|
|
19.09.2001, среда | НИП "Информзащита": Специализированный интегратор - новая тенденция рынкаКомпании, специализирующиеся на интеграции в сфере информационной безопасности, явление на российском рынке пока редкое. Именно к такому классу предприятий относит себя один из самых заметных игроков в этом сегменте - российская компания НИП "Информзащита". Своими взглядами на тенденции рынка с корреспондентом CNews.ru поделились Петр Ефимов, генеральный директор компании, Виктор Попов, коммерческий директор, Владимир Гайкович, зам. генерального директора и Андрей Степаненко, технический директор. Участники беседы не пытались обходить острые углы при обсуждении вопросов соперничества с системными интеграторами- основными конкурентами компании.
Корр.: Каковы, на ваш взгляд, основные тенденции на рынке информационной безопасности в России? Виктор Попов: В первую очередь - рост потребностей пользователей на этом рынке. Эта тенденция появилась в этом году и, видимо, будет явно проявляться в ближайшее время. Мы ощущаем это на себе. В различных областях IT-экономики наблюдается сужение, а где-то фактически исчезновение целых сегментов рынка. Однако на рынке средств защиты информации в настоящий момент мы наблюдаем серьезный рост. Взгляды пользователей на информационную безопасность сегодня в корне отличаются от взглядов 2-3 летней давности. Эта тенденция имеет место не только в России, но и во всем мире. По аналитическим прогнозам, рынок информационной безопасности в течение ближайших пяти лет претерпит существенные изменения. Это связано и с тем, что сами сетевые технологии сейчас принципиально иные. Методы защиты будут, по всей видимости, унифицироваться и их место на рынке будет совсем другим. Рост объемов продаж по отдельным новым направлениям прогнозируется в 5-10 раз. Владимир Гайкович: Еще недавно рынка комплексных услуг в сфере информационной безопасности не существовало. Был рынок устройств безопасности. Пускай интеллектуальных, но все же устройств. В.П.: Даже сейчас у многих сохраняются иллюзии того, что можно, к примеру, просто закупить межсетевой экран и считать, что этого хватит для обеспечения безопасности. Но любой софт будет полезен только тогда, когда он корректно установлен и настроен. Сами же настройки сильно привязаны к особенностям организации (топологии сети, взаимодействиям и т.д.). А при обычной поставке в системе сохраняются "дыры", не существует никакого отслеживания атак, нет системной политики и как следствие - масса проблем с защитой. Петр Ефимов: К примеру, считается, что система Windows NT была выпущена уже хорошо защищенной. Но мало кто из пользователей знал и знает, что при проверке стандартной установки этой ОС с помощью специальных средств обнаруживается несколько уязвимостей повышенного и среднего риска, и большое количество уязвимостей низкого риска. Люди думали, что используют защищенную ОС, в то время как в ней существовала масса "дыр", которые можно было устранить только специальными настройками. Эти настройки нетривиальны и могут быть выполнены только квалифицированным персоналом. С применением более сложных систем Windows 2000, Windows XP и использованием Active Directory ситуация только ухудшится. К сожалению, до сих пор еще многие считают, что, установив определенное количество программ из "коробок" на свои компьютеры, они получат защищенную систему. Это серьезная ошибка. Если говорить о тенденциях, то первое, что нужно отметить - люди стали понимать, что безопасностью должны заниматься специалисты. Во-вторых - пришло понимание того, что работы по защите информации должны проводиться не один раз, а постоянно, на плановой основе. В-третьих, руководители компаний осознали, что, помимо программно-технической, должна быть и организационная поддержка информационной безопасности. Иначе весь процесс просто не имеет смысла и приводит к пустой трате денег. В.Г.: Таким образом, на нашем рынке мы имеем рост спроса и изменение потребностей. Но, к сожалению, это не сопровождается адекватным изменением предложения. На сегодняшний день основная часть продаж приходится либо на "коробки с аппаратурой", либо на "коробки с программным обеспечением". Люди продают софт, который потенциально мог бы решить проблемы заказчика, но не решает. Почему? Да просто потому, что для обеспечения информационной безопасности в отдельно взятой компании, необходимо понимание тех процессов, которые в ней происходят. А это трудоемко и дорого для неспециализированных компаний, поэтому они этой проблемой, обычно, предпочитают не заниматься. В.