Страница:
Ливингстон. Другие сотрудники компании знали об этом?
Левчин. Думаю, за лето многие постепенно пришли к пониманию всей серьезности ситуации. В какой-то момент этот вывод стал очевидным. Мне не пришлось никого убеждать. Сначала многие говорили: «Да, это крупные суммы, но объем операций тоже быстро растет. Если смотреть на абсолютные цифры, то 5 млн долл. на фоне транзакций на сумму в 300 млн долл. выглядят некритично».
Однако на высших уровнях управления PayPal возникли резкие разногласия, в результате чего генеральному директору пришлось уйти в отставку. На этот пост вернулся Питер Тиль. Первое наше с ним совместное решение заключалось в том, что кроме технического управления компанией я должен устранить проблему мошенничества в системе. Ведь я уже потратил массу времени на выявление существующих потерь. Мне удалось убедить того молодого практиканта, Боба, оставить Стэнфордский университет на год и вместе со мной сфокусироваться над данной задачей. Весь следующий год мы с Бобом посвятили выявлению причины существующих проблем и устранению всех возможных прорех в системе безопасности.
Ливингстон. Значит, генеральный директор подал в отставку, а Питер Тиль вернулся в компанию?
Левчин. В настоящее время мы трое – хорошие друзья. Но тогда я ненавидел генерального директора, который заставлял меня перейти на Windows. В конечном итоге я был просто убежден, что ему следует уйти из компании. Мои аргументы были такими: «Мы никак не можем перейти на Windows сейчас, поскольку на данный момент для нас самым важным является противодействие атакам злоумышленников. Мы не можем позволить себе никаких дополнительных изменений. На отдельном этапе развития компании можно решить только одну серьезную проблему, а действия киберпреступников при электронных транзакциях как раз и являются таковой. Поэтому сделать одновременно и то и другое просто невозможно». Эти аргументы послужили причиной достаточно острого конфликта, который привел к отставке генерального директора, возвращению Питера и тому, что я занялся проблемой защиты от нападений хакеров.
Ливингстон. Когда вы впервые смогли сказать, что система безопасности действительно работает?
Левчин. Мы с Бобом разработали программный пакет под названием IGOR. Мы написали несколько приложений и называли их в соответствии с русскими именами, которые начинались с буквы I и состояли из четырех букв. Это правило придумал я. Так у нас появились IGOR, INGA и IVAN. В итоге мы создали впечатляющий программный продукт, на который сейчас обладаем патентом. Он построен на основе ряда сложных предположений, но, как выяснилось, наши догадки большей частью оказались правильными.
Для проведения исследований финансовых транзакций мы создали группу из 20–30 человек, занявшуюся анализом крупных мошеннических операций с целью вернуть часть денег или привлечь кого-то к уголовной ответственности. Увы, нам не удалось добиться значительных успехов на этом поприще. Все действия исследователей сводились к тому, чтобы проследить, куда ушли деньги, и понять, не можем ли мы их вернуть хотя бы частично, пока они не покинули систему электронных платежей. Это оказалось достаточно сложной задачей, поскольку доступные на то время инструменты позволяли одновременно просматривать лишь несколько счетов. При хорошо скоординированной схеме мошенничества с применением тысяч или сотен тысяч счетов движение денег проследить было невероятно тяжело.
Как-то зашел я к одному из исследователей и увидел на столе огромные стопки распечаток. Я поинтересовался, что это такое, и он ответил: «Я пытаюсь отследить деньги». На мой вопрос о количестве рассматриваемых им случаев мошенничества он сказал, что все эти распечатки относятся к одному случаю. «О какой сумме идет речь?» – поинтересовался я. «О 800 тыс. долл.», – был ответ. «Что ж, это крупная сумма, но ведь вам потребовалось около недели, чтобы распечатать все эти данные», – сказал я.
Мы поняли, что используемые методы совершенно неэффективны. Поэтому Боб и я разработали специальную систему, которая представляла собой инструмент визуализации и балансировки, позволяющий отображать крупные транзакции денежных средств в наглядной форме. Используя его в качестве базового, мы написали все остальные программы, с помощью которых компьютеры могли предсказывать все потенциально возможные потери крупных сумм. Затем в визуальной форме отображалась схема финансовых потерь, чтобы наши исследователи могли быстро принять решение о том, следует ли заниматься тем или иным случаем.
Когда мы продемонстрировали возможности разработанной системы, одна женщина из исследовательской группы отреагировала весьма эмоционально: она расплакалась от счастья и сказала: «Вы даже не представляете, что вы сделали, Макс». Наши исследователи действительно трудились слишком много.
Как только мы внедрили свое изобретение, количество успешных атак хакеров резко сократилось. Приблизительно на 80 процентов. Но мы не остановились на достигнутом и продолжали реализовывать разные идеи, пока число мошеннических операций не упало до 0,1–0,15 процента. Таким образом, нам удалось с помощью специальной программы значительно сократить финансовые потери компании. Очевидно, что в этом вопросе мы таки добились успеха.
Затем в добровольное «изгнание» отправилась Сара Имбач. Она переехала в город Омаха и сначала стала менеджером группы по противодействию атакам хакеров, а потом возглавила весь наш центр по изучению противоправных действий, содержание которого в связи со сменой дислокации стало обходиться нам значительно дешевле. Сара Имбач руководила специалистами центра, а я предоставлял ей все необходимое программное обеспечение. За год нам удалось взять под контроль нашу платежную систему и пресечь попытки кражи денежных средств.
Ливингстон. То есть решение проблемы хакерских атак стало результатом работы группы людей и создания программного обеспечения?
Левчин. Ответ на этот вопрос зависит от того, кого вы спросите. Думаю, что Сара поставит на первое место людей, а программисты скажут, что основная заслуга принадлежит использованным технологиям. Очень сложно оценить, что является мошенничеством. Чтобы принять окончательное решение, нужен или человек, или квантовый компьютер. Ведь дело касается денег, которые принадлежат другим людям. Вы ведь не хотите, чтобы компьютер решил: «Для вас сумма 2 долл. не имеет значения». Это похоже на мошенничество, но я не думаю, чтобы злоумышленник рисковал свой головой ради такой суммы.
