«Довелось здати в оренду свою психіку». Роман Ланський – про роботу в GovTech, корупцію на митниці та важливість «політичних яєць»

Роман Ланський – один з найвідоміших спеціалістів в українському GovTech. Близько двох років тому разом з Володимиром Чугаєм вони запустили компанію Strimco, яка створює цифрові продукти для держави. Зараз, говорить Ланський, проєкт став прибутковим. 

У відвертій розмові з AIN.UA він розповідає про те, яким сервісом він найбільше пишається, чому впроваджувати реформи важко та хто чинить опір, як українська митниця стала заручником одного айтівця, чому в держсекторі наразі не готові підіймати зарплати та чи шукає зовнішні інвестиції для Strimco.

Які початкові інвестиції необхідні для запуску GovTech-стартапу? 

Насправді початкових інвестицій у нас було нуль. Єдина інвестиція – психологічні травми після кількох років роботи з державою. Коли ми започаткували стартап, він був таким собі юридичним симулякром. Адже щоб брати участь в серйозних тендерах, компанія повинна мати історію зроблених проєктів, укладених контрактів тощо. Тож довгий час ми практикували пряму співпрацю команди через ФОП з міжнародними донорами, які насправді фінансують 80-90% всіх IT-проєктів у GovTech. 

Друга інвестиція – це репутація. Коли я ще працював радником в Міністерстві охорони здоровʼя, то мимоволі став фандрейзером і залучив для проєктів, якими опікувався, близько $3 млн. Донори приходили до мене просто через те, що я мав історію успішних проєктів.

Насправді майже всі продажі Strimco досі закриваю я, винятково завдяки репутації.

Ти зауважив, що від 80% до 90% коштів у GovTech-проєктах – донорські. Поясни, чому так. 

Тому що часто державні кошти, які начебто спрямовані на GovTech, насправді заливаються або на вендорлочні компанії [такі, що працюють з привʼязкою до одного постачальника – ред.], або на мутні корупційні оборудки. До того ж державні кошти тягнуть за собою дуже зашкарублу та важку в організації бюрократичну процедуру, яку до того ж ще і робити держслужбовцю. А звернутись до донора – набагато швидше та простіше, ба більше, зазвичай їхні процедури гнучкіші та швидші.

А коли ми говоримо про нові проєкти, які мають високі критерії якості – умовно, більшість того, що робить Мінцифра або її мережа CDTO, – то це близько 80-90% донорських коштів.

Що насправді мотивує людей йти в GovTech?

Це якийсь наркотик. У корпоративному секторі дуже малий відсоток проєктів справді впливають на чиєсь життя – ти здебільшого оцифровуєш операційні процеси, складський облік, систему платежів тощо. А продуктів, якими користуються реальні люди, і вони їм спрощують життя, мало. З останніх великих можу назвати хіба monobank, який докорінно змінив досвід взаємодії з банками. 

А в державі кожен проєкт такий. Наприклад, «єМалятко», яким я займався ще до Strimco, сильно спростив людям взаємодію з державними органами після народження дитини. Або ж реформа екстреної медицини, коли ти розумієш, що завдяки тому, що тепер швидка приїжджає вчасно, зберігаються життя людей. 

Долучення до проєктів з таким впливом тебе сильно «драйвить». За весь час роботи Strimco з моєї команди випали буквально дві чи три людини. Буває, що спеціалісти йдуть «відпочити» в комерційний сектор, а потім повертаються назад. Адже я ще ніде не відчував таку концентрацію відчуття долученості до чогось корисного. 

Ми хочемо обʼєднатись з іншими GovTech-компаніями на українському ринку, щоб розвʼязати три проблеми. По-перше, адвокаційну. Зараз бюрократичний цикл між виконанням проєкту і отриманням оплати може складати аж пів року, уяви. Або коли тобі необхідно 30% бюджету всього проєкту виділити на розробку нікому не потрібної документації за радянським ГОСТ 34. Загалом проєкти часто не злітають через бюрократичні обмеження, адже в Україні нормативка дуже крива. 

