Как запустить стартап по обучению ИБ без опыта в IT
6 мин
218
9
«IT — это не моё»: запустили стартап в информационной безопасности
Как-то на конференции мы обсуждали с коллегами в широком кругу, что в информационную безопасность мало кто приходил целенаправленно, большая часть людей оказалась в сфере случайно — «знакомый позвал». Так случилось со мной и вторым сооснователем Secure-T Сергеем Шаховым.
Я окончил высшую школу бизнеса МГУ и хотел развиваться в девелопменте. Но этот бизнес требует больших вложений на старте, так что я отказался от этой идеи и пошёл в IT. Два месяца проработал в компании Useinsider и пробовал начать стартап по Data Science — конечно же, неудачный. После чего я решил, что IT — это не моё, и мечтал о новом бизнесе.
Мой друг Сергей по образованию физик, но четыре года работал безопасником, его знакомые позвали так: «Ты же этот, айтишник», а он такой: «Я — физик…» «Ну разберёшься!» К 2019 году он, так же как и я, мечтал о собственном проекте.
Однажды, сидя в кофейне, мы решили, что хотим запустить какой-то общий стартап. Поговорили — и забыли об этом на два месяца. Но потом один случай всё изменил, и мы поняли, что в кибербезе есть незакрытые темы.
В это время Сергей преподавал математику сыну нашего будущего инвестора — владельцу крупной финансовой организации. В их компании случился инцидент: злоумышленники через вирусное вложение получили доступ к системе и попытались перевести миллиард себе на счёт. Спасло ситуацию только то, что банк поставил транзакцию в стоп-лист как подозрительную и сообщил руководителю. Злоумышленников сгубила банальная жадность — если бы перевели миллионов 30, никто бы в банке не обратил внимания.
Инцидент заставил руководство компании задуматься об информационной безопасности. Тут-то мы и поняли, что это наш шанс — надо делать стартап в сфере ИБ!
Будущий инвестор заинтересовался идеей и попросил составить бизнес-план и финансовую модель. Мы всё посчитали и решили, что нам нужно 11 миллионов на создание бизнеса. Тогда казалось, что это огромные деньги и их хватит за глаза, но в реальности мы просчитались и выживали как могли. Иногда денег хватало только на еду — и то по акциям в магазине. Ну ладно, может, не так трагично, но всё было плохо, экономили в первую очередь на себе.
«Сейчас я бы на такое не решился»: с чего начинался проект Secure-T
Мы с Сергеем могли не мучиться, уйти в любой момент работать в наём и получать в 2–3 раза больше. Но мы продолжали делать свой проект, веря в то, что у нас всё получится. Сейчас я бы на такое, наверное, не решился.
Сначала мы хотели стать сервисной компанией, то есть продавать услуги, а не продукт. Заключили первый договор на 150 000 рублей, а работы выполнили на все 10 миллионов. В общем, быстро поняли, что это не для нас. Но деньги у инвестора мы уже взяли — нужно было что-то придумать.
Сергей по опыту знал, что в сфере кибербезопасности основная проблема — человеческий фактор. Он предложил сделать обучалку по ИБ для сотрудников компаний, чтобы те реже совершали ошибки и становились жертвами злоумышленников.
Я тогда посчитал, что это глупая идея, но других не было, так что мы стали изучать Security Awareness. Представляете, оказалось, что есть целый класс таких решений, которые на тот момент были не очень популярны в РФ. Выяснилось, что SA в России занимается всего три компании. Мы посмотрели на их предложения и поняли, что точно можем лучше.
Поначалу мы экономили на всём, а то, что зарабатывали, сразу же вкладывали в развитие компании. Арендовали маленький офис на шестом этаже без лифта, купили б/у столы на распродаже и сами поднимали их на шестой этаж, потому что платить 2000 рублей грузчикам было роскошью. К слову, поднимать столы было сложно — больше мы на грузчиках не экономили.
Мы работали очень много, часто засиживались до шести утра. Пили так много энергетиков, что к Новому году построили ёлку из банок. Сейчас мы перешли на более здоровые напитки, но традиция осталась — каждому новому сотруднику дарим ящик энергетика. А столы эти, кстати, до сих пор стоят у нас в офисе.