П.: Следует отметить, что в последнее время практически на всех предприятиях, которые являются владельцами крупных сетей, появились (или создаются) подразделения, которые целенаправленно занимаются информационной безопасностью. Раньше специальное подразделение можно было найти только в очень ограниченном числе организаций - в первую очередь в государственных структурах, которым было предписано иметь такие подразделения, и в крупных коммерческих банках. А сейчас практически во всех учреждениях и предприятиях, где есть крупные сети, есть, по крайней мере, ответственный за информационную безопасность. И эти подразделения предназначены для защиты всей информационной системы организации. Соответственно, у этих подразделений совсем другой взгляд на то, как система защиты должна строиться. Их интересует не какой-то отдельный продукт, который с точки зрения поставщика является панацеей от всех угроз, а полный жизненный цикл построения системы защиты - начиная с обследования и проектирования системы, с установки, настройки оборудования и заканчивая обучением специалистов и техническим сопровождением. Весь этот цикл сейчас способно выполнить совсем небольшое число компаний. Также можно выделить такую тенденцию, как появление на российском рынке условно-бесплатных продуктов под маркой отечественных разработок. Мы не могли понять, как компания, никогда не занимавшаяся разработкой ПО, сумела в столь короткие сроки выдать на рынок несколько сложных продуктов по защите информации. При более внимательном рассмотрении оказалось, что от этой компании в продукте присутствуют только экранные формы. Все остальное - условно-бесплатный софт, но за реальные деньги и с российским сертификатом по безопасности. Еще одной тенденцией, в связи с большой популярностью вопросов информационной безопасности, стало появление и рост предложения услуг "молодежных команд", которые занимаются оценкой защищенности компаний. Такие "команды" сканируют сеть заказчика и представляют ему результаты сканирования. Более сложные работы (проектирование, анализ рисков и т.д.) такие команды выполнить не в состоянии. Им не хватает знаний и опыта проведения таких работ. Хотя есть примеры, когда такие команды берутся за подобные работы откровенно занижая цены, иногда в разы. В.Г.: Попросту происходит "засорение" рынка. П.Е.: Тенденция "засорения рынка" очень хорошо прослеживается в обучении. Мы создавали свой Учебный Центр не только, и не столько, как самостоятельное коммерческое направление, сколько для предоставления комплексных услуг. Это очень хорошо, что наш Центр еще и зарабатывает деньги, но естественно, его оборот не может сравниться с оборотом основной компании. За прошедший год сотрудниками Центра разработано около 20 авторских курсов. Мы столкнулись с тем, что программы некоторых курсов были у нас успешно украдены. Доходило до курьезных случаев, когда директор нашего Центра получала предложения по электронной почте о семинаре, дословно совпадающем по описанию и программе с одним из читаемых у нас курсов. В.Г.: Действительно, через некоторое время после опубликования программы каждого оригинального курса на web-сайте, то там, то здесь появляется "клон" курса, проводимый совершенно другими людьми, и по сути дела, полностью совпадающий с его программой. Мы не боремся с этим, так как для успешного прочтения курса недостаточно только одной программы. Необходимы методические материалы, подготовка преподавателей и их реальный опыт работы в защите информации. Именно поэтому ряд наших курсов (например, "Безопасность информационных технологий", "Применение межсетевых экранов") пользуется большой популярностью. П.Е.: К счастью, курсы не так легко тиражируемы, как программное обеспечение. Завершая разговор на тему "засорения рынка" стоит отметить, что заказчики сейчас находятся перед непростым выбором. Предложений на рынке услуг много, стоимость этих услуг у различных компаний также сильно разнится. Велик соблазн выбирать только по ценовым показателям. Но этот соблазн может потом обойтись очень дорого. Корр.: По утверждениям некоторых участников, разработкой систем информационной безопасности в крупных корпорациях может заниматься только компания-системный интегратор, имеющая опыт разработки и построения сетей. Каждый должен заниматься своим делом. Разработчики - разрабатывать, а системные интеграторы - внедрять. Вы согласны с такой позицией? В.