Кроме того, существовали различные правила и исключения, когда мы говорили: «Даже несмотря на то что это преступное действие, мы не станем его расследовать, потому что…» Мы научились решать такие проблемы позже. Первоначально мы распределяли хакерские атаки по размеру убытков, но затем стали их сортировать по ожидаемым потерям. С помощью программных средств мы научились оценивать вероятность потерь. Затем, установив, о какой сумме идет речь, мы определяли значение ожидаемых убытков и по ним назначали категорию конкретного случая для наших исследователей. Они обрабатывают только 5 процентах случаев нарушения безопасности, которые определены как наиболее серьезные, и проверяют каждый из них по огромному перечню признаков мошеннической операции. Причем благодаря опыту и быстрой оценке конкретной ситуации им зачастую хватает даже половины этих признаков, чтобы выявить вероятную брешь. То есть мы определяем операции с самыми высокими ожидаемыми потерями. Это был один из методов, использованных нами при разработке программного обеспечения.
Ливингстон. Ваши конкуренты создали что-то подобное?
Левчин. Мы долго хранили свои программы и методы в тайне и никогда не показывали пакет IGOR посторонним. И не рассказывали о нем прессе. Меня можно назвать параноиком. Но когда мы создали этот пакет, он был установлен на терминале, стоявшем в конференц-зале. Наши сотрудники могли зайти в эту комнату, воспользоваться им и уйти. Другие копии пакета IGOR были недоступны.
Когда нам удалось справиться с хакерскими атаками, приложениями заинтересовались федеральные службы и власти штата Калифорния. Мы пригласили представителей власти в офис, но они могли только войти в конференц-зал, использовать наши программы и уйти. Мы не разрешили ни копировать свои приложения, ни делать распечатки.
Ливингстон. Вы запатентовали программы?
Левчин. В действительности я не хотел получать патент. Во-первых, мне не нравится сама идея патентов на программное обеспечение, а во-вторых, если вы получаете его на что-то, то должны обнародовать свое изобретение. Даже если никто не посягнет на него, все равно конкуренты получают преимущество. Поэтому мы решили сохранить коммерческую тайну и никому не показывать созданные приложения.
Со временем пакет приложений IGOR стал достаточно известным внутри компании, как и другие программные инструменты, разработанные ранее. Некоторые из них мы запатентовали, а другие сделали общедоступными для всех пользователей. Но до сих пор в PayPal применяются приложения, которые недоступны широкой общественности. О них у нас стараются не распространяться, и я считаю это правильным.
Ливингстон. То есть PayPal можно назвать компанией, специализирующейся в области безопасности?
Левчин. Я считаю, что PayPal можно описать так: компания, работающая в сфере безопасности и предоставляющая защищенные финансовые услуги. Ее деятельность заключается в том, чтобы оценить риск финансовой транзакции и взять его на себя. В действительности вам ничего не известно о надежности денежной операции. Вы просто распределяете оценки риска для обоих участников транзакции, а затем заявляете: «Я буду посредником этой операции, и в случае чего компания PayPal примет на себя ответственность за потери, если таковые произойдут». Положение посредника в данном случае оказывается весьма сложным.
Поэтому способность оценить риск является ключевой для PayPal[6]. Вы выступаете в роли человека, который должен сказать: «Такую финансовую операцию я могу смело провести». Или, наоборот: «Может быть, стоит воздержаться от этой сделки, поскольку вы, ребята, очень похожи на воров?» Я считаю, что такая деятельность компании относится к области обеспечения безопасности. Я имею в виду не только защиту данных от хакеров, а подразумеваю безопасность в более широком смысле: оценка рисков, определение критериев нормальной операции и т. д. Остальные наши услуги можно считать услугами широкого потребления, которые способны предоставлять и другие компании. В 2000 году у нас было множество конкурентов, поскольку со стороны казалось, что предоставлять услуги электронных платежей очень просто: достаточно зарегистрироваться, использовать номера кредитных карт, перевести немного денег и все.
Ливингстон. Что вам удалось сделать такого, чего не смогли ваши конкуренты?
Левчин. Самое сложное – определить риск финансовой транзакции. Люди, которые работают в сфере финансов, понимали это, но не хотели заниматься тем, чем занимались мы. Как правило, они сразу говорили: «Существуют плохие парни. Давайте от них избавимся».
Да, можно применить стандартные процедуры для регистрации пользователей. Выглядит это приблизительно так: «Предоставьте нам номер кредитной карточки, домашний адрес и девичью фамилию вашей матери, а мы отправим вам документ, на котором вы распишетесь и вернете его нам». После завершения всей процедуры вы получаете вполне надежного клиента. Но, увы, таких просто не появляется, поскольку на каждом этапе этой процедуры процент отсеявшихся составляет около 30 процентов. При наличии десяти этапов регистрации и отказе от дальнейших действий одной трети желающих в конечном итоге до финиша никто не доберется.
Дело в том, что в стартапах не осознавали возможного риска. Мы вообще не думали ни о чем подобном, создавая компанию. Нам просто повезло… Возможно, мне стоит поблагодарить судьбу за год скуки, когда, ожидая перехода на платформу Windows, я углубился в изучение выполняющихся операций, чтобы понять суть мошеннических действий и атак хакеров. Однако независимо от причин мы оказались достаточно сообразительны, чтобы быстро оценить всю серьезность проблемы. Затем удалось достаточно эффективно решить ее, что не смогли сделать конкуренты, которые быстро прогорели. Я помню все их громкие заявления, звучавшие при уходе из бизнеса, в том числе и в наш адрес. Они говорили, что компания PayPal тоже скоро обанкротится, поскольку никому не под силу справиться со столь огромным количеством атак интернет-мошенников.
