5 слепых зон стартапов в кибербезе

Кибербезопасность — особая ниша IT, в которой часто проваливаются те подходы, которые работали в других сферах. Армен Гюлумян, член экспертного совета программы CyberStage, рассказывает, пять типичных случаев, когда то, что казалось силой и УТП стартапа, оказывается заблуждением и причиной неудачи.

Стартап — живой организм, который стремиться создавать что-то новое, решать задачу, которая кажется важной и актуально. И в этом порыве предприниматели часто забывают про практические вопросы бизнеса, отмечают эксперты CyberStage, программы поддержки предпринимателей в сфере кибербезопасности и смежных отраслях. Сияние новой, оригинальной идеи часто ослепляет и не дает ясно взглянуть на потребности рынка и клиентов. Поэтому экспертная и менторская поддержка, в том числе вне отрасли, среди молодых проектов востребованы не меньше чем финансовая и ресурсная.

Кибербезопасность — закрытая, регулируемая IT-сфера с высоким порогом входа. Ошибка здесь может стоить недопустимо дорого, поэтому доверие строится годами, а к громким заявлениям и обещаниям относятся скептически.

Поэтому чтобы запустить стартап в ИБ нужна не только экспертиза, но и смелость. На это решаются те, кто мыслит на опережение, кто понимает поведение атакующего, кто сочетает ИТ, социологию, стратегию и много других областей знаний.

Но вот парадокс: самые сильные команды, придумавшие сложные технологии, вдруг попадают в ловушку собственных убеждений. Именно то, что казалось залогом успеха, внезапно оказывается балластом, а уверенность в неработающей формуле мешает увидеть реальные ограничения молодого бизнеса.

Вот пять простых, но, к сожалению, очень распространенных заблуждений, из-за которых даже самые умные и опытные теряют связь с реальностью, а точки роста стартапа попадают в слепую зону.

Однажды, в момент вдохновения, команда определила, в чем именно «боль» их потенциального клиента — поставила диагноз и предложила лекарство. И с этого дня все началось… Годы шли, продукт развивался, презентация обрастала слайдами, в которых последствия нерешенной проблемы были драматизированы до уровня катастрофы. Инвесторы кивали, даже иногда давали деньги, а команда повторяла мантру: «Мы решаем проблему Х».

Только никто не спрашивал себя, актуальна ли она сегодня. В гипотезу поверили окончательно, как в закон физики, как в то, что завтра взойдёт солнце — но, как мы помним из новейшей истории России, даже количество часовых поясов можно изменить.

Вот и рынок тем временем не стоял на месте. То, что раньше было отдельным решением, стало частью платформ. Политики безопасности закрыли уязвимости, которые раньше казались неизбежными. А то, что вчера было угрозой, сегодня стало просто фоном, или вовсе исчезло.

Продукт в кибербезе сложно перенастроить быстро под меняющиеся потребности, ведь технология привязана к угрозе. Исчезла угроза — исчез и смысл решения. В этом случае не получится «допилить фичу»: если проблема перестала быть актуальной, вы возвращаетесь на поле «старт».

Вера в то, что истина уже найдена, может стать губительной. Так что время от времени задавайте себе неудобный вопрос: «А вдруг эта проблема больше не проблема?» Поговорите с теми, кто не купил ваш продукт, спросите, как они обходятся без него. Не спешите доказывать, что они ошибаются. Лучше найдите ту боль, которая все еще их волнует — вот где рынок ждет вас.

Быть первым — это открывать что-то новое. Белое пятно на карте всегда манит, а любая задача ощущается как миссия.

Но если никто не работает в вашей нише, то стоит задать вопрос: а почему, собственно? Может, проблема решается иначе — через политики, обучение, централизованные платформы? Или масштаб угрозы не оправдывает создания отдельного решения — например, последствия настолько незначительны или редки, что бизнес предпочитает рискнуть, а не платить?

В других сферах можно выделиться дизайном, скоростью, форматом. В кибербезе спрос диктуется рисками, и отсутствие конкуренции может быть тревожным сигналом. Поэтому перед тем, как кодить, проверьте: кто уже что-то делает в вашей нише, пусть и не так, как вы, пусть даже хуже. Поговорите с CISO потенциального заказчика, но не о вашей идее, а о том, как они сейчас управляют этой угрозой. Если окажется, что у них есть «костыль» — подумайте, стоит ли делать полноценный продукт, или лучше доработать то, что уже есть. Рынку нужны не первопроходцы, а те, кто наконец-то сделает удобно.

В мире стартапов оригинальность стала почти священным словом. Если ты не делаешь что-то иначе, чем другие — значит, ты не инновационный и, значит, не интересен.

Но клиенты не платят за оригинальность ради оригинальности, им нужно не просто «иначе», им нужно «лучше». Для них ценность не в том, что вы изменили архитектуру, а в том, что им от этого стало проще, безопаснее, понятнее.