Близько 60-70% команд українського GovTech, з якими я спілкувався, підтримують ідею обʼєднатись, аби самим приходити до представників влади і адвокувати зміни. Тому що поодинці нас не чують.

Зараз ми готуємо пропозиції щодо платформи реєстрів «Дія.Engine». Моя команда – одні з основних розробників на цій технології. Це така собі державна система управління бізнес-процесами (BPMS), яка дає змогу зі старту підключити електронні підписи, інтеграції з різними реєстрами тощо. Дуже прикольний інструмент, який пришвидшує створення не дуже складних сервісів у два-три рази, і в півтора раза здешевлює їхню розробку порівняно зі звичайним кодингом. Але він геть не орієнтований на розробників як на користувачів.

І кожна GovTech-команда постійно приходить до Мінцифри зі своїми побажаннями. А в них це у далекому беклозі. Саме тому нам треба більше голосів, аби адвокувати такі зміни.

Ще одна задача – те, що я називаю «пʼятою статтею НАТО». Це протидія корупції. Я вже довго в секторі GovTech і маю певний політичний вплив і репутацію, тож люди знають, що до мене не треба приходити з пропозиціями хабарів.

Але все одно траплялось, що замовник погрожував не приймати результати нашої роботи, якщо ми безоплатно не зробимо додаткові задачі по проєкту.

У мене є свої способи боротьби з цим, але в принципі, я розумію, що якщо це буде дуже сильна політична фігура, я нічого не зможу зробити. А коли в нас буде обʼєднання різних команд, то стане легше відбиватись від протизаконних дій. 

Наскільки високими є корупційні ризики на державних тендерах та наскільки їм сприяє поточна «нормативка»? 

Якщо хтось хоче організувати тендер під конкретну компанію, щоб отримати відкат, цьому дуже важко перешкодити. Найкраще цьому запобігають міжнародні організації, це одна з причин, чому більшість нормальних IT-проєктів створюються за донорське фінансування. 

Але в GovTech загалом мало конкуренції, бо мало учасників. Мені особисто не доводилось «штовхатись» за проєкти на тендерах. Навпаки, до нас приходить держава і каже: у нас буде тендер на такий проєкт, прийдіть і спробуйте його виграти, бо ніхто не хоче ним займатися. Команд набагато менше, ніж попиту. Тож і корупції на тендерах в цій сфері менше, ніж в інших.

Натомість корупціонери йдуть іншим шляхом, намагаються обґрунтувати все адекватними цілями: «У нас в держсекторі малі зарплати, нам треба людям нормально платити, давайте ви 10% від проєкту розкидаєте на наші ФОП, і все буде добре». Ще просять законтрактувати на проєкти людей, які нічого не роблять. Кажуть: «Ви виграли цей проєкт, ми його готові погодити, але ви, будь ласка, закладіть в бюджет цих трьох хлопчиків – вони нічого робити не будуть, просто повисять». 

Ба більше, інколи це просять робити донорів, і ті погоджуються! Бо деякі з них можуть витрачати гроші тільки за своїм мандатом – наприклад тільки на оборону, медицину, будівництво чи будь-яку іншу конкретну сферу. А ціль бюрократа, навіть міжнародного, – витратити гроші і відзвітувати. І коли у їхньому мандаті тільки корумповані відомства, то аби хоч якось реалізувати свою функцію, вони схильні погоджуватись на підозрілі речі. До них приходить держслужбовець і каже: «Внесіть у свій донорський проєкт ось цих десятьох людей, і тільки після цього я дозволю вам витрачати наші кошти на наші проєкти». І донор, який не має політичних яєць, не готовий боротись із таким, а хоче просто спокійно робити свою роботу, погоджується.

А у тебе є розуміння, як з цим боротись? 

