Держава не може захистити нас в кібервійни - засновник MEDoc

MEDoc. є найпопулярнішою програмою бухгалтерської звітності в Україні. Свого часу вона зробила революцію на ринку, зайшовши з новаторською ідеєю електронного документообігу. Через своєї популярності продукт став жертвою злому в червні 2017 року. Хакери запустили через MEDoc. сумнозвісний вірус Petya, який "поклав на лопатки" тисячі комп'ютерів в Україні.

"Обозреватель" поговорив із засновником "Медок" Олесею Линник про нові проекти і "геноцид" українських виробників ПЗ, про те, як компанія оговталася після злому зловмисників, чому розслідування про настільки масштабної кібератаки тупцює на місці ось уже півроку і про багато іншого.

- Ви ж були першопрохідцем на ринку програм бухгалтерської звітності в країні. Важко було виходити на український ринок?

- Будь-яке починання - це не просто. Особливо, коли ідея новаторська, і аналогів на ринку немає. Це завжди ризик. Вгадав чи ні? Чи вийде? Чи буде прийнята ринком? На момент нашого старту подати звіт в електронному вигляді без відвідування податкової було просто фантастикою. 17-20 років тому інтернет ще не був так поширений. Тоді світ користувався факсами, пейджерами і тільки починав застосовувати електронну пошту. Тому електронна здача починалася з подачі на діськетке. Перевагою було те, що з дискетою здати звіт можна було без черги! Так ми створили швидкий спосіб подачі податкової звітності.

Фото з особистого архіву

З розвитком технологій вдалося перейти з дискетки на флешку, з флешки на електронну пошту, з електронної пошти на пряме з'єднання з податкової. Звичайно, з моменту появи нашого продукту почали з'являтися і конкуренти, які пропонували аналогічні функції в своїх програмах.

- Яку частину ринку ви на даний момент займаєте?

- Основну частку ринку, тому що почали давно і були першими. Немає якогось секрету в тому, як ми перемогли в конкурентній боротьбі. Виграла наша ідея, і "Медок", по суті, створив ринок електронної звітності. А ми 17 років працюємо над удосконаленням наших рішень.

- Але конкурентна боротьба, судячи з усього, запекла. Пам'ятаю, ви пов'язували річний злом і атаку Petya із замовленням конкурентів з метою рейдерського захоплення. Все ще так вважаєте?

- Від своїх слів не відмовляюся. Розумієте, є ряд фактів, які про це свідчать.

- Наприклад?

- Наприклад, поведінка конкурентів після злому підтверджує, що вони були готові до цієї ситуації, у них був певний план дій, піар-стратегія, яка стартувала прямо під час атаки.

- Як мінімум на різних сайтах стали масово з'являтися добірки альтернатив MEDoc ...

- Так. Хоча нагадаю, що нашу програму зламали для здійснення кібератаки. Ламали складно, дорого, довго. Більше шести місяців. Ми постраждала сторона. І по ідеї, інформаційний посил повинен був бути такий: зламали популярний продукт, йому потрібна допомога. Але немає, посил був наступним: "Медок" нібито організував атаку на своїх же користувачів. 20 років працювали і ось вирішили підкласти таку свиню. Де логіка?

Де логіка

Фото з особистого архіву

- Ну, логіка конкурентів зрозуміла. А ось чому кіберполіції спочатку підозрювала вашу компанію, хоча ви відразу ж написали заяву про злом?

- Ну, кіберполіції нам на це питання досі не відповіла. Вже на наступний день після атаки ми надали правоохоронцям доступ до всіх наших серверів, даними і фахівцям. Ми, як ніхто інший, були зацікавлені в якнайшвидшому проведенні розслідування. Але заява про те, що нас зламали, до сих пір не розслідувана, взагалі ніякої реакції на нього немає.

- Півроку минуло.

- Саме так. Їх головне завдання - захищати країну від хакерських загроз. Тому, мені здається, можна було знайти час зайнятися настільки масштабної кібератакою, щоб в майбутньому ні з ким такого не сталося. Але замість цього кіберполіції витратила час на розслідування абсолютно божевільною версії нашої причетності - з вилученням абсолютно всієї техніки і повним блокуванням роботи компанії. Що ще більше "допомогло" нашим користувачам.

- А ви взагалі оговталися після злому?

- Роботу і сервіси відновили з нуля. Нам довелося повністю перебудувати організацію роботи, зовнішню і внутрішню систему безпеки, щоб попередити можливість нового злому.

- Тобто ви усунули уразливість, якою скористалися хакери?

