M.E.Doc. является самой популярной программой бухгалтерской отчетности в Украине. В свое время она произвела революцию на рынке, зайдя с новаторской идеей электронного документооборота. Из-за своей популярности продукт стал жертвой взлома в июне 2017 года. Хакеры запустили через M.E.Doc. печально известный вирус Petya , который "положил на лопатки" тысячи компьютеров в Украине.
"Обозреватель" побеседовал с основателем "Медок" Олесей Линник о новых проектах и "геноциде" украинских производителей ПО, о том, как компания оправилась после взлома злоумышленников, почему расследование о столь масштабной кибератаке топчется на месте вот уже полгода и о многом другом.
- Вы же были первопроходцем на рынке программ бухгалтерской отчетности в стране. Трудно было выходить на украинский рынок?
- Любое начинание – это не просто. Особенно, когда идея новаторская, и аналогов на рынке нет. Это всегда риск. Угадал или нет? Получится ли? Будет ли принята рынком? На момент нашего старта подать отчет в электронном виде без посещения налоговой было просто фантастикой. 17-20 лет назад интернет еще не был так распространен. Тогда мир пользовался факсами, пейджерами и только начинал применять электронную почту. Поэтому электронная сдача начиналась с подачи на дискетке. Преимуществом было то, что с дискетой сдать отчет можно было без очереди! Так мы создали быстрый способ подачи налоговой отчетности.
Фото из личного архива
С развитием технологий удалось перейти с дискетки на флешку, с флешки на электронную почту, с электронной почты на прямое соединение с налоговой. Конечно, с момента появления нашего продукта начали появляться и конкуренты, которые предлагали аналогичные функции в своих программах.
- Какую часть рынка вы на данный момент занимаете?
- Основную долю рынка, потому что начали давно и были первыми. Нет какого-то секрета в том, как мы победили в конкурентной борьбе. Выиграла наша идея, и "Медок", по сути, создал рынок электронной отчетности. А мы 17 лет работаем над усовершенствованием наших решений.
- Но конкурентная борьба, судя по всему, ожесточенная. Помню, вы связывали летний взлом и атаку Petya с заказом конкурентов с целью рейдерского захвата. Все еще так считаете?
- От своих слов не отказываюсь. Понимаете, есть ряд фактов, которые об этом свидетельствуют.
- Например?
- Например, поведение конкурентов после взлома подтверждает, что они были готовы к этой ситуации, у них был определенный план действий, пиар-стратегия, которая стартовала прямо во время атаки.
- Как минимум на разных сайтах стали массово появляться подборки альтернатив M.E.Doc…
- Да. Хотя напомню, что нашу программу взломали для осуществления кибератаки. Ломали сложно, дорогостояще, долго. Больше шести месяцев. Мы пострадавшая сторона. И по идее, информационный посыл должен был быть такой: взломали популярный продукт, ему нужна помощь. Но нет, посыл был следующим: "Медок" якобы организовал атаку на своих же пользователей. 20 лет работали и вот решили подложить такую свинью. Где логика?
Фото из личного архива
- Ну, логика конкурентов понятна. А вот почему киберполиция изначально подозревала вашу компанию, хотя вы сразу же написали заявление о взломе?
- Ну, киберполиция нам на этот вопрос до сих пор не ответила. Уже на следующий день после атаки мы предоставили правоохранителям доступ ко всем нашим серверам, данным и специалистам. Мы, как никто другой, были заинтересованы в скорейшем проведении расследования. Но заявление о том, что нас взломали, до сих пор не расследовано, вообще никакой реакции на него нет.
- Полгода же прошло.
- Именно. Их главная задача – защищать страну от хакерских угроз. Поэтому, мне кажется, можно было найти время заняться столь масштабной кибератакой, чтобы в будущем ни с кем подобного не произошло. Но вместо этого киберполиция потратила время на расследование абсолютно бредовой версии нашей причастности – с изъятием абсолютно всей техники и полной блокировкой работы компании. Что еще больше "помогло" нашим пользователям.
- А вы вообще оправились после взлома?
- Работу и сервисы возобновили с нуля. Нам пришлось полностью перестроить организацию работы, внешнюю и внутреннюю систему безопасности, чтобы предупредить возможность нового взлома.
- То есть вы устранили уязвимость, которой воспользовались хакеры?