Максимально прибирати ризики роботи в цьому секторі. Зараз все забюрократизовано – ти можеш зробити проєкт, а гроші отримати лише через пів року. Думаю, більшість IT-підприємців сказали б «да ну його нафіг!». А у нас це щоденні реалії роботи. Відповідно, у нас немає сильної конкуренції. Якщо у тебе немає сильної конкуренції, тобі набагато важче боротись з корупційною складовою. 

І та ж сама історія всередині держави. Наприклад, я б не пішов зараз на жодну посаду в держорганах, – наприклад, мені час від часу пропонують стати CDTO, – бо там величезний набір ризиків. По-перше, я не готовий до того, що в деяких держструктурах працівникам доплачують в конвертах, аби просто зарплата була ринковою. З безпекового погляду це дуже погано, байдуже на формат – хоч ти вкрадеш у держави мільярд, хоч щомісяця братимеш різницю в конверті без прямої залученості в корупцію, ти все одно підсідаєш на цей гачок і до тебе дуже легко можуть прийти хлопці в погонах. Скажуть, що все зафіксували, і змусять грати на їхніх умовах – відмовитись ти вже не зможеш. 

При цьому я розумію, що не готовий працювати за $1000 тривалий час, заступаючи на державну посаду. І подібних запитань безліч – тобі постійно треба відбиватись від купи правоохоронців, долати бюрократію, слідкувати, щоб ти раптом не підписав чогось такого, за що в тебе потім спитають. Я бачив дуже багато тямущих, ціннісних людей з нульовою толерантністю до корупції, які неуважливо підписували документ, що їм в потрібний момент підклали, а потім до них починали табуном ходити СБУ, поліція та інші. 

Тож аби заступати на подібну посаду, потрібен дуже великий запас власних грошей. 

Зі спілкування з представниками влади, чи бачиш ти політичну волю виправляти цю бюрократію, низькі зарплати, виплати в конвертах, перебування на гачку в правоохоронців? 

Наче як є. Але існують чимало обмежувальних факторів. Наприклад, як легально платити відносно ринкову зарплату в держсекторі? Якщо створити державне підприємство, то там можна законно платити більші зарплати, ніж в міністерствах. Чи створити певну дорадчу структуру, як-то ІТ-офіс, сформований з команди, що фінансується грантовими коштами від донорів.

Покрити таким чином відносно нормальними фінансами виходить лише певний відсоток команди, тож необхідно реформувати всю держслужбу. Ще нюанс: коли політики бачать, як десь у держслужбі, на тій же митниці, пробують підняти зарплату до ринкової, за це політично атакують опоненти. Ми живемо в київській айтішній бульбашці, де у людей більші доходи. А коли ти як політик орієнтуєшся на широкий загал, то люди заробляють жахливо мало, тож для них зарплата навіть $1000 у заступника міністра викликає дратування. І їм не поясниш, що на відповідній позиції на ринку людина отримує $10 000. 

Тож політично давати держслужбовцям ринкові зарплати дуже небезпечно. Будь-який політик намагається зірвати плід, який найнижче висить. А ось такий крок рейтингу точно не додасть. При цьому ресурсу та часу, щоб реформувати держслужбу, необхідно надзвичайно багато. Тому за це ніхто не береться.

Хочу запитати про єдину Платформу реєстрів, раз ти згадав про «Дія.Engine». Деякі кіберскептики критикують ідею створення суперреєстру через безпековий компонент, можливість хакерам злити всі дані з одного місця. З того, що ти бачиш, наскільки держава серйозно ставиться до питання кібербезпеки в цій ситуації? 

Тут треба порушити питання інтероперабельності. Це принцип мінімального перевикористання даних в різних системах, коли в тебе все побудовано на цифрових ключах. Йдеться про те, щоб не дублювати дані в кожному реєстрі. 

