Interjú az Ukatemi vezérigazgatóival

08/14/2024

Az interjú angolul itt olvasható >>

 

Az Ukatemi vezérigazgató-váltása remek alkalmat adott, hogy beszélgessünk a cég leköszönő és újdonsült CEO-jával. Dr. Bencsáth Boldizsár 2012 és 2024 között vezette a céget, amelyet most Kamarás Roland, az eddigi CTO vesz át.

 

Boldizsár, mesélnél kicsit a kezdetekről? Miért alapítottátok a céget? Milyenek voltak az első évek?

BB: Az Ukatemit 2012-ben alapítottuk, a BME CrySyS Laborjának spinoffjaként. Egy évvel korábban fedeztük fel és elemeztük a Duqu-t, egy Stuxnet-hez köthető malware-t. Hirtelen világszerte ismertté váltunk szakmai körökben és egyre több témába vágó projektben kértek fel minket szakértőként. Az látszott, hogy incidenskezelésre nem alkalmasak a meglévő struktúrák az IT szférában, cserébe mi értünk hozzá, a tudásunk értékes a piacon, viszont az is, hogy ez megvalósíthatatlan azokban a keretekben, amikben akkor dolgoztunk. Kellett egy üzleti entitás, egy vállalkozás, aki tud szerződni, gyors, rugalmas, bővíthető. Az Ukatemit négyen alapítottuk: Buttyán Levente, Pék Gábor, Félegyházi Márk és én. Később Gábor és Márk egy másik ötletükön kezdett el dolgozni (Avatao, amely gyakorlati kiberbiztonsági képzést nyújt fejlesztők számára), így mára Leventével ketten maradtunk az alapító csapatból. Az első években főleg az incidenskezelést próbáltuk tovább vinni, természetesen minimális sérülékenységvizsgálati munka és egyebek mellett. Ez remek niche-nek tűnt, de egy gond volt vele: az incidenskezelés tervezhetetlen. Az Ukatemi portfólióját később az egyre bővülő üzleti tapasztalatainkhoz igazítottuk. Sok akkori projekt a mai napig nem nyilvános, de izgalmas idők voltak.

 

Mik voltak a legfontosabb mérföldkövek? 

BB: Évekig maradtunk a 3-5 fős garázscég állapotban, hiszen mindenkinek volt más fókusza is, például egyetemi oktatás, kutatás a CrySyS laborban, hallgatók mentorálása, egyéb cégek, de ezzel együtt is gyorsan megtaláltuk az első tartós ügyfeleket.

Az első komolyabb mérföldkő az volt, amikor elértük, hogy legyen egy jogi és fizikai infrastruktúra, amiben dolgozni tudunk. Utána egy alapozási időszak következett: legyen elég ember, tudás, háttéranyagok, struktúrák és partneri viszonyok egy olyan cég működéséhez, ami alkalmas a profittermelésre és ahol jól lehet dolgozni. Ez az időszak egyáltalán nem az azonnali profitról szólt. Ekkoriban zajlott például az SSL tanúsítványgyűjtő platform kialakítása vagy a malware adatbázisunk építése. Több akkori befektetés eredménye mostanában érik be.

Egy harmadik komolyabb változás akkor érkezett, amikor tudatosan üzleti szemléletet hoztunk be a cégbe. Olyan sokféle feladattal találtak meg minket az ügyfelek, hogy azt már nem lehetett organikus fejlődéssel lekövetni, a cég üzleti oldalát is fel kellett építeni, sales és marketinges kollégákkal bővült a csapat, és ez a bevételi számokon is látszik.

Azt hiszem, a negyedik ilyen mérföldkőhöz most érkeztünk, hiszen mostanra kialakult egy olyan core csapat, akikből az új CEO is kikerült, és akikkel egy szervezettebb, hatékonyabb szervezeti működést tudunk megvalósítani – az alapértékeink megtartásával persze.

 

Roland, te hol csatlakoztál és mi vezetett addig, hogy most CEO-ként vegyél részt a cég életében?

KR: Már a szakmai gyakorlatomat is itt végeztem, utána itteni projektből írtam a diplomamunkám, evidens volt, hogy az MSc diploma után itt folytassam. Akkoriban az alapítókon kívül négyen voltunk a cégben: az irodavezető és 3 technikai ember, most 27-en vagyunk (de tegyük hozzá, hogy a mérnökök-nem mérnökök aránya szinte ugyanaz). Szerencsére mindig volt miért maradnom: folyamatosan új szakmai kihívások értek, volt hatásom a cég folyamataira, és szuper csapatban dolgozhattam.

