23.03.2007

Западный или российский производитель ИБ: кого выбрать?

image

Учитывая перспективу вступления в ВТО и массовый перенос западного опыта на российскую действительность, посмотрим как отличается рынок средств защиты в России и на Западе и что лучшего наши разработчики могут взять от своих западных «братьев» и конкурентов в одном лице.

Как бы так поддержать отечественного производителя,
чтобы при этом ничего у него не покупать?

Российский анекдот

 

Множество факторов влияния

 Существует 2 подхода к выбору каких-либо инструментов информатизации, в т.ч. и в области информационной безопасности. Первый заключается в изучении различных решений только с технологической точки зрения. Второй учитывает куда больше параметров, позволяющих сделать обоснованный выбор и не жалеть о нем в течение длительного отрезка времени. В противном случае может произойти то, что часто случается при недальновидном выборе – система удовлетворяет всем необходимым требованиям, но только на момент их предъявления. Через год инфраструктура претерпевает очередной виток модернизации и выбранная год назад система защиты уже не поспевает за новыми технологиями. Еще через год производитель «уходит» с рынка не выдержав конкуренции с более серьезными игроками или по причине того, что у руководителя компании пропал интерес к своему «детищу».

 Один из основных вопросов, который часто встает при выборе системы защиты – поддержать отечественного или зарубежного производителя. И это вопрос не праздный. На российском рынке представлены и те и другие решения. И ставку надо делать на то решение, у которого есть будущее. Обычно при анализе будущего развития рынка информационной безопасности рассматривается только один аспект – технологический, что неправильно. За десять прошедших лет история знала множество отличных технологических startup’ов, которые не выдержали конкуренции со стороны своих менее прогрессивных в техническом плане, но зато более «продвинутых» в других аспектах «коллег». Ведь система защиты – это не просто набор сотен тысяч строк кода. За ней стоят разработчики, маркетинг, руководство и т.п.

 Поэтому, как и для любого рынка в расчет надо принимать в расчет и множество других аспектов - экономика, вопросы менеджмента, маркетинга, управления персоналом и т.п. Но если для западного мира эти вопросы решаются уже не первое десятилетие, то Россия только вступает в эпоху цивилизованного ведения бизнеса. А значит, на российский рынок в первую очередь влияют не технологические факторы, а то совершенно другие параметры, о которых, большинство российских руководителей «защитных» компаний попросту не задумываются или не знают. Учитывая перспективу вступления в ВТО и массовый перенос западного опыта на российскую действительность, посмотрим как отличается рынок средств защиты в России и на Западе и что лучшего наши разработчики могут взять от своих западных «братьев» и конкурентов в одном лице.

 Технология это не все

 Очень часто на различных конференциях мне приходится слышать о том, что российские разработчики самые лучшие в мире и наши программисты работают во всех крупных корпорациях мира. Это действительно так. Только наличие хороших программистов не делает нашу страну технологическим лидером. Если посмотреть на кривую развития технологий сетевой безопасности, разработанную и регулярно обновляемую компанией Gartner, то Россия не представлена ни в одной из них. «Не представлена» - это значит, что у нас нет развитого рынка и достаточного количества необходимых продуктов. Один-два – это еще не рынок. «Исключением» является технология VPN, которая в России представлена очень широко; однако и тут не все так просто. Наши средства построения виртуальных частных сетей являются больше IP-шифраторам, чем полноценными VPN-решениями (но различие в толковании термина «VPN» - это тема отдельной статьи). Именно это (наряду с отечественным законодательством) мешает нашим продуктам выйти на международную арену. В сегментах предотвращения вторжений (ID&PS), отражения DDoS-атак, средств защиты XML и Web-сервисов (application firewall), многофункциональных защитных устройств (Unified Threat Mitigation, UTM), чипов безопасности и т.д. мы, увы, не играем.

