem aos seus conhecidos, talvez alguém como eu esteja lutando pelo mesmo problema ..." Deixe um recado e torça para que a pessoa de quem você precisa responda em um ou dois dias.
Havia bibieski, que foram incluídos em uma programação. Por exemplo, das 19h às 21h, porque o dono só podia apoiá-los neste horário. Eles eram entusiastas. Era possível organizar a troca de informações entre vários bibies, e era uma espécie de análogo da Internet. Quando no meu primeiro negócio mantivemos uma bibiesca em quatro linhas multicanais trabalhando 24 horas por dia, foi um serviço muito legal para nossos clientes.
Não havia "aichi" ou "ibe"
Alexei: Acontece que as realidades do início dos anos 90 são as seguintes: você tem um campo não pavimentado em TI - pesquise o que quiser, desenvolva o que quiser. A coceira de pesquisa empurra você ...
Leo: Não existia esse nome "TI" em tudo! Provavelmente apareceu na segunda metade dos anos 90, já no final dos anos 90 - início dos anos 2000. Não havia chefe de TI, não havia divisão em administrador de sistema e programador. Apareceu mais tarde.
Qualquer programador, por definição, era um administrador de sistema competente que pode configurar tudo, estabelecer uma rede local para 10 megabits. Agora, 80 por cento dos programadores não sabem dobrar o cabo ...
Alexey:Isso já é uma especialização. Isso é diferente. Mas ainda assim - aqui está você organizando seu primeiro negócio, era um produto que digitalizava regulamentações, leis, pedidos?
Leo: Sim. E forneceu uma busca por esses documentos. Agora é uma prática comum que qualquer sistema tenha uma pesquisa de frase, morfologia. Naquela época, as soluções competitivas tinham apenas buscas baseadas em palavras. Ou seja, nem pesquisa frasal, nem pelo menos algum tipo de prenúncio de "pesquisa semelhante" (esta é a nossa tecnologia que busca documentos semelhantes a uma consulta não só tecnicamente, mas também no significado).
Os programas competitivos eram caros e ineficazes. Eles eram usados apenas por grandes empresas que estavam prontas para designar uma pessoa para procurar documentos por várias horas. Para um empresário comum com uma equipe de 20 pessoas que precisa obter uma resposta a uma pergunta em 5 a 10 minutos, isso, obviamente, não é bom.
Portanto, nosso mecanismo de busca impressionou o mercado. Nosso principal concorrente na época, a empresa Register, tinha 150 clientes, e o mercado todo estava estimado em 300. Minha estimativa era completamente diferente - 1000-2000 clientes. E então, logo no primeiro ano de operação, atingimos 500 clientes, levando também metade dos clientes do Cadastro.
Alexey:Quando surgiu a ideia de segurança da informação pela primeira vez? Acho que no início dos anos 90, as pessoas que ficavam online não pensavam muito sobre as questões de segurança.
Leo: Nos anos 90, não havia segurança da informação propriamente dita. O que então se entende por segurança? Como lutar contra bandidos e policiais. O conceito de segurança da informação nasceu em 2005. Nessa época, eu tinha vários projetos sob minha responsabilidade, lançamos as chamadas "calças de harém" (programas shareware). Mais tarde, eles venderam a pesquisa como um produto para as tarefas de diferentes negócios, como um mecanismo de pesquisa off-line corporativo, o Google local.
Era, relativamente falando, um delicioso pedaço de doce sem uma embalagem "decente". Portanto, o infobez se tornou esta embalagem para nós. Ao desenvolver o DLP, novamente não começamos a fazer algo semelhante ao que estava no mercado. Se você oferece outra bicicleta que pode atingir velocidades não de 25, mas de 30 km / h, então isso é legal, claro, mas fundamentalmente não resolve os problemas de uma pessoa que precisa viajar 100 km por dia rapidamente. Ele vai precisar de um carro.
Todos os participantes do mercado trabalharam então de acordo com os princípios da polícia secreta czarista - o principal era interceptar. Uma enorme lata de lixo de alertas foi formada. O que fazer com isso? Visualize apenas manualmente.
Acreditamos que o principal para a segurança da informação é a busca por informações e análises, e isso facilitou a vida dos usuários, pois não é necessário visualizar toda a interceptação, mas condicionalmente, apenas 1%.
Alexey:Acontece que você resolveu o problema de uma maneira radicalmente nova?
Leo: Sim. O que mais sempre se apostou é a otimização em duas direções: para que o DLP seja pouco exigente para os equipamentos e que a velocidade de pesquisa seja alta. Isso é fundamental, porque se você precisar iniciar uma busca uma vez por dia, espere um ou três minutos - pode não ser assustador. E se você precisar fazer 50 solicitações por dia, os minutos somarão 2 a 3 horas. Agora, o motor é 2-3 vezes mais rápido do que no início.