Коли ти робиш будь-яку електронну послугу, у тебе першим постає питання ідентифікації. А в нас банально немає ID громадянина у кожного. Натомість є УНЗР – це той номер, який тобі видають, коли оформлюють або закордонний паспорт, або звичайний біометричний. Але зараз він є лише у 60%-65% громадян. А далі починається гра «знайди громадянина». У нього є УНЗР? Немає. У нього є податковий номер? Може є, а може, немає. А номер паспорта? Теж не факт, тому що людина може жити за тимчасовою посвідкою на проживання, бути резидентом іншої країни, а тобі потрібно видати йому послугу. 

Тож якщо в людини немає УНЗР, це надзвичайно важко. І тому зібрати ось такі дані по всіх громадянах з реєстрів, вкрасти їх – це в принципі неможлива задача, тому що немає інтероперабельності. Це маленький приклад, але загалом перша лінія захисту від кіберінцидентів – рукожопість побудови національної дата-інфраструктури, яка накопичилась за 30 років, і поки її ще довго доведеться виправляти, хоча над цим і ведеться дуже багато роботи.

Це я до того, що можливості реєстрів і державних систем часто перебільшують. Повертаючись до питання кібербезпеки. Формально всі наші системи повинні мати або КСЗІ (Комплексна система захисту інформації), або СУІБ (Система управління інформаційною безпекою), якщо вони мають якісь чутливі дані.

Зі свого досвіду запуску пів сотні різних цифрових проєктів, я ніколи серйозно не ставився до КСЗІ як бюрократичної процедури. Отримати атестат відповідності можливо тільки на стабільну систему, яка не розвивається. Адже щоб відповідати всім критеріям, треба, аби систему ніхто не чіпав, жодних оновлень не вносив. Бо під кожне серйозне оновлення потрібно буде отримувати новий атестат відповідності. 

І для цієї процедури є мільярд лайфхаків, як удавати, що ти її робиш, а врешті не робити. Але в Strimco ми серйозно ставимось до кібербезпеки, використовуємо традиційні інструменти для penetration тестів, які, на жаль, геть не підкладаються під вимоги КСЗІ. На жаль, для Держспецзвʼязку це геть не аргумент, їм потрібен папірчик за 34 ГОСТом. 

Тож більшість проєктів у GovTech тестуються на реальну кіберзахищеність самими командами розробників. Проблема ще в тому, щоб знайти кошти на побудову нормальної системи моніторингу та подальшого реагування на кіберінциденти. 90-95% проєктів, з якими я стикався, були якісно побудовані на етапі складання продукту з погляду кібербезпеки. Але ж є два ключі до надійності систем – і крім розробки, це ще і вибудовані політики безпеки та процедури у команді адміністрування системи. І ось з цим значно гірше. Коли системи передають в експлуатацію замовнику, нормальний підхід з політик кібербезпеки можна спостерігати лише у 20% команд.

Чи є в нового керівництва Держспецзвʼязку прагнення змінити ось ці ГОСТи, КСЗІ, нормалізувати формальне оцінювання відповідності стандартам кібербезпеки? 

Прагнення є, руху немає.

А що заважає?

Складність снаряда, до якого треба підійти. Ініціатори подібних змін мають бути суперкрутими кібербезпековими спеціалістами і при цьому крутими нормативщиками. А це дуже дорогі люди з погляду зарплати.

Ти долучався і до реформи митниці, яка, на жаль, не завершилась. Які в тебе враження залишились від цього проєкту, і наскільки це реальна детективна історія, що один керівник підрозділу Олександр Івашкович може зі своєю IT-системою тримати в заручниках весь цей орган?

Я не знаю, як цензурно описати загальні враження. У мене третина команди пішла до психотерапевтів, тому що як людина, яка орієнтована на результат і прагне змін, такої кількості блокерів і поливання гівном я ніде не зустрічав.

Мені реально доводилось на зустрічах для захисту своєї команди влаштовувати баталії матом. Бо твої люди проводять демо, а тобі умовний керівник департаменту такий: «Це все х*йня срана бл*ть!».

