Держава не може захистити нас у кібервійні - засновник M.E.Doc

27,6 т.
Держава не може захистити нас у кібервійні - засновник M.E.Doc

M.E.Doc. є найпопулярнішою програмою бухгалтерської звітності в Україні. Свого часу вона зробила революцію на ринку, зайшовши з новаторською ідеєю електронного документообігу. Через свою популярність продукт став жертвою злому в червні 2017 року. Хакери запустили через M.E.Doc сумнозвісний вірусPetya, який "поклав на лопатки" тисячі комп'ютерів в Україні.

"Обозреватель" поговорив із засновником "Медок" Олесею Лінник про нові проекти та "геноцид" українських виробників ПЗ, про те, як компанія оговталася після злому зловмисників, чому розслідування про настільки масштабну кібератаку тупцює на місці ось уже півроку та про багато іншого.

- Ви ж були першопрохідцем на ринку програм бухгалтерської звітності в країні. Важко було виходити на український ринок?

Відео дня

- Будь-яке починання - це не просто. Особливо, коли ідея новаторська, і аналогів на ринку немає. Це завжди ризик. Вгадав чи ні? Чи вийде? Чи буде прийнята ринком? На момент нашого старту подати звіт в електронному вигляді без відвідування податкової було просто фантастикою. 17-20 років тому інтернет ще не був настільки поширений. Тоді світ користувався факсами, пейджерами та тільки починав застосовувати електронну пошту. Тому починали з подачі на дискеті. Перевагою було те, що з дискетою здати звіт можна було без черги! Так ми створили швидкий спосіб подачі податкової звітності.

Держава не може захистити нас у кібервійні - засновник M.E.Doc

Фото з особистого архіву

З розвитком технологій вдалося перейти з дискетки на флешку, з флешки на електронну пошту, з електронної пошти на пряме з'єднання з податковою. Звісно, з моменту появи нашого продукту почали з'являтися і конкуренти, які пропонували аналогічні функції в своїх програмах.

- Яку частину ринку ви наразі займаєте?

- Основну частку ринку, тому що почали давно і були першими. Немає якогось секрету в тому, як ми перемогли в конкурентній боротьбі. Виграла наша ідея, і "Медок", по суті, створив ринок електронної звітності. А ми 17 років працюємо над удосконаленням наших рішень.

- Але конкурентна боротьба, судячи з усього, запекла. Пам'ятаю, ви пов'язували злом і атаку Petya із замовленням конкурентів з метою рейдерського захоплення. Все ще так вважаєте?

- Від своїх слів не відмовляюся. Розумієте, є ряд фактів, які про це свідчать.

- Наприклад?

- Наприклад, поведінка конкурентів після злому підтверджує, що вони були готові до цієї ситуації, у них був певний план дій, піар-стратегія, яка стартувала прямо під час атаки.

- Як мінімум на різних сайтах стали масово з'являтися добірки альтернатив M.E.Doc...

- Так. Хоча нагадаю, що нашу програму зламали для здійснення кібератаки. Ламали складно, дорого, довго. Більше шести місяців. Ми постраждала сторона. І інформаційний посил повинен був бути такий: зламали популярний продукт, йому потрібна допомога. Але ні, посил був наступним: "Медок" нібито організував атаку на своїх же користувачів. 20 років працювали і ось вирішили підкласти таку свиню. Де логіка?

Держава не може захистити нас у кібервійні - засновник M.E.Doc

Фото з особистого архіву

- Ну, логіка конкурентів зрозуміла. А ось чому кіберполіція спочатку підозрювала вашу компанію, хоча ви відразу ж написали заяву про злом?

- Ну, кіберполіція нам на це питання досі не відповіла. Вже на наступний день після атаки ми надали правоохоронцям доступ до всіх наших серверів, фахівцям. Ми, як ніхто інший, були зацікавлені в якнайшвидшому проведенні розслідування. Але заява про те, що нас зламали, досі не розслідувана, взагалі ніякої реакції на неї немає.

- Півроку минуло.

- Саме так. Їх головне завдання - захищати країну від хакерських загроз. Тому, мені здається, можна було знайти час зайнятися настільки масштабною кібератакою, щоб в майбутньому ні з ким такого не сталося. Але замість цього кіберполіції витратила час на розслідування абсолютно божевільної версії нашої причетності - з вилученням абсолютно всієї техніки та повним блокуванням роботи компанії. Що ще більше "допомогло" нашим користувачам.

- А ви взагалі оговталися після злому?

- Роботу та сервіси відновили з нуля. Нам довелося повністю перебудувати організацію роботи, зовнішню і внутрішню систему безпеки, щоб попередити можливість нового злому.