Была одна компания (по-моему, она называлась eMoneyMail), представитель которой во время встречи с прессой по поводу прекращения ее деятельности заявил, что Интернет не является безопасной средой для осуществления транзакций. Число мошеннических операций от общего количества транзакций в eMoneyMai составляло 25 процентов. То есть при перечислении каждых 4 доллара 1 доллар крали хакеры. И все эти деньги выплачивались из «кармана» компании. Они заявили: «Мы потеряли огромные деньги», и просто закрылись.
Кроме того, нам повезло, что ребята из Citibank и других крупных финансовых учреждений, которые на основе своего многолетнего опыта тоже хорошо разбирались в механизмах мошенничества и понимали серьезность проблемы киберпреступности, не подошли к ее решению с тем счастливым неведением, с каким это получилось у нас. Мы начали устранять ее, исходя из принципа: «Мошенники собираются нас уничтожить. Что мы можем сделать для собственного спасения?» А специалисты банковской сферы думали так: «Наши операции надежно защищены. Как выполнить их в Интернете, не допустив к ним злоумышленников?» Последнее я считаю ошибочной позицией, ведь вы ограничиваете своих клиентов, а новые пользователи, которые хотят узнать о новой системе, не желают мириться с ограничениями.
Ливингстон. Почему вы считаете, что ваши конкуренты из финансовых организаций думали именно так?
Левчин. Мне кажется, что для таких людей существуют стандартные правила, применяемые по умолчанию в тех или иных ситуациях, когда определенные действия позволяют решить определенную проблему. Эти люди делают карьеру в крупных банках, где отсутствует понятие управления рисками. Они знают, что можно делать, а чего нельзя.
С другой стороны, я полагаю, многие подобные организации являются открытыми компаниями, акции которых торгуются на бирже. Мы отказались от первичного размещения акций до того момента, пока не решили проблему киберпреступности. Если финансовая организация наподобие Citibank, акции которой прозрачно торгуются на бирже, заявит о том, что она потеряла 10 млн долл. в месяц из-за интернет-мошенников, для ее инвесторов это может стать настоящим потрясением. Однако я думаю, что даже если бы такие компании действительно попытались разработать систему защиты от действий хакеров при финансовых трансферах, то они вряд ли добились бы успеха. Объясню почему. Мы проводили консультации со многими подобными организациями в поисках потенциальных клиентов или партнеров. И оказалось, что ни одна из них не пыталась классифицировать угрозы мошенничества, как это сделали мы.
Укоренившиеся правила очень трудно изменить, если вы работаете в определенной области долгое время. Таким образом, наша наивность сослужила нам хорошую службу. Мы не знали, как принято решать проблему мошенничества, поэтому просто изобрели собственный метод.
Ливингстон. Что еще вас беспокоило?
Левчин. Причины для волнения возникают всегда, буквально ежедневно. На протяжении четырех лет я не мог спокойно спать. Когда вы отвечаете за техническое обеспечение работы быстро развивающейся компании, деятельность которой проходит на виду у общественности, всегда появляются беспокоящие вас проблемы. В начале 2000 года это была масштабируемость. Несколько дней из-за перегрузки наш сайт не работал, несмотря на то что мы добавили серверы и переписали программный код. В определенный момент оригинальная разработка перестала удовлетворять требованиям пользователей. Весьма неприятная ситуация.
Питер Тиль очень помогал мне, защищая от многих проблем. Он говорил репортерам: «Количество наших пользователей стремительно растет». Несколько лет тому назад компания eBay потеряла около 20 процентов рыночной капитализации в результате отказа системы, связанного с обслуживанием увеличивающегося числа запросов, и репортеры поинтересовались у ее представителя: «Разве это похоже на eBay? Ваш сайт не будет работать всю неделю?» Поэтому я находился в постоянном напряжении.
Ливингстон. Какие еще сложности вы можете вспомнить?
Левчин. Одной из самых напряженных стала ситуация, когда Питер Тиль и наш руководитель по связям с общественностью были ошеломлены требованием репортера поговорить с кем-то, кто занимается в нашей компании техническим обеспечением, поскольку он хотел получить информацию о предполагаемом развитии событий «из первоисточника». В телефонной беседе он спросил меня: «Какова вероятность повторения судьбы eBay? Ваша система может выйти из строя? Вы тоже не в силах справиться с большим количеством новых пользователей?» На что я ему ответил: «Парень, я не спал трое суток, пытаясь решить эту проблему». Репортер мгновенно отреагировал: «Я процитирую ваши слова в статье». Питера очень обеспокоило такое интервью.
Мне постоянно приходилось действовать по наитию. Было бы хорошо протестировать аппаратные средства и создать крупную лабораторию, чтобы действовать следующим образом: «У нас сейчас функционирует X систем, давайте увеличим их количество вдвое и проверим возможности масштабирования». Однако подобный метод на самом деле не работает. К тому моменту, когда вы протестируете в два раза большее количество систем, в реальности их число уже в три раза превысит первоначальное. К нашей системе электронных платежей ежедневно подключалось 20 тысяч новых пользователей. При этом количество транзакций возрастает экспоненциально, потому что пользователи только добавляются. Это не тот случай, когда человек появился, выполнил необходимую ему операцию и ушел. Нет, люди регистрировались, осуществляли нужные операции, оставались в системе и продолжали выполнять следующие действия.
Ливингстон. Наблюдалось ли лавинообразное увеличение количества пользователей?
Левчин. Мы рассчитывали на рост их числа с первого дня существования системы. Идея состояла в том, что я могу отправить вам деньги, даже если вы не являетесь пользователем системы электронных платежей. Если я отправлю вам 10 долл., то по электронной почте вам придет такое сообщение: «Вы можете получить 10 долл. Зарегистрируйтесь в системе, и они ваши». Это самый мощный стимул для быстрого увеличения количества пользователей, когда вы можете совершенно безвозмездно получить денежные средства.
