Обзор "Рынок ИТ: итоги 2003" подготовлен	При поддержке	При участии

Александр Соколов: Закон «О техническом регулировании» внес великую «смуту» в сферу защиты информации

О наиболее значимых событиях, проблемах и перспективах рынка защиты информации в интервью CNews.ru рассказал Александр Соколов, генеральный директор компании «Элвис-Плюс».

CNews.ru: Какие наиболее важные изменения произошли на рынке информационной безопасности в 2003 году?

Александр Соколов: На мой взгляд, в прошлом году произошло два важных события. С 1 июля 2003 г. вступил в силу закон «О техническом регулировании». Пока трудно сказать, что этот закон дал, но, по крайней мере, великую «смуту» в сферу информационной безопасности и защиты информации он внес.

В настоящее время нет ни одного мероприятия, посвященного этой сфере, на которых не обсуждалось бы, какое влияние закон окажет на рынок ЗИ. С одной стороны закон подразумевает добровольность декларирования стандартов. Казалось бы, замечательно: хочешь — присоединяйся, хочешь — выполняй стандарты, не хочешь — никто не заставляет.

В программной среде желание идти не по стандартам было всегда, однако практика показывает, что отклонение от стандартов очень часто дает печальные результаты, поскольку ограничивает взаимодействие программы с внешним миром. Пока программа работает на саму себя, никаких проблем не возникает, но как только начинается общение с внешним миром, возникают проблемы.

Второе заметное событие на рынке ИБ и ЗИ — это появление и формальное вступление в силу стандартов ISO15408. И тут возникает парадокс: с 1 июля стандарты отменены, и с 1 января следующего года вводится стандарт, непосредственно относящийся к области ИБ, так называемые общие критерии (common criteria). Могу добавить, что уже даже начались сертификации по новому стандарту.

В настоящее время в распространении и использовании этих стандартов существует проблема, которая заключается в следующем. Государство, как самый крупный заказчик и пользователь средств защиты информации, получает сертифицированное по ISO15408 решение. Но у государства нет инструкции, в соответствии с которой оно имеет право использовать эти средства и доказывать правомерность их использования при необходимости. И каков результат? Результат — каждый здравомыслящий человек будет действовать на основании существующих стандартов.

CNews.ru: Как, на ваш взгляд, изменилась ситуация с созданием удостоверяющих центров в России после упразднения ФАПСИ?

Александр Соколов: Я бы не стал говорить «упразднение» ФАПСИ. Лучше использовать термин «реорганизация». Ведь по сути, что произошло? Одна государственная структура вошла в другую. На сегодняшний день нет серьезного упразднения — система продолжает планомерно и эффективно работать. На ситуацию с удостоверяющими центрами эта реорганизации серьезно не повлияла.

В прошлом году был назван федеральный орган — Министерство Связи, — который является уполномоченным представителем государства в этой сфере. И министерство работает: выдаются лицензии, создаются удостоверяющие центры.

На сегодняшний день созданы десятки удостоверяющих центров. Не осмелюсь сказать, что сотни, хотя, может, так и есть на самом деле, учитывая корпоративные центры сертификации. Так вот количество пользователей в этих центрах исчисляется в текущий момент единицами тысяч, а не миллионами, как за рубежом. И в данном контексте рождается несколько иная проблема — дело не в «упразднении» ФАПСИ, а в наличии потребности создания удостоверяющих центров.

В настоящее время широким массам центры не нужны. Дело в том, что после получения сертификата его нужно где-то использовать, а если нет объекта применения удостоверения, то необходимость его получения не очевидна.

CNews.ru: В начале года среди российских специалистов возникли опасения перед возможным снятием протекционистских барьеров на рынке защиты информации. Насколько серьезно может измениться ситуация с активизацией в России иностранных компаний? Насколько отечественные разработчики готовы к усилению конкуренции?

