Российский рынок в целом остался примерно таким же, каким был десять лет назад: он по-прежнему сильно фрагментирован и не капитализирован, отметили участники очередного CIO-конгресса «Российские просторы — 2013».
В частности, как указал Дмитрий Назипов, первый вице-президент банка «ВТБ», до сих пор ни один его участник не в состоянии предоставить весь спектр ИТ-услуг, и лишь отдельные его фрагменты можно считать удовлетворительными по уровню качества. Отчасти причина в том, что предлагаемые услуги не соответствуют ожиданиям заказчиков, ведь нередко работа отечественных подрядчиков и организаций-клиентов просто несопоставима по масштабам. Основная же проблема рынка ИТ услуг — дефицит доверия. По мнению Юрия Грибанова, директора по ИТ компании «Юнит-Оргтехника», этим объясняется отсутствие крупных долгосрочных контрактов, что, в свою очередь, не дает расти подрядчикам. В результате внимание крупного и части среднего бизнеса смещается к инсорсингу — формированию центров обслуживания для компаний-холдингов. И все же, по словам Назипова, кое-какие успехи есть.
В первую очередь речь идет о коммерческих ЦОД и облачных услугах.
При приобретении внешних ИТ-услуг одной из наиболее важных для бизнеса становится проблема информационной безопасности. Она обсуждалась в ходе круглого стола «ЦОД как точка пересечения интересов CIO и CSO», который прошел в рамках недавней конференции «Мир ЦОД», организованной издательством «Открытые системы». Многие потребители услуг коммерческих ЦОД заблуждаются, полагая, что после подписании контракта подрядчик «автоматически» решит сопутствующие проблемы информационной безопасности. Это не так. Как правило, в коммерческих ЦОД отсутствует подразделение информационной безопасности. Более того, по словам Андрея Касьяненко, заместителя генерального директора компании Caravan, коммерческие ЦОД зачастую рассматривают свои ИТ-активы исключительно как инженерные сооружения, не содержащие предоставляемых клиентам вычислительных сред, действительно требующих решения проблем, связанных с информационной безопасностью. Безусловно, ЦОД как инженерное сооружение подразумевает наличие систем физической безопасности — пожаротушения, видеонаблюдения, контроля доступа и т. д. Но в отношении информации, размещаемой в ЦОД клиентами, его руководство обычно свободно от обязательств.
Хуже всего то, что, по словам Касьяненко, у клиентов ЦОД отсутствует явно выраженный спрос на подобные услуги. Причина относительно проста. Информационная безопасность предполагает поддержание приемлемого уровня целостности, доступности и конфиденциальности данных. Выполнение первых двух условий может быть теоретически обеспечено сотрудниками ЦОД. Однако в силу уникальности данных каждого бизнеса эффективное решение этой задачи требует их активного погружения в специфику бизнеса. Следовательно, услуга усложняется и удорожается. В то же время, как отметил Роман Чаплыгин, руководитель отдела информационной безопасности банка «ДельтаКредит», решение этих задач традиционно входит в компетенцию ИТ-департамента организации. Что касается конфиденциальности, то, как показывает практика, по словам модератора дискуссии Михаила Емельянникова, управляющего партнера консалтингового агентства «Емельянников, Попова и партнеры», большинство случаев несанкционированного доступа связано не с технологическими атаками, а с инсайдерскими действиями заинтересованных лиц. Таким образом, эта часть проблемы даже теоретически не может быть решена поставщиком услуг ЦОД.
Некоторые коммерческие ЦОД анонсируют сетевую безопасность как дополнительную опцию. Продажа безопасности — новое явление на рынке ИТ-услуг, отметили участники дискуссии. Однако эти предложения устраняют лишь небольшую часть технологических проблем и, безусловно, не имеют отношения к проблемам организационным. Что касается услуг распределенных (в частности, облачных) вычислений, то здесь продажа безопасности распространена в большей степени. Однако необходимо иметь в виду, что это, как правило, услуга на массовом рынке, и она становится рентабельной для поставщика только в случае ее стандартизации. Соответственно, и решения в области безопасности здесь, как правило, носят стандартный, унифицированный характер, что снижает их реальную ценность. Таким образом, решение проблем информационной безопасности остается и, видимо, останется в сфере ответственности заказчика ИТ-услуг.