Для покупателей и продавцов сайта eBay вообще возникал замкнутый круг, когда покупатели сообщали: «Я хочу заплатить вам по системе PayPal», а продавцы отвечали: «Я не принимаю платежей через PayPal». В ответ покупатель заявлял: «Ничего страшного. Я просто отправил вам 10 долл., а вы можете зарегистрироваться и получить их». В результате продавец вовлекался в процесс и мог признать: «Это действительно легко, поскольку я просто принимаю переводы по системе PayPal».
Ливингстон. Были ли еще поворотные моменты?
Левчин. Мы с Питером Тилем считаем, что нам просто везло. Возьмите любой эпизод из истории компании PayPal и увидите, что это действительно так.
Под везением я подразумеваю то, что компания могла прекратить свое существование на любом из решающих этапов развития, но этого не произошло. В большинстве случаев нам удавалось как-то отреагировать на проблему или заметить негативные тенденции на ее ранней стадии. Но я считаю, что наша способность вовремя прочесть знаки судьбы является элементом удачи, поскольку иначе мы просто могли пропустить признаки надвигающихся неприятностей.
Ливингстон. Хотелось ли вам когда-нибудь уволиться?
Левчин. Всерьез я задумался над этим, когда готовился переход на Windows, однако я вряд ли пошел бы на это. Я очень привязался к компании.
Ливингстон. Что вы считаете наиболее удивительным?
Левчин. Удивительным было все. Я постоянно узнавал что-то, чего не знал ранее.
Однако наиболее удивительным стало то, насколько разрослась наша компания. Как-то я сказал Питеру: «Если в PayPal будет работать 25 человек, то я, вероятно, уволюсь, поскольку люблю небольшие компании. Договорились?» В следующий раз, когда мы вернулись к этой теме, в PayPal уже насчитывалось 75 сотрудников, так что я не выполнил свою угрозу. Питер сказал: «Почему бы тебе не подождать, пока количество сотрудников не достигнет 100 человек, а там посмотрим?» Когда мы решили поговорить в следующий раз, в PayPal уже было 1000 сотрудников.
Ливингстон. Какой совет вы могли бы дать молодым программистам, которые хотят создать собственный стартап?
Левчин. Постарайтесь найти хорошего соучредителя. Я считаю, что все дело в людях, и если вы попытаетесь все организовать самостоятельно, придется преодолеть множество препятствий. В этом нет ничего невозможного, особенно если вы по натуре одиночка и интроверт, но все равно очень сложно.
Работа в компании PayPal во многом меня изменила. И прежде всего это проявилось в том, что хоть я и остался интровертом, но уже совершенно не в той степени, как раньше. Скорее всего, это было обусловлено тем, что до PayPal я руководил другой компанией один и считал это нормальным. Тогда я мог поспорить, что это лучший вариант. Но в этом случае вы можете рассчитывать только на собственные силы. Нет никого, к кому бы вы могли обратиться со словами: «Послушай, вся система может развалиться в любую минуту. Что, черт возьми, мы будем делать?!»
В первые дни существования компании мы с Питером поддерживали друг друга и знали, что не бросим общего дела в трудный момент. Когда меня охватывали сомнения вроде «интернет-мошенники нас уничтожат», Питер Тиль говорил: «Ничего подобного. Я видел статистику. Ты все делаешь правильно. Продолжай в том же духе. Мы справимся». С другой стороны, когда Питера раздражали инвесторы, разносогласия в совете директоров или что-то еще, я всегда старался его поддержать. Это звучит слишком сентиментально, но я считаю, что нужна поддержка хороших людей. Сплоченная команда – половина успеха. Возможно, еще важнее иметь хорошего соучредителя. Кого-то, на кого вы можете положиться целиком и полностью.
Ливингстон. Возникло ли у вас такое чувство доверия к Питеру Тилю с самого начала?
Левчин. Мы быстро нашли общий язык. Меня вообще тянет к интеллектуалам, и я стараюсь установить хорошие отношения с каждым по-настоящему умным человеком.
Наше общение было очень позитивным. В нас силен дух соперничества. Познакомившись, мы стали проводить много времени вместе. Однажды мы просидели в кафе восемь часов, стараясь выяснить, кто быстрее сложит пазл (свое-образный интеллектуальный марафон для двух участников). Мне кажется, в результате этого соревнования мы определили, что не являемся полными идиотами, поскольку складывали пазлы достаточно быстро.
Мы постоянно пытались найти задачи, решить которые не смог бы второй из нас. Мне очень нравится складывать пазлы. Я не могу сказать, что делаю это быстро, я не спешу. Время от времени мне требуется больше времени на решение, чем средние показатели, но практически всегда я добиваюсь успеха.
По моему мнению, в целом секрет успеха PayPal заключается в том, что жизнь свела меня с Питером Тилем, и он согласился стать соучредителем компании.
Ливингстон. Кого вы можете назвать своим учителем или примером для подражания?
Левчин. В управлении стартапом существуют различные аспекты. У разных людей я перенимал разные знания, навыки и даже увлечения. Многие из ведущих менеджеров PayPal в действительности являлись профессионалами своего дела и необычными людьми. Работать с ними было очень интересно и полезно.
Во время обучения в колледже я никогда не уделял серьезного внимания экономическим предметам и никогда не посещал занятий по бухгалтерии. Однажды вечером я пришел в кабинет финансового директора и сказал: «Я многого не понимаю в наших балансовых ведомостях и бухгалтерских отчетах. Я хорошо знаю математику, поэтому смог бы в этом разобраться, но не понимаю терминологии. Научите меня бухгалтерии». В течение многих часов он объяснял мне принципы бухгалтерского дела. Я узнал, что значит дебет и кредит, чем платежное обязательство отличается от активов и капитала и почему что-то называется так, а не иначе. Ранее обо всем этом у меня не было ни малейшего представления. К тому времени я уже год как работал в компании и решил, что пришла пора разобраться с этими финансовыми премудростями, которые представлялись мне каким-то видом искусства.
