Можно с уверенностью сказать, что на заседании круглого стола «Информационная безопасность как бизнес» первый шаг в направлении консолидации был сделан. Последует ли продолжение?

Павел Вороненко: «Пока мы не научимся говорить с заказчиками на языке их бизнеса, на уровне проблем, мы не сдвинем с места рынок информационной безопасности»

На заседание круглого стола «Информационная безопасность как бизнес», который провели издательство «Открытые системы», компания «ИТ-Экспо», известная как организатор выставки SofTool, и Министерство промышленности, науки и технологий, были приглашены представители российских компаний, чья деятельность полностью или частично связана с безопасностью информационных систем.

Его организаторы, решившие собрать вместе представителей компаний-конкурентов за одним столом, а не на конференции или выставке, руководствовались тем, что всех их объединяют общие проблемы отрасли, решить которые невозможно без координированных действий самих участников рынка информационной безопасности. Со своей стороны, организаторы круглого стола посчитали своим долгом участвовать в необходимой для достижения этой цели консолидации.

Оказавшийся в действительности не круглым (как было обещано), стол, вероятно, не уменьшил положительный эффект от встречи, но, быть может, помешал развиться острому диспуту. Естественным образом получилось так, что к наиболее интересному повороту темы участники подобрались лишь после завершения первого цикла выступлений, где каждый из присутствующих получил возможность высказаться. И хотя узок круг специалистов по безопасности, и все неплохо знают друг друга, тем не менее, следуя традиции, все они поначалу стремились идти по накатанному пути — представить свою работу, определить направление деятельности своей фирмы. В таком случае очень трудно избежать повторений известного и определенной ангажированности выступлений.

На языке бизнеса

Нарушителем спокойствия стал Павел Вороненко, недавно занявший должность начальника отдела информационной безопасности в департаменте системных решений компании IBS. Назвав в числе наиболее перспективных направлений деятельности консалтинг в части управления безопасностью, он призвал собравшихся обратиться, наконец, к теме круглого стола и задался вопросом, почему в России обеспечение информационной безопасности, да и ИТ в целом, не рассматриваются пока в качестве действительно серьезного бизнеса.

По мнению самого Вороненко, все дело в том, что доля его в общегосударственном масштабе не просто незначительна, но, по сути, ничтожна для такой страны, как наша. Оборот рынка информационной безопасности за 2000 год, по приведенным Вороненко оценкам, составляет примерно 10-15 млн. долл.; рынок настолько мал, что трудно говорить даже о его существовании, не то что о конкуренции.

«Наша общая беда заключается в том, что мы на тему бизнеса даже друг с другом говорим на языке технологий, — сказал Вороненко. — А заказчики не понимают этот язык, да и не должны его понимать. Пока мы не научимся говорить с заказчиками на языке их бизнеса, на уровне их проблем, мы не сдвинем с места этот рынок».

Плохо и то, что данный сегмент отечественного ИТ-рынка абсолютно не консолидирован, трудно привести примеры согласованных действий поставщиков решений в области информационной безопасности. А ведь потенциал мирового рынка безопасности огромен. Согласно ряду оценок, суммарная стоимость проблем, связанных с безопасностью, составляет 15 млрд. долл., но реальный оборот не превышает 7 млрд. долл. Так что «недофинансирование» характерно не только для России.

Вороненко призвал по отдельности обсуждать технологические проблемы и проблемы бизнеса: «Не будем мелочно доказывать, чем один межсетевой экран лучше другого — несовершенство любых отдельно взятых технологических средств вне системы осознали и пользователи».

Анатолий Лебедев, глава компании «ЛАН Крипто», согласился с необходимостью более тесного взаимодействия. По его мнению, отдельные положительные примеры совместных действий уже есть, в том числе форум «Технологии безопасности». Правда, в основном в него входят производители средств пожаротушения, охраны по периметру, индивидуальной защиты и тому подобной техники. Еще один пример консолидации привел Алексей Волчков. Это возглавляемая им самим ассоциация «РусКрипто». По его словам, специалисты в области криптографии уже убедились в необходимости интегрировать свои усилия и образовали собственную ассоциацию. Эта общественная некоммерческая организация ставит своей задачей объединять усилия всех, кто заинтересован в развитии отечественной криптологии.

Разумная разнородность

Сергей Вихорев, представлявший компанию Элвис+, выступил с предложением, от которого, по его мнению, выиграли бы все.

Оказывая консалтинговые услуги и создавая комплексные решения защиты информации, в Элвис+ следуют правилу принципу «разумной разнородности». Специфика данной области деятельности заключается в определенного рода зависимости от логики, от стиля мышления разработчиков конкретных продуктов. Если «положить все яйца» в одну продуктовую линейку, от одного разработчика, рано или поздно злоумышленники обнаружат общую дыру в таком решении. А вот если сопрячь разнородные средства от нескольких производителей, то тем самым опасность проникновения в информационную систему уменьшится. «Давайте вместе исповедовать принцип разумной разнородности», — призвал Вихорев.