Az utóbbi év board üléseinek állandó témája volt, hogy elég hatékonyan kellene működni ahhoz, hogy mindenki a kompetenciájához illő feladatokkal foglalkozhasson és ez más vezetési gyakorlatokat igényel. Ha úgy tetszik, vállalkozásból vállalattá kell válnunk – az alapértékeink megtartásával, ahogy Boldizsár is említette. Ezeken a beszélgetéseken még nem CEO-aspiránsként vettem részt, de amikor megegyeztünk az alapelvekben, és felkértek a pozícióra, nem kellett sokáig gondolkoznom. Tudtuk, hogy az Ukatemi vezetője csak szakmai ember lehet, hiszen ez az egyik legfontosabb megkülönböztető jegyünk a piacon, hitelességi kérdés volt. A legtöbb technikai dologban, amit ma is szolgáltatásként kínálunk, van tapasztalatom: incidenskezelés, malware-elemzés, pentesztelés, APT védelmi eszközök tesztelése. A jelenlegi flagship termékünk, a Kaibou korábbi verzióinak fejlesztésében és értékesítésében is részt vettem, ezen kívül rengeteget oktattam.

Nagyon nem mérnöki feladat volt, de mégis működött és rengeteget tanultam belőle, hogy amikor CTO lettem, embereket kellett vezetnem, sőt kapcsolatot kellett tartanom az ügyfelekkel. Persze kellett hozzá az is, hogy a csapatban olyan kollégák termelődjenek ki, akik fontos feladatokat tudtak átvenni és folyamatosan akartak fejleszteni a munkánk minőségén. 2020 óta a cég board-jának tagja, 2024-től pedig tulajdonos is vagyok – remélem, hogy ezek a szerepek a mérnöki szemlélet mellé elég stratégiai és tulajdonosi szemlélettel is elláttak. Biztosan van még mit tanulnom erről a szerepről, de egyrészt bízom a kollégáimban, a tulajdonostársaimban, másrészt tudatosabban igyekszem felkészülni erre a feladatra, akár külsős szakértőkkel.

 

Mik ezek az alapértékek, amikre mindketten hivatkoztatok?

KR: Magas minőségű mérnöki munkát akarunk végezni. Ha hagyományos irodai IT-ban kell, akkor ott, ha valamilyen teljesen speciális kiberfizikai területen, akkor ott. Ez részben természetesen fakad az akadémiai hátterünkből, részben a munkatársak elvárása, hogy igényesen dolgozzanak, részben pedig ez a legfontosabb ügyfélmegtartó erőnk.

Egy másik ilyen alapértékünk, hogy olyan céget szeretnénk csinálni, ahol jó dolgozni, amire számíthatnak a munkavállalók. Igyekszünk minden feedback-et, ötletet meghallgatni, emberi és őszinte módon kezelni a konfliktusokat, megadni a tehetségeknek a lehetőséget, hogy bizonyítsanak, teret adni a munka-magánélet egyensúlynak. Nem mindig sikerül, de abból meg igyekszünk tanulni. Emellett gyakorlatilag 4 éve gazdasági recesszióban dolgozunk, mégis, eddig sikerült úgy gazdálkodni, hogy ne kelljen senkit elbocsátani. Volt, aki ez alatt az idő alatt elment tőlünk, de annak egyéb okai voltak, például volt, akinek a párja külföldön kapott munkát és együtt elköltöztek. Vagy volt, aki multinál is ki akarta magát próbálni. Ilyen események mindig vannak. Igyekszünk folyamatosan tájékozódni, hogy mások hogyan lavíroznak ilyen körülmények között, és azt látjuk, hogy azért sok IT cégnek nem sikerült ekkora biztonságot adnia a munkavállalóinak. Van még néhány tervünk, ami ebbe az alapelvbe illik, például a core csapattagokkal bővíteni a tulajdonosok körét, vagy munkavállalói lakásprogramot létrehozni – ezekről majd a megfelelő időben kommunikálunk.

BB: Emellett függetlenek vagyunk, nagyon sok szempontból. A szónak más értelme van különböző környezetekben, de maradjunk most annyiban, hogy egyrészt vendorfüggetlenek vagyunk, másrészt nincs mögöttünk befektető. Az iparágunk alapja a bizalom, ahol a legfőbb tőke a hitelesség, és nem csak az ügyfeleknél, hanem globális szinten szakmai körökben is – ami nem jön rosszul egy incidenskezelés vagy malware-elemzési munka utókövetésénél.

 

Milyennek látjátok a magyar IT biztonsági piacot? 

BB: Rengeteget fejlődött az elmúlt években, és a mostanában hatályba lépő eu-s szabályozások is pozitív változásokat fognak hozni (DORA , NIS 2 stb.). A cégek információbiztonsági hozzáállása – főleg, ha multik vagy nagyobb cégek – alapvetően rendben van. De az biztos, hogy tömegében sokkal több munka megvalósítására lenne szükség, és az is, hogy nagyon kevesen csinálnak minőségi munkát. Penteszt esetében például sajnos kimondottan kevés megbízható szereplő van itthon.

