От «куда вы лезете, идите к военным» к «дайте срочно хоть что-нибудь»
На одной из многочисленных сегодня конференций по импортозамещению участник круглого стола, CIO крупной нефтяной компании задал мне прямой вопрос: «Через сколько лет нам ждать российского NGFW?» Я ответил уклончиво, сохраняя интригу, но правильный ответ был: «через нисколько». русского NGFW (New Generation FireWall — межсетевой экран нового поколения, универсальное средство защиты) в том виде, в котором его производят CheckPoint, Cisco, Palo-Alto Networks и Fortinet, не будет очень долго, вплоть до никогда.
Позиция либерального рынка, которая сейчас выражается в требовании заказчика «а можно всех посмотреть», в настоящее время не способна в принципе породить инновационную разработку. Мы любим вспоминать российские компании, покорившие мир своими разработками, и гордиться тем, что уж в информбезопасности мы импортозаместили иностранцев задолго то того, как это стало модным. Но давайте разбираться в тех деталях, в которых дьявол.
Как раньше уже не будет
Сегодняшнее рыночное предложение в информационной безопасности сформировалось совсем в другой рыночной ситуации. Было принудительное импортозамещение у силовиков и в госорганах (через требования регуляторов к лицензированию, сертификации, передаче кода на анализ и т. п.), было естественное импортозамещение в языково-зависимых областях (типа DLP), и был относительно свободный рынок с сертификатами по ТЗ, которые мог получить любой, по типу «данный сертификат подтверждает, что продукт является антивирусом». Имея больший набор функций, лучшую управляемость и масштабируемость и довольно наплевательское отношение к прибыли (в канал легко уходило до 85% скидки), иностранные производители органически и рыночно заняли подавляющую часть рынка — аналитики говорят, что их доходы в прошлом году составляли больше 80 млрд рублей.
Другой канал
Действовали иностранные производители во многом одинаково: держали приблизительно равные цены и конкурировали скорее партнерской скидкой. Сначала на рынок выходила компания А, развивала рынок, давала заработать партнерам, снимала сливки, занимала рынок, становилась много где корпоративным стандартом, а потом начинала «выжимать» партнерский канал, уменьшая скидку. Тут же появлялась иностранная компания B, которая при той же цене и похожем наборе функций давала в канал привычную ранее скидку, и партнеры, основной игрок на рынке интеграции средств ИБ, переориентировались на второе решение. Потом ситуация повторялась со вторым игроком, и на его место приходил третий и т. д., до исчерпания конкурентного предложения. Игроки вкладывались самостоятельно исключительно скидкой, офисы имели небольшие, если вообще имели, перекладывая развитие рынка на партнеров, которые были только рады возможности неплохо заработать.
Продавать российские продукты интеграторам было не так интересно: скидки были существенно меньше, функции победнее, да и сам российский производитель постоянно активничал на рынке, не давая партнеру самому выбирать, что, когда и кому поставлять. Мелкие партнеры ради выживания придерживались эксклюзивного подхода — в каждой продуктовой нише имели по одному решению, иногда, строго по Трауту — одно иностранное, одно российское сертифицированное. Огромные заказчики — крупные банки, нефтяные, транспортные и телеком-компании — выбирали более функциональное и масштабируемое решение, те, кто был под более жесткими требованиями, приобретал отечественное.
Такая селекция привела к тому, что российские производители довольно долго сидели в нишах, где требований, обычно предъявляемых к лидерским продуктам, никто не предъявлял. Не было у основных их потребителей — небольших офисов силовиков и госпредприятий — задач массовой управляемости, быстрого масштабирования и сложной интеграции с другими системами. Их не продавали интеграторы — не те скидки и конкуренция в канале, поэтому они сами научились строить отношения с заказчиками. Соответственно, при шоковом изменении рынка будет сильно меняться канал доставки продуктов к заказчику.
Корпоративные функции, ранее известные как «энтерпрайз фичи»
При росте компании заказчика базовые функции, дающие название продукту (например, антивирус ловит вирусы), после достижения некоторого базового уровня становятся все менее приоритетными, чем функции управляемости и масштабирования. Например, вы не можете заменить тысячу устройств, управляющихся централизованно из одного места, на тысячу устройств, управляющихся локально, каждая через свою консоль — как бы хорошо ни была реализована базовая функция, у вас просто нет столько людей, чтобы управлять таким парком локально. А именно эта задача стоит сегодня перед большинством крупных компаний — вся архитектура их информационных систем и штатное расписание сотрудников, ее обслуживающих, рассчитаны в совсем другом продуктовом предложении, в котором ключевое требование — централизованное управление и простое масштабирование.