Г.: Системные интеграторы считают, что на рынке информационной безопасности есть две большие группы компаний - сами системные интеграторы и разработчики средств защиты. При такой картине мира все доводы системных интеграторов совершенно верны. Но, как говорится, в действительности все не так, как на самом деле. Во-первых, системные интеграторы часто сами занимаются разработкой программных средств, в том числе и средств защиты информации. Во-вторых, в связи с возросшим спросом на услуги по защите информации и неспособностью его удовлетворить, появился новый тип компаний - специализированные компании-интеграторы в сфере информационной безопасности. Вот это еще одна из основных тенденций рынка информационной безопасности в России. На наш взгляд, не дело специализированных компаний-разработчиков заниматься вопросами консалтинга, проектирования, построения систем защиты и далее по списку. Но, с другой стороны, системный интегратор тоже далеко не лучший выбор для решения вопросов по защите, прежде всего потому, что он не специализируется на этой тематике. Услуги по защите информации для системного интегратора не являются профильной деятельностью. Оборот по этим услугам несоизмерим с оборотом по другим направлениям. Поэтому практически у каждого системного интегратора численность подразделения, занимающегося вопросами информационной безопасности, не превышает 5-7 человек. Здесь вступает в силу "проклятие размерности". Работы по проектированию сложной системы защиты занимают много времени (не менее 2-3 месяцев в интенсивном режиме). Выполнить большое количество работ маленький коллектив не в состоянии. Поэтому для того, чтобы оправдать наличие этого направления деятельности, у системных интеграторов существует всего две альтернативы - либо увеличивать стоимость работ, либо существенно сокращать сроки их выполнения. Стоимость работ нельзя увеличивать до бесконечности. К тому же, в России существует определенный порог стоимости, после которого практически любой заказчик перестает обсуждать вопросы сотрудничества. У любой работы есть свой объективный срок. Девять беременных женщин вместе за один месяц ребенка не выносят. Поэтому данный путь тоже вряд ли реализуем без потери качества услуг. Еще одна особенность, которую не учитывают системные интеграторы. Специалист, который хорошо знает оборудование Cisco или программное обеспечение Baltimore - это не специалист по безопасности, это всего лишь специалист по продукту. Для того, чтобы из специалиста по продукту получился "безопасник" - по нашим оценкам, нужно от полугода до года. И это при ежедневной практической работе под руководством "гуру". "Гуру" - это человек, который имеет реальный практический опыт по обеспечению информационной безопасности не менее 4-5 лет и понимает (а не знает, учил и т.д.) эту предметную область. Таких людей в России, по моим оценкам, не более 10-12 человек. В.П.: Кроме того, проглядывается некоторая корреляция тенденций в России и за рубежом. В Европе, так же как и у нас, системные интеграторы декларируют свое участие в защите информации. Там, практически везде, количество специалистов в подразделениях по информационной безопасности - 2-5 человек. По нашим сведениям, в восточноевропейских отделениях большинства крупных компаний их не бывает больше. Почти все проекты, связанные с безопасностью, которые они делают - это общие проекты создания информационных систем плюс раздел по безопасности. Вместе с тем, стоимость их услуг достаточно велика. Так, например, у компании IBM любые работы, связанные с исследованием уровня защищенности, стоят от 150 тыс. долларов. Меньше их услуги не стоят в принципе. В.Г.: Выбор подрядчика для оказания услуг в области информационной безопасности как был, так и будет за заказчиком. На наш взгляд, выполнение комплексных работ должно обеспечиваться специализированной компанией. В этом случае услуги будут, безусловно, дешевле (за счет специализации) и, на наш взгляд, качественнее (за счет профессионализма сотрудников и наработанных методик). В.П.: Видимо, заказчики разделяют наши взгляды. Мы оценивали разными методами нашу долю рынка этих услуг. Сегодня она составляет примерно 15% и является достаточно стабильной. По услугам мы выполняем объем работ больше, чем любая другая компания на рынке России. Равно как и по разработке средств защиты. Такого коллектива разработчиков средств защиты больше нет ни у одной компании в нашей стране. П.