Александр Соколов: Если попробовать смоделировать ситуацию, то ее можно рассматривать с двух точек зрения: качество продуктов и особенности сегментов — есть сегменты широкого использования, а есть государственные сегменты, с ограничениями, которые не будут сняты никогда.

Ограничения есть в любом развитом государстве, и они будут и у нас — как минимум, внутренняя сертификация. На широком рынке это может создать очень серьезную проблему, поскольку на сегодняшний день большинство продуктов российского производства по качеству отстают от западных.

В нашем обществе потребитель стал «заметным явлением» чуть больше 10 лет назад, а в течение 7 десятков лет в нашей стране человек никогда не был важным параметром, на него никогда не ориентировались.

Поэтому российские продукты по многим параметрам выигрывают по сравнению с западными, но не с точки зрения продукта, направленного на нужды конечного потребителя, — качества, удобства пользования, надежности работы.

Не нужно забывать и еще один параметр — объем маркетинговых бюджетов. Ни одна российская компания не сможет обеспечить на сегодняшний день такой уровень рекламы, как западная, а значит, результат — прогнозируем. Здесь ни в этом, ни в следующем году каких-то резких изменений ждать не приходится.

В любом развитом государстве этот сегмент — под пристальным вниманием правительства, поэтому на снятие барьеров государство не пойдет никогда, это ведь касается и его безопасности в том числе. А что касается потребителя — ему снятие этих ограничений будет на пользу.

Возьмем продукты массового потребления. До 90-х годов у нас были ограничения на ввоз, а сейчас качество потребительской техники в наших домах резко изменилось. Правда, главное — чтоб эта волна не захлестнула и не смела отечественного производителя. Ведь несколько лет производство отечественных телеприемников вообще отсутствовало.

Правда, сейчас некоторые заводы восстанавливаются. Несколько лет назад был моден лозунг «Покупайте российское!», но потребитель читал лозунг, приходил в магазин и все равно покупал то, что ему нравится.

То же самое происходит и с продуктами защиты — можно рекламировать отечественного производителя. Но когда начинают сравнивать 2–3 продукта, предпочтение будет отдано не названию, а реальным потребительским качествам.

CNews.ru: Какова динамика на рынке корпоративных удостоверяющих центров в России?

Александр Соколов: Это сложный вопрос по той причине, что эта информация не поддается широкому распространению, так как удостоверяющий центр — это часть системы безопасности, и ни одна корпорация не имеет большого желания раскрывать данные о своей системе безопасности. Я знаю, что по количеству — идет опережающий рост, но цифры по динамике, к сожалению, отсутствуют.

CNews.ru: Насколько динамично развивается в России направление ВЧС? Похоже, что пока ВЧС-технологии слишком дороги для российского бизнеса…

Александр Соколов: Здесь опять же проблема — обобщенных российских данных найти практически невозможно. Что происходит в России — данные отрывочные, но рост наблюдается, причем смешанный рост. Тут очень трудно разделить, по какому параметру считать. По объему продаж? Как его выделить? Защищенный экран со средствами формирования защищенных выделенных виртуальных частных сетей — с одной стороны, это VPN, с другой — это экран, и какая доля приходится на каждый из них — трудно сказать.

Объемы растут непрерывно, но цифры не устоявшиеся. По данным нашей компании, при поставке продуктов защиты средства на формирование VPN занимают около 9% оборота собственного направления, в продуктах третьих фирм (с той же оговоркой — экран+ VPN) — почти 75%, с учетом того, что это около 66% от объема продуктов, включая свои наработки.

А с другой стороны, характерный показатель — это серьезный рост реализации продуктов управления. Продукты управления занимают четверть от общего объема реализации собственных разработок в прошлом году, а в продуктах третьих фирм — по крайней мере, на уровне 15–20%. По сравнению с прошлым годом, это рост на порядок.

Это вполне объяснимо: сеть растет, возникает необходимость изменения конфигурации, прав пользователя и т.д., поэтому сначала появляется потребность в продуктах управления, а потом — в средствах защиты.

