Рынок средств защиты информации в России: до санкций и после. Часть первая

Рынок средств защиты информации в России: до санкций и после. Часть первая
Мое отношение к импортозамещению известно многим - я и не скрываю свою в целом отрицательную точку зрения на то, как это делается в России (именно на то, как это делается, а не на саму идею). Я не раз говорил и буду повторять, что сначала надо создать свое, а потом уже выдавливать чужое, но никак не наоборот. Также я не раз говорил, что даже то, что у нас пытается подать как импортозамещение является профанацией, призванной продавить интересы отдельных компаний, но никак ни отрасли в целом. Властям же в целом совершенно наплевать на отрасль ИТ и ИБ и никаких реальных шагов для развития ИТ/ИБ-отрасли у нас не делается. Но все это демагогия и тренировка в риторике. Я решил попробовать найти некое численное выражение сложившейся ситуации.

В качестве источника для своего блиц-исследования я взял последний реестр сертифицированных средств защиты информации ФСТЭК, на базе которого мне хотелось понять динамику сертификации средств защиты информации. Конечно, это не является стопроцентным отражением ситуации на рынке импортозамещения, но учитывая, что основной целевой аудиторией для импортозамещения являются госорганы, а госорганы обязаны применять только сертифицированные средства защиты информации, то по реестру можно с определенной долей уверенность судить и о общем состоянии отечественного рынка ИБ и его ответе на санкции и последовавшее за ним импортозамещение. В качестве точки отсчета я взял 6 марта 2014 года - именно от этой даты начинается история санкций против России и, соответственно, разговоры об импортозамещении.

Для чистоты эксперимента я взял два временных интервала - два года до санкций и два года после. Если предположить, что санкции и импортозамещение должны были повлиять на рынок средств защиты информации, то, в теории, численные показатели реестра (сертификаты, новые продукты, новые компании и т.п.) должны были возрасти как раз после 6 марта 2014-го года (с учетом определенной задержки на время сертификации).

Итак, вот что у меня получилось. Общее число сертификатов за указанные периоды времени выглядит следующим образом. В период с 6-го марта 2014 года число сертификатов росло, но, на мой взгляд, это является не отражением санкций, а продолжением роста, начавшегося в предыдущие годы. Учитывая длительность сертификации, говорить о тренде можно было бы с 2015-го года, в котором произошел... не рост, а падение числа выданных сертификатов.


"Отечественные СрЗИ", указанные на гистограмме, означает, что средство защиты произведено российской компанией. "Традиционные СрЗИ" означает, что речь идет именно о классических средствах защиты информации, исключая тематику борьбы с утечками по техническим каналам (генераторы шума, защита от виброакустики и т.п.). Также в традиционные СрЗИ я не включал всяческие защитные знаки, защитную фольгу, а также различные информационные системы и прикладное ПО, которое в массовом порядке различные госорганы и производители ринулись сертифицировать по техническим условиям.

Мы видим, что число сертификатов стало сокращаться. Интересно будет посмотреть статистику в следующем марте, чтобы говорить о сложившемся тренде или случайной девиации.


Можно предположить, что снижение числа сертификатов связано с тем, что заявители стали подаваться не на партии или единичные экземпляры, а на "серийное производство". Но и это не так - число сертификатов по схеме "серия" также неуклонно падает.


Возможно это связано с усилением требований по сертификации на отсутствие недекларированных возможностей, которое неявно ФСТЭК стала требовать от многих производителей - отечественных и зарубежных. Явно это требование войдет в новую редакцию 17-го приказа, согласно которой, все государственные и муниципальные информационные системы, начиная с минимального класса, будут требовать наличия сертификата на отсутствие НДВ. А это требование выполнить очень непросто - и нашим разработчикам, и иностранным. Особенно в концепции Agile, когда цикл разработки сокращается и внесение изменений в ПО становится более оперативным и динамичным. Сертификация на отсутствие НДВ в такой ситуации работает не очень хорошо. Отсюда и снижение числа соответствующих "ндвшных" сертификатов.


Отдельно меня интересовал вопрос, как соотносится число сертифицированных решений российского и иностранного происхождения. Вспоминая слайд ФСТЭК на их конференции в прошлом (а не в этом) году, у меня сложилось впечатление, что российские производители средств защиты набирают обороты и обходят иностранцев.


Прямой анализ реестра ФСТЭК говорит о схожей тенденции - соотношение числа сертификатов на иностранные и отечественные продукты примерно одинаковое и почти не изменилось после санкций. Иностранцы как сертифицировали свои решения, так и сертифицируют; просто в абсолютных цифрах число сертификатов стало меньше. Вот как это выглядит по годам - до и после санкций.





Однако в реальности ситуация оказалась немного иной. Если отбросить тему защиты информации от утечек по техническим каналам и сертификацию уникальных информационных систем и прикладного ПО, которые входят в понятие "отечественные СрЗИ", то соотношение будет уже совсем иным - иностранцы (а они не сертифицируют в России ни генераторы шума, ни уникальные разработки под конкретного заказчика) превалируют на отечественном рынке.


И санкции и импортозаместительная риторика никак не повлияла на соотношение в лучшую сторону. Даже наоборот (посмотрите на данные 2012-го года). Дальше ситуация остается неизменной - соотношение "иностранцев" и "патриотов" составляет примерно 3 к 1.





Вот такая статистика на основе публичных данных (проверить мои выкладки может любой желающий). И предварительный вывод, который я могу сделать на основе анализа реестра сертифицированных средств защиты ФСТЭК, очень прост. Санкции и курс на импортозамещение никак не повлияли на развитие отечественного рынка ИБ. Предварительный он потому, что во-первых, прошло пока всего два с небольшим года. А, во-вторых, снижение числа сертифицированных решений (западных или российских) может быть связано с усилением требований по сертификации ФСТЭК, которые усложнили процесс для любого типа разработчика - отечественного и иностранного.

Более того. Могу предположить, что взятый ФСТЭК курс на непрерывный мониторинг уязвимостей в сертифицированных продуктах, усиление требований в новых РД, и обязательность сертификации на НДВ для многих случаев, приведет к еще большему снижению числа сертифицированных решений и сокращению рынка сертификации средств защиты информации. Стартапы войти в эту "реку" не смогут по причине нехватки средств и непонимания всей процедуры. "Иностранцам" постепенно перекрывают кислород. Останутся только "старички", давно наладившие контакты с регулятором и испытательными лабораториями и ориентированные в первую очередь на выполнение именно регулятивных требований, а не удовлетворение потребностей заказчика.

ЗЫ. В абсолютных цифрах могут быть незначительные погрешности. Все-таки вручную анализировать Excel-ный файлик непросто; особенно с учетом нечеткости в названии продуктов, упомянутых в сертификатах. А вот относительные цифры остаются неизменными.
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!