К тому же, клиент не хочет экспериментов в вопросах своей безопасности: надежность ценится выше инноваций, потому что конечная цель — защита критичных систем, данных и непрерывности бизнеса. Он хочет предсказуемости, совместимости систем, возможности прозрачного аудита.

Apple не изобрел смартфон, а сделал его незаменимым, а Тинькофф не изобрел банк, а показал клиентам, что можно забыть про отделения. Создать Disruption — это не значит проявить оригинальность, это сделать так, чтобы новое внезапно стало естественным, а старое — архаичным.

Не гонитесь за уникальностью, а спрашивайте себя: «Что раздражает клиента в существующих решениях? Где они тратят лишние усилия? Где теряют время?» Улучшите это — и вы станете не просто «не таким», а нужным, и оригинальность станет следствием этого подхода, а не самоцелью.

Представим, что бывший CISO крупной компании с опытом во многих технологических корпорациях собрал небольшую, но сильную команду: бывшие руководители, исследователи, специалисты с репутацией, чьи имена уважают в профессиональных кругах. Они выходят на рынок с уверенностью: «Нам поверят, потому что нас знают». И репутация действительно работает на команду… для начала разговора.

Но дальше заказчик ищет тех, кому можно доверить ответственность за ежедневные процессы. А это не только знания: это SLA, поддержка 24/7, документы, стабильность, история внедрений. Продавая команду, вы продаете экспертизу, заложенную в решение. Но клиент в кибербезопасности покупает спокойствие. Команда легенд, но из пяти человек не может обеспечить уровень сервиса, который ожидает CISO.

Если ваш проект пока молод и не готов обеспечить зрелый уровень ответственности, начните с тех, кто готов рискнуть — малый и средний бизнес, компании, которым важна гибкость, скорость. Сделайте пять успешных внедрений. Соберите отзывы. Покажите, что вы стабильны, предсказуемы, на связи. Доверие зарабатывается опытом, а не резюме.

Какая основная задача в продажах? Конечно, убедить CISO купить наше решение!

Казалось бы, это логично. Ведь мы же делаем средство защиты, значит, покупатель — тот, кто отвечает за безопасность. Но это ошибка, к которой приводит пресловутая «профессиональная слепота» и узкий взгляд на знакомую сферу.

Попробуйте посмотреть на вашу идею вот с какой стороны: безопасность открывает бизнесу дополнительные возможности. А значит, у вашего решения может быть применение, полезное для операционной или коммерческой части бизнеса.

Возьмем систему контроля доступа и изменений в файловых хранилищах. На первый взгляд — это сугубо ИБ-инструмент: отслеживаем подозрительную и аномальную активность. Но, например, в компании, где используются виртуальные data room для M&A, due diligence или подготовки отчетов, эта система становится рабочим инструментом бизнеса. Она позволяет быстро восстановить версию документа, понять, кто вносил правки и зачем, показать аудитору цепочку изменений, сократить время на согласования. В итоге мониторинг изменений документов становится критически важным для юристов, проектных менеджеров, операционных директоров.

Другой пример: решение для безопасного доступа к внутренним системам через веб-интерфейс. Казалось бы, задача исключительно в целях ИБ: снизить риски удаленного доступа. Но на деле решение позволяет сотрудникам филиалов, подрядчикам, временным работникам — работать эффективно, без IT-костылей. В итоге получаем более сложный контекст: не только безопасность, но и вовлеченность, продуктивность, скорость.

Не ограничивайтесь CISO. Начните с вопроса: «Кому в компании будет проще работать, если мы внедрим наше решение?» И поговорите с ними, но не о безопасности, как вы привыкли, а об их потребностях: сколько времени уходит на проверку изменений в документах, как часто теряются версии, какие процессы тормозятся из-за сложного доступа?

Вы повысите рейтинг своего продукта, если измените контекст с затрат на рост. Говорите на языке ROI, а не угроз: подсветите, что ваше решение помогает сократить время на due diligence, дать доступ к новому сегменту клиентов или позволяет команде работать быстрее без рисков.

Если вы станете не еще одной системой, а ключом к новым бизнес-возможностям, вы получите больше сторонников своего продукта. CISO часто не может принять решение в одиночку, особенно в крупной компании. Операционный, коммерческий директор, руководители проектов могут стать важными инфлюенсерами или даже главными ЛПР-ами. Это станет ответом на возражение об отсутствия бюджета ИТ/ИБ, так как теперь у вас есть заказчики сразу в нескольких подразделениях компании.

Топливо стартапа — заметность, но, чтобы вас услышали, не нужно быть самым громким и оригинальным. Важно быть тем, кто помогает решить проблемы, которые тормозят бизнес сегодня, тем, кто, создавая новое, понимает потребности и реальность своего целевого клиента.