- Понимаете, не все уязвимости, которыми воспользовались хакеры, были в наших системах. Над расследованием этой атаки по-хорошему еще нужно много работать. Кстати, внутреннее расследование у нас провела компания CiscoTalos. И представляете, им не понадобилось у нас ничего изымать. Просто они провели у нас в офисе три дня. И только благодаря им Украина и мы хотя бы поняли, как проходила атака, какие системы для этого взломали.
- Кстати, не совсем понятно, почему нет никаких претензий к разработчикам антивирусных программ? Защита данных – это их задача, а не бухгалтерских программ.
- Именно. Мне это тоже кажется странным. Опять же, проведена огромная пиар-работа по перенаправлению удара. По большому счету, наши продукты не отвечают за защиту компьютеров от взломов и атак. На всех устройствах, где была установлена наша программа, стоял и какой-то антивирус. Вопрос: почему ни один антивирус не сработал? Почему не выполнил свои функции? Ведь защита от вирусов – основная функция антивирусных программ. Но нет, некоторым было выгоднее обвинять программу бухгалтерской отчетности в том, что пострадали компьютеры.
Фото из личного архива
- Кроме того, кибербезопасность – важная часть национальной безопасности. То есть в теории государство должно как минимум помогать компаниям защищаться от атак. А что на деле?
- Честно, пока ничего. В Украине достаточно структур, которые отвечают за кибербезопасность. Это и департамент кибербезопасности СБУ, и киберполиция, и Госспецсвязь. Но думаете, после взлома кто-то из них сделал что-то для защиты страны от киберугроз? Все побегали, повыступали на форумах. Приняли какой-то закон, который касается только госорганов и то не всех. А что делать коммерческим структурам – вопрос открытый.
Помимо M.E.Doc., есть много популярных программ, которые могут послужить "транспортом" для вирусов в случае взлома. Поэтому мы обратились во все перечисленные выше органы с просьбой выдать нам рекомендации: что мы должны сделать, чтобы обеспечить безопасность? Где стандарты и требования к защите? В ответ – непрофессиональное молчание… А мы с вами продолжаем жить в ситуации риска.
- Логика киберполиции, озвученная его главой: "Все рекомендации по уже выявленным вирусам выданы, но никто не знает, какие вирусы могут использовать в следующий раз". Согласно такой логике остается только спокойно сидеть и ждать очередной атаки?
- Ну да, проще же вообще ничего не делать, а когда произойдет очередная атака, заявить: вы плохо защищались. Это очень удобно. Только вот плохо относительно каких стандартов? Я не выполнила какие-то требования, рекомендации? Одно дело, когда есть четкие стандарты, которым можно соответствовать или нет. А когда критериев нет, то что бы ты не делал, на тебя можно повесить вину.
Фото из личного архива
Нельзя этот вопрос оставлять на усмотрение самих компаний. Мы как украинский разработчик софта выступаем за унифицированные требования.
- Это, конечно, хорошо, но нужна и централизованная защита от кибератак…
- И к сожалению, не вижу, что в этом направлении ведется работа. То, что я вижу: мы, налогоплательщики, содержим структуры, которые не выполняют свои функциональные обязанности. То есть в кибервойне государство нас защитить не может. Хочешь защиты – купи себе оружие и иди защищай себя и свою страну.
- Лично вы на данный момент гарантируете безопасность своим пользователям?
- Интересный вопрос. Давайте разберемся, а гарантирует ли хоть кто-нибудь хоть что-нибудь? Антивирусные системы не гарантируют защиты от вирусных атак, по крайней мере в своих договорах на свои продукты не дают стопроцентных гарантий и не берут на себя финансовой ответственности в случае взлома.
Системы и решения аппаратной и программно-аппаратной защиты – то же самое. Гарантий от взломов и кибератак не дают. То есть вы покупаете замок, сигнализацию, но гарантий, что вас это защитит, производители не дают. И это при том, что стоимость таких продуктов практически недоступна для малого и среднего бизнеса. СБУ, киберполиция и Госспецсвязь не гарантируют защиты государства и бизнеса от кибератак. Поэтому, думаю, вопрос о гарантированной защиты к разработчику бухгалтерских программ не по адресу. Мы гарантируем правильный расчет, например, заработной платы и его соответствие актуальному законодательству.
- А государство вообще как-то мотивирует, поощряет украинских разработчиков ПО? Или "проще/дешевле купить иностранный продукт, а рабочие места, налоги, нацбезопасность – дело вторичное"?
