Защита информации: российский срез

ОБЗОРЫ

По итогам 2005 г. темпы роста российского рынка систем обеспечения информационной безопасности (ИБ) сократились (по разным оценкам, с 30-40% за 2004-й до примерно 20% в 2005 г.), но, согласно прогнозам аналитиков, по-прежнему будут превышать рост общего ИТ-рынка. Фактически рынок ИБ вступил в стадию насыщения, но появление все новых угроз еще долго будет обеспечивать его расширение.

Роль технологий ИБ остается значительной - так, по результатам опроса IDC, проведенного среди российских ИТ-менеджеров в 2005 г., они находятся на четвертом месте по важности применения в корпоративных ИС (около 22% респондентов отметили это направление в графе "очень важно"), следуя за системами управления инфраструктурой ИС (30%), средствами хранения и бизнес-анализа данных (по 24-25%), но обгоняя разнообразные телекоммуникационные решения.

Стабильность царит в сегментах рынка ИБ, связанных с разработкой различных систем защиты информации, сетевой защиты и VPN, технологий обнаружения и предотвращения атак. Активный рост, как и предсказывалось, сохраняется и в сфере услуг - например, проектного консалтинга или аудита систем обеспечения ИБ.

И еще одна статистическая оценка, которую следует принять во внимание, говоря о российском рынке: по данным IDC, до 65% средств ИБ в нашей стране - импортные, на долю отечественных производителей приходится 35%, и соотношение это практически не меняется в последние годы.

В качестве основной тенденции на рынке ИБ эксперты отмечают продолжающийся переход от поставок отдельных продуктов к реализации комплексных проектов и созданию интегрированных ИТ-решений. Сегодня это удел наиболее сильных компаний, которые расширяют спектр направлений своей деятельности и служат проводниками для зарубежных поставщиков. Но вместе с тем по-прежнему неплохо себя чувствуют и другие игроки различного масштаба, сконцентрировавшие свое внимания на определенных направлениях: криптографических разработках, дистрибуции отдельных западных продуктов, новейших технологиях или услугах. В какой-то мере это объясняется тем, что главным законодателем и потребителем, "довлеющей силой" российского рынка ИБ является государство.

Игроки рынка ИБ

Увеличение весомости проблем обеспечения ИБ (или осознания их весомости, как сказали бы эксперты по безопасности) привело к тому, что интерес к встраиванию средств ИБ в свои продукты почувствовали "акулы" ИТ-отрасли - международные корпорации, разработчики и производители повсеместно распространенных программных платформ. Сегодня они начинают с удвоенной силой развивать у себя направление ИБ, так или иначе смыкая бизнес с профильными ИБ-компаниями (встраивая их средства, покупая их бизнес с присоединением продуктовых линеек, адаптируя ИС для использования сторонних средств защиты) и/или наращивая собственные усилия по разработке решений для защиты информации. Естественно, это касается и российского рынка, где в ближайшем будущем можно ждать появления защищенных платформ, локализованных и сертифицированных.

В данном контексте первой заслуживает быть упомянутой Microsoft благодаря ее выходу на рынок антивирусных средств и увеличению числа продуктов со встроенными решениями по обеспечению ИБ. Это средства защиты от вирусов, шпионских программ и других внешних угроз в Microsoft Client Protection; антивирусная защита и защита от спама для серверов обмена сообщениями Microsoft Antigen на основе технологий компании Sybari Software, которую корпорация купила летом 2005-го, а также Web-фильтр DynaComm, купленный у FutureSoft; продукт Internet Security&Acceleration Server (ISA Server) с функциями сетевого экрана и управления VPN. В планах - создание инфраструктуры Identity Management для безопасного обмена персональной информацией через Интернет, решения по управлению правами, сертификатами и смарт-картами на базе технологий многофакторной идентификации. Важная роль отводится также расширению отраслевого партнерства SecureIT Alliance для объединения разработчиков средств безопасности на платформе MS.