А одна з моїх задач як лідера команди – створювати для людей бульбашку комфорту, щоб їх ніщо не тригерило, давати візію, реалізовувати задачі, шукати під це ресурси. І мені, щоб це забезпечувати, потрібно було здати в оренду свою психіку.

З іншого боку, раніше ніхто з нас не підходив до такої складної реформи. З нами в проєкт зайшов тодішній голова митниці Макс Нефьодов, приніс ідеї амбітних змін, його через пів року звідти турнули. Ми не розраховували на те, що нам доведеться сидіти в опозиції і пробувати щось міняти через силу.

Так а звідки оцей опір? Корупційна складова? Небажання змін?

По-перше, корупційна складова. Рівень корумпованості митників неможливо переоцінити. Ти заходиш на їхню парковку, а там стоїть суперзаряджений Infinity «котлах» з інкрустованим дорогоцінним камінням. А це автівка бюрократа середньої руки! Позолочені килими, супердорогі костюми, я навіть знайшов колись в коморі нашого кабінету бурштиновий герб Узбекистану, а також статую Гермеса.

Це при тому, що центральний апарат митниці далеко не найбільш прибутковий – регіональні значно багатші. Рівень корупції і грошових потоків лютий. Корупція в нас багато де є, але здебільшого вона децентралізована. А митниця – це єдина структурована махіна, з якої дояться і СБУ, і мутні чуваки на кшталт Олега Татарова. Їм потрібен такий ресурс, як митниця, щоб умовно платити в конвертах заступникові міністра, «ручним» депутатам і так далі, – а це прогнозоване джерело готівки.

З Івашковичем – це справді детективна історія. Сидить дід: «Я вам все вимкну нахер. Документації немає, ключ від серверної в мене. Що ви мені тут розповідаєте?».

Він вибудував все так, що кожен його розробник має доступ до вузької ділянки системи, а доступ до самої програми є винятково в нього. 

Ми з командою робили план, що з цим можна зробити. Але для цього треба мати певні політичні яйця і бути готовим до того, що IT-система митниці тиждень-два полежить. І коли ти приносиш цей план у високий кабінет, це сприймають як серйозний політичний ризик. Таке рішення повинні протиснути в ОП. А згадаймо, хто у нас координує митницю в Офісі президента? Татаров. Що ти будеш йому розказувати про боротьбу з корупцією? Ну камон. 

Коли ми пробували адвокатувати зміни в цій історії, навіть для Мінцифри, то вони все одно мають перестрахуватися. Вони кого почнуть питати? Мінфін і СБУ, які в долі, те ж саме ОП. А Мінцифри як дуже толкові адвокати не готові так сильно воювати за цю історію, коли можна зробити купу інших хороших речей, які вдасться політично продати.

Крім цього, я був дуже здивований, дізнавшись, що і майже весь бізнес не зацікавлений в нормальній митниці, бо ти або платиш хабар митнику в $100 000, або мита на $1 млн. Зрозуміло, що обирає бізнес. 

У тебе є стратегія, як впроваджувати такі реформи попри опір? 

Не розповідатиму про все, аби корупціонери не підлаштувались під ці лайфхаки. Але основне – не конкуруй напряму зі старою системою. Шукай поле, де можеш вибудувати паралельно свою. 

Наприклад, однією з наших перших задач було зробити нормальне розмитнення автомобілів. І нам треба було «замінити» роботу старої системи новою. А коли оцифровуєш такий здавалося б простий процес, то необхідно покрити страшенно велику кількість корнеркейсів: під фінансові гарантії, процедури під завезення спецтранспорту тощо. Ми колись нарахували близько 15 різних модулів, які треба зробити під таку просту задачу, від фінансових транзакцій, до ризик-менеджменту.  

Ти намагаєшся розробити щось швидше, обрізаючи ці функції, а тобі стара команда починає дорікати: «Ой, так ви зробили систему для основного процесу, але не врахували двісті інших корнеркейсів. Як же ми замінимо стару систему на нову, ми ж не можемо зупинити ці процеси, гляньте у Митний кодекс». 