Alexey: Por que você se concentrou na segurança da informação no contexto da proteção contra informações privilegiadas? Porque seria estúpido fazer outro antivírus?
Um leão:Acho que avaliei com o tempo que há um problema de vazamento de dados na segurança da informação. Era o início dos anos 2000, os computadores entraram na vida cotidiana, as informações começaram gradualmente a passar do papel para a forma eletrônica.
Alexey: Não éramos pioneiros, fomos?
Lev: Quando entramos nesse mercado em 2005, havia um caos. Sei com certeza que um dos concorrentes levou 6 mil dólares pela versão de teste. Agora diga a alguém: pague pelo julgamento - eles serão confundidos com um idiota.
O marketing foi construído com base no fato de que DLP é difícil, que a implementação leva pelo menos seis meses, que deveria haver linguistas especiais para configurá-lo. Ou seja, para colocar um sistema de segurança é preciso envolver especialistas do instituto de pesquisa e custa como uma nave espacial. Apenas as empresas mais ricas compraram isso. E fizemos um produto em caixa: instalamos, lançamos, você pode trabalhar.
Aleksey: Eu vi um dos primeiros folhetos publicitários do KIB. Ele continha informações apenas sobre 4 controladores (então ainda farejadores). Como você decidiu com quais canais trabalhar em primeiro lugar? Sua prevalência ou facilidade de interceptação?
Um leão:Crie com base no que os clientes desejam, o que lhes dá a maior dor de cabeça. Você precisa entender quem trabalhou conosco por parte dos clientes. São pessoas dos "órgãos", pessoas de uniforme, que, de fato, formaram a esfera da segurança da informação na Rússia. Eles compreenderam inicialmente que os incidentes internos, e não os hackers, poderiam causar os maiores danos. Esses especialistas sabem como pensam os criminosos e funcionários inescrupulosos, entendem o valor da informação e têm requisitos de produto muito rígidos. Então, eles nos jogaram tarefas que eram insolúveis na opinião dos especialistas em segurança da informação e demos a eles ferramentas.
No início, o DLP interceptava apenas "sabão", documentos enviados para impressão - um canal crítico, porque então a Internet ainda não era altamente desenvolvida. Ainda não havia pen drives, então o DeviceController veio depois. A funcionalidade do programa evoluiu, a pesquisa de texto completo adquiriu a capacidade de pesquisar por expressões regulares, encontrar desenhos, etc. Mas vimos que outras funções eram necessárias: precisamos de um gráfico de relacionamento, precisamos de cartões de cliente, precisamos de um protótipo de nosso ProgramController.
Aliás, lá fora a indústria se formou de uma forma completamente diferente, lá os administradores de TI estão mais envolvidos com segurança da informação. Portanto, DLP doméstico não é o mesmo que no exterior. Lá está um programa com recursos modestos. Tivemos até que mudar o posicionamento no oeste para que não houvesse viés.
Alexey:Já que estamos falando de países estrangeiros. No mesmo livreto, que eu já lembrava, um número de telefone americano era indicado na seção de contatos. Estava na moda ter um escritório na América?
Leo: Honestamente, não me lembro. Nunca houve um escritório de representação nos Estados Unidos, mas provavelmente eles pegaram algum número. Nós pensamos que agora iríamos para o mundo inteiro. E graças a Deus eles não fizeram isso. Tendo entrado no mercado de segurança da informação, vimos que ele é imenso também na Rússia. Tomei a decisão de não correr para o exterior ainda. Foi a decisão certa se tornar o nº 1 em casa.
Fomos para o oeste há apenas três anos. O principal é a primeira impressão, não dá para comprar com dinheiro, o produto é a pedra angular. Foi necessário aprimorar nosso software, pois no setor corporativo você pode trabalhar em cem PCs, mas não é fato que você implantará para 500. Agora temos uma implantação máxima de 70 mil estações em uma empresa. Mas chegamos a esse resultado, como dizem, passo a passo. Muitos de nossos concorrentes não aprendem com essas histórias. Para eles, quando implementado em 100-200 PCs, tudo funciona, mas eles colocaram em 5 mil - e tudo cai. Incluindo reputação. Mas este não é o nosso caminho.
Acho que é justamente por causa dessa nossa abordagem que agora no exterior estamos causando o efeito uau. E se lançássemos um produto que tínhamos há 5-6 anos, provavelmente, essa reação não teria acontecido, teríamos desperdiçado dinheiro em promoção.
