GuardConf 2025: эксперты – о передовых способах защиты и монетизации софта

Разработка ПО в условиях новых вызовов

Управляющий партнер, генеральный директор Компании «Актив» Константин Черников в приветственном слове обозначил основные цели GuardConf. По его словам, конференция поможет российским разработчикам обменяться опытом, узнать преимущества разных способов защиты и монетизации программных продуктов и выбрать для себя наиболее эффективные, научиться лучше понимать потребности бизнеса, разобраться в регулировании отрасли и понять, как превратить актуальные вызовы рынка в новые возможности.

Управляющий партнер, генеральный директор Компании «Актив» Константин Черников
Фото: Компания «Актив»

«Когда только наступала эпоха Интернета, у всех было впечатление, что Интернет позволит контролировать любое программное обеспечение и системы лицензирования сильно упростятся. На практике выходит, что Интернет помогает не только контролировать, но и обходить этот контроль, находить какие-то лазейки... Сегодня мы будем говорить о том, как в нынешних обстоятельствах строить системы и делать бизнес эффективнее. Мы как компания чрезвычайно заинтересованы в том, чтобы клиенты вас лучше понимали – ведь наша деятельность ведется на основе ваших интересов, взаимодействия с вашими клиентами, партнерами, возможностей. совместного развития бизнеса, совместного развития страны. Об этом наша конференция», – резюмировал Константин Черников.

Ведущий эксперт Института статистических исследований и экономики знаний НИУ ВШЭ Данил Яцкин представил результаты исследования, посвященного сценариям развития ИТ в России. Проанализировав более 900 источников и 42 интервью, специалисты сформировали картину ландшафта российского ИТ-рынка, на верхнем уровне состоящего из семи основных направлений: ИИ, интернет вещей, кибербезопасность, высокопроизводительные вычисления, производство и робототехника, пользовательский опыт, информационные системы. Для каждого направления были определены влияющие на него факторы: технологические, экономические, политические, социальные, ценностные и экологические. Наконец, были описаны четыре сценария развития российского ИТ-рынка, в соответствии с двумя критериями: потенциалом международного сотрудничества и эффективностью мер государственной поддержки.

Экосистемный взгляд на ИТ-рынок

Первая дискуссия конференции была посвящена перспективам объединения вендоров для создания продуктовых экосистем. Как заметил модератор сессии, заместитель генерального директора по управлению Компании «Актив» Андрей Степин, сегодня среди заказчиков программных продуктов часто возникает потребность в решении целого комплекса задач по цифровизации и автоматизации, закрыть которые можно только совместимыми продуктами разных вендоров.

Директор департамента по работе с технологическими партнерами «Группы Астра» Кирилл Синьков отметил, что существует пять видов экосистем: открытые, закрытые, гибридные, вертикальные и горизонтальные. У каждой экосистемы есть три слоя: базовый («железо»), инфраструктурный и прикладной. Также существуют разные сценарии интеграции компонентов экосистемы.

Директор портфеля продуктов по информационной безопасности компании НОТА (Холдинг Т1) Игорь Душа выделил три ключевых признака настоящей экосистемы: масштабирование, устойчивость и самоорганизация. В качестве примера он привел продуктовую линейку Яндекса, которая является экосистемой не потому, что аккаунт пользователя объединяет все доступные сервисы, а потому, что каждый из этих сервисов добавляет другим бизнес-ценность. Скажем, через Яндекс Карты клиент может найти нужную компанию, где-то зарегистрироваться, забронировать товар или услугу. «Основной тезис: важна не сама технология, а возможность взаимодействия в рамках этой технологии потребителей, партнеров и тех, кто эту экосистему создает», – сказал спикер.

Участники дискуссии «Объединение вендоров для создания ИТ-экосистем»
Фото: Компания «Актив»

Коммерческий директор ИТ-экосистемы «Лукоморье» («РТК ИТ плюс») Вячеслав Хренов добавил, что у разработчиков и заказчиков взгляд на экосистему может различаться. Если вендор видит в экосистеме совместимость технологий, общие технологические карты развития, то для заказчика важны такие факторы, как сходное лицензирование, одинаковый SLA техподдержки. Безусловно, в этом плане одному вендору проще выстраивать такую стандартизацию в рамках продуктовой экосистемы, чем нескольким.

Евангелист VK Cloud Станислав Погоржельский обратил внимание на изменение взаимоотношений российских вендоров после ухода западных конкурентов: «Ранее разработчики были конкурентами и бились за оставшихся заказчиков, так как было много зарубежных решений. Сейчас другая ситуация, мы работаем на благо российского бизнеса и сохраняем его с помощью наших разработок, поддержки регуляторов». Такая ситуация, по мнению спикера, ускоряет стандартизацию: в идеале, выбирая продукт отечественного вендора, заказчик не должен сомневаться, будет ли он интегрироваться с другим решением.

