|
|
|
Рынок ИБ все сложнее оцениватьУчитывая постепенную интеграцию функций безопасности в ИТ-инфраструктуру, выделить рынок ИБ в отдельный сегмент становится все сложнее. Если на уровне программного и программно-аппаратного обеспечения или услуг безопасности еще можно делать оценки, которые не будут вызывать тотальных возражений, то совокупный рынок безопасности, включающий также и "железо", этому практически не поддается. Выяснить границы рынка ИБ, возможно, помогут отраслевые стандарты, а также коллективно выработанные рекомендации. Рынок — институт или механизм, который сводит вместе предъявителей спроса (покупателей) и поставщиков (продавцов) конкретного товара или услуги. Однако это классическое определение иногда дает сбои. Например, при описании рынка продуктов и услуг на рынке информационной безопасности. Проблема состоит в том, что до сих пор нет единого мнения о том, что такое рынок информационной безопасности и как он формируется. Часто приводимые цифры в 300 с небольшим или даже 700 миллионов долларов в первую очередь характеризуют только российский рынок средств защиты для крупных корпоративных заказчиков и операторов связи. Но это далеко не все. Как определить емкость? Можно назвать два основных метода определения емкости рынка. Первый — самый простой. Берется процент от европейского или мирового рынка и выдается за объем российского сектора. Но возникает вопрос в правильности такого подсчета. Если бы мы находились на том же уровне развития, что и Европа или весь мир, то "пропорциональная" оценка была бы правомерна. Но мы пока только в начале пути, и поэтому такой метод является некорректным. В итоге в России он и не используется на практике. Применяется, как правило, второй способ. Суть его проста — суммирование цифр продаж всех игроков рынка. Сделать это, однако, непросто по ряду причин. Во-первых, наш рынок очень непрозрачный, и далеко не каждая компания готова анонсировать результаты своей деятельности, опасаясь претензий и "наездов" со стороны фискальных и иных органов. А если они и анонсированы, то проверить реальность цифр не представляется возможным. Во-вторых, многие так называемые специализированные компании, занимающиеся только безопасностью, одновременно выступают в разных ипостасях — разработчика, поставщика, дистрибутора и т.п. Следовательно, в итоговую цифру вполне могут попасть поставки сопутствующей техники — серверов, принтеров, коммутаторов и т.д. Или, например, компания, одновременно продающая средства защиты напрямую и через партнеров, может указать в своих оборотах цифру продаж через партнеров, что приводит в итоге к "двойным продажам" - когда сначала сделку засчитывают у дистрибутора, а потом у того, кто ее осуществил с конечным заказчиком. В-третьих, как определить всех продавцов? Если с крупными компаниями это проделать легко, то о сотнях региональных предприятий, работающих в секторе малого и среднего бизнеса, просто никто не знает. К тому же игроков обычно ищут среди интеграторов и разработчиков, совершенно забывая про ВУЗы, которые могут брать плату за обучение по специальностям, связанным с безопасностью, про сертификационные и аттестационные лаборатории, которые за свой труд берут деньги, про издательства, печатающие книги по защите информации, про НИИ, получающие гранты на различные НИОКР. И это тоже все игроки рынка безопасности! И, наконец, самое важное. Что вообще считается средством защиты? Понятно, что к ним относятся межсетевой экран, антивирус, система предотвращения атак, PKI, шифратор. Но как быть с маршрутизаторами, коммутаторами, точками беспроводного доступа, операционными системами, базами данных, содержащими мощные механизмы защиты и даже сертифицированные во ФСТЭК или ФСБ? Проблемы подсчета Несколько лет назад одна исследовательская компания решила сделать обзор по рынку межсетевых экранов в мире. Все игроки дали свои цифры; среди них была и компания "Ц", известная как производитель сетевого оборудования и средств безопасности. Когда проект отчета был разослан по участникам, поднялся шум. На вопрос об объемах (в виде суммы продаж и количестве проданных устройств) все игроки указали число проданных лицензий или "железа", а компания "Ц" — число и объем продаж своих маршрутизаторов, так как по своим функциям встроенный в маршрутизатор межсетевой экран мало чем уступает среднестатистическому МСЭ. Учитывая миллионные продажи сетевого оборудования, можно себе представить, кто и с каким отрывом стал лидером. Только остальные участники отказались участвовать в невыгодном для себя отчете. Пришлось на ходу менять определение — что такое средство защиты. А теперь представьте, что в игру вступают такие производители, как Cisco, Microsoft, Oracle и т.п. Смогут ли с ними на равных конкурировать традиционные разработчики средств защиты? А ведь помимо таких "промежуточных" систем защиты, как маршрутизатор и базы данных, можно назвать и достаточно нетрадиционные решения. Например, принтеры со встроенными системами защиты, модули аутентификации в картриджах или батареях для мобильных телефонов, кодеры для платного/спутникового телевидения и даже простые мобильные телефоны, шифрующие переговоры. И этот список можно продолжать очень долго, так как безопасность очень прочно вошла в нашу жизнь. Вычленить ее из других сегментов рынка стало очень проблематично; если вообще возможно. Сумятицу вносит и свободно-распространяемое программное обеспечение, которое с одной стороны является неотъемлемой частью рынка, так как востребовано заказчиками, а с другой стороны, оно бесплатно (если не брать в расчет совокупную стоимость владения), а значит его нельзя посчитать в финансовом исчислении. Да и количество установленных устройств/экземпляров freeware тоже посчитать непросто. И, наконец, помимо рынка официального существует еще и "черный рынок" безопасности, на котором можно найти вирусы и троянцы, поучаствовать в аукционах уязвимостей, заказать DoS-атаку или взлом сайта и т.д. Он не сильно отличается от обычного рынка — разница только в распределении денег, основной объем которых "падает" на заказные разработки и услуги, а не "железки" и "софт". Однако ни в России, ни на Западе эту подводную часть айсберга никто не считал, и включать ее в рынок информационной безопасности не принято. Совокупный рынок безопасности не исчисляем? В заключение хотелось бы отметить, что, учитывая постепенную интеграцию функций безопасности в ИТ-инфраструктуру, попытка выделения рынка ИБ в отдельный сегмент очень и очень не проста. Как минимум на уровне программного и программно-аппаратного обеспечения. Если долю услуг безопасности еще можно как-то оценить (хотя и тут не все просто — далеко не всегда они выделяются в отдельный договор), то совокупный рынок безопасности, включающий также и "железо", оценке практически не поддается, а, учитывая приведенные выше факторы, это становится почти бесполезным занятием. Поэтому, на наш взгляд, говоря о границах рынка ИБ, следует, как можно чаще опираться на принципы и данные, содержащиеся в текстах стандартов, посвященных информационной безопасности, а также коллективно выработанные рекомендации. Именно в этом случае расхождение во мнениях, и, соответственно, в количественных подсчетах, можно свести к минимуму. Алексей Лукацкий |