Выступая в новой роли поставщика средств ИБ, корпорация столкнулась в России с законами и государственными стандартами в этой области и подошла к ним таким образом: в 2002-м Microsoft разработала программу Government security program (GSP) по сотрудничеству с государствами в области ИБ, в соответствии с которой госорганы получают доступ к исходным кодам ее ПО. Россия первая подписала GSP, и ФСБ, ФСТЭК и Минобороны получили открытые коды продуктов корпорации. Результатом этого уже стали сертификаты ФСТЭК на Windows XP и Windows Server, SQL Server 2000 и MS Office 2003.

После двухлетнего сотрудничества Microsoft и НТЦ "Атлас" получены также положительные заключения ФСБ по результатам сертификационных испытаний Windows XP и Windows Server 2003 с интегрированной российской криптографией (разработкой компании "КриптоПро") на соответствие "Требованиям к средствам криптозащиты конфиденциальной информации" по уровню КС2. Сами ОС при этом были испытаны на соответствие "Требованиям по защите конфиденциальной информации от НСД в автоматизированных информационных системах на территории РФ" по уровню АК2, что означает возможность их использования для построения VPN, полностью соответствующих закону "Об ЭЦП". В перспективе - сертификация серверных продуктов Microsoft (Exchange, Web-сервер IIS, Active Directory и мобильной платформы MS Mobile), и это надолго обеспечит работой и финансированием госслужбы по сертификации. Для взаимодействия с ними в Microsoft создано новое подразделение - Департамент по работе с государственными и общественными организациями, включающий отдел по взаимодействию с силовыми министерствами и ведомствами.

На ежегодной конференции "Государство в ХХI веке" российское отделение корпорации объявило о готовности предлагать отечественным частным пользователям и госзаказчикам решения на базе надежных, безопасных и сертифицированных в России продуктов и платформ, а также о намерении создать решения по обеспечению ИБ с учетом специфических запросов российских госучреждений.

На Западе к выходу Microsoft на рынок ИБ относятся с долей скепсиса, так как рынок уже давно поделен и работа на нем требует профессионализма и постоянного внимания - мониторинга угроз и вирусов, частого выпуска обновлений, высокой надежности и отсутствия дыр в решениях. Сама же Microsoft считает, что является предвестницей прихода на рынок платформ со встроенными средствами ИБ и исхода с рынка продуктов от ИБ-специализированных компаний.

В области крупных ERP-решений в России также происходят сдвиги в сторону безопасности.

Информационные системы Oracle уже работают или строятся в крупных российских государственных органах - Федеральном казначействе, МВД, ГТК, Центризбиркоме, Федеральной миграционной службе. Они включают средства безопасности, сертифицированные в соответствии с российскими требованиями; например, партнер Oracle компания "РНТ" сертифицировала пакет Oracle Business-Suite для Windows 2000 по классу 1Г.

IBM год от года увеличивает свои поставки российским госорганизациям и стремится к большему удовлетворению их требований по защите информации. В марте 2006 г. при содействии компании "Элвис Плюс" ПО IBM WebSphere MQ v.6. было успешно сертифицировано во ФСТЭК на четвертый уровень - самый высокий для коммерческих продуктов. Планируется дальнейшая сертификация продуктов IBM.

На нашем рынке ИБ также довольно широко представлены решения зарубежных фирм, непосредственно специализирующихся в области информационной безопасности, имеющих авторитет и большой опыт работы в своих направлениях: Cisco Systems, Check Point, Symantec, Internet Security Systems, SafeNet, WatchGuard, Juniper, Entrust, Trend Micro и др.

В России зарубежные корпорации редко действуют самостоятельно, чаще - через своих российских партнеров и дистрибьюторов, которые знают особенности рынка и, главное, - правила его госрегулирования. Проблемы с сертификацией иностранных систем ИБ, чьи исходные коды защищены авторским правом и лицензиями страны-производителя, как правило, решаются встраиванием в импортные системы модулей с реализацией российских криптоалгоритмов, чем занимаются наши разработчики, беря на себя также вопросы сертификации (в силу имеющегося опыта ее прохождения).