Руководитель отдела по работе с партнерами РЕД СОФТ Андрей Свиридов уверен, что развитие партнерских экосистем не повлияет на сильную востребованность на рынке компаний-интеграторов, которые, в том числе, занимаются встраиванием программных продуктов в ландшафт заказчика. «Сейчас нет такого вопроса – или экосистема, или интеграция. Интеграторы оказывают другой сервис. У заказчика больший спектр решений, ему нужно, чтобы всё работало, всё получало поддержку. Интегратор поддерживает и те решения, которые вендоры между собой протестировали, и те, разработчики которых с рынка ушли, а также может предлагать SLA, который вендоры не готовы предложить вместе. Это симбиоз. Поэтому мы стараемся наших интеграторов «прокачивать» почти как своих специалистов», – рассказал он.

Технологии, которые реально помогают

В дискуссии «За пределами хайпа. Какие технологии реально помогают в разработке продукта» приняли участие представители ИТ-холдинга Т1, компаний Naumen и «Солар», Guardant. Модератором выступил Максим Горшенин, блогер и соучредитель Ассоциации 26.20. Эксперты сошлись во мнении о том, что после ухода западных вендоров ПО, предназначенного для поддержки разработки, крупным ИТ-компаниям пришлось кардинально менять инструментарий. При этом функциональность продуктов open source для них оказывается недостаточной, поэтому для части задач они используют российские коммерческие сервисы, но иногда и могут и рассмотреть разработку собственных специализированных решений. Также большое внимание уделяется поиску сценариев применения искусственного интеллекта для помощи специалистам.

Руководитель направления Guardant Компании «Актив» Михаил Чухломин представил детальную карту технологий для защиты софта и «умных» устройств.

Руководитель направления Guardant Компании «Актив» Михаил Чухломин
Фото: Компания «Актив»

«Софтверный бизнес, построенный на тиражируемых программных продуктах, – это, конечно, мечта. Да, нужно один раз хорошо вложиться в разработку, это непростая задача. Но зато потом это бизнес с огромным потенциалом масштабирования, потому что у вас отсутствуют ограничения физического мира, вы можете продавать десятки тысяч копий своего продукта по всему миру. Но, конечно, в этом тоже есть нюансы. Придумать программный продукт с хорошим потенциалом продаж – это задача, мягко говоря, нетривиальная. Также нужно потратить ресурсы на его реализацию. И всё это сопряжено с огромным количеством рисков как технических, так и бизнесовых», – начал спикер.

Карта безопасности софтверного бизнеса должна учитывать все аспекты, позволяющие техническому директору минимизировать риски компании. Она начинается с безопасности инфраструктуры разработчика: например, нужно настроить доступ к репозиториям, разграничить права. Далее необходимо задуматься  о принципах безопасной разработки: не забывать о статическом и динамическом анализе кода, контроле зависимостей от сторонних библиотек. Также важно обеспечить защиту продукта от реверс-инжиниринга и внедрить систему контроля лицензионных ограничений, чтобы исключить пиратство.

Кроме кода, нужно подумать про безопасность данных: как тех, которые разработчик встраивает в свой программный продукт, так и тех, которые пользователи накапливают в нем. Особенно это важно для продуктов, работающих с чувствительными данными – например, для медицинских информационных систем. О безопасности важно не забывать даже после выхода продукта на рынок: постоянно проводить аудит самого программного продукта и инфраструктуры разработчика. Последняя задача решается путем проведения пентестов и участия в программах Bug Bounty. В любом случае компания всегда должна быть готова к наступлению потенциального инцидента, сотрудники должны знать, как реагировать на него, чтобы минимизировать ущерб. В идеале – составить соответствующий документ и донести его до всей команды.

Кроме технических вопросов нужно не забывать о юридических аспектах безопасности софта, а также о кадровой безопасности. «Так или иначе все угрозы, инциденты происходят из-за действий людей: намеренных или ненамеренных. Поэтому, конечно, компания должна инвестировать в обучение сотрудников, повышать их грамотность в плане безопасности», – резюмировал Михаил Чухломин.

Передовые технологии для защиты и лицензирования софта

Параллельная сессия «Технологии» началась с дискуссии «Разработка безопасного ПО: в чем выгода для вендоров», в которой приняли участие представители ЛАНИТ, AKTIV.CONSULTING, PVS-Studio, Positive Technologies и СodeScoring. Эксперты обсудили, почему безопасная разработка — это не только про технологии, но и про «выживание» продукта, кому она действительно нужна, кто за неё отвечает; разобрали, как оцениваются риски и во сколько обходятся уязвимости, если их не закрыть.