Илья Трифоленков из компании «Инфосистемы Джет» отозвался на этот призыв следующей репликой: «Делать сейчас полностью однородную систему на продуктах какой-нибудь одной российской компании — это утопия: нет сейчас такой компании. И даже более того — невозможно найти полностью российскую линейку всех продуктов по защите информации. Поэтому разнородность так или иначе обеспечивается объективно, ее невозможно избежать».

Что касается вопросов сопряжения, то они посложнее, чем наличие просто интерфейсов, эта работа, как правило, не столько программистская, сколько направленная на обеспечение преемственности разных механизмов безопасности, реализованных на разных платформах, с тем чтобы они работали в едином ключе, выполняя единую политику безопасности.

«В этом как раз и состоит наиболее сложная задача для интегратора, — полагает Трифоленков. — И здесь возможно даже создание какого-то нового варианта инструментария для тех, кто занимается вопросами интеграции средств безопасности».

«В части сопряжения продуктов от разных поставщиков ситуация меняется к лучшему, и если тенденция сохранится, через несколько лет мы получим решения, которые действительно будут сопряжены друг с другом, — уверен Вадим Саякин из компании «Открытые технологии». — Решения в области безопасности развивались в основном спонтанно, и в большинстве своем российские разработчики ориентировались на какое-то свое собственное, внутреннее чутье».

По словам Саякина, то, что делалось, делалось не с целью открыть нечто для других, а напротив, закрыть. Под это еще и подводилась идеологическая база: дескать, если вы выберете наше решение, которое базируется на нашем внутреннем понимании, то уж точно никакой злоумышленник не сумеет к вам проникнуть, и тем самым повышается общая безопасность. Впрочем, как считает Саякин, в последнее время наметилась положительная тенденция отхода от подобной позиции.

Сергей Антимонов проиллюстрировал сотрудничество, обладающее синергическим эффектом, на примере совместных работ своей компании, «Диалог-Наука», с Элвис+, «Инфосистемами Джет» и «Техсофт».

Сергей Груздев, генеральный директор компании «Аладдин», поделился наблюдениями своего западного партнера на тему конкуренции. Когда на достаточно узком рыночном сегменте, где работает «Аладдин» (компания занимается ключами для защиты программного обеспечения), появился довольно серьезный конкурент, Груздев было запаниковал и поделился своими опасениями с президентом головной компании. И услышал в ответ: «Сергей, это хорошо, когда на рынке появляются новые игроки, они расширяют этот рынок. Представь, сейчас у тебя 80% маленького рынка, пройдет время, и будет всего 40%, но большого!»

Кому нужна безопасность

И еще одно замечание Груздева: «Почти все, кто занимается защитой, сосредоточивают свои усилия на госструктурах. Почему? Там больше денег, там можно больше взять сразу. Но есть еще коммерческий рынок, на котором, за редким исключением, сейчас практически никто не играет. Я бы сравнил состояние коммерческого рынка информационной безопасности с тем, что происходило на рынке бухгалтерских систем лет семь назад. Стоит обратить внимание на его динамику».

В своем выступлении Сергей Симонов из компании «КомпьюЛинк» заметил, что рынок информационной безопасности делится на две разные, но в некотором смысле схожие части. Первая — та, для которой обязательно выполнение руководящих документов Гостехкомиссии, — государственные структуры, опасные производства и т.д. Вторая часть — бизнес. Как считает Симонов, заказчикам первого типа обычно требуется наиболее дешевое решение, которое соответствует определенному классу защищенности; эффективность защиты содержательно не рассматривают, считая, что достаточно формально выполнить требования руководящих документов. Вторые, те, кто заботится о безопасности не по обязанности, а для себя лично, казалось бы, должны рассуждать более здраво, но тоже чаще всего говорят так: «Обеспечьте мне базовый уровень защищенности: в информационной системе должны быть антивирусные средства, межсетевой экран, активный аудит и все такое».

Симонов, с сожалением отнесший нежелание ставить вопросы эффективности защиты на особенности нашего менталитета, привел в качестве иллюстрации пример из опыта собственной компании. Когда в «КомпьюЛинке» приобрели ПО для анализа рисков, оказалось, что компания единственная использует его в России, а вот в остальных странах мира пользователей этого инструментария — несколько сот.

«Заказчики не в состоянии оценить свои потребности, значит, наша задача, как людей, заинтересованных в формировании рынка, — средствами консалтинга научить заказчиков формулировать свои потребности», — резюмировал Симонов.

Илья Трифоленков полагает, что рынок средств безопасности в России хотя и не развит, но тем не менее существует, имеет определенную структуру. Структура эта связана не только с размерами организации, — естественно, решения для большого и малого бизнеса разнятся. Действительно, решения по безопасности в большинстве своем сейчас ориентированы на крупные структуры. Но если посмотреть на рынок «по вертикали», где есть и промышленные предприятия, и предприятия добывающего комплекса, и госпредприятия, можно обнаружить, что разница между требованиями, которые они выдвигают, не является принципиальной. Разница обнаруживается скорее в той цене, которую на разных вертикальных рынках готовы платить за решение вопроса, в сроках и приоритетах.