Круг отечественных компаний на рынке ИБ довольно ограничен - так что в основном все на виду (из тех, кто не засекречен):

- ИТ-интеграторы, которые поставляют системы комплексной защиты информации (СКЗИ): ЛАНИТ, "Инфосистемы Джет", "Аквариус", "АйТи", ЮНИ, "К-Системс", "Ай-Теко", КАМИ, "Компьюлинк", "Техносерв А/С", Rainbow, "АМТ Груп", "Открытые технологии";

- ИБ-интеграторы, которые занимаются комплексными проектами ИБ, как правило, в интересах госзаказчиков или крупных корпораций: "Информзащита", "Элвис Плюс", НТЦ "Атлас", МАСКОМ, НЕЛК, "Свемел", АНДЭК;

- фирмы меньшего масштаба, разработчики и/или поставщики СКЗИ, выступающие субподрядчиками или партнерами по встраиванию своих специализированных средств/систем в проекты интеграторов.

По мере того как вопросы безопасности начинают выходить на первый план в числе других сторон успешного бизнеса, компании первой группы уделяют все больше внимания включению ИБ-решений в свои продукты и проекты. А компании последней группы переходят во вторую группу, не оставляя при этом направления собственных ИБ-разработок.

Стоит выделить тот факт, что многие компании на рынке ИБ являются выходцами из госпредприятий, часть из них по-прежнему подконтрольна государству (имея статус ФГУП) или силовым ведомствам и выполняет поставки или заказные разработки почти на 100% в их интересах, редко выходя на открытый рынок или сильно ограничивая продуктовый ряд, разрешенный к свободной продаже.

Актуальные угрозы и средства защиты

Выбор средств защиты - в том числе криптографической - зависит прежде всего от фактически преобладающих угроз, теоретических представлений пользователей о необходимых методах защиты и практических предпочтений тех или иных методов. Противоречие поведения российских потребителей рынка ИБ заключается в несовпадении друг с другом перечисленных факторов.

Главным лейтмотивом года стал выход на первый план угроз, связанных не с внешними атаками на информационные системы, а с внутренним несанкционированным доступом к информации, совершаемым собственным персоналом компании умышленно или непреднамеренно. Актуальность внутренних угроз подтверждают опросы представителей компаний и их ИБ-подразделений, проведенные, в частности, IDC.

При этом многие компании продолжают активно приобретать продукты сетевой защиты, межсетевые экраны и антивирусы. Это в своем роде "движение по инерции" - как-никак эти методы защиты были востребованы все последние годы, есть повсеместный опыт их внедрения и эксплуатации. Тем не менее наработанный опыт позволяет понять, что строить системы безопасности из отрывочных продуктов неэффективно. Поэтому и возникает общая потребность в комплексных решениях ИБ, а также в услугах по аудиту действующих систем и их сопровождению.

Спрос на услуги в области ИБ настойчиво движется вверх. Как правило, фирмы, занимающиеся системной интеграцией в области ИБ, предоставляют их широкий спектр: консалтинговые услуги по вопросам ИБ и по лицензированию в области защиты информации; проектирование и сопровождение защищенных информационно-телекоммуникационных систем; анализ их защищенности; обучение в области ИБ. Так, "Элвис Плюс" оценила долю услуг в 40% от общего объема российского рынка ИБ в 2005 г., а на 2006-й прогнозирует все 55%. В обороте системных интеграторов услуги занимают от трети (например, в "Информзащите" в прошлом году доля услуг составила 35% ) до 70% выручки.

Услуги ИБ сегодня это:

- обычное сопровождение продуктов и проектов: консультации по выбору и построению систем ИБ, сопровождение реализованных решений и техническая поддержка заказчика;

- обучение персонала с целью защиты от внутренних угроз и непреднамеренных ошибок пользователей;

- аудит информационных систем с точки зрения уязвимостей, рисков и угроз;

- сертификация систем управления безопасностью на соответствие требованиям международных стандартов;

- аутсорсинг - новшество, представленное пока единичными примерами в России.