 Если рассмотреть рынок не просто сетевой, а информационной безопасности, то и тут ситуация немногим лучше – мы активно работаем на рынке биометрии и электронной цифровой подписи (ЭЦП); но тоже только в пределах нашего государства. А вот на рынках compliance-систем, Single Sign-On (SSO), управления пользователями, управления патчами, цифровых прав (Digital Rights Management, DRM), безопасности Wi-Fi, управления безопасностью (SIM/SEM), доверенных вычислений, безопасности СУБД и систем хранения и т.д. Разумеется, определенные наработки есть и у нас. Например, сканер безопасности X-Spider, система проверка соответствия требованиям по безопасности Digital Security Office (бывшие «Гриф» и «Кондор») и т.д. Но пока это скорее исключение из правил, чем распространенная практика. Почему? Мы посмотрим дальше.

 Косвенно наше технологическое отставание доказывает тот факт, что ни одна российская компания так и не заняла прочного положения на международном рынке безопасности. Даже «Лаборатория Касперского», давно и прочно обосновавшаяся на Западе, пока не может похвастаться показателями, присущими мировым лидерам антивирусного рынка. Что уж говорить о других компаниях.

 Почему технологически мы отстаем от Запада, чьи решения доминируют на рынке, в т.ч. и на российском? Во-первых, у нас практически отсутствуют серьезные инвестиции в исследования и разработки (R&D). Отчасти это связано с отсутствием «свободных» денег, отчасти с непониманием необходимости таких исследований. На Западе же большинство компаний не упускают такой возможности и даже имеют в своих квартальных и ежегодных финансовых отчетах включают инвестиции в R&D отдельной строкой. Государства Запада тоже не обходят вниманием эту сферу и вкладывают миллионы в различные исследования, проводимые университетами и институтами. Это не только развивает рынок безопасности, но и дает ощутимую помощь исследовательским организациям. В России только в прошлом году заявили о поддержке высокотехнологичных компаний и ИТ-отрасли. Однако «слова» и «дела» - это пока не одно и тоже. О серьезных инвестициях в науку России пока остается только мечтать.

 Другое отличие в том, что многие западные разработчики средств защиты не всегда готовы тратит деньги и, главное, время на исследования. Они идут другим путем, приводящим к той же цели, - приобретение лицензий на «чужие» разработки и заключение OEM-соглашений с их владельцами. В России же таких примеров практически нет, исключая встраивание в свои продукты сертифицированного криптографического ядра или библиотеки. Мы почему-то любим изобретать велосипед, вместо того, чтобы купить право на использование уже готового изобретения. Зато российские компании сами часто служат предметом интереса со стороны западных игроков. Например, во многие известные антивирусы, наряду с другими, встроены и российские антивирусные движки. Еще одной российской особенностью является желание идти своим путем и создавать системы, аналогов которых на Западе нет. И дело тут не в том, что российские компании знают то, чего не знают во всем мире. Просто часто российские компании подстраиваются под существующую систему сертификации и пытаются изобрести то, что потребителями почти не востребовано, но прописано в различных законах, указах и постановлениях. Иными словами, у нас требования к системам защиты часто диктует система сертификации, а на Западе – рынок. Такая зависимость в условиях нарастающей рыночной конкуренции может оставить российских разработчиков на обочине.

 О двигателе торговли

 Но даже если разработчик создал гениальный продукт, то о нем никто не узнает, пока в дело не вступить двигатель торговли – реклама или, более широко, маркетинг, который также играет большую роль в продвижении продуктов безопасности. И в этой области деятельность российских и зарубежных разработчиков также различается. Во-первых, западные игроки практически всегда следуют т.н. кривой развития продукта, когда продукт, не дойдя до своего «финиша», либо получает новое развитие в следующем серьезном обновлении (с несколькими десятками новых функций), либо заменяется абсолютно новым продуктом. А вот у нас кривой развития мало кто следует, предпочитая заниматься получением новых сертификатов ФСТЭК, чем разработкой новых функций. Отечественные системы защиты годами не претерпевают изменений, в то время как «там» новые версии выходят с завидной регулярностью – раз в один-два года.