«Делать стартап можно только вопреки»: громкие факапы из истории Secure-T
Кроме плотного графика и постоянного стресса, мы постоянно совершали ошибки, на которых правда учились. К примеру, один из клиентов решил обучить 150 000 сотрудников компании за месяц, хотя сайзинг у него было на 10 000, и наша платформа не выдержала такой нагрузки. По великой русской традиции разработчик виноват, что поделать.
Случались и громкие в прямом смысле истории, потому что кричали на меня заказчики изо всех сил:
«Неудачное тестирование». Этот случай произошёл, когда мы выпустили первую версию нашего продукта и договорились с одним промышленным предприятием о тестовом запуске. По задумке мы должны были отправить 30 приглашений в нашу систему сотрудникам IT-отдела. Но небольшая ошибка в строчке кода привела к тому, что приглашения отправлялись всем 12 000 сотрудникам. Каждые пять секунд. Включая руководство.
За 10 минут, что ушло на починку, мы заспамили всю компанию тысячами сообщений, а я выслушал всё, что обо мне думает начальник службы безопасности, генерал в отставке. История со счастливым концом: нам простили ошибку, но у всех пятерых сотрудников Secure-T прибавилось седых волос.
«Первый „нормальный“ отпуск». На тот момент Secure-T работала уже третий год. Я решился наконец-таки отдохнуть и улетел в Таиланд. Наши айтишники, число которых уже достигло пяти боевых единиц, в этот момент устанавливали ПО в одной очень уважаемой компании. Правда, делали это в толстовках с аниме. Серьёзные люди в костюмах не одобрили отсутствия формального дресс-кода, но это была меньшая из проблем.
На следующий день у компании произошло ложное срабатывание антивируса. Программа показала, что вместо ПО по информационной безопасности мы загружаем в систему троян. Это было не так, но разбираться никто не стал. В час ночи по тайскому времени, в первый день моего отпуска, по телефону мне высказали всё, что о нас думают, и посоветовали не возвращаться больше никогда в Россию.
К третьему году стрессоустойчивость у нас уже была феноменальной, поэтому мы отреагировали достаточно спокойно и объяснили, что это ложное срабатывание и мы гарантируем безопасность нашим «лицом». В целом, как вы можете заметить, лицо до сих пор целое, а значит, мы выполнили свои обязательства ;)
Таких историй ещё очень много. Однажды я влез в драку с «Соларом» за крупный контракт. К сожалению, не могу рассказывать подробности, но это было так громко, что о нас услышали на самом верху в «Соларе» и предложили сделку.
«О „Соларе“ и мечтать боялся», а он пришёл и купил долю в Secure-T
Мы появились на рынке позже остальных игроков и столкнулись с двумя проблемами, которые сильно мешали нам расти:
- «Работает — не трожь». Если у компании уже есть устоявшиеся отношения с вендором, то руководство не хочет ничего менять. Даже если у нового поставщика более современное и дешёвое решение.
- Половина рынка — госкорпорации. Рынок достаточно сильно политизирован и зарегулирован. Во многих крупных компаниях есть внутренние интеграторы, согласованные списки «правильных вендоров», ну и так далее. Именно поэтому иногда у стартапов бывают проблемы с получением аудиенции, чтобы доказать целесообразность своего решения.
В поисках партнёров я стучался во многие крупные компании, но в «Солар» даже не пытался. Думал, что там всё слишком бюрократизированно. Но в итоге мне позвонили из компании сами, пригласили на встречу. Оказалось, что «Солар» объявили о крупном плане по инвестициям в активы, чтобы развивать продуктовое направление, и готовы рассматривать разных вендоров.
Надо сказать, что до сделки с «Соларом» мы уже были состоявшейся компанией, хоть и небольшой. На тот момент у нас было около 60 действующих заказчиков, включая «Иви», «Додо Пиццу», «Уралхим» и «Абсолют Банк». Но за первый год работы с «Соларом» мы сильно выросли, подключили Ozon, Купер, Lamoda и Алроса.
Сотрудничество с «Соларом» открыло перед нами доступ к топ-50 российских компаний. Главное, что нам дали возможность быть услышанными, а теперь всё зависит от нас.
До встречи!