Onde escorregou
Aleksey: É sempre mais agradável lembrar vitórias, tecnologias que dispararam e falhas que não costumam ser anunciadas. Mas não posso acreditar que tudo foi perfeito durante o desenvolvimento. Talvez haja exemplos do que não decolou?
Leo: A maior falha é o TimeInformer como um produto autônomo. Gastamos cerca de 15 milhões em desenvolvimento, contratamos 60 vendedores, que funcionaram durante seis meses. Atividade desenvolvida, recursos gastos de programadores.
O programa acabou sendo tecnicamente forte, mas não tem um grande mercado para ele. Nós o vendemos para clientes interessados, mas ao mesmo tempo entendemos que a transição para DLP é inevitável. Se o cliente vier a ter a ideia de controlar, ele não se limitará apenas a monitorar a jornada de trabalho. O problema de segurança de dados surgirá de qualquer maneira.
Alexey:Houve alguma falha não no marketing, mas na tecnologia?
Leo: Não houve falhas diretas e travamentos. Nem todas as tecnologias são implementadas com igual sucesso, mas trazem cada vez mais benefícios. Por exemplo, FTPController não é um produto de fundo de poço, é menos importante para clientes do que MailController. Mas isso não significa que ele não precisava ser desenvolvido, eles apenas começaram a trabalhar nele mais tarde. É como na produção de petróleo - primeiro você extrai da superfície e depois perfura um poço. Claro, é bom lembrar de 2007, quando interceptamos o Skype “não interceptado”, mas quando o produto estiver maduro, cada novo recurso não causará o mesmo efeito explosivo.
Alexey:Você também pode dizer que tudo tem seu tempo. Se os neurônios há cinco anos estavam apenas no nível do conceito, agora estamos até olhando para eles, porque eles pararam de comer recursos como esse.
Lev: Se falamos sobre erros, lembro-me de como eles começaram a escrever no Angular há 3 anos. Como resultado, nos deparamos com uma série de inconvenientes: um alto limite de entrada, um sistema complexo de módulos, de versão para versão eles quebram a API. Agora mudou para Vue.
Outra história - há 4 anos eles começaram a fazer um ORM autoescrito para processar mensagens do servidor de filas - como resultado, eles pararam o desenvolvimento, porque vi que só obtemos uma desaceleração na velocidade de desenvolvimento e no desempenho do software.
Tentamos usar a base do Cassandra em vez do MSSQL (sem uma mudança radical na arquitetura). Passamos seis meses, mas em testes descobrimos que há uma degradação terrível do trabalho com um aumento no número de storages (keyspace), que não está em MSSQL.
Houve várias integrações com produtos de terceiros, que mais tarde se revelaram inoperantes ou a manutenção e o suporte adicionais se tornaram um inferno. Sofremos com eles por alguns anos e nos recusamos a cooperar. Ao mesmo tempo, noto que estamos perfeitamente integrados com alguns produtos e que trabalhamos com sucesso há muito tempo.
Mas eu trato esses erros filosoficamente - esta é uma experiência, uma compreensão de para onde ir e para onde não ir.
Onde está o dinheiro
Alexey: Onde você procurava dinheiro para seus projetos então? Atraído de investidores?
Lev: Eu pedi emprestado para meu primeiro negócio, porque não havia dinheiro nenhum e tive que pagar salários de mercado a 5-6 desenvolvedores. Então eram 20 mil dólares.
E no SearchInform não íamos atrair dinheiro, nós nos desenvolvemos. Sem um grande lucro, mas superou doenças infantis, não se esforçou para saber de que dinheiro pagar o salário. Acontece que uma empresa séria do setor financeiro de São Petersburgo veio até nós, escreveu que seria interessante investir em nós. Isso foi em junho de 1998. Eu decidi por que não ir.
Iniciamos as negociações, o gestor de investimentos era bastante competente. Ele diz que vemos que você é uma empresa promissora, mas está mexendo no sandbox, precisa abrir escritórios em diferentes regiões. Eu respondi, dizem, planejamos levantar dinheiro nos próximos seis meses e abrir um escritório em São Petersburgo. Eles: o que esperar? Aqui está o dinheiro e pronto! A quantidade e as condições deveriam ser confortáveis.
Estávamos salivando que abriríamos um escritório aqui e ali, alugaríamos um call center, enviaríamos dinheiro para publicidade, para uma série de conferências itinerantes. Tudo estava planejado, vim a São Petersburgo para as negociações finais - era a mesma "Terça Negra" de agosto de 1998. Eles dizem: "Desculpe, somos todos."
Foi um golpe. Mas o pensamento de desenvolvimento já se enraizou. E decidimos que precisamos de investimentos para atingir um novo patamar. Na conferência ISDEF em outubro, conheci Maxim Shekhovtsov, Diretor Executivo da Alliance ROSNO Asset Management, e começamos a conversar sobre investimentos. Em dezembro, eles apertaram as mãos.