 Еще одно коренное различие в нас – портфолио. В момент появления компаний мы одинаково похожи – система защиты, послужившая источником рождения всего одна. Затем наши пути расходятся. Зарубежные производители, достигшие определенного «положения», стараются распределять свои риски и «держать» в своем портфолио не один, не два и даже не пять продуктов безопасности. В ряде случаев таких продуктов может быть несколько десятков – потеря бизнеса по одному из них не сказывается на благосостоянии всей компании. На Западе есть компании, которые также как и у нас обладают одним-двумя продуктами, но это, как правило, либо начинающие компании startup’ы, либо компании, не обладающие сколь-нибудь значимой долей на рынке. А вот лидеры рынка – Cisco, Check Point, IBM, Symantec, Trend Micro предлагают своим потребителям множество защитных систем.

 А что же у нас? У нас все наоборот. Не буду называть имена, но мало кто из отечественных компаний понимает, что сидеть на одной «дойной корове» десяток лет невозможно. Нужно думать на несколько шагов вперед. Но нет… Раз в 2-3 года на рынок «впрыскивается» («выбрасыванием» это назвать нельзя) новая версия застарелого продукта, интересного только потому, что он имеет заветную бумажку от Гостехкомиссии/ФСТЭК. Об освоении новых сегментов рынка информационной безопасности, выпуске новых продуктов (а не версий) никто не задумывается.

 В любом труде по маркетингу написано, что ни один продукт не может «расти» бесконечно. У него есть стадия роста, стадия стабильности и стадия спада. Умение компании заключается в том, чтобы вовремя «соскочить» с кривой развития продукта, не дать ему затянуть себя в пучину безвыходности. Именно поэтому высокоэффективные ИТ-компании выпускают новые версии своих продуктов. Иногда даже кажется, что они рубят сук, на котором сидят, выбивая почву из под ног еще успешного продукта. Например, Intel, который чуть ли не каждые полгода выпускает новые процессоры или Microsoft, который каждый год-полтора выбрасывает на рынок новую версию офиса. Если же обратиться к рынку ИБ, то и тут ситуация аналогичная. Cisco, Aladdin, Trend Micro, Symantec и т.п. выпускают новые решения по безопасности достаточно часто, стимулируя интерес к ним со стороны заказчиков и прессы. Причем на продвижение новых решений тратятся громадные средства; правда, и окупаются они с лихвой.

 PR и реклама, вещи необходимые в ИТ-бизнесе. Именно они подогревают интерес к продукту на стадии, когда он только завоевывает рынок. Только через полгода-год продукт начинает жить своей жизнью и начинает приносить компании прибыль. До этого момента, компания должна прикладывать все усилия, чтобы интерес к продукту не угасал. Зайдите на сайт любой уважающей себя западной компании, и вы увидите, что новости появляются регулярно – в крупных компаниях число пресс-релизов может составлять 2-3 в день.

 А вот у нас все с точностью наоборот – хорошо, если новости выходят раз в месяц. Но нередки ситуации, когда на сайтах отечественных разработчиков последняя новость датирована 2005-м и даже 2004-м годом. Компания выпускает пресс-релиз на 2 абзаца и, может быть, статью в специализированной ИТ-прессе, а потом ждет, когда же к ней побегут заказчики выписывать счета. А они-то не торопятся. А производитель, не увидев заветного золотого ручейка, рвет на себе волосы и считает, что новый продукт никем не востребован. Иногда после такой «неудачи» проект попросту закрывается, хороня, зачастую, отличный продукт или идею.