Такой спрос сегодня реализовать не получится, по крайней мере в рыночной парадигме. Для того чтобы разрабатывать необходимые функции, понадобятся человеко-века, а гарантий, что потом эти продукты будут куплены, нет никаких. Ситуация, кстати, очень напоминает сегодняшнее положение с нефтью и газом в мире: отрасль остро недофинансирована и требует огромных инвестиций для увеличения предложения, своих средств у игроков рынка на новые инвестиции нет, поэтому они не спешат залезать в кредиты, пока не увидят гарантированного сбыта и соответственного возврата инвестиций. Все требуют не «больше рынка», а долгосрочных контрактов с понятной ценой — только так можно планировать долгосрочные инвестиции.
Кто за всё заплатит?
А производители средств ИБ в России — это малый и средний бизнес, причем скорее малый, чем средний: один игрок с объемом продаж в 30 млрд рублей, еще пять с 10 млрд рублей, еще три десятка с продажами в пределах нескольких миллиардов и сотня с продажами в сотню, а то и меньше миллионов. Расходы на программистов и инфраструктуру выросли за последний год многократно, рентабельность многих измеряется в единицах процентов, поэтому они так бьются за сохранение льгот по соцналогу и НДС — без этих льгот их основной расход, ФОТ, загонит их в минуса. То есть на собственные средства разработку стоимостью в несколько лет и миллиард рублей может позволить себе максимум пять компаний, чем они, собственно, и занимаются, но все ниши они покрыть неспособны. И это в несколько раз меньше, чем инвестиции, сделанные в такие разработки зарубежными компаниями, которые имеют доступ не только к дешевым деньгам, но и к более зрелым заказчикам, огромному количеству пользовательских паттернов и реальных, а не тестовых пользовательских данных, необходимых для обучения нейросетей.
Да, на этом фоне раздражают те российские производители, которые сорвали джек-пот с уходом иностранных конкурентов. Став практически монополистами, они предсказуемо подняли цены в разы. В этом их трудно обвинять — ведь ради таких моментов предприниматели и занимаются бизнесом. Здесь мы опять можем провести аналогии с нефтегазом: никто не помнит, как выживали нефтяные компании в эпоху низких цен, а когда цены взлетели и производители решили компенсировать себе многолетние убытки и выкроить немного денег на давно не проводимую модернизацию, прибежали регуляторы с обвинениями и налогами на сверхдоходы (у нас в отрасли до такого пока, слава Богу, не додумались). Но компаний, на свой страх и риск много лет разрабатывавших продукты на грани рентабельности и вдруг поймавших волну, всего штуки три, именно их и склоняют сегодня пользователи чуть ли не как мародеров, наживающихся на чужой беде.
Не будет сразу, не будет довольно долго
Давайте признаемся себе, что по большому спектру продуктов импортозамещения «продукт на продукт» в сегодняшней рыночной ситуации быстро ожидать не приходится, для него нет никаких оснований. Да, есть спрос, иногда ажиотажный, но заказчик хочет совсем не то, что есть у российских производителей, он хочет то, что было у него раньше. Инвестировать в то, чтобы дотянуть хотя бы до сегодняшнего состояния иностранных продуктов по функциям, управляемости, масштабируемости и интеграции, российские производители без долгосрочных контрактов не готовы. Их позиция: берите за деньги то, что есть, потом мы будем постепенно улучшать их в рамках действующих контрактов. Как метко назвала такие контракты моя коллега — продают «фичерсы».
Что делать в таком случае потребителям, оказавшимся в ситуации, в которой они не могут защищать свои информационные системы так же, как и в прошлом году? Единого решения тут быть не может, поэтому постараемся просто перечислить те выдумки, на которые, согласно пословице, хитра голь.
Собственная разработка
Как выразился генеральный директор крупного заказчика, у нас семь тысяч программистов, они что хочешь напишут. Многие уже и приступили к этому, причем довольно профессионально — переманив архитекторов из рыночных компаний, скопировав привычный интерфейс иностранных решений. Если это еще помножить на прямую выгоду создания своих ИТ-компаний (отсрочки, льготная ипотека, налоговые льготы) и обязательные требования доходов от продажи лицензий, то можно года через три ожидать десятки, если не сотни одинаковых решений, идеально подходящих одному и только одному заказчику. Это, конечно, катастрофический расход и так дефицитных ресурсов, зато решает задачу здесь и сейчас (ну, почти сейчас, через пару лет).