Е.: Сейчас соотношение между составляющими дохода компании приобретает иные соотношения, чем, например, в прошлом году. В настоящий момент примерно 20% нашего дохода приходится на проектирование и другие консалтинговые услуги. Мы считаем, что это хороший показатель. Корр.: Один из тезисов системных интеграторов заключается в том, что если у компании есть собственный продукт и она его продвигает, то нет гарантии, что установленная система объективно соответствует потребностям заказчика. В.Г.: Как мы уже отмечали ранее, сейчас большая часть системных интеграторов занимается разработкой ПО и имеет свои продукты. Те, кто не имеет своего продукта, стараются получить у поставщика преимущественные права на распространение того или иного продукта. Бизнес есть бизнес. В нем каждый борется за право получения большей прибыли. П.Е.: К примеру, после заключения соглашения с компанией ISS, в адрес ISS были направлены запросы ряда российских системных интеграторов, которые предлагали свои услуги как дистрибьюторы продукции этой компании. После вежливого отказа им со стороны ISS и начали впервые появляться тезисы о нашей субъективности и ограниченности предложения. В.П.: Когда нас упрекают в субъективности, то в ответ мы можем представить полную линейку средств защиты, которые можно применить для построения систем защиты любой степени сложности. В каждой из категорий продукт, который мы распространяем, занимает либо первое, либо второе место. Безусловное лидерство у нас в системах защиты персональных компьютеров, здесь мы занимаем примерно 80% рынка в России. Андрей Степаненко: Из той классификации, которая взята за основу в Вашем обзоре, сегодня есть только две позиции, по которым мы ничего не предлагаем заказчику. Первая - антивирусные средства. Второй сегмент, который в России традиционно относят к системам обеспечения безопасности - это повышение надежности хранения информации, обеспечения резервного копирования и бесперебойного питания. Безусловно, это важная вещь, но к информационной безопасности она имеет несколько опосредованное отношение. Мы никогда не пытались работать на этом сегменте и он нам не интересен. В.Г.: Еще одно наше отличие от других участников рынка в том, что мы не предлагаем заказчику на выбор широкий ассортимент конкурирующих между собой систем, как многие системные интеграторы. На наш взгляд, путь "супермаркета" - тупиковый. Ведь продукты надо не только уметь предлагать. Нужно обеспечить их качественную поддержку. Это трудно сделать если продуктов много. Кроме того, заказчику нужно решение его проблем, а не богатый выбор продуктов, зачастую неприменимых вместе. Поэтому мы пытаемся предлагать лучшие или близкие к лучшим системы в своем классе, обеспечивая их качественную поддержку и предлагая дополнительные услуги. Корр.: Другой важный довод крупных компаний-интеграторов заключается в том, что у них есть необходимая дорогостоящая материально-техническая база для проведения экспертизы сложных систем защиты. В.П.: Разумеется, у нас тоже есть опытные стенды, где предлагаемые нами решения проходят проверку. Естественно, что стоимость этих стендов не сравнима со стоимостью стендов системных интеграторов. Однако все ресурсы нашего стенда предназначены только для проверки решений по информационной безопасности, в то время как у системных интеграторов положение несколько иное. Хочу отметить, что только тестирования явно недостаточно, поэтому ни одно наше решение не выходит на рынок без опытной эксплуатации, проводимой нашими специалистами. Как правило, большинство заказчиков проводят также опытную эксплуатацию средств защиты в реальных условиях до его полномасштабного внедрения. Корр.: Какую роль на рынке систем информационной безопасности должно играть государство? Насколько данный рынок может быть свободным? В каких областях можно обойтись без вмешательства лицензирующих и иных государственных органов? П.Е.: Начнем с того, чего государство, по нашему мнению, не должно делать. Оно не должно зарабатывать деньги на этом рынке. Если оно не будет зарабатывать денег, то не будет конкурировать с поставщиками. Понятно, что информация, которая должна быть защищена, должна быть строго категорирована. Государство должно регламентировать защиту госсекретов. И с этой функцией оно хорошо справляется. Также оно должно участвовать и в регламентировании доступа к коммерческой тайне, но, может быть, менее жестко, потому что коммерческая тайна - это более широкое понятие. В.