Левчин. Думаю, за лето многие постепенно пришли к пониманию всей серьезности ситуации. В какой-то момент этот вывод стал очевидным. Мне не пришлось никого убеждать. Сначала многие говорили: «Да, это крупные суммы, но объем операций тоже быстро растет. Если смотреть на абсолютные цифры, то 5 млн долл. на фоне транзакций на сумму в 300 млн долл. выглядят некритично».
Однако на высших уровнях управления PayPal возникли резкие разногласия, в результате чего генеральному директору пришлось уйти в отставку. На этот пост вернулся Питер Тиль. Первое наше с ним совместное решение заключалось в том, что кроме технического управления компанией я должен устранить проблему мошенничества в системе. Ведь я уже потратил массу времени на выявление существующих потерь. Мне удалось убедить того молодого практиканта, Боба, оставить Стэнфордский университет на год и вместе со мной сфокусироваться над данной задачей. Весь следующий год мы с Бобом посвятили выявлению причины существующих проблем и устранению всех возможных прорех в системе безопасности.
Ливингстон. Значит, генеральный директор подал в отставку, а Питер Тиль вернулся в компанию?
Левчин. В настоящее время мы трое – хорошие друзья. Но тогда я ненавидел генерального директора, который заставлял меня перейти на Windows. В конечном итоге я был просто убежден, что ему следует уйти из компании. Мои аргументы были такими: «Мы никак не можем перейти на Windows сейчас, поскольку на данный момент для нас самым важным является противодействие атакам злоумышленников. Мы не можем позволить себе никаких дополнительных изменений. На отдельном этапе развития компании можно решить только одну серьезную проблему, а действия киберпреступников при электронных транзакциях как раз и являются таковой. Поэтому сделать одновременно и то и другое просто невозможно». Эти аргументы послужили причиной достаточно острого конфликта, который привел к отставке генерального директора, возвращению Питера и тому, что я занялся проблемой защиты от нападений хакеров.
Ливингстон. Когда вы впервые смогли сказать, что система безопасности действительно работает?
Левчин. Мы с Бобом разработали программный пакет под названием IGOR. Мы написали несколько приложений и называли их в соответствии с русскими именами, которые начинались с буквы I и состояли из четырех букв. Это правило придумал я. Так у нас появились IGOR, INGA и IVAN. В итоге мы создали впечатляющий программный продукт, на который сейчас обладаем патентом. Он построен на основе ряда сложных предположений, но, как выяснилось, наши догадки большей частью оказались правильными.
Для проведения исследований финансовых транзакций мы создали группу из 20–30 человек, занявшуюся анализом крупных мошеннических операций с целью вернуть часть денег или привлечь кого-то к уголовной ответственности. Увы, нам не удалось добиться значительных успехов на этом поприще. Все действия исследователей сводились к тому, чтобы проследить, куда ушли деньги, и понять, не можем ли мы их вернуть хотя бы частично, пока они не покинули систему электронных платежей. Это оказалось достаточно сложной задачей, поскольку доступные на то время инструменты позволяли одновременно просматривать лишь несколько счетов. При хорошо скоординированной схеме мошенничества с применением тысяч или сотен тысяч счетов движение денег проследить было невероятно тяжело.
Как-то зашел я к одному из исследователей и увидел на столе огромные стопки распечаток. Я поинтересовался, что это такое, и он ответил: «Я пытаюсь отследить деньги». На мой вопрос о количестве рассматриваемых им случаев мошенничества он сказал, что все эти распечатки относятся к одному случаю. «О какой сумме идет речь?» – поинтересовался я. «О 800 тыс. долл.», – был ответ. «Что ж, это крупная сумма, но ведь вам потребовалось около недели, чтобы распечатать все эти данные», – сказал я.
Мы поняли, что используемые методы совершенно неэффективны. Поэтому Боб и я разработали специальную систему, которая представляла собой инструмент визуализации и балансировки, позволяющий отображать крупные транзакции денежных средств в наглядной форме. Используя его в качестве базового, мы написали все остальные программы, с помощью которых компьютеры могли предсказывать все потенциально возможные потери крупных сумм. Затем в визуальной форме отображалась схема финансовых потерь, чтобы наши исследователи могли быстро принять решение о том, следует ли заниматься тем или иным случаем.
Когда мы продемонстрировали возможности разработанной системы, одна женщина из исследовательской группы отреагировала весьма эмоционально: она расплакалась от счастья и сказала: «Вы даже не представляете, что вы сделали, Макс». Наши исследователи действительно трудились слишком много.
Как только мы внедрили свое изобретение, количество успешных атак хакеров резко сократилось. Приблизительно на 80 процентов. Но мы не остановились на достигнутом и продолжали реализовывать разные идеи, пока число мошеннических операций не упало до 0,1–0,15 процента. Таким образом, нам удалось с помощью специальной программы значительно сократить финансовые потери компании. Очевидно, что в этом вопросе мы таки добились успеха.
Затем в добровольное «изгнание» отправилась Сара Имбач. Она переехала в город Омаха и сначала стала менеджером группы по противодействию атакам хакеров, а потом возглавила весь наш центр по изучению противоправных действий, содержание которого в связи со сменой дислокации стало обходиться нам значительно дешевле. Сара Имбач руководила специалистами центра, а я предоставлял ей все необходимое программное обеспечение. За год нам удалось взять под контроль нашу платежную систему и пресечь попытки кражи денежных средств.
Ливингстон. То есть решение проблемы хакерских атак стало результатом работы группы людей и создания программного обеспечения?
Левчин. Ответ на этот вопрос зависит от того, кого вы спросите. Думаю, что Сара поставит на первое место людей, а программисты скажут, что основная заслуга принадлежит использованным технологиям. Очень сложно оценить, что является мошенничеством. Чтобы принять окончательное решение, нужен или человек, или квантовый компьютер. Ведь дело касается денег, которые принадлежат другим людям. Вы ведь не хотите, чтобы компьютер решил: «Для вас сумма 2 долл. не имеет значения». Это похоже на мошенничество, но я не думаю, чтобы злоумышленник рисковал свой головой ради такой суммы.