После этого коммерческий директор, управляющий партнер Компании «Актив» Дмитрий Горелов побеседовал с руководителем отдела анализа приложений Positive Technologies Дмитрием Скляровым, автором уникальной для российского рынка книги «Искусство защиты и взлома информации» – практического пособия для технических специалистов.

Сессия «Диалог с экспертом: Взломы и уязвимости в В2В софте и способы борьбы с ними»
Фото: Компания «Актив»

Диалог был посвящен способам борьбы со взломами и уязвимостями в В2В софте. Собеседники вспомнили историю защиты от нелегального копирования: например, когда софт еще распространялся на дискетах, на магнитных дисках делались специальные отверстия, благодаря которым можно было создать неформатируемые блоки, содержащие защитную программу. 

Спикеры отметили, что до 1970-х годов софт вообще не имел защиты от копирования, потому что считался приложением к «железу». Всё изменилось после выхода MS DOS от Microsoft – тогда зародилась идея о том, что софт может продаваться отдельно от «железа» и, соответственно, должен отдельно лицензироваться. Однако у того же Microsoft долгое время все инструменты защиты от копирования были заведомо слабые – это было сделано, чтобы облегчить распространение десктопных операционных систем и обеспечить их мировую популярность. Такая тактика может быть применима, если программный продукт предназначен для широкого рынка, но она не работает, если это узкоспециализированная, нишевая система. В целом, по мнению экспертов, разработчики до сих пор по разному рассчитывают необходимый уровень защиты своих продуктов: от практически полного ее отсутствия то тотального контроля над каждым компонентом. 

«С начала 2000-х годов мало что изменилось в менталитете людей. Было два основных стимула, почему люди занимались анализом кода: деньги и интерес. То есть были те, кто стремился продать взломанную версию, и те, кому просто было интересно, как она устроена. Я тогда работал в софтверной компании и прекрасно понимал, что софт нужно покупать, а не красть – ведь в противном случае разработчики останутся без зарплаты. Сегодня те, кто занимался анализом и взломом софта для заработка, скорее всего, пошли в поиск уязвимостей, потому что за уязвимость в условном Android теоретически можно получить намного больше, чем за взлом любого софта. Если же человек занимался этим из интереса, хотел разобраться в технологии, понять, как сделали другие и сделать еще лучше, – он продолжает этим заниматься. Возможно, это уже не взлом коммерческого софта, а анализ безопасности каких-то систем, но не для заработка, а потому, что это интересно», – рассказал Дмитрий Скляров.

Секция продолжилась выступлениями экспертов Компании «Актив»: руководитель департамента разработок и тестирования Guardant Михаил Бакаляров проанализировал методы атак на системы лицензирования программного обеспечения и превентивные меры борьбы с ними. Он напомнил, что существуют две основные модели распространения ПО: в контуре заказчика (on-premise) и облачная (SaaS). SaaS-модель гораздо проще лицензировать, и она менее подвержена атакам извне. А вот по модели on-premise решение работает в недоверенной среде, и лицензия часто может быть подвергнута таким атакам, как копирование, продление срока действия и другие. Полностью защититься от них невозможно, и цель разработчиков – максимально усложнить для злоумышленников процесс клонирования лицензии.

Руководитель департамента разработок и тестирования Guardant Компании «Актив» Михаил Бакаляров
Фото: Компания «Актив»

«Основная цель злоумышленника – сделать максимально простое решение, чтобы взломать защитное приложение. Как человек с амбициями, он попытается сделать универсальное решение, чтобы оно работало не только для конкретного взломанного ПО, а чтобы его можно было использовать повторно. В первую очередь всегда пытаются клонировать именно лицензию. Задача системы лицензирования – полностью исключить данный сценарий, заставить злоумышленников делать глубокий анализ и реверс-инжиниринг приложения. Причем добиться того, чтобы каждый раз при обновлении приложения, при выходе новой версии приходилось реверсировать его снова. Это исключит создание универсального решения для взлома», – отметил Михаил Бакаляров.

Далее спикер рассмотрел различные сценарии атак: от клонирования аппаратных ключей до атак на программные лицензии.

Менеджер по работе с клиентами Guardant Алексей Дьяков представил экосистему решений, наглядно показав, что Guardant — это комплексное решение для вендоров ПО, которое позволяет им решить все задачи, связанные с защитой, лицензированием и монетизацией софта. Практическую часть провел менеджер по продуктам Антон Тихиенко, который продемонстрировал, как эти принципы работают на практике, превращая технические средства защиты в инструмент для повышения доходности программных продуктов.

