Истории успеха

Выпускник факультета «Менеджмент в сфере интернет-технологий» Максим Лагутин запустил сервис мониторинга SiteSecure, который отвечает за безопасность тысячи сайтов в Рунете. Мы поговорили с Максимом об основных уязвимостях сайтов, о целях хакеров и защите персональных данных.

«Digital-рейд» в Самаре, 2016 год

Давай начнем с твоего сервиса: расскажи, как он появился и как работает?

Какого из? У меня два их. Первый — «Б-152».

Я имела в виду SiteSecure, но расскажи и о «Б-152». Что это за компания?

Это интернет-сервис, который позволяет компаниям подготовить все необходимые документы о защите персональных данных. Процесс работы с сайтом очень простой: пользователь заполняет анкеты с вопросами и подсказками, после чего сервис анализирует данные и выдает готовые документы.

А пользователи разве не могут подготовить все необходимые документы сами?

Могут попытаться, конечно, но если в штате нет юриста и специалиста по безопасности, то, скорее всего, придётся по несколько раз переделывать, чтобы необходимый пакетов документов соответствовал закону № 152-ФЗ «О персональных данных». К тому же, «Б-152» предоставляет финансовую гарантию на качество подготавливаемых в сервисе документов и помощь в прохождении проверок Роскомназора.

Понятно, полезный сервис. Давай теперь вернёмся к SiteSecure — это сервис, который следит за безопасностью сайтов?

Да, сайт SiteSecure- это интернет-сервис, который позволяет компаниям малого и среднего бизнесазащищать свой бизнес от самых распространенных проблем: перебои в работе, вирусы, DDoS-атаки, санкции Google и Яндекса. Мы мониторим сайт и сообщаем о возникающих проблемах безопасности ещё до того, как ошибки будут заметны пользователям или поисковым системам.

Сможет ли рядовой сотрудник воспользоваться вашим предложением или нужен технический специалист?

Чтобы начать работу, нужно только указать доменное имя, и мы уже начнём мониторинг, если требуется более тщательная проверка — нужны будут доступы от хостинга. Как понимаешь, чтобы ввести эти данные, особые знания не нужны. В нашей системе работают основатели компаний, менеджеры проектов, маркетологи, SEO-специалисты, технические специалисты. Наша цель — сделать понятный и простой продукт.

Как пришла идея проекта?

Мы проходили акселерацию «Б-152» в TexDrive — это был первый в России акселератор для стартапов. Тогда мы поняли, что по защите персональных данных не было рынка в тот момент, и стали думать о новом, более масштабном проекте. Было два варианта: проверять настоящий ли сайт и ставить знак качества или осуществлять реальный мониторинг безопасности сайта. Мы остановились на втором варианте: собрали команду, несколько раз всё переделывали, и в итоге запустились. Сейчас уже выпускаем версию 2.0. и наш сайт сейчас сильно отличается от начальной версии. И это нормально, так как только придумав сервис, ты ещё не знаешь потребностей пользователей, не знаешь, какие пункты вызовут вопросы, и что будет важно.

Но ведь финальной версии продукта как таковой нет, сервис же постоянно совершенствуется.

Конечно, но главная идея, что мы профессиональный сайт для не специалистов, остается.

Сколько лет компании?

У SiteSecure рознятся даты начала, но принято считать, что нашей компании 3 года. То есть уже три года SiteSecure работает fulltime, до этого было баловство: мы с партнерами сидели после работы и «пилили» прототип.

На какие средства развивался сервис: инвесторы, акселерация, собственные средства?

Мы запускали проект на собственные средства, был небольшой доход от «Б-152», получали гранты. Потом решили пройти акселерацию в Фонде развития интернет-инициатив: за год мы прокачали свой продукт и свое понимание рынка.

Прошлым летом мы попали на конкурс стартапов по информационной безопасности SecurityStartupChallenge от «Лаборатории Касперсокго». SiteSecure — единственная компания из России, которая попала в финал. Не выиграли, поскольку у других были тоже сильные проекты.

Буквально в начале этого лета мы ещё получили еще один раунд инвестиций.

До какого момента компания остается стартапом? До выхода на самоокупаемость?

Мне сложно судить о компаниях и давать какие-либо определения. Важно всегда расти и становиться лучше относительно того, каким ты был вчера.

Если в целом, любая быстрорастущая кампания — стартап. Мы пока растём и в клиентах и в деньгах, поэтому SiteSecure, видимо, можно назвать стартапом.

Сколько людей работает в SiteSecure?

У нас нет офиса и людей, которые в него приходят каждый день, кроме меня. Мы работаем удалённо с людьми из разных частей России. Если говорить про штат — больше десяти человек, это я сужу по тому, что недавно переводил зарплаты.