- Тобто ви усунули уразливість, якою скористалися хакери?

- Розумієте, не всі уразливості, якими скористалися хакери, були в наших системах. Над розслідуванням цієї атаки ще потрібно багато працювати. До речі, внутрішнє розслідування у нас провела компанія CiscoTalos. І уявляєте, їм не знадобилося у нас нічого вилучати. Просто вони провели у нас в офісі три дні. І тільки завдяки їм Україна та ми хоча б зрозуміли, як проходила атака, які системи для цього зламали.

- До речі, не зовсім зрозуміло, чому немає ніяких претензій до розробників антивірусних програм? Захист даних - це їх завдання, а не бухгалтерських програм.

- Саме так. Мені це теж здається дивним. Знову ж, проведена величезна піар-робота по перенаправлення удару. За великим рахунком, наші продукти не відповідають за захист комп'ютерів від зломів і атак. На всіх пристроях, де була встановлена ​​наша програма, стояв і якийсь антивірус. Питання: чому жоден антивірус не спрацював? Чому не виконав свої функції? Адже захист від вірусів - основна функція антивірусних програм. Але ні, деяким було вигідніше звинувачувати програму бухгалтерської звітності в тому, що постраждали комп'ютери.

Держава не може захистити нас у кібервійні - засновник M.E.Doc

Фото з особистого архіву

- Крім того, кібербезпека - важлива частина національної безпеки. Тобто в теорії держава повинна як мінімум допомагати компаніям захищатися від атак. А що насправді?

- Чесно, поки нічого. В Україні досить структур, які відповідають за кібербезпеку. Це і департамент кібербезпеки СБУ, і кіберполіція, і Держспецзв'язок. Але думаєте, після злому хтось із них зробив щось для захисту країни від кіберзагроз? Усі побігали, повиступали на форумах. Прийняли якийсь закон, який стосується тільки державних органів, і то не всіх. А що робити комерційним структурам - питання відкрите.

Крім M.E.Doc., є багато популярних програм, які можуть послужити "транспортом" для вірусів у разі злому. Тому ми звернулися до всіх перерахованих вище органів з проханням видати нам рекомендації: що ми повинні зробити, щоб забезпечити безпеку? Де стандарти і вимоги до захисту? У відповідь - непрофесійне мовчання... А ми з вами продовжуємо жити в ситуації ризику.

- Логіка кіберполіції, озвучена його главою: "Усі рекомендації по вже виявленим вірусам видані, але ніхто не знає, які віруси можуть використати в наступний раз". За такою логікою залишається тільки спокійно сидіти і чекати чергової атаки?

- Ну так, простіше ж взагалі нічого не робити, а коли станеться чергова атака, заявити: ви погано захищалися. Це дуже зручно. Тільки ось погано щодо яких стандартів? Я не виконала якісь вимоги, рекомендації? Одна справа, коли є чіткі стандарти, яким можна відповідати чи ні. А коли критеріїв немає, то що б ти не робив, на тебе можна повісити провину.

Держава не може захистити нас у кібервійні - засновник M.E.Doc

Фото з особистого архіву

Не можна це питання залишати на розсуд самих компаній. Ми як український розробник софту виступаємо за уніфіковані вимоги.

- Це, звичайно, добре, але потрібна і централізований захист від кібератак...

- І на жаль, не бачу, що в цьому напрямку ведеться робота. Те, що я бачу: ми, платники податків, утримуємо структури, які не виконують свої функціональні обов'язки. Тобто в кібервійні держава нас захистити не може. Хочеш захисту - купи собі зброю та йди захищай себе та свою країну.

- Особисто ви на даний момент гарантуєте безпеку своїм користувачам?

- Цікаве питання. Давайте розберемося, а чи гарантує хоч хто-небудь хоч що-небудь? Антивірусні системи не гарантують захисту від вірусних атак, у договорах на свої продукти не дають стовідсоткових гарантій і не беруть на себе фінансову відповідальність в разі злому.

Системи і рішення апаратного та програмно-апаратного захисту - те ж саме. Гарантій від зломів і кібератак не дають. Тобто ви купуєте замок, сигналізацію, але гарантій, що вас це захистить, виробники не дають. І це при тому, що вартість таких продуктів практично недоступна для малого і середнього бізнесу. СБУ, кіберполіція та Держспецзв'язок не гарантують захисту держави і бізнесу від кібератак. Тому, думаю, питання про гарантований захист до розробника бухгалтерських програм не за адресою. Ми гарантуємо правильний розрахунок, наприклад, заробітної плати і його відповідність актуальному законодавству.