 О руководителях и их сохе

 Парадокс текущей ситуации заключается в том, что некоторые руководители российских фирм считают себя приверженцами прозападного менеджмента и даже прошли курсы Executive MBA. Однако любому рекрутеру или HR-менеджеру давно известно, что неважно, какой у вас сертификат, важны вы сами. Если уж и принимать во внимание статус MBA, то важно, где он получен. Как считают специалисты, в России не так много «правильных» бизнес-школ. Российский руководитель, выйдя за стены школы с корочкой Executive MBA, считает, что теперь он знает все и уж теперь-то он вытянет свою фирму из болота. Однако на практике все складывается совсем не так. Изучаемые «case study» оказались не применимы в российских условиях, подчиненные почему-то без энтузиазма восприняли стремление «жить по-новому» и уж тем более не понимают «птичий язык» своего руководителя, изобилующий терминами, смысла которых он и сам, зачастую, не понимает. Если говорить языком информационной безопасности, такой руководитель выполняет функцию «зомби», следующего изучаемым на занятиях сценариям. Ни о каком самомодифицирующемся в зависимости от окружения организме и речи быть не может. Также нередки ситуации, когда на курсы MBA приходит руководитель, считающий себя уже состоявшимся в бизнесе (возможно даже создавшем в начале или середине шальных 90-х и поднявшем свою фирму с нуля). Он считает себя «умнее всех» и пропускает любые слова преподавателя через фильтр своего восприятия, зачастую делая выводы, абсолютно противоположные первоначальной идее.

 Другая проблема, с которой приходится сталкиваться на российском рынке, - мнение руководителя, что он «бог и царь» в компании, а подчиненные должны молиться на него и быть рады тому, что они работают на такую звезду. И природа такого подхода понятна. Руководитель российской компании по совместительству является ее учредителем, совладельцем, акционером, членом совета директоров и т.п. Т.е. в нем совмещаются две несовместимые роли – руководитель, стремящийся развить бизнес компании, и владелец, стремящийся получить как можно больше дивидендов. Особо остро этот конфликт проявляется, когда возникает необходимость инвестировать в развитие компании или улучшить жизнь «рядовых» сотрудников (например, поднять зарплату или внести новый пункт в социальный пакет). Стремление потратить борется со стремлением сэкономить, попытка переложить деньги из собственного кармана в карман для развития успехом обычно не увенчивается… побеждает «жаба». На Западе такая ситуация очень редка – у большинства компаний акции котируются на бирже, а руководитель является наемным менеджером. Поэтому его доходы напрямую зависят от его действий, но при этом инвестиции на развитие он берет не из собственного кармана.

 Еще одно различие. В российских компаниях менеджмент обычно имеет техническое образование. В западных – бизнес-образование. В российских – основатель остается руководителем и пытается управлять бизнесом с высоты своего технического образования. В западных недаром появляется позиции «архитектор», «председатель совета директоров» и т.п. Они предназначены именно для основателей, которые, сделав свое дело (предложив идею), остаются на высоких позициях, отдав бразды управления акулам бизнеса, которые ничего не смыслят в технологиях, но умеют лавировать среди всех опасностей Уолл-Стрит. На Западе прекрасно понимают смысл пословицы «кесареву кесарево» и поэтому каждый занимается своим делом – финансовый директор (CFO), исполнительный директор (CEO), технический директор (CTO) и т.д. А у нас руководитель зачастую так и не вырастает из «штанов» программиста. Недавно на одном круглом столе я лишний раз убедился в правильности этого тезиса. На нем выступал генеральный директор российского производителя средств VPN из уст которого проистекали фразы типа «стек TCP/IP», «семиуровневая модель», «ключевая матрица», «стойкость криптографического преобразования» и т.п. Ни слова о решаемых задачах, преимуществах для потребителя, бизнес-потребностях и т.д.

 О самом ценном

 Самое ценное, что есть в технологической и уж тем более сервисной компании, - люди. Но часто они таковым капиталом не считаются. А раз так, то и текучка в компаниях высока – люди не хотят быть «пушечным мясом» и уходят при первой возможности. Разумеется, есть и те, кто не уходят. По разным причинам. Никому не нужны. Привыкли «ничего не делать». И уж совсем небольшой процент сотрудников являются приближенными к Олимпу, