|
|
Обзор подготовлен
Результаты 2009 г. в рейтинге CNewsSecurity, как и ожидалось, продемонстрировали некоторое торможение относительно показателей предыдущего года. Однако даже по итогам этого сложного периода динамика выручки 30 крупнейших игроков в области информационной безопасности осталась положительной. Впрочем, что и ожидалось - в контексте усиливающегося влияния сервисной составляющей на рынке ИБ.
Участникам рейтинга CNewsSecurity 2010, в который традиционно входят 30 крупнейших российских компаний, специализирующихся на решениях в области информационной безопасности (ИБ), удалось продемонстрировать по итогам 2009 г. позитивную динамику выручки – 37,5%. Напомним, что совокупная выручка ИТ-компаний (рейтинг CNews100) за тот же период упала на 13%. Другими словами, получается, что сокращая ИТ-расходы, компании, тем не менее, продолжали выделять средства на защиту информации – и в соответствии с требованиями законодательства, и сами осознавая критическую важность этой задачи для своего бизнеса.
В итоге второй год подряд отечественный рынок ИБ демонстрирует своего рода запас прочности, который имеет очевидную внешнюю «подпитку». Во-первых, только усиливается значимость информации, накапливаемой предприятиями разных отраслей экономики – и, соответственно, растет потребность в ее защите. Во-вторых, внимательнее относиться к собираемым данным заставляют не только бизнес-соображения о конкурентных преимуществах, но и, в частности, «призрак» 152-ФЗ. В-третьих, не снижает обороты активность кибер-преступников. Таким образом информационная безопасность сразу с момента наступления «нового времени» для рынка ИТ определялась как та часть расходов, на которой будут экономить в последнюю очередь – и по факту это предположение оправдывается.
После впечатляюще позитивных итогов 2008 г. игроки российского рынка ИБ, чуть ли не единственные во всей отрасли ИТ, провели 2009 г. в оптимистичных настроениях. Особенно заметным было оживление в последние два квартала, когда интерес к теме ИБ начали заметно подстегивать дискуссии в связи с Законом о персональных данных.
Напомним, что благодаря сохраняющемуся спросу на продукты и – главное - услуги ИБ совокупная выручка 30 компаний-участниц рейтинга CNewsSecurity по итогам 2008 г. показала самый высокий рост, начиная с 2004 г. (70%), в то время как совокупная выручка 100 крупнейших ИТ-компаний страны увеличилась за тот же период лишь на 16,9%. Прогнозировалось, что по итогам 2009 г. этот показатель сократится на 15-20%, однако в секторе ИБ сохранится рост – и эти прогнозы оказались достаточно точны. В значительной степени сохранение позитивной динамики показателя совокупной выручки рейтинга CNewsSecurity 2010 – заслуга ИБ-интеграции.
Динамика совокупной выручки компаний в рейтингах CNewsSecurity и CNews 100, 2006–2009
Источник: CNews Analytics, 2010
Как и годом ранее, ИБ-компании в рейтинге CNewsSecurity демонстрируют некоторую неоднородность в темпах роста. Так, более 100% смогли показать «Техносерв» и Softline, более 60% - «Лаборатория Касперского» и Positive Technologies. При этом у 50% участниц рейтинга отмечается достаточно скромный рост в пределах 3-19%. У 5 компаний зафиксирован отрицательный показатель – наиболее заметен он у InfoWatch (-26%). Последнее объяснимо общим спадом на рынке DLP (систем защиты от утечек), ввиду снижения интереса к такого рода решениям со стороны крупных заказчиков, отмечают в самой компании, надеясь, что уже в ближайшее время ситуация здесь восстановится.
Совокупный объем выручки Топ30 компаний рейтинга CNewsSecurity 2010 (млрд руб.)