Г.: У коммерческой тайны совершенно другой собственник. Если в первом случае государство полностью регламентирует доступ к информации, собственником которой и является, то когда начинается коммерческая тайна - начинается и другой собственник, которому государство, вообще говоря, не имеет права приказывать. Проблема в том, что эта информация не всегда является собственностью данной организации. Например, банки хранят информацию о вкладчиках, транзакциях и так далее. Государство здесь должно определить правила игры, при которых все люди, чья информация хранится в третьих компаниях, не будут поставлены под удар. П.Е.: Сегодня на Тверской вам могут предложить всевозможные базы данных: определение владельца машины по ее номеру, сведения о самых богатых людях России, доходы, налоговые декларации и т.п. Я, как гражданин, имею право на то, чтобы информация обо мне охранялась должным образом. Да, я подаю декларацию в налоговую службу, в пенсионный и прочие фонды, но я не хочу, чтобы это стало достоянием всей страны. Это третья категория информации, и сегодня ее защита почти никак не регламентирована. В.Г.: Хотелось бы, чтобы позиция государства по вопросам информационной безопасности была предельно понятной и четкой. В конце концов, мы, как законопослушная компания, примем те правила игры, которые государство установит. Другой вопрос, что в этом случае останется от нашего бизнеса. (смеется) П.Е.: Другая важная задача государства на рынке информационной безопасности - это защита отечественного производителя. Если вы попробуете продать в Америке российскую систему защиты информации, то у вас, скорее всего, это не получится. Именно потому, что американский рынок закрыт серьезными административными барьерами. Наш же рынок открывается все больше и больше. И нас это серьезно беспокоит. По своей емкости наш рынок сегодня не очень велик. Игроков отечественных немало и если к ним прибавятся зарубежные компании, у которых больше денег для маркетинга, рекламы, если мы широко откроем двери, в том числе западной криптографии, то российским компаниям делать здесь будет нечего. Корр.: Каких мер вы ожидаете от государства? П.Е.: Прежде всего, мер по защите отечественного производителя. На совещании производителей средств защиты, которое проводилось с 6 по 8 августа в г. Каменск-Уральский, обсуждался план создания ассоциации производителей средств защиты информации под эгидой ФАПСИ и Гостехкомиссии России. Одна из задач этой ассоциации - защита отечественных производителей, которых, кстати, становится все меньше и меньше. Их уже сейчас осталось не более десяти. Эта ассоциация также могла бы участвовать в разработке нормативных документов по защите информации. В.П.: С другой стороны, никак не движется вопрос с принятием закона об ЭЦП. Корр.: Так приняли вот уже в первом чтении. Движется потихоньку. В.П.: Первое чтение отличается очень сильно от второго, и уж тем более от третьего. Процесс принятия идет очень медленно, и все кто заинтересован если не в платежном документообороте, то, по крайней мере, просто в документообороте, сегодня просто не знают что делать, так как не представляют, как механизмы, которые заложены в этом документе, будут реализованы. Есть опасения, что здесь не будет определенности еще год или два. Технических проблем нет. Юридических, на мой взгляд, тоже. Нужна только политическая воля. Если бы она была, то мы были бы в этом вопросе на уровне Европы, где, например, в Германии или Эстонии выделяются огромные деньги на то, чтобы граждане общались с государством электронным способом, без очередей и так далее. П.Е.: Кроме того, если государство стремится к интеграции в мировое сообщество, то придется хотя бы ограниченно использовать международные стандарты. Иначе мы попадем в самоизоляцию. С одной стороны хорошо, что есть очень серьезные барьеры на границе. Но с другой стороны, они должны быть разумными. Если в таком проекте не будет единых стандартов в электронном документообороте, то так и будем на бумажечках накладные выписывать. Корр.: Каков по вашим оценкам объем рынка информационной безопасности в России? В.П.: Профинансированные потребности в этом году составят, по нашей оценке, не менее 40 млн. долл. Это если исключить антивирусы и специфические услуги, связанные с защитой государственной тайны. Корр.: Спасибо. |