Для Саякина очевиден интерес к решениям в области безопасности со стороны не только государственных организаций, но и коммерческих компаний. По его мнению, отношение коммерческих структур к безопасности может являться индикатором зрелости этого рынка. Конечно, и государственные структуры — достаточно большой рынок, но он весьма консервативен, формируется под влиянием ФАПСИ и других организаций, с мнением которых многие не согласны.

«Давайте присмотримся к соотношению государственного и негосударственного секторов, требующих серьезного обеспечения безопасности, — предложил Вихорев. — Второй можно разделить на две части: корпоративные сети крупных промышленно-финансовых групп и малый бизнес, обеспокоенный своими проблемами защиты. Проблемы малого бизнеса решаются относительно просто, на локальном уровне, и, на мой взгляд, для нас он неперспективен. Стоит ли делать сейчас ставку преимущественно на государственный сектор? Для кого-то это, может быть, и разумно, если компания соответствующим образом ориентирована, но сейчас это не самое главное. Если говорить о задаче формирования рынка, то фокус необходимо сделать на крупные корпорации».

«Мне кажется, нет еще той последней соломинки, которая бы сломала спину верблюду, заставила бы заказчиков кинуться в атаку на наши офисы с требованиями: ?Давай антивирус! Давай криптографию! Давай VPN!?, — считает Игорь Лукашов из компании ?Анкад?. — Однако момент этот, видимо, близок».

Лукашов уверен, что в связи с этим на участниках рынка — поскольку заказчики в массе своей еще аморфны — лежит ответственность за то, пойдет ли развитие этого рынка цивилизованными путем или нецивилизованным, диким.

Правые и левые

В круглом столе приняли участие специалисты из инвестиционной группы «Дельта-Капитал», представлявшие довольно непривычную для нас сферу, называемую венчурным капиталом. Один из них, Виталий Белик, высказал свое отношение к перспективам рынка безопасности: «Мы как инвесторы ожидаем более быстрый рост рынка продуктов и услуг в России в области обеспечения информационной безопасности, чем на Западе. Такой рост произойдет, в частности, и за счет недоиспользуемого пока экспортного потенциала российских компаний. Один из примеров тому — антивирусные средства. В соответствии с этими ожиданиями мы готовы вкладывать капитал в компании, работающие в этом секторе».

На основании приведенного изложения беседы может сложиться благостная, почти пасторальная картина: защитники информации, взявшись за руки, идут к светлому будущему. Но полного единства все же не наблюдается. Среда «защитников» имеет два полюса, на одном «правые», которых можно назвать космополитами-западниками, на другом «левые» патриоты-государственники. Соответственно и приматы ценностей у них различаются.

В первую очередь по отношению к государственному протекционизму. «Правые» утверждают, что только дух свободной конкуренции должен двигать рынком, «левые» полагают целесообразным создавать предпочтительные условия для отечественных компаний. Кроме того, есть еще такая специфическая сторона деятельности в области информационной безопасности, выделяющая ее на общем поле ИТ-рынка, как проблема, связанная с лицензированием государственными органами в лице Гостехкомиссии и ФАПСИ. Этот второй вопрос очень тяжел и малопонятен непосвященным, но для тех, кто непосредственно занимается обеспечением информационной безопасности, обладает колоссальным значением. Обсуждая его, участники круглого стола высказывали прямо противоположные точки зрения.

Впрочем, из теории игр известно, что игры бывают антагонистические, где побеждает один, а остальные проигрывают, и неантагонистические, где выгоду, пусть иногда индивидуально и меньшую, получают все игроки. Если вдуматься, то смысл цивилизационного процесса в исторической ретроспективе очень часто сводится к тому, чтобы перевести некую игру из разряда антагонистических в неантагонистические. В конце концов, это и есть показатель зрелого отношения к действительности.

Можно с уверенностью сказать, что на заседании круглого стола первый шаг в направлении консолидации был сделан. Последует ли продолжение?


Мнения

На участниках рынка — поскольку заказчики в массе своей еще аморфны — лежит ответственность за то, какими путями пойдет развитие этого рынка.

Игорь Лукашов, «Анкад»
Существует острая необходимость более тесного взаимодействия игроков на рынке. Отдельные положительные примеры совместных действий уже есть.

Анатолий Лебедев, «ЛАН Крипто»
Cпециалисты в области криптографии уже убедились в необходимости интегрировать свои усилия и образовали собственную ассоциацию.

Алексей Волчков, «РусКрипто»
По моему мнению, повышение интереса коммерческих структур к безопасности может являться индикатором зрелости этого рынка.

Вадим Саякин, «Открытые технологии»
Я бы сравнил состояние коммерческого рынка информационной безопасности с тем, что происходило на рынке бухгалтерских систем лет семь назад.

Сергей Груздев, «Аладдин»