Кто это? Какие специальности?

Половина — технические специалисты: разработчики, аналитики. Продвижением занимаюсь я и два маркетолога.

Как продвигаете?

У нас два канала: интернет-маркетинг и сеть партнеров. Партнеры — это хостинг-провайдеры и веб-студии, digital и маркетинговые агентства.

Кроме этого мы активно ездим по стране. Третий год совместно с Ruward и RedCollar проводим «Digital-рейд» — это серия мастер-классов от ведущих экспертов рынка для региональных веб-студий и агентств. В 2016 году провели четыре конференции: в Ростове-на-Дону, Казани, Воронеже и Самаре.

Эти конференции вы же делаете не только для продвижения своей компании?

Мы хотим развивать сообщество. Ну и находить новых партнёров, естественно. Сейчас у нас уже больше 300 веб-студий по всей России, подключающих своих клиентов к нашей системе.

Сколько стоит подключение сайта к вашему сервису?

Сейчас у нас бюджетные цены по рынку. За мониторинг с бэкапом и лечением по необходимости за 3 месяца — 6900, за полгода — 9900, за год — 16900 рублей. Но нужно учитывать, что мы работаем только с малым и средним бизнесом и не берёмся за крупные компании — там уже совершенно другие цифры.

Какие есть варианты масштабирования?

Мы сейчас думаем над новым тарифом, скоро полностью поменяется сайт, на котором будет расширенный функционал и, соответственно, другая цена.

Судя по информации на вашем сайте, к сервису подключено более 80 000 сайтов. Это большие объемы, как это возможно?

Это обобщенная цифра: мы сканируем сайты наших клиентов, у каждого из которых по несколько доменов, и сайты в рамках партнерских программ. Мониторинг остальных проектов мы осуществляем в рамках исследований: то есть берём доступные домены и прогоняем через систему.

Зачем вы это делаете?

В первую очередь, чтобы улучшать продукт, но сейчас думаем, как ещё использовать эту статистику. Например, продавать — тоже вариант монетизации.

У SiteSecure есть конкуренты в работе с форматом малого и среднего бизнеса?

Есть много компаний, которые занимаются безопасностью сайтов, есть много фрилансеров, которые за 100 рублей найдут и вылечат вирус. Но нет компаний, которые работают масштабно и комплексно. Ещё есть западные конкуренты, но они не имеют русскоязычного саппорта и счета выставляют в долларах, что сейчас невыгодно для российских компаний.

Давай собственно поговорим о безопасности: какие бывают виды угроз, по каким причинам сайт может не работать?

Все считают, что самая большая проблема и главное зло — это вирусы. Но вирус — это причина, а следствия гораздо опаснее. Если сайт заражён, то его блокируют поисковые системы, браузеры, антивирусные программы, то есть сайт становится недоступным для большинства клиентов. Также есть вредоносный мобильный редирект — это код на сайте, который перенаправляет посетителя на другой сайт, где ему предлагают скачать игру или пополнить счет, став жертвой мошенников.

Владельцы сайта из-за этого страдают — зараженный и заблокированный сайт дает существенно меньше клиентов или не дает вовсе.

Основанный причины таких последствий — взлом, заражение и ложное срабатывание антивируса (falsepositives).

Мы выявляем проблему безопасности на любом этапе: ищем уязвимости и рекомендуем клиенту их исправлять, выявляем заражения, даже если они ещё не видны всем пользователям, если нет очевидных проблем, смотрим, почему конкретный антивирус заблокировал сайт. Например, на одном компьютере сайт может отображаться нормально, а на другом, на котором стоит Касперский, — показывать заражение и блокировать его.

А если сайт не работает из-за проблем на сервере?

В таком случае мы видим, что сайт недоступен и уведомляем клиента. Но выявлением причин и решением таких проблем мы не занимаемся — отдаем партнерам.

Какие есть уязвимые места у большинства сайтов?

Пароли, не обновлённые CMS и зараженные модули и плагины к ним.

Многие до сих пор не задумываются над сложностью паролей, хороший пароль — не меньше десяти символов, состоит из строчных и заглавных букв, цифр и специальных символов, не содержит словосочетаний qwerty, password, адреса сайта и других очевидных вещей. Нужно регулярно менять пароли и не сохранять их в браузере и компьютере. Подробнее о том, какие пароли нужно ставить, можно прочитать в нашем блоге.

Еще в зону риска попадают сайты на устаревших CMS. Не имеет значения платную или бесплатную систему управления сайтом вы используете, главное чтобы вы регулярно её обновляли. Мы недавно проводил исследование коммерческих сайтов, около 240 000 доменов, и обнаружили, что большинство сайтов работают на устаревших CMS.Никто не видит смысла в обновлении программ, а это нужно не только для удобства и использования полезных нововведений, но и для безопасности. Если вы подключаете какие-либо модули — проверяйте благонадежность источника.

Какие сайты наиболее уязвимы? Простой одностраничный сайт или огромный интернет-магазин?

Часто сайт взламывается автоматически. Тогда сайт интересен злоумышленникам, если есть трафик и явная уязвимость. Запускается робот, который мониторит сайты, по определенному алгоритму взламывает их и заражает, например, вирусом мобильного редиректа, чтобы перенаправить трафик с вашего сайта на сайт заказчика.

Заказ конкурентов популярен в областях с выраженными пиками активности и явными соперниками. Если в городе всего два оператора такси, когда сайт одного ложиться, все будут заказывать второго. Деды Морозы и магазины цветов заказывают DDoS-атаки перед Новым годом и 8 марта.

Также могут взламывать ради базы данных и другой ценной информации. Для этого уже заказывают услуги профессиональных хакеров, которые изучают конкретный сайт и слабые стороны компании. Нужно помнить, что заразить можно и компьютер отдельного менеджера, через который узнать все доступы.

А как обычному пользователю защитить свою личную информацию?

Соблюдать элементарные правила интернет-сёрфинга. Проверять все сайты, где вводишь информацию, часто бывают фейковые страницы онлайн-банков, социальных сетей, популярных ресурсов и смотреть наличие знаков безопасности сайта (например, мы такие раздаем безопасным сайтам). Использовать отдельную карту для оплаты в сети, тогда вы не потеряете все деньги в случае взлома. Ставить хорошие пароли и регулярно их менять. Обновлять антивирус. Не заходить на нелегальные сайты. Осторожно открывать письма от незнакомых адресатов. В общем, быть внимательнее.

Спасибо за советы. Давай теперь поговорим о тебе. Почему ты решил заниматься компьютерной безопасностью?

Не то чтобы я был каким-то хакером и кодил с пяти лет, но хотел заниматься IT-сферой. Я поступил в РГУТИС, где изучал организацию и технологию защиты информации.

Во время обучения, я, как и многие студенты, не думал работать по профессии. Занимался бизнесом в IT-аутсорсинге, но потом начал разбираться, как совершенствоваться в своей специальности. Проанализировав запросы и статьи по персональным данным, я понял, что это хорошая тема и ее нужно развивать. Я начал продвигать свою идею, писать статьи, рассылать презентацию. Потом мне позвонил сооснователь Free-lance.ru Василий Воропаев и предложил подключиться к работе в проекте. Free-lance.ru — наш клиент уже пять лет. В общим, с тех пор я и занимаюсь безопасностью.

Почему решил поступать на факультет «Менеджмент в сфере интернет-технологий»?

Я учился на последнем курсе, уже был запущен «Б-152», развивалась идея SiteSecure. Понял, что мне не хватает образования: я хорошо знал информационную безопасность, но не разбирался в запуске и продвижении своего проекта.

Чем запомнилось обучение?

В первую очередь, людьми, с которыми я и сейчас общаюсь. Это Андрей Осокин (Head of E-Commerce в Baon), Настя Чернигова (работает в Лукойле), Егор Уватенко (генеральный директор в Webolution Digital Agency) и другие — это люди, с которыми я учился, и здорово, что мы до сих пор иногда встречаемся.

Глупо говорить, что за год я досконально изучил все нюансы запуска интернет-проекта. Но я точно могу сказать, что обучение стало толчком в верном направлении. Я стал лучше ориентироваться в этой сфере: понял, как продвигать свои сервисы, как работать с подрядчиками, как создавать эффективную рекламу.

Немногие студенты решаются писать диплом, потому что это большая работа и не всегда понятно, зачем её делать. Как человек, защитивший диплом в RMA, расскажи, зачем все это?

Это была очень большая работа, и я её делал в первую очередь для себя, для структурирования знаний. Это как точка, как доказательство того, что я пробежал этот марафон и доделал всё до конца. Ну и несмотря на то что многое изменилось, что-то из дипломного проекта я смог применить к реальному бизнесу.

Знания, полученные в области интернет-технологий, быстро устаревают. Посоветуешь, как поддерживать актуальность информации, чтобы не пришлось учиться заново?

Во-первых, если вы работаете в индустрии и каждый день сталкиваетесь с необходимостью решать новые задачи — вы будете всегда в теме. Опыт — хороший учитель. И конечно, онлайн-курсы, книги, статьи. Но нужно понимать, что просто знания, полученные из книг, но не примененные на практике, — бессмысленны.

Какие еще советы дашь начинающим предпринимателям?

Защищать свои сайты — это не так дорого, но спасет много денег.

Дарья ХАУСТОВА