Кроме того, существовали различные правила и исключения, когда мы говорили: «Даже несмотря на то что это преступное действие, мы не станем его расследовать, потому что…» Мы научились решать такие проблемы позже. Первоначально мы распределяли хакерские атаки по размеру убытков, но затем стали их сортировать по ожидаемым потерям. С помощью программных средств мы научились оценивать вероятность потерь. Затем, установив, о какой сумме идет речь, мы определяли значение ожидаемых убытков и по ним назначали категорию конкретного случая для наших исследователей. Они обрабатывают только 5 процентах случаев нарушения безопасности, которые определены как наиболее серьезные, и проверяют каждый из них по огромному перечню признаков мошеннической операции. Причем благодаря опыту и быстрой оценке конкретной ситуации им зачастую хватает даже половины этих признаков, чтобы выявить вероятную брешь. То есть мы определяем операции с самыми высокими ожидаемыми потерями. Это был один из методов, использованных нами при разработке программного обеспечения.
Ливингстон. Ваши конкуренты создали что-то подобное?
Левчин. Мы долго хранили свои программы и методы в тайне и никогда не показывали пакет IGOR посторонним. И не рассказывали о нем прессе. Меня можно назвать параноиком. Но когда мы создали этот пакет, он был установлен на терминале, стоявшем в конференц-зале. Наши сотрудники могли зайти в эту комнату, воспользоваться им и уйти. Другие копии пакета IGOR были недоступны.
Когда нам удалось справиться с хакерскими атаками, приложениями заинтересовались федеральные службы и власти штата Калифорния. Мы пригласили представителей власти в офис, но они могли только войти в конференц-зал, использовать наши программы и уйти. Мы не разрешили ни копировать свои приложения, ни делать распечатки.
Ливингстон. Вы запатентовали программы?
Левчин. В действительности я не хотел получать патент. Во-первых, мне не нравится сама идея патентов на программное обеспечение, а во-вторых, если вы получаете его на что-то, то должны обнародовать свое изобретение. Даже если никто не посягнет на него, все равно конкуренты получают преимущество. Поэтому мы решили сохранить коммерческую тайну и никому не показывать созданные приложения.
Со временем пакет приложений IGOR стал достаточно известным внутри компании, как и другие программные инструменты, разработанные ранее. Некоторые из них мы запатентовали, а другие сделали общедоступными для всех пользователей. Но до сих пор в PayPal применяются приложения, которые недоступны широкой общественности. О них у нас стараются не распространяться, и я считаю это правильным.
Ливингстон. То есть PayPal можно назвать компанией, специализирующейся в области безопасности?
Левчин. Я считаю, что PayPal можно описать так: компания, работающая в сфере безопасности и предоставляющая защищенные финансовые услуги. Ее деятельность заключается в том, чтобы оценить риск финансовой транзакции и взять его на себя. В действительности вам ничего не известно о надежности денежной операции. Вы просто распределяете оценки риска для обоих участников транзакции, а затем заявляете: «Я буду посредником этой операции, и в случае чего компания PayPal примет на себя ответственность за потери, если таковые произойдут». Положение посредника в данном случае оказывается весьма сложным.
Поэтому способность оценить риск является ключевой для PayPal[6]. Вы выступаете в роли человека, который должен сказать: «Такую финансовую операцию я могу смело провести». Или, наоборот: «Может быть, стоит воздержаться от этой сделки, поскольку вы, ребята, очень похожи на воров?» Я считаю, что такая деятельность компании относится к области обеспечения безопасности. Я имею в виду не только защиту данных от хакеров, а подразумеваю безопасность в более широком смысле: оценка рисков, определение критериев нормальной операции и т. д. Остальные наши услуги можно считать услугами широкого потребления, которые способны предоставлять и другие компании. В 2000 году у нас было множество конкурентов, поскольку со стороны казалось, что предоставлять услуги электронных платежей очень просто: достаточно зарегистрироваться, использовать номера кредитных карт, перевести немного денег и все.
Ливингстон. Что вам удалось сделать такого, чего не смогли ваши конкуренты?
Левчин. Самое сложное – определить риск финансовой транзакции. Люди, которые работают в сфере финансов, понимали это, но не хотели заниматься тем, чем занимались мы. Как правило, они сразу говорили: «Существуют плохие парни. Давайте от них избавимся».
Да, можно применить стандартные процедуры для регистрации пользователей. Выглядит это приблизительно так: «Предоставьте нам номер кредитной карточки, домашний адрес и девичью фамилию вашей матери, а мы отправим вам документ, на котором вы распишетесь и вернете его нам». После завершения всей процедуры вы получаете вполне надежного клиента. Но, увы, таких просто не появляется, поскольку на каждом этапе этой процедуры процент отсеявшихся составляет около 30 процентов. При наличии десяти этапов регистрации и отказе от дальнейших действий одной трети желающих в конечном итоге до финиша никто не доберется.
Дело в том, что в стартапах не осознавали возможного риска. Мы вообще не думали ни о чем подобном, создавая компанию. Нам просто повезло… Возможно, мне стоит поблагодарить судьбу за год скуки, когда, ожидая перехода на платформу Windows, я углубился в изучение выполняющихся операций, чтобы понять суть мошеннических действий и атак хакеров. Однако независимо от причин мы оказались достаточно сообразительны, чтобы быстро оценить всю серьезность проблемы. Затем удалось достаточно эффективно решить ее, что не смогли сделать конкуренты, которые быстро прогорели. Я помню все их громкие заявления, звучавшие при уходе из бизнеса, в том числе и в наш адрес. Они говорили, что компания PayPal тоже скоро обанкротится, поскольку никому не под силу справиться со столь огромным количеством атак интернет-мошенников.
Была одна компания (по-моему, она называлась eMoneyMail), представитель которой во время встречи с прессой по поводу прекращения ее деятельности заявил, что Интернет не является безопасной средой для осуществления транзакций. Число мошеннических операций от общего количества транзакций в eMoneyMai составляло 25 процентов. То есть при перечислении каждых 4 доллара 1 доллар крали хакеры. И все эти деньги выплачивались из «кармана» компании. Они заявили: «Мы потеряли огромные деньги», и просто закрылись.
Кроме того, нам повезло, что ребята из Citibank и других крупных финансовых учреждений, которые на основе своего многолетнего опыта тоже хорошо разбирались в механизмах мошенничества и понимали серьезность проблемы киберпреступности, не подошли к ее решению с тем счастливым неведением, с каким это получилось у нас. Мы начали устранять ее, исходя из принципа: «Мошенники собираются нас уничтожить. Что мы можем сделать для собственного спасения?» А специалисты банковской сферы думали так: «Наши операции надежно защищены. Как выполнить их в Интернете, не допустив к ним злоумышленников?» Последнее я считаю ошибочной позицией, ведь вы ограничиваете своих клиентов, а новые пользователи, которые хотят узнать о новой системе, не желают мириться с ограничениями.
Ливингстон. Почему вы считаете, что ваши конкуренты из финансовых организаций думали именно так?
Левчин. Мне кажется, что для таких людей существуют стандартные правила, применяемые по умолчанию в тех или иных ситуациях, когда определенные действия позволяют решить определенную проблему. Эти люди делают карьеру в крупных банках, где отсутствует понятие управления рисками. Они знают, что можно делать, а чего нельзя.
С другой стороны, я полагаю, многие подобные организации являются открытыми компаниями, акции которых торгуются на бирже. Мы отказались от первичного размещения акций до того момента, пока не решили проблему киберпреступности. Если финансовая организация наподобие Citibank, акции которой прозрачно торгуются на бирже, заявит о том, что она потеряла 10 млн долл. в месяц из-за интернет-мошенников, для ее инвесторов это может стать настоящим потрясением. Однако я думаю, что даже если бы такие компании действительно попытались разработать систему защиты от действий хакеров при финансовых трансферах, то они вряд ли добились бы успеха. Объясню почему. Мы проводили консультации со многими подобными организациями в поисках потенциальных клиентов или партнеров. И оказалось, что ни одна из них не пыталась классифицировать угрозы мошенничества, как это сделали мы.
Укоренившиеся правила очень трудно изменить, если вы работаете в определенной области долгое время. Таким образом, наша наивность сослужила нам хорошую службу. Мы не знали, как принято решать проблему мошенничества, поэтому просто изобрели собственный метод.
Ливингстон. Что еще вас беспокоило?
Левчин. Причины для волнения возникают всегда, буквально ежедневно. На протяжении четырех лет я не мог спокойно спать. Когда вы отвечаете за техническое обеспечение работы быстро развивающейся компании, деятельность которой проходит на виду у общественности, всегда появляются беспокоящие вас проблемы. В начале 2000 года это была масштабируемость. Несколько дней из-за перегрузки наш сайт не работал, несмотря на то что мы добавили серверы и переписали программный код. В определенный момент оригинальная разработка перестала удовлетворять требованиям пользователей. Весьма неприятная ситуация.
Питер Тиль очень помогал мне, защищая от многих проблем. Он говорил репортерам: «Количество наших пользователей стремительно растет». Несколько лет тому назад компания eBay потеряла около 20 процентов рыночной капитализации в результате отказа системы, связанного с обслуживанием увеличивающегося числа запросов, и репортеры поинтересовались у ее представителя: «Разве это похоже на eBay? Ваш сайт не будет работать всю неделю?» Поэтому я находился в постоянном напряжении.
Ливингстон. Какие еще сложности вы можете вспомнить?
Левчин. Одной из самых напряженных стала ситуация, когда Питер Тиль и наш руководитель по связям с общественностью были ошеломлены требованием репортера поговорить с кем-то, кто занимается в нашей компании техническим обеспечением, поскольку он хотел получить информацию о предполагаемом развитии событий «из первоисточника». В телефонной беседе он спросил меня: «Какова вероятность повторения судьбы eBay? Ваша система может выйти из строя? Вы тоже не в силах справиться с большим количеством новых пользователей?» На что я ему ответил: «Парень, я не спал трое суток, пытаясь решить эту проблему». Репортер мгновенно отреагировал: «Я процитирую ваши слова в статье». Питера очень обеспокоило такое интервью.
Мне постоянно приходилось действовать по наитию. Было бы хорошо протестировать аппаратные средства и создать крупную лабораторию, чтобы действовать следующим образом: «У нас сейчас функционирует X систем, давайте увеличим их количество вдвое и проверим возможности масштабирования». Однако подобный метод на самом деле не работает. К тому моменту, когда вы протестируете в два раза большее количество систем, в реальности их число уже в три раза превысит первоначальное. К нашей системе электронных платежей ежедневно подключалось 20 тысяч новых пользователей. При этом количество транзакций возрастает экспоненциально, потому что пользователи только добавляются. Это не тот случай, когда человек появился, выполнил необходимую ему операцию и ушел. Нет, люди регистрировались, осуществляли нужные операции, оставались в системе и продолжали выполнять следующие действия.
Ливингстон. Наблюдалось ли лавинообразное увеличение количества пользователей?
Левчин. Мы рассчитывали на рост их числа с первого дня существования системы. Идея состояла в том, что я могу отправить вам деньги, даже если вы не являетесь пользователем системы электронных платежей. Если я отправлю вам 10 долл., то по электронной почте вам придет такое сообщение: «Вы можете получить 10 долл. Зарегистрируйтесь в системе, и они ваши». Это самый мощный стимул для быстрого увеличения количества пользователей, когда вы можете совершенно безвозмездно получить денежные средства.