- Розумієте, не всі уразливості, якими скористалися хакери, були в наших системах. Над розслідуванням цієї атаки по-хорошому ще потрібно багато працювати. До речі, внутрішнє розслідування у нас провела компанія CiscoTalos. І уявляєте, їм не знадобилося у нас нічого вилучати. Просто вони провели у нас в офісі три дні. І тільки завдяки їм Україна і ми хоча б зрозуміли, як проходила атака, які системи для цього зламали.

- До речі, не зовсім зрозуміло, чому немає ніяких претензій до розробників антивірусних програм? Захист даних - це їх завдання, а не бухгалтерських програм.

- Саме так. Мені це теж здається дивним. Знову ж, проведена величезна піар-робота по перенаправлення удару. За великим рахунком, наші продукти не відповідають за захист комп'ютерів від зломів і атак. На всіх пристроях, де була встановлена ​​наша програма, стояв і якийсь антивірус. Питання: чому жоден антивірус не спрацював? Чому не виконав свої функції? Адже захист від вірусів - основна функція антивірусних програм. Але немає, деяким було вигідніше звинувачувати програму бухгалтерської звітності в тому, що постраждали комп'ютери.

Але немає, деяким було вигідніше звинувачувати програму бухгалтерської звітності в тому, що постраждали комп'ютери

Фото з особистого архіву

- Крім того, кібербезпека - важлива частина національної безпеки. Тобто в теорії держава повинна як мінімум допомагати компаніям захищатися від атак. А що на ділі?

- Чесно, поки нічого. В Україні досить структур, які відповідають за кібербезпека. Це і департамент кібербезпеки СБУ, і кіберполіції, і Держспецзв'язку. Але думаєте, після злому хтось із них зробив щось для захисту країни від кіберзагроз? Все побігали, повиступали на форумах. Прийняли якийсь закон, який стосується тільки державних органів і то не всіх. А що робити комерційним структурам - питання відкрите.

Крім MEDoc., Є багато популярних програм, які можуть послужити "транспортом" для вірусів в разі злому. Тому ми звернулися до всіх перераховані вище органи з проханням видати нам рекомендації: що ми повинні зробити, щоб забезпечити безпеку? Де стандарти і вимоги до захисту? У відповідь - непрофесійне мовчання ... А ми з вами продовжуємо жити в ситуації ризику.

- Логіка кіберполіції, озвучена його главою: "Всі рекомендації по вже виявленими вірусам видані, але ніхто не знає, які віруси можуть використовувати в наступний раз". За такою логікою залишається тільки спокійно сидіти і чекати чергової атаки?

- Ну да, простіше ж взагалі нічого не робити, а коли станеться чергова атака, заявити: ви погано захищалися. Це дуже зручно. Тільки ось погано щодо яких стандартів? Я не виконала якісь вимоги, рекомендації? Одна справа, коли є чіткі стандарти, яким можна відповідати чи ні. А коли критеріїв немає, то що б ти не робив, на тебе можна повісити провину.

Фото з особистого архіву

Не можна це питання залишати на розсуд самих компаній. Ми як український розробник софту виступаємо за уніфіковані вимоги.

- Це, звичайно, добре, але потрібна і централізована захист від кібератак ...

- І на жаль, не бачу, що в цьому напрямку ведеться робота. Те, що я бачу: ми, платники податків, утримуємо структури, які не виконують свої функціональні обов'язки. Тобто в кібервійни держава нас захистити не може. Хочеш захисту - купи собі зброю і йди захищай себе і свою країну.

- Особисто ви на даний момент гарантуєте безпеку своїм користувачам?

- Цікаве питання. Давайте розберемося, а чи гарантує хоч хто-небудь хоч що-небудь? Антивірусні системи не гарантують захисту від вірусних атак, по крайней мере в своїх договорах на свої продукти не дають стовідсоткових гарантій і не беруть на себе фінансову відповідальність в разі злому.

Системи і рішення апаратної і програмно-апаратного захисту - те ж саме. Гарантій від зломів і кібератак не дають. Тобто ви купуєте замок, сигналізацію, але гарантій, що вас це захистить, виробники не дають. І це при тому, що вартість таких продуктів практично недоступна для малого і середнього бізнесу. СБУ, кіберполіції та Держспецзв'язку не гарантують захисту держави і бізнесу від кібератак. Тому, думаю, питання про гарантованого захисту до розробника бухгалтерських програм не за адресою. Ми гарантуємо правильний розрахунок, наприклад, заробітної плати і його відповідність актуальному законодавству.

- А держава взагалі якось мотивує, заохочує українських розробників ПЗ? Або "простіше / дешевше купити іноземний продукт, а робочі місця, податки, нацбезпеку - справа вторинна"?

- Не те що не заохочує. По-моєму, в країні геноцид українських виробників.

- В чому це виражається?

- Якщо говорити про сферу IT, то я за все життя не відчувала ніякої підтримки. Навпаки - постійні наїзди, претензії, спроби рейдерських захоплень.