Секция завершилась докладом директора по научной работе Компании «Актив» Сергея Панасенко на тему квантового компьютера и криптографии. Эксперт рассказал, какие новые угрозы несут квантовые вычисления и как на них правильно реагировать уже сейчас, какие реальные ограничения у квантовых вычислений, на чем строятся постквантовые алгоритмы и что приходит на смену вычислениям общего ключа, какие постквантовые криптоалгоритмы разработаны в России и в мире.

Экономические и юридические аспекты разработки

Бизнес-трек конференции начался с дискуссии «Экспорт: практический опыт» – о перспективных зарубежных рынках.

Вице-президент по международной и межрегиональной деятельности Московской торгово-промышленной палаты Владислав Мищенко обозначил основные направления, имеющие экспортный потенциал: страны БРИКС, Юго-Восточной Азии, Персидского залива. Также он посоветовал разработчикам участвовать во внутрироссийских мероприятиях, посвященных взаимоотношениям России с дружественными странами.

Участники дискуссии «Экспорт: практический опыт»
Фото: Компания «Актив»

Руководитель проекта по клиентской работе Российского экспортного центра Алексей Мудраков рассказал о том, что в последнее время РЭЦ  активно открывает новые представительства за рубежом: если в начале 2024 года их было 12, то сейчас уже 17. Новые регионы – в частности, Саудовская Аравия, Египет, Таиланд, Индонезия – это большие рынки, которые позволяют разработчикам работать не только в конкретной стране, но и покрывать в целом регион присутствия. Также центр принимает участие в международных отраслевых мероприятиях – таких, как Gitex и Smart Cities.

«Мы фокусируемся не только на продвижении компаний, готовых к экспорту, но и на взращивании экспортных компетенций. Инструменты поддержки у нас начинаются с образовательных продуктов – это вебинары, семинары, онлайн-консультации – и заканчиваются контролем за исполнением сделок. Это инструменты страховой, финансовой поддержки, гарантийные продукты – всё, что необходимо, чтобы эффективно действовать на внешних рынках, успешно заключать экспортные контракты», – подчеркнул спикер.

Руководитель Международного комитета Ассоциации российских разработчиков и производителей электроники Элла Смолевицкая раскрыла подробности о деятельности своей организации. Например, в этом году АРПЭ провела три бизнес-миссии в дружественные страны Южной и Юго-Восточной Азии, где представители российских компаний выставляли коллективные стенды на мероприятиях. «Мы с Российским экспортным центром, Московским экспортным центром, Московской ТПП дополняем друг друга. Вместе мы прокладываем путь для компаний, чтобы при желании им было комфортно выходить как минимум на коммуникацию с зарубежными партнерами. АРПЭ поддерживает тесные отношения с цифровыми атташе многих стран, эти сотрудники тоже помогают нам в организации встреч», – добавила она.

Опытом вывода программных продуктов на зарубежные рынки поделились представители компаний Zecurion, Nexign и Softline. Эксперты отметили, что высокий экспортный потенциал российских вендоров заключается в возможности предложить гибкие по ценам, адаптированные под нужды локальных заказчиков продукты, в том числе уникальные разработки, но пока не все компании четко понимают, какие конкретно продукты будут востребованы на том или ином рынке. Была отмечена важная роль цифровых атташе, которые имеют полномочия на то, чтобы организовать встречу представителей российского вендора с топ-менеджментом потенциальных заказчиков. Кроме того, часто компаниям бывает выгоднее выходить на зарубежный рынок вместе, имея общий портфель предназначенных на экспорт совместимых решений. В частности, Softline активно ведет диалог с коллегами по рынку и планирует построить экспортную платформу для российских вендоров.

Программа бизнес-трека продолжилась выступлениями на темы монетизации софта, эффективных методов маркетинговых исследований, SEO-продвижения сложных В2В-продуктов, управления маркетингом. Михаил Чухломин, руководитель направления Guardant, Компания «Актив», представил ключевые тренды монетизации софта и привел примеры из практики, что выгоднее: привлекать новых клиентов или развивать текущих; как превратить систему лицензирования из формальности в инструмент роста.

Одним из наиболее ценных оказался доклад советника практики интеллектуальной собственности юридической компании ЭБР Артема Евсеева, который привел ряд советов по защите ПО. Рекомендации были основаны на юридической практике и касались таких аспектов, как грамотное оформление документов с работниками и подрядчиками, соблюдение чистоты прав на ПО, регистрация кода в Роспатенте и Минцифры, получение патента и товарного знака.