Для покупателей и продавцов сайта eBay вообще возникал замкнутый круг, когда покупатели сообщали: «Я хочу заплатить вам по системе PayPal», а продавцы отвечали: «Я не принимаю платежей через PayPal». В ответ покупатель заявлял: «Ничего страшного. Я просто отправил вам 10 долл., а вы можете зарегистрироваться и получить их». В результате продавец вовлекался в процесс и мог признать: «Это действительно легко, поскольку я просто принимаю переводы по системе PayPal».
Ливингстон. Были ли еще поворотные моменты?
Левчин. Мы с Питером Тилем считаем, что нам просто везло. Возьмите любой эпизод из истории компании PayPal и увидите, что это действительно так.
Под везением я подразумеваю то, что компания могла прекратить свое существование на любом из решающих этапов развития, но этого не произошло. В большинстве случаев нам удавалось как-то отреагировать на проблему или заметить негативные тенденции на ее ранней стадии. Но я считаю, что наша способность вовремя прочесть знаки судьбы является элементом удачи, поскольку иначе мы просто могли пропустить признаки надвигающихся неприятностей.
Ливингстон. Хотелось ли вам когда-нибудь уволиться?
Левчин. Всерьез я задумался над этим, когда готовился переход на Windows, однако я вряд ли пошел бы на это. Я очень привязался к компании.
Ливингстон. Что вы считаете наиболее удивительным?
Левчин. Удивительным было все. Я постоянно узнавал что-то, чего не знал ранее.
Однако наиболее удивительным стало то, насколько разрослась наша компания. Как-то я сказал Питеру: «Если в PayPal будет работать 25 человек, то я, вероятно, уволюсь, поскольку люблю небольшие компании. Договорились?» В следующий раз, когда мы вернулись к этой теме, в PayPal уже насчитывалось 75 сотрудников, так что я не выполнил свою угрозу. Питер сказал: «Почему бы тебе не подождать, пока количество сотрудников не достигнет 100 человек, а там посмотрим?» Когда мы решили поговорить в следующий раз, в PayPal уже было 1000 сотрудников.
Ливингстон. Какой совет вы могли бы дать молодым программистам, которые хотят создать собственный стартап?
Левчин. Постарайтесь найти хорошего соучредителя. Я считаю, что все дело в людях, и если вы попытаетесь все организовать самостоятельно, придется преодолеть множество препятствий. В этом нет ничего невозможного, особенно если вы по натуре одиночка и интроверт, но все равно очень сложно.
Работа в компании PayPal во многом меня изменила. И прежде всего это проявилось в том, что хоть я и остался интровертом, но уже совершенно не в той степени, как раньше. Скорее всего, это было обусловлено тем, что до PayPal я руководил другой компанией один и считал это нормальным. Тогда я мог поспорить, что это лучший вариант. Но в этом случае вы можете рассчитывать только на собственные силы. Нет никого, к кому бы вы могли обратиться со словами: «Послушай, вся система может развалиться в любую минуту. Что, черт возьми, мы будем делать?!»
В первые дни существования компании мы с Питером поддерживали друг друга и знали, что не бросим общего дела в трудный момент. Когда меня охватывали сомнения вроде «интернет-мошенники нас уничтожат», Питер Тиль говорил: «Ничего подобного. Я видел статистику. Ты все делаешь правильно. Продолжай в том же духе. Мы справимся». С другой стороны, когда Питера раздражали инвесторы, разносогласия в совете директоров или что-то еще, я всегда старался его поддержать. Это звучит слишком сентиментально, но я считаю, что нужна поддержка хороших людей. Сплоченная команда – половина успеха. Возможно, еще важнее иметь хорошего соучредителя. Кого-то, на кого вы можете положиться целиком и полностью.
Ливингстон. Возникло ли у вас такое чувство доверия к Питеру Тилю с самого начала?
Левчин. Мы быстро нашли общий язык. Меня вообще тянет к интеллектуалам, и я стараюсь установить хорошие отношения с каждым по-настоящему умным человеком.
Наше общение было очень позитивным. В нас силен дух соперничества. Познакомившись, мы стали проводить много времени вместе. Однажды мы просидели в кафе восемь часов, стараясь выяснить, кто быстрее сложит пазл (свое-образный интеллектуальный марафон для двух участников). Мне кажется, в результате этого соревнования мы определили, что не являемся полными идиотами, поскольку складывали пазлы достаточно быстро.
Мы постоянно пытались найти задачи, решить которые не смог бы второй из нас. Мне очень нравится складывать пазлы. Я не могу сказать, что делаю это быстро, я не спешу. Время от времени мне требуется больше времени на решение, чем средние показатели, но практически всегда я добиваюсь успеха.
По моему мнению, в целом секрет успеха PayPal заключается в том, что жизнь свела меня с Питером Тилем, и он согласился стать соучредителем компании.
Ливингстон. Кого вы можете назвать своим учителем или примером для подражания?
Левчин. В управлении стартапом существуют различные аспекты. У разных людей я перенимал разные знания, навыки и даже увлечения. Многие из ведущих менеджеров PayPal в действительности являлись профессионалами своего дела и необычными людьми. Работать с ними было очень интересно и полезно.
Во время обучения в колледже я никогда не уделял серьезного внимания экономическим предметам и никогда не посещал занятий по бухгалтерии. Однажды вечером я пришел в кабинет финансового директора и сказал: «Я многого не понимаю в наших балансовых ведомостях и бухгалтерских отчетах. Я хорошо знаю математику, поэтому смог бы в этом разобраться, но не понимаю терминологии. Научите меня бухгалтерии». В течение многих часов он объяснял мне принципы бухгалтерского дела. Я узнал, что значит дебет и кредит, чем платежное обязательство отличается от активов и капитала и почему что-то называется так, а не иначе. Ранее обо всем этом у меня не было ни малейшего представления. К тому времени я уже год как работал в компании и решил, что пришла пора разобраться с этими финансовыми премудростями, которые представлялись мне каким-то видом искусства.