- Не то что не поощряет. По-моему, в стране геноцид украинских производителей.
- В чем это выражается?
- Если говорить о сфере IT, то я за всю жизнь не ощущала никакой поддержки. Наоборот – постоянные наезды, претензии, попытки рейдерских захватов.
- И раньше были попытки отжать бизнес?
- Да постоянно. Вроде бы простой, мирный бизнес. Я каждый раз удивляюсь, почему он кому-то нужен в том или ином виде.
- Видимо, потому что прибыльный и перспективный.
- Знаете, никто же не рассматривает затратную часть и объемы работы. Для того, чтобы продукт существовал и был популярным, нужно в него очень много вкладывать. Законодательство меняется довольно часто, и M.E.Doc как раз и нацелен на своевременность внесения изменений.
- То есть ваша фишка оперативность?
- Да. Но чтобы вам было понятнее: нам очень непросто конкурировать с самыми крупными IT-компаниями в Украине – они являются аутсорсерами. Никто из них не производит продукт для украинского рынка. Сложно конкурировать даже в сфере зарплат. Они получают финансирование извне и, соответственно, предлагают высокие зарплаты европейского уровня. А мы продаем продукт только на украинском рынке, и стоит он 1,5 тысячи гривен в год.
- Серьезно?
- Да. Открытая информация.
- А у вас нет планов по выходу на зарубежный рынок?
- Наш продукт разработан под украинское законодательство. Чтобы выйти на зарубежный рынок, надо создать новый продукт с нуля. Посмотрим правде в лицо – нужно разрабатывать совершенно другую систему. M.E.Doc – это не международное решение, вроде Viber и Skype, которые можно использовать в любой стране мира, независимо от законодательства.
- Есть какие-то идеи новых продуктов, новых проектов?
- Да, работаем. Часть из них находится в предпродакшине.
- Тоже в сфере бухгалтерских программ или не совсем?
- Часть проектов касается модификации нашей бухгалтерской системы. Нужно соответствовать новым тенденциям, веяниям. Часть – мобильные приложения с определенными сервисами для физических лиц, не для предприятий.
- А не думали разработать качественную антивирусную программу? Запрос есть, как показал опыт.
- Я очень люблю и уважаю в людях профессионализм. И считаю, что у человека может быть много талантов и умений, но круто, когда хотя бы в чем-то одном он специалист высокого уровня. Так сложилось, что я специалист в автоматизации бухгалтерского и финансового учета. И чтобы написать нечто качественное в сфере антивирусов, мне придется долго изучать новое направление. И тут чувствую, что пока выучусь, совсем состарюсь (смеется).
- Слышала, что M.E.Doc активно поддерживает украинскую армию. Расскажите об этом подробнее.
- У нас очень патриотичная компания. Мы родились и состоялись в Украине. Поэтому глубоко эмоционально переживаем все происходящее, а именно военные действия. И, конечно, не можем стоять в стороне. Мы ведем несколько волонтерских проектов.
Например, проект "Ликбез". likbez.org.ua– единственный ресурс в стране, который занимается системной исторической контрпропагандой. Мы полностью финансируем этот проект: сайт, печать книг (напечатано две книги), которые бесплатно раздаются на выездных лекциях преподавателей "Ликбеза", их поездки на восток страны с лекциями по истории.
Также занимаемся проектом Armorum Solutions – это хаб военных стартапов. Тоже полностью финансируем этот проект, который включает в себя разработку новейшего средства радиоразведки "Тень". Один из создателей "Тени" – директор нашего предприятия. Он призвался в 2015 году на войну. Там вместе с товарищем и с нашей финансовой помощью создали прототип "Тени", который отлично зарекомендовал себя в войсках. После демобилизации совместно с компанией приступил к разработке промышленного образца.
Еще один проект – станки для тяжелых пулеметов и РПГ. АТОшник Иван Савельев воевал в 2014-2015 годах. Во время службы в армии он увидел проблему: практически полное отсутствие качественных станков для тяжелых пулеметов, которые находились в войсках. Иван – талантливый конструктор. Он сам придумал и сделал новые качественные универсальные модели станков для пулеметов. Сначала запустил их производство в гараже. Затем с нашей помощью и финансированием запустил небольшое серийное производство. На сегодня 60-70 % всех бесплатных станков, поставленных в армию, сделаны за наши деньги.
Читайте все новости по теме "Эксклюзив" на Обозревателе.