Aleksey: Quão diferentes eram as condições antes da Black Tuesday?
Um leão:Sim, claro, porque depois não havia dinheiro no mercado. Naquela época, a Alliance ROSNO tinha 42 milhões de rublos restantes, que poderiam investir em nós. Essas não eram as melhores condições, mas a infusão foi benéfica para a empresa. Após 4 anos, o administrador do fundo mudou e compramos a ação - por mais dinheiro do que esperávamos. Mas nos negócios, você tem que argumentar e xingar em terra e depois seguir os acordos, mesmo que eles já não sejam lucrativos para você. Trabalhamos frutuosamente e nos separamos como amigos.
Sou cauteloso quanto a investimentos. São muitas as histórias de empresas que entram em um determinado mercado, investem vários milhões e vão embora. A tática “vamos encher tudo de dinheiro e fazer mais uma rodada de investimentos para encher de novo não funciona. Um exemplo óbvio é o colapso das bolhas ponto-com.
O mundo está ficando um pouco louco. Quando empresas não lucrativas valem bilhões ou centenas de milhões de dólares, não entendo.
Alexey: Talvez os investidores queiram apenas estourar uma bolha para ter a deles de volta?
Leo: Provavelmente. Mas, quanto a mim, você não pode pedir emprestado a Vasya para dar os juros a Petya. Você não pode viver constantemente em dívida com o dinheiro de outras pessoas, isso não é um negócio.
Presente, ou Como não perder uma boa crise
Alexey: Agora dizem que depois da pandemia o mundo nunca mais será o mesmo. Do ponto de vista da segurança da informação, há uma previsão, o que vai acontecer? Churchill disse: você nunca deve perder uma boa crise. Essa crise será boa do ponto de vista da segurança da informação?
Leo: Definitivamente bom.
Alexey: Como isso vai se manifestar?
Leo: As pessoas mudaram para um local remoto, alguns deles permanecerão lá para sempre. Tem boas e más. Vamos nos comunicar com Alice com mais frequência e, provavelmente, esqueceremos como falar um com o outro. Mas também economizaremos tempo na estrada e dormiremos melhor. Como proprietário e gerente, vejo mais coisas ruins no trabalho remoto, mas acho que as empresas usarão esse formato com sabedoria e combinarão as práticas.
Como representante da comunidade de segurança cibernética, fico feliz que as empresas tenham começado a entender que em um local remoto é necessário controlar o movimento das informações e a disciplina é mais rigorosa. Vimos um aumento no número de tentativas do módulo de controle de tempo de trabalho, houve uma onda de solicitações de políticas de segurança para controle remoto, tivemos até que criar uma lista de verificação para clientes com recomendações para mudar para um formato remoto - o que verificar e configurar primeiro. Observamos um grande interesse em nosso centro de aprendizagem online. Isso é significativo.
Alexey:A maneira como as empresas passam a entender que a segurança da informação é importante pode provavelmente ser comparada a como uma pessoa que mudou de residência para uma cidade muda de hábitos. Na aldeia, é normal fechar a porta com o trinco. O bloqueio é usado apenas como último recurso. Na cidade, deixar para trancar as portas é semelhante a um axioma.
Léo: De alguma forma as pessoas não têm dúvidas de que precisam trancar a porta do apartamento, embora queiram comprar um lindo banquete no corredor. Mas se você comprar um banquete em vez de um castelo, há uma chance de que não haja nem ela nem metade do apartamento. Portanto, é necessário investir no castelo, e depois na mobília. Qualquer empresa com mais de 50 PCs precisa de segurança da informação. Mas não exagere. Produtos complexos de segurança da informação não são necessários em uma empresa com apenas 10 funcionários.
Alexey:Bem, para concluir, devo perguntar. Você está no mercado há tantos anos, alguns já estão saindo da gestão ou até vendendo a empresa para se dedicar a outras atividades. Você parece uma pessoa que não se cansa dos negócios. Qual é o principal fator para você nos negócios?
Leo: Resumindo - duas coisas - pessoas e direção.
Um pouco mais: pessoas interessadas em fazer o mesmo que eu. Que vão trabalhar não porque precisam, mas porque é interessante resolver problemas complexos, discutir e alcançar resultados.
Os negócios também me abriram a oportunidade de me comunicar em um círculo de pessoas muito interessantes - os empresários, em sua maioria, são personalidades fortes, com quem se aprende muito. Nisto eu encontro impulso. Em geral, eu não poderia estar envolvido, por exemplo, no comércio - isso não é meu. TI é uma área que me dá energia.