В отношении аутсорсинга заметим, что, как ни выгоден он для исполнителей, эксперты по безопасности оценивают его сегодня как не всегда удачный метод. Так, для решения возросших проблем с "инсайдерами" он явно не подойдет, ибо расширит границы внутреннего доступа к информации за счет привлеченных внешних специалистов. Самыми эффективными мерами защиты будут даже не технические средства, а обучение собственного персонала компании и различные организационные и административные меры, регламенты и инструкции.

Впрочем, на практике не внедряется часто ни то, ни другое, ни третье. По данным статистики, в России только 20% компаний серьезно заботятся об ИБ. Так, по результатам исследования InfoWatch, в прошлом году только 2% компаний использовали специализированные средства защиты, при этом 83% осознают их актуальность и собираются внедрить эти средства в ближайшие годы. Добавляет путаницы и не выстроенная пока взаимосвязь и иерархия между директором предприятия, руководителем ИТ-подразделения, службой безопасности и специалистами по ИБ.

Государственные заказчики, которые обеспечивают рынку ИБ большую долю спроса, вообще следуют не столько тенденциям роста тех или иных угроз, сколько требованиям, определенным в рамках национальных проектов.

Особенности маркетинга и конкуренции

Вообще, все перечисленные тенденции в сегментах рынка ИБ касаются в основном госсектора и потребителей из круга крупных российских компаний развитых отраслей, которые уже прошли стадию оснащения разнообразными техническими средствами обеспечения ИБ и теперь занялись построением комплексных систем и их сопровождением. Но за ними стоят тысячи остальных предприятий разного масштаба, для которых не только оснащение средствами безопасности, но и ИТ-оснащение еще впереди.

Сектор среднего и малого бизнеса некоторые эксперты по безопасности считают сегодня вполне перспективным. Обратим также внимание на малоосвоенный сектор частных пользователей - ведь именно он в 2005 г. в России опередил по затратам на ИТ лидирующих ранее госзаказчиков (по данным IDC), особенно в телекоммуникационных приобретениях.

Возможно, тенденцией развития рынка ИБ станет не только углубление работы с существующими группами потребителей (выход в регионы и увеличение сетей продаж), но и расширение перечня этих групп. Хотя долговременные государственные ИТ-проекты, обязательной частью которых являются подсистемы ИБ, безусловно, обеспечат государству приоритетное положение среди заказчиков и в некотором смысле станут залогом стабильности уже устоявшихся правил игры, которые мало напоминают правила канонического свободного рынка.

Речь не только о законодательно определенных рамках. Аналитики подчеркивают скрытость финансовой информации о рынке: немногие фирмы предоставляют данные о стоимости своих проектов или обороте. Кроме того, часто такие данные завышаются, дабы придать компании больший вес в глазах потребителей. Стоимость государственных заказов тоже не всегда формируется исходя из анализа рисков или рыночной оценки затрат - освоение отпущенных бюджетных средств этого не требует. Набор инструментов маркетинга сильно отличается от обычного. Стандартные реклама, PR и продвижение - детские игрушки для компаний ИБ, не принятые при работе с госсектором, здесь действуют скорее административные рычаги влияния.

Конкуренция в таких условиях тоже выглядит по-другому, а ведь она определяет технический прогресс - разработку новых средств защиты, требования к которым в данном случае диктует опять же государство или конкретные госзаказчики.

Все это делает непривлекательным для фирм, работающих в основном для государственных заказчиков, выход на открытый рынок современных и конкурентоспособных средств СКЗИ, требующий значительных вложений в предварительные маркетинговые и технологические исследования, в разработку продукта и его продвижение. Часто на рынок выставляются разработки, уже оплаченные государственными заказчиками, в сопровождении минимально необходимой рекламы. Они зачастую несовместимы ни с другими отечественными СКЗИ, созданными на базе того же ГОСТа, ни с западными решениями. В отличие от универсальных "рыночных" продуктов они в значительной степени ориентированы на вполне определенный сегмент спроса, причем гарантированного и в последнее время вполне платежеспособного.

В сложившейся системе координат толчком к изменениям может послужить принятие новых российских законов и стандартов в области ИБ, поднятых до современного уровня в теории и применимых на практике. За последний год этот процесс продвинулся - достаточно упомянуть стандарт Центробанка по управлению ИБ "Обеспечение информационной безопасности организаций банковской системы РФ", обсуждение нового закона "Об электронной подписи", подготовку ГОСТов 17799 и 27001 (на основе ISO 17799 и 27001 соответственно). Исходя из этого некоторые эксперты в области ИБ предсказывают рынку грядущий качественный скачок.

Другой причиной переворота устоявшегося положения вещей может стать вступление России в ВТО. Тема изменений на отечественном ИТ-рынке, которые произойдут после этого события, активно обсуждается в последнее время. А что будет с рынком ИБ? Попробуем сравнить предположения.

1. Компании ИТ: резко усилится конкуренция за счет прихода на рынок зарубежных фирм, что вызовет необходимость в улучшении качества российских продуктов при одновременном снижении их цены. Особенно сильно это скажется на небольших ИТ-компаниях, да и остальным будет непросто адаптироваться. Если же иностранные компании будут не напрямую выходить на рынок, а начнут приобретать ключевые российские ИТ-фирмы, то это чревато потерей национального контроля над отраслью.

Компании ИБ: интересы отечественных разработчиков в достаточной мере защищены действующими законами и регулирующими мерами специальных органов.

2. Потребители ИТ: в одних отраслях отмена экспортных протекционистских пошлин других государств перестанет сдерживать их доходы, в других конкуренция с иностранцами скажется плачевно - например, в секторе среднего и малого бизнеса. Однако именно конкуренция может заставить потребителей применять ИТ-системы и системы ИБ в бизнесе для увеличения его конкурентоспособности и при этом перейти на зарубежные решения из-за более оптимального соотношения цена/качество.

Потребители ИБ: на открытом рынке произойдет все то же самое; в государственном секторе увеличится спрос на ИТ- и ИБ-решения в связи с необходимостью "подтягивания" государственных систем к мировому уровню - что, собственно, уже наблюдается.

3. Государство и ИТ: серьезно уменьшатся возможности государственной защиты внутреннего рынка товаров и услуг от иностранной конкуренции; но уменьшится и уровень коррупции в органах госвласти, работа с госзаказчиками станет прозрачнее.

Государство и ИБ: положение с иностранной конкуренцией останется таким же, как сейчас, при этом требования государства к технологичности ИБ-продуктов возрастут; административные рычаги влияния станут менее важны, фирмам придется применять инструменты рыночного маркетинга, могут произойти серьезные перестановки среди игроков рынка; реальнее будут оцениваться государственные ИБ-заказы, что может снизить их доходность и привлекательность.

4. Экспорт ИТ: российские ИТ-компании получат возможность выйти на мировые рынки, преодолев их пошлины, квоты и ограничения.

Экспорт ИБ: за рубежом сфера ИБ, как правило, также закрыта для "чужаков" собственными стандартами и законами, как и в России, что крайне усложняет выход отечественных компаний на зарубежные рынки со своими продуктами для ИБ.

В целом можно сказать, что, как и в любой стране, в России отрасль информационной безопасности в достаточной мере ограждена от проникновений извне. Несмотря на всеобщую глобализацию, в вопросах безопасности каждое государство продолжает сохранять некоторую изолированность по вполне понятным причинам. Поэтому и отечественные ИБ-разработки и национальные проекты в этой области не потеряют своей актуальности.

С автором статьи, специалистом по маркетингу фирмы АНКАД, можно связаться по адресу: marketing@ancud.ru.