Источник: CNews Analytics, 2010
Сохраняющийся успех интеграторов на рынке ИБ в очередной раз позволяет говорить о тренде увеличения здесь доли (и роли) сервисов. К «историческим» причинам, обуславливающим рост спроса на услуги ИБ-консалтинга (например, достижение определенной зрелости рынком, усложнение продуктов и т.д.) добавляется все тот же 152-ФЗ и в целом ужесточение требований со стороны регуляторов. Так, игроки, опрошенные CNews Analytics, оценивают затраты на услуги в связи с реализацией требований этого закона в среднем в 15% от бюджетов ИБ заказчиков. Кроме того, обозначенная «облачная» парадигма развития всего рынка ИТ также подразумевает формирование новых сервисных ниш - в том числе и в сфере ИБ.
Результаты рейтинга CNewsSecurity по итогам 2009 г. позволяют говорить о явно сохраняющемся, как минимум, и как максимум – растущем - объеме затрат на ИБ в российских компаниях и госструктурах. Однако вопрос рациональности и эффективности расходования этих средств остается пока открытым. С одной стороны, такое усиление финансирования задач, определяемых действиями регуляторов, позволяет надеяться, что информационная безопасность наконец-то воспринимается как комплексный процесс, в котором велика роль не только технической, но и организационной составляющей. А как из года в год твердят эксперты рынка ИБ, использование технических средств информационной безопасности в отрыве от организационных во многих случаях обессмысливает затраты и оставляет в итоге инфраструктуру незащищенной.
С другой стороны, вряд ли здесь можно сделать вывод о принципиально большем внимании, уделяемом теперь политикам безопасности в компаниях. Последняя требует гораздо больше усилий, в том числе и со стороны топ-менеджмента, как на этапе разработки, так и на этапе внедрения, нежели чем просто использование технических средств для определенных задач. Еще один неприятный в связи с ней нюанс – политика направлена на людей, а не на машины, и ее реализацию невозможно автоматизировать.
В итоге имеют место примеры нелепых, вроде бы, но при этом результативных проникновений – скажем, на уровне тестовых. Например, в “Инфосистемах Джет” приводят недавний случай из практики, когда для проникновения в корпоративную сеть крупной компании, расходы которой на информационную безопасность составляют $2 млн в год, потребовалось лишь половина рабочего дня. Сначала выяснилось, что администраторы компании оставили себе на внешних межсетвых экранах открытый доступ. Далее были использованы известные уязвимости в клиентском ПО, таком как Adobe Reader и Flash (в последнее время уже научились устанавливать обновления для уязвимостей в ОС, но лишь немногие всерьез обращают внимание на обновления для пользовательских программ). Затем выяснилось, что на части коммутаторов используются пароли по умолчанию. После этого оставалось лишь просканировать сетевой трафик, выловить пароль администратора – и получить полный контроль над сетью.
Подобные ситуации, понятно, не единичны, тем более что по оценкам тех же “Инфосистем Джет”, 80% в области информационной безопасности в России – это все же проекты инфраструктурного характера, не затрагивающие организационные процессы предприятия, такие как миграция антивирусного ПО, замена одного сетевого экрана на другой, установка различных дополнительных средств защиты. Такие проекты осуществляются в стремлении обеспечить соответствие требованиям законодательства или ради воспроизведения существующих в отрасли “лучших практик”. Важно, что оба этих мотивирующих фактора мало связаны с внутренними потребностями организации и во многом носят формальный характер.
Вот и получается, что внешне соблюдая требования стандартов и законов, компании уходят от собственной реальности – в первую очередь, “смотрят, что устроит регулятора, а что его не устроит”, и это негативно сказывается на фактическом уровне защищенности корпоративных сетей, отмечают в Cisco Systems.
Соответственно, выделяемые на ИБ средства явно требуют от российских компаний более сбалансированного подхода, основанного на анализе бизнес-рисков. В контексте реалий сегодняшнего дня логично предположить и то, что российские предприятия должны в большей мере инвестировать в прозрачность и управляемость своей ИБ.