Джессика Ливингстон - Как все начиналось. Apple, PayPal, Yahoo! и еще 20 историй известных стартапов глазами их основателей

Затем в добровольное «изгнание» отправилась Сара Имбач. Она переехала в город Омаха и сначала стала менеджером группы по противодействию атакам хакеров, а потом возглавила весь наш центр по изучению противоправных действий, содержание которого в связи со сменой дислокации стало обходиться нам значительно дешевле. Сара Имбач руководила специалистами центра, а я предоставлял ей все необходимое программное обеспечение. За год нам удалось взять под контроль нашу платежную систему и пресечь попытки кражи денежных средств.

Ливингстон.То есть решение проблемы хакерских атак стало результатом работы группы людей и создания программного обеспечения?

Левчин.Ответ на этот вопрос зависит от того, кого вы спросите. Думаю, что Сара поставит на первое место людей, а программисты скажут, что основная заслуга принадлежит использованным технологиям. Очень сложно оценить, что является мошенничеством. Чтобы принять окончательное решение, нужен или человек, или квантовый компьютер. Ведь дело касается денег, которые принадлежат другим людям. Вы ведь не хотите, чтобы компьютер решил: «Для вас сумма 2 долл. не имеет значения». Это похоже на мошенничество, но я не думаю, чтобы злоумышленник рисковал свой головой ради такой суммы.

Кроме того, существовали различные правила и исключения, когда мы говорили: «Даже несмотря на то что это преступное действие, мы не станем его расследовать, потому что…» Мы научились решать такие проблемы позже. Первоначально мы распределяли хакерские атаки по размеру убытков, но затем стали их сортировать по ожидаемым потерям. С помощью программных средств мы научились оценивать вероятность потерь. Затем, установив, о какой сумме идет речь, мы определяли значение ожидаемых убытков и по ним назначали категорию конкретного случая для наших исследователей. Они обрабатывают только 5 процентах случаев нарушения безопасности, которые определены как наиболее серьезные, и проверяют каждый из них по огромному перечню признаков мошеннической операции. Причем благодаря опыту и быстрой оценке конкретной ситуации им зачастую хватает даже половины этих признаков, чтобы выявить вероятную брешь. То есть мы определяем операции с самыми высокими ожидаемыми потерями. Это был один из методов, использованных нами при разработке программного обеспечения.

Ливингстон.Ваши конкуренты создали что‑то подобное?

Левчин.Мы долго хранили свои программы и методы в тайне и никогда не показывали пакет IGOR посторонним. И не рассказывали о нем прессе. Меня можно назвать параноиком. Но когда мы создали этот пакет, он был установлен на терминале, стоявшем в конференц‑зале. Наши сотрудники могли зайти в эту комнату, воспользоваться им и уйти. Другие копии пакета IGOR были недоступны.

Когда нам удалось справиться с хакерскими атаками, приложениями заинтересовались федеральные службы и власти штата Калифорния. Мы пригласили представителей власти в офис, но они могли только войти в конференц‑зал, использовать наши программы и уйти. Мы не разрешили ни копировать свои приложения, ни делать распечатки.

Ливингстон.Вы запатентовали программы?

Левчин.В действительности я не хотел получать патент. Во‑первых, мне не нравится сама идея патентов на программное обеспечение, а во‑вторых, если вы получаете его на что‑то, то должны обнародовать свое изобретение. Даже если никто не посягнет на него, все равно конкуренты получают преимущество. Поэтому мы решили сохранить коммерческую тайну и никому не показывать созданные приложения.

Со временем пакет приложений IGOR стал достаточно известным внутри компании, как и другие программные инструменты, разработанные ранее. Некоторые из них мы запатентовали, а другие сделали общедоступными для всех пользователей. Но до сих пор в PayPal применяются приложения, которые недоступны широкой общественности. О них у нас стараются не распространяться, и я считаю это правильным.

Ливингстон.То есть PayPal можно назвать компанией, специализирующейся в области безопасности?

Левчин.Я считаю, что PayPal можно описать так: компания, работающая в сфере безопасности и предоставляющая защищенные финансовые услуги. Ее деятельность заключается в том, чтобы оценить риск финансовой транзакции и взять его на себя. В действительности вам ничего не известно о надежности денежной операции. Вы просто распределяете оценки риска для обоих участников транзакции, а затем заявляете: «Я буду посредником этой операции, и в случае чего компания PayPal примет на себя ответственность за потери, если таковые произойдут». Положение посредника в данном случае оказывается весьма сложным.

Поэтому способность оценить риск является ключевой для PayPal 6. Вы выступаете в роли человека, который должен сказать: «Такую финансовую операцию я могу смело провести». Или, наоборот: «Может быть, стоит воздержаться от этой сделки, поскольку вы, ребята, очень похожи на воров?» Я считаю, что такая деятельность компании относится к области обеспечения безопасности. Я имею в виду не только защиту данных от хакеров, а подразумеваю безопасность в более широком смысле: оценка рисков, определение критериев нормальной операции и т. д. Остальные наши услуги можно считать услугами широкого потребления, которые способны предоставлять и другие компании. В 2000 году у нас было множество конкурентов, поскольку со стороны казалось, что предоставлять услуги электронных платежей очень просто: достаточно зарегистрироваться, использовать номера кредитных карт, перевести немного денег и все.

Ливингстон.Что вам удалось сделать такого, чего не смогли ваши конкуренты?

Левчин.Самое сложное – определить риск финансовой транзакции. Люди, которые работают в сфере финансов, понимали это, но не хотели заниматься тем, чем занимались мы. Как правило, они сразу говорили: «Существуют плохие парни. Давайте от них избавимся».

Да, можно применить стандартные процедуры для регистрации пользователей. Выглядит это приблизительно так: «Предоставьте нам номер кредитной карточки, домашний адрес и девичью фамилию вашей матери, а мы отправим вам документ, на котором вы распишетесь и вернете его нам». После завершения всей процедуры вы получаете вполне надежного клиента. Но, увы, таких просто не появляется, поскольку на каждом этапе этой процедуры процент отсеявшихся составляет около 30 процентов. При наличии десяти этапов регистрации и отказе от дальнейших действий одной трети желающих в конечном итоге до финиша никто не доберется.

Дело в том, что в стартапах не осознавали возможного риска. Мы вообще не думали ни о чем подобном, создавая компанию. Нам просто повезло… Возможно, мне стоит поблагодарить судьбу за год скуки, когда, ожидая перехода на платформу Windows, я углубился в изучение выполняющихся операций, чтобы понять суть мошеннических действий и атак хакеров. Однако независимо от причин мы оказались достаточно сообразительны, чтобы быстро оценить всю серьезность проблемы. Затем удалось достаточно эффективно решить ее, что не смогли сделать конкуренты, которые быстро прогорели. Я помню все их громкие заявления, звучавшие при уходе из бизнеса, в том числе и в наш адрес. Они говорили, что компания PayPal тоже скоро обанкротится, поскольку никому не под силу справиться со столь огромным количеством атак интернет‑мошенников.