- І раніше були спроби віджати бізнес?

- Так постійно. Начебто простий, мирний бізнес. Я кожен раз дивуюся, чому він комусь потрібен у тому чи іншому вигляді.

- Мабуть, тому що прибутковий і перспективний.

- Знаєте, ніхто ж не розглядає витратну частину і обсяги роботи. Для того, щоб продукт існував і був популярним, потрібно в нього дуже багато вкладати. Законодавство змінюється досить часто, і MEDoc якраз і націлений на своєчасність внесення змін.

- Тобто ваша фішка оперативність?

- Так. Але щоб вам було зрозуміліше: нам дуже непросто конкурувати з найбільшими IT-компаніями в Україні - вони є аутсорсерами. Ніхто з них не виробляє продукт для українського ринку. Складно конкурувати навіть в сфері зарплат. Вони отримують фінансування ззовні і, відповідно, пропонують високі зарплати європейського рівня. А ми продаємо продукт тільки на українському ринку, і коштує він 1,5 тисячі гривень на рік.

- Серйозно?

- Так. Відкрита інформація.

- А у вас немає планів щодо виходу на зарубіжний ринок?

- Наш продукт розроблений під українське законодавство. Щоб вийти на зарубіжний ринок, треба створити новий продукт з нуля. Подивимося правді в обличчя - потрібно розробляти зовсім іншу систему. MEDoc - це не міжнародна рішення, на зразок Viber і Skype, які можна використовувати в будь-якій країні світу, незалежно від законодавства.

- Є якісь ідеї нових продуктів, нових проектів?

- Так, працюємо. Частина з них знаходиться в предпродакшіне.

- Теж в сфері бухгалтерських програм або не зовсім?

- Частина проектів стосується модифікації нашої бухгалтерської системи. Потрібно відповідати новим тенденціям, віянням. Частина - мобільні додатки з певними послугами для фізичних осіб, не для підприємств.

- А чи не думали розробити якісну антивірусну програму? Запит є, як показав досвід.

- Я дуже люблю і поважаю в людях професіоналізм. І вважаю, що у людини може бути багато талантів і умінь, але круто, коли хоча б в чомусь одному він фахівець високого рівня. Так склалося, що я фахівець в автоматизації бухгалтерського і фінансового обліку. І щоб написати щось якісне в сфері антивірусів, мені доведеться довго вивчати новий напрямок. І тут відчуваю, що поки навчуся, зовсім зостарюся (сміється).

- Чула, що MEDoc активно підтримує українську армію. Розкажіть про це докладніше.

- У нас дуже патріотична компанія. Ми народилися і відбулися в Україні. Тому глибоко емоційно переживаємо все, що відбувається, а саме військові дії. І, звичайно, не можемо стояти осторонь. Ми ведемо кілька волонтерських проектів.

Наприклад, проект "Лікнеп". likbez.org.ua- єдиний ресурс в країні, який займається системною історичної контрпропагандою. Ми повністю фінансуємо цей проект: сайт, друк книг (надруковано дві книги), які безкоштовно роздаються на виїзних лекціях викладачів "лікнеп", їх поїздки на схід країни з лекціями з історії.

Також займаємося проектом Armorum Solutions - це хаб військових стартапів. Теж повністю фінансуємо цей проект, який включає в себе розробку новітнього засобу радіорозвідки "Тінь". Один з творців "Тіні" - директор нашого підприємства. Він призвали в 2015 році на війну. Там разом з товаришем і з нашою фінансовою допомогою створили прототип "Тіні", який відмінно зарекомендував себе у військах. Після демобілізації спільно з компанією приступив до розробки промислового зразка.

Ще один проект - верстати для важких кулеметів і РПГ. АТОшнік Іван Савельєв воював в 2014-2015 роках. Під час служби в армії він побачив проблему: практично повна відсутність якісних верстатів для важких кулеметів, які перебували у військах. Іван - талановитий конструктор. Він сам придумав і зробив нові якісні універсальні моделі верстатів для кулеметів. Спочатку запустив їх виробництво в гаражі. Потім з нашою допомогою і фінансуванням запустив невелике серійне виробництво. На сьогодні 60-70% всіх безкоштовних верстатів, поставлених в армію, зроблені за наші гроші.

Тисни! підписуйся ! Читай тільки краще!

Важко було виходити на український ринок?
Вгадав чи ні?
Чи вийде?
Чи буде прийнята ринком?
Яку частину ринку ви на даний момент займаєте?
Все ще так вважаєте?
Наприклад?
Де логіка?
А ось чому кіберполіції спочатку підозрювала вашу компанію, хоча ви відразу ж написали заяву про злом?
А ви взагалі оговталися після злому?