Часто задается вопрос, какова рентабельность внедрения средств безопасности. Да никакой. Какова рентабельность того же сейфа? Мы хотим не получить деньги от внедрения средств безопасности, а исключить форс-мажорные ситуации.

Можно посчитать эффективность внедрения: одни средства требуют денег на первоначальную закупку и на сопровождение. На сегодняшний день, даже если посчитать на пятилетний период, стоимость сопровождения, как правило, превышает стоимость первоначальной закупки.

CNews.ru: В свете недавних событий, связанных с эпидемией Novarg/MyDooM, иностранные специалисты заявили, что заметный вклад в распространение вируса внесли инфицированные компьютерные системы российских пользователей. Насколько, на ваш взгляд, обоснованы такие обвинения?

Александр Соколов: Объективные данные нигде не прозвучали. Поэтому подтвердить эти слухи я бы не брался. С другой стороны, меня откровенно радует, что с Запада пошел такой слух. Это — качественное признание уровня наших разработчиков.

Обратите внимание: никто не пытается обвинить Индию, а уж, казалось бы, при их многомиллиардной индустрии производства программного обеспечения у них хакеров должно быть на порядок больше, чем у нас. У нас они действительно водятся, но по одной простой причине: уровень образования у нас гораздо выше.

Более того: специфика наших специалистов состоит в том, что они любят решать проблемы. А создание вируса — это тоже решение проблемы: нужно придумать программу, которая сумеет пробраться к конкретному пользователю и активизироваться таким образом, чтоб максимальное время быть незаметной. А это довольно сложно. Поэтому косвенно — это признание уровня наших разработчиков.

CNews.ru: Какова динамика экспорта российских технологий в сфере ИБ? Произошли ли, на ваш взгляд, какие-то существенные изменения в данном направлении? Что может подтолкнуть рост объема экспорта технологий и продуктов в сфере защиты информации?

Александр Соколов: Существенных изменений никаких не произошло, сколь либо заметной динамики — не заметно. Основная причина — в том, что, хотя раздаются призывы и пожелания к развитию этого сегмента, реально никакой государственной поддержки не оказывается.

А что такое продвинуть продукт, а уж тем более продукт в сфере информационной безопасности на зарубежный рынок? Нужны очень большие средства. Есть и много дополнительных организационных трудностей.

Поскольку экономика развивается, динамика — положительная, к российским средствам информационной безопасности явно проявляют интерес страны Юго-Восточной Азии, Латинской Америки, да и некоторые европейские страны. Я знаю, что есть продажи у компаний, занимающихся информационной безопасностью, опыт есть, объемы цифр растут.

CNews.ru: Почему российскими продуктами заинтересовались предприятия из других стран — дело в географической близости или в других параметрах?

Александр Соколов: Основной принцип безопасности информации — это создание систем, желательно, с использованием средств различных производителей. На монокультуре качество получить трудно.

Не секрет, что средства в этой области, по крайней мере, под звездно-полосатым флагом, преобладают на мировом рынке. А это уже не все государства устраивает. А поскольку качество российских продуктов сопоставимо, а по отдельным параметрам — и превосходит зарубежные аналоги, этим и вызван интерес.

С другой стороны, и территориальная близость сказывается, ведь нужно обеспечить техобслуживание, сопровождение средств и обучение специалистов. Еще один фактор — цена. Российские средства выигрывают в цене по сравнению с западными.

А иногда — решающим становится тот фактор, что некоторые страны были ориентированы на бывший Советский Союз, а в некоторых из них, например, во Вьетнаме, аналогичные стандарты информационной безопасности, заимствованные еще у СССР, а значит, соответствующие российским.

Понятно, что им проще ориентироваться на российское производство, еще и с учетом количества специалистов, имеющих российское образование, в том числе и язык.