A magyar piac másik jellemzője, hogy a szolgáltatások meglehetősen alulárazottak, nem csak a nemzetközi szinthez vagy Nyugat-Európához képest, hanem régiós szinten is. Ez azért probléma, mert csak a munka minőségének romlásával lehet megoldani. Bizonyos szakterületek pedig, mint a forensics és incident response, továbbra sem elég fejlettek, ami részben szintén a makrogazdasági környezet és recesszió következménye. Amikor a gazdaság ismét fejlődő szakaszban lesz, akkor a cégeknek ebbe az irányba is el kell kezdenie költeni. Értjük, hogy sok cégnek most nem telik rá, de az nem lehet, hogy majd akkor se foglalkozzanak IT biztonsággal, amikor már megtehetnék. Pontosan láttuk az elmúlt években, hogy napi szinten történnek olyan IT biztonsági incidensek, amiket el lehetett volna kerülni, de valahol valaki a döntési láncban csak legyintett, hogy „velünk ez úgysem történhet meg”.

KR: Egyet kell értenem Boldizsárral, itthon sajnos sokszor az elsődleges szempont az olcsó munka. Nagyon jó lenne, ha minőség tekintetében is lehetne versenyezni Magyarországon, mert az árverseny miatt nem szeretnénk a munkánk minőségéből áldozni és jelenleg benne vagyunk a 3 legjobb hazai cégben. Szerencsére egyre több és egyre nagyobb ügyfelünktől érkezik olyan visszajelzés, hogy a minőség iránti elkötelezettségünk megéri az árát, hiszen amint valaki elkezd velünk dolgozni, stabil ügyféllé válik. A magyar piac okozta nehézségeket részben azzal igyekszünk orvosolni, hogy minél több nemzetközi ügyfelet szerzünk.

 

Mik a legfontosabb mai kihívások az Ukatemi számára? Roland, te hogyan szeretnéd alakítani a céget és Boldizsár, mit tanácsolnál neki?

BB: Bizonyos technológiák elterjedésével, azok szabályozásával számolni kell az üzleti modellünk átgondolásakor. Egy biztos, az AI jelentős kihívás. Még nem tisztázott, hogyan válaszoljunk rá kiberbiztonsági cégként: azonnal próbáljunk meg mindent automatizálni, AI-val megoldani, vagy inkább pont azzal foglalkozzunk, amit az AI nem tud megcsinálni, esetleg integráljuk a kettőt? Ma még egyáltalán nem látszik, hogy egy malware-elemzésben, incidenskezelésben vagy sérülékenységvizsgálatban meddig szabad automatizálni és minek kell mindenképp ember által végzett folyamatnak lennie. Ez nem csak minőségi, technológiai kérdés, hanem jogi, adatbiztonsági és üzleti is. Másik hasonló dilemma a cloud kérdése: cloud irányba megyünk el, vagy pont egy kicsit vissza kell térni belőle annak érdekében, hogy az IT biztonsági kritériumokat teljesítsük? Jelen pillanatban nem lehet megmondani, mert mindkét irányra vannak jó példák, rossz példák, hívek és kritikusok. És arról még nem is beszéltünk, hogy ezek a technológiák milyen hatással lesznek a bérekre – nem csak nálunk, hanem nemzetközi szinten, több iparágban. A következő CEO-nak úgy kell lavíroznia, hogy a végén a jó oldalra kerüljön.

KR: Első körben a belső hatékonyságon szeretnék javítani. Van egy közösen kialakított és elfogadott stratégiánk a következő évekre – növekedés, ügyfélportfólió, termékeladások száma stb. A meglévő mérnöki szemléletet, akadémiai igényességet szeretnénk átültetni a belső folyamatainkra is, hogy ez a stratégia megvalósulhasson. A Boldizsár által említett technológiai kérdések valóban keretezni fogják a szakmánkat, üzletünket, én azt szeretném elsősorban elérni, hogy teret adjak a cégen belül ahhoz, hogy ezekkel foglalkozni lehessen, ne arra menjen el szakértői energia és lelkesedés, ami nem teremt értéket.

Amit még fontosnak látok, hogy további medior-senior kollégákkal bővítsük a csapatot, lehetőleg olyanokkal, akikkel több üzleti tapasztalatot is tudunk hozni a cégbe. A meglévő core csapat tagjainak pedig szeretnénk egy olyan szakmai életpályát adni, velük együtt tervezni a számukra, ami továbbra is inspirálja őket, valamint bővíteni velük a tulajdonosok körét.

Nem utolsó sorban pedig továbbra is szeretnénk izgalmas mérnöki problémákon dolgozni. Elvégre ’Driven by challenges’.