Виходить, що якщо ти береш якесь поле, вже покрите старою системою, тобі дуже важко її вибити звідти, поки ти не зробиш альтернативну функціональність. А яка б там не була крива-коса система, її робили десятки років. І дуже важко це все замінити відразу.

А от якщо ти виходиш на якесь «блакитне поле», де у тебе ще немає системи, і будуєш свою, яку з часом прокачуєш і розширюєш, це навіть легше політично продати: «Порівняйте, як було і як це зробили ми». При цьому, скільки б ти не зробив функціоналу для умовного MVP – це все одно легко впровадити, бо ти заміняєш «папір». Для нас на митниці це могли бути поштові відправлення, але ми банально пізно це побачили і вже не встигли. 

Повернімось до Strimco. Яким проєктом твоєї команди ти найбільше пишаєшся?

Емоційно важко виділити, бо ми дуже ретельно обираємо проєкти, роблячи і комплаєнс-перевірки замовників, і відкидаючи проєкти, які не несуть трансформаційної функції. Робити документообіг – не цікаво. Тому у нас є проєкти і в медицині, і в соціалці, і в культурі, і агро, тож важко обрати улюблений. 

Проте один виділю – це реєстр репарацій. Рада Європи вже створила відповідний Міжнародний реєстр збитків, який виступатиме колектором, що забиратиме гроші в росії різними способами для покриття завданих війною збитків. 

Від репарацій росіяни нікуди не дінуться. І тому нам була потрібна аргументована база підстав до репарацій: чому саме така сума і за що конкретно. Адже збитки бувають різні: комусь розбомбили будинок, у когось загинув родич, є загальнодержавні збитки, наприклад від підриву Каховської ГЕС, викрадення культурних цінностей тощо. 

Ми з командою вибудовуємо дата-інфраструктуру, щоб збирати відповідні запити і складати базу підстав для виплат репарацій, які передаватимуться Міжнародному реєстру збитків, що й стягуватиме гроші. 

А ще є пару військових проєктів, але про них не можу казати.

Strimco зараз заробляє, виходить в нуль, чи це вже прибутковий бізнес? 

Ми дуже багато коштів, які заробляємо, інвестуємо в інші проєкти. Свій перший рік (а зараз компанії два роки) ми відпрацювали майже в нуль. Але це через відсутність високого коефіцієнта маржинальності, – адже заламувати ціни, коли робиш продукт для держави, якось негарно. 

Але чим більше розросталась команда, тим більше ми розуміли, що цим стримуємо її розвиток. Коли ми внутрішньо прийняли те, що підніматимемо цінники, то стали розвиватись набагато швидше як кількісно, так і якісно. У нас зʼявились деякі напрацювання «з коробки», що допомагає швидше запускати проєкти. 

Зараз ми прибуткові. З нашим співзасновником Володимиром Чугаєм у нас пливуча частка, яку ми переглядаємо раз на пів року відповідно до результатів роботи. За час існування компанії, близько 5% ми вивели як дивіденди від всіх прибутків. 

Плануєте в майбутньому залучати зовнішні інвестиції від венчурних фондів, фондів прямого інвестування, приватних інвесторів?

За поточної бізнес-моделі Strimco – ні. У нас не стоїть задача просто стати більшими і масштабувати команду з 50 до 500 людей. Я прагну прокачувати внутрішню експертизу наших співробітників, робити їх суперсиніорними і дорогими спеціалістами, кожен з яких зможе сам розробити електронну послугу, втілити реформу тощо. Під це використовуємо внутрішні інвестиції.

Водночас ми дивимось на Strimco як на локомотивний проєкт і думаємо над тим, щоб вибудувати екосистему, запустити освітній напрям, курси для PM з боку держави з простою відповіддю, як запустити електронну послугу від ідеї до впровадження. Під це ми б залучили інвестиції.