Объединение с товарищами по несчастью
Те, у кого нет семи тысяч программистов, могут объединяться, чтобы, с одной стороны, делить ресурсы, с другой — получать разнообразный пользовательский опыт и разнородные данные из разных источников. Тут понадобятся не только проектные менеджеры, которые могут объединить усилия разных команд, финансируемых из разных источников, но и продуктовые: собрать и приоритизировать требования разных заказчиков, менять и переприоритизировать их по мере развития ситуации. Объединяются в основном по отраслевому признаку — нефтяники, энергетики или ретейл, но иногда и по размеру компаний — например, «Ассоциация крупнейших потребителей программного обеспечения и оборудования», цели которой, конечно, шире, чем разработка, но и эту задачу они планируют решать. В одних отраслях такие инициативы идут в рамках самоорганизации, в других — по инициативе и с поддержкой государства.
Переход с продуктовой модели на сервисную
Иногда отсутствие привычного продукта — хороший повод подумать, хотим ли мы сами заниматься непрофильной деятельностью и не можем ли мы эту функцию вместе с ответственностью кому-нибудь сбагрить. Плюсы (SLA, оплата по факту, экономия ресурсов) и минусы (передача управления и данных) перехода на сервис довольно часто обсуждаются, не будем их здесь повторять, отметим только два подхода: бухгалтерский и функциональный. При первом компания, которая не может купить какой-то продукт, пользуется этим продуктом, установленным на площадке провайдера, как сервисом. То есть в этом случае основной вопрос — «как я могу пользоваться привычным продуктом в новых условиях», ответственность не передается, SLA базовый, без ответственности за результат и т. п. Второй подход подразумевает, что заказчик вообще не интересуется, какой продукт находится внутри сервиса — это может быть один продукт, несколько или вообще ничего из того, что можно назвать продуктом, только какие-то скрипты и ручной труд — упор делается на ИТ-функции, которые передаются, и сервис и параметры эффективности выполнения этой функции.
Декомпозиция продуктовых задач
Уже прошло достаточно времени, чтобы от понимания «нам нужно заменить продукт Х» компании перешли к пониманию «нам нужно научиться выполнять следующие функции, которые раньше были реализованы продуктом Х». Замены некоторым продуктам на рынке нет, поэтому проще реализовать такие функции несколькими продуктами. Например, банки в ИТ прошли этот путь достаточно давно: в рамках конкурентной цифровизации отказались от монолитных банковских систем из рук одного производителя к комбинации различных продуктов, сервисов и собственных разработок. Да, проблем без монолитной разработки было достаточно — приходилось заниматься тем, что раньше делал единый производитель, например, интеграцией и более глубоким изучением взаимодействия компонент, но впоследствии российские банки приобрели ту гибкость, которая и позволяет сейчас делать передовые финансовые продукты, опережающие по качеству потребительского опыта мировые аналоги.
Воровство
Часть компаний в некоторых системах продолжит пользоваться привычными продуктами, либо покупая их через другие юрисдикции, либо просто ломая их. В любом случае подобное решение не может быть долгосрочным — это не третья четверть XX века без геопозиции и Интернета, сегодня по какой-то ошибке обман может быть легко вскрыт и тогда риск потери функций и данных быстро реализуется с катастрофическими последствиями.
Деградация сервисов
Если не удастся защитить часть сервисов, то их придется переконфигурировать вплоть до отключения. Пока отключение сервисов и переход в режим «осажденной крепости» с отсоединением всех внешних коммуникаций чаще происходит как временная реакция на массированные атаки, но если бизнес компании в такие периоды позволяет перейти на дублирующие офлайн-каналы (бумажные документы, телефонные звонки), то почему бы и не продолжать так работать и в более спокойные периоды.
Заключение
Импортозамещение в информационной безопасности по типу «отключаем один продукт, включаем другой» — утопическая идиллия. Придется вносить в защищаемые ИТ-системы существенные изменения — архитектурные, функциональные, процессные, чтобы эффективность защиты не пострадала. Поэтому импортозамещением в информационной безопасности должны заниматься не только безопасники, но и айтишники, и цифровики, и сам бизнес. От того как они сумеют договориться внутри заказчика, безопасность цифровых систем зависит ничуть не меньше, чем от таланта и ресурсов производителей.
Опубликовано 03.11.2022