- А держава взагалі якось мотивує, заохочує українських розробників ПЗ? Або "простіше/дешевше купити іноземний продукт, а робочі місця, податки, нацбезпека - справа вторинна"?

- Не те що не заохочує. Як на мене, у країні геноцид українських виробників.

- У чому це виражається?

- Якщо говорити про сферу IT, то я за все життя не відчувала ніякої підтримки. Навпаки - постійні наїзди, претензії, спроби рейдерських захоплень.

- І раніше були спроби віджати бізнес?

- Так, постійно. Начебто простий, мирний бізнес. Я кожен раз дивуюся, чому він комусь потрібен у тому чи іншому вигляді.

- Мабуть, тому що прибутковий і перспективний.

- Знаєте, ніхто ж не розглядає витратну частину та обсяги роботи. Для того, щоб продукт існував і був популярним, потрібно в нього дуже багато вкладати. Законодавство змінюється досить часто, і MEDoc якраз і націлений на своєчасність внесення змін.

- Тобто ваша фішка оперативність?

- Так. Але щоб вам було зрозуміліше: нам дуже непросто конкурувати з найбільшими IT-компаніями в Україні - вони є аутсорсерами. Ніхто з них не виробляє продукт для українського ринку. Складно конкурувати навіть у сфері зарплат. Вони отримують фінансування ззовні і, відповідно, пропонують високі зарплати європейського рівня. А ми продаємо продукт тільки на українському ринку, і коштує він 1,5 тисячі гривень на рік.

- Серйозно?

- Так. Відкрита інформація.

- А у вас немає планів щодо виходу на зарубіжний ринок?

- Наш продукт розроблений під українське законодавство. Щоб вийти на зарубіжний ринок, треба створити новий продукт з нуля. Подивимося правді в обличчя - потрібно розробляти зовсім іншу систему. M.E.Doc - це не міжнародна рішення, на зразок Viber і Skype, які можна використовувати в будь-якій країні світу, незалежно від законодавства.

- Є якісь ідеї нових продуктів, нових проектів?

- Так, працюємо.

- Теж в сфері бухгалтерських програм або не зовсім?

- Частина проектів стосується модифікації нашої бухгалтерської системи. Потрібно відповідати новим тенденціям, віянням. Частина - мобільні додатки з певними послугами для фізичних осіб, не для підприємств.

- А чи не думали розробити якісну антивірусну програму? Запит є, як показав досвід.

- Я дуже люблю і поважаю в людях професіоналізм. І вважаю, що у людини може бути багато талантів і умінь, але круто, коли хоча б в чомусь одному він фахівець високого рівня. Так склалося, що я фахівець в автоматизації бухгалтерського і фінансового обліку. І щоб написати щось якісне в сфері антивірусів, мені доведеться довго вивчати новий напрямок. І тут відчуваю, що поки навчуся, зовсім зостарюся (сміється).

- Чула, що MEDoc активно підтримує українську армію. Розкажіть про це докладніше.

- У нас дуже патріотична компанія. Ми народилися в Україні. Тому глибоко емоційно переживаємо все, що відбувається, а саме військові дії. І, звичайно, не можемо стояти осторонь. Ми ведемо кілька волонтерських проектів.

Наприклад, проект "Лікбез". likbez.org.ua - єдиний ресурс в країні, який займається системною історичної контрпропагандою. Ми повністю фінансуємо цей проект: сайт, друк книг (надруковано дві книги), які безкоштовно роздаються на виїзних лекціях викладачів "Лібезу", їх поїздки на схід країни з лекціями з історії.

Також займаємося проектом Armorum Solutions - це хаб військових стартапів. Теж повністю фінансуємо цей проект, який включає в себе розробку новітнього засобу радіорозвідки "Тінь". Один з творців "Тіні" - директор нашого підприємства. Його призвали в 2015 році на війну. Там разом з товаришем і з нашою фінансовою допомогою створили прототип "Тіні", який відмінно зарекомендував себе у військах. Після демобілізації спільно з компанією приступив до розробки промислового зразка.

Ще один проект - верстати для важких кулеметів і РПГ. АТОшнік Іван Савельєв воював в 2014-2015 роках. Під час служби в армії він побачив проблему: практично повну відсутність якісних верстатів для важких кулеметів, які перебували у військах. Іван - талановитий конструктор. Він сам придумав і зробив нові якісні універсальні моделі верстатів для кулеметів. Спочатку запустив їх виробництво в гаражі. Потім з нашою допомогою і фінансуванням запустив невелике серійне виробництво. На сьогодні 60-70% всіх безкоштовних верстатів, поставлених в армію, зроблені за наші гроші.