Год назад, в составе делегации, которая демонстрировала средства информационной безопасности в Перу, удалось задать этот же вопрос перуанскому чиновнику. Ответ был очень интересным: рассчитывать на массовые поставки в Перу России нет смысла, но они хоть и маленькая, зависимая страна, но гордая.

Поэтому некоторые информационные сферы они предпочитают закрывать неамериканскими средствами защиты. И в Европе есть настороженное отношение к средствам защиты американского производства: у них слишком много скандалов, связанных с использованием этих средств.

Все это и является положительным фактором в возможности продвижения средств защиты, в которых в явном виде отражены высокие технологии.

CNews.ru: В свете того, что некоторые страны Азии, в том числе Япония и Корея планируют в скором времени создать национальную систему, основанную на Linux, как будут развиваться российские продукты: в плане направления Windows или Linux-направления тоже?

Александр Соколов: Скорее всего, они будут продвигаться параллельно, но, по тому, что происходит сейчас в мире, особенно в течение прошлого года, видно, что развитие Linux-направления будет идти опережающими темпами.

Понятно, что количество пользователей Windows-систем и Linux-систем на сегодняшний день просто несопоставимо, а значит, должно соблюдаться и соотношение специалистов, работающих в этих областях.

Но усиленное внимание к Linux проявляют такие гиганты, как IBM, который декларировал мировую программу продвижения Linux-решений. Linux — это, прежде всего, демократическая среда, там нет такой диктатуры, как в Windows. Но демократическая среда — это много-много-много разрозненных сил.

В целом их количество не на много порядков будет отличаться от пользователей Windows, особенно среди разработчиков, но, поскольку концентрации усилий в демократическом обществе добиться трудно и поскольку появляются, скажем так, «двигатели» этих усилий, то Linux-направление явно будет развиваться опережающими темпами — не только на Юго-Востоке, но и в Европе к нему приковано внимание на государственном уровне.

Тут нужно учесть 1 параметр: Linux-система — это, прежде всего, открытый код. А это значит, можно провести очень глубокий анализ системы, которая предлагается на рынок. То есть, проверить ее качество — не только на тестах, но еще и по содержанию. А это, естественно, увеличивает доверие к качеству продуктов.

Так что Linux-системы будут развиваться, и в России тоже, поскольку сейчас Министерство связи и информатизации открывает Linux-центр, а IBM открывает Linux-клуб и призывает объединиться всю Linux-общественность. Появляется точка концентрации этих демократических усилий.

И это положительная тенденция: у пользователя должно быть право выбора. На сегодняшний день количество приложений, работающих под Windows и под Linux, — несопоставимо. Все мы знаем, что, как правило, на рабочих местах стоят Windows-системы, но в серверах Linux занимает промежуточное положение между Windows и UNIX.

Есть еще 1 параметр, который, может быть, окажет в России большее влияние, по сравнению с окружающим миром, — цена продукта. Linux-системы зачастую «условно бесплатны», да и у коммерческих продуктов под Linux цена ниже. А это для России — немаловажный фактор. Так что Linux-направление будет развиваться с опережением.

В свое время именно IBM дал «билет в жизнь» компании Microsoft, Билл Гейтс оказался провидцем, когда сумел поставить свою операционную систему на аппаратное средство, которое получило такое массовое распространение. Но теперь IBM уделяет внимание Linux и подтверждается интерес к сохранению некоторого баланса сил на рынке.

По большому счету, поскольку IBM не владеет производством ни Windows, ни Linux, он в них и не заинтересован. IBM, прежде всего, заинтересован в продвижении своих решений. Но если он будет способствовать развитию монополизма, то рано или поздно он сам может оказаться в этом капкане.

Поэтому стимулирование некоего противовеса Windows — вполне разумная политика. А от этого пользователь только выиграет, поскольку в условиях конкуренции начнет расти качество продуктов и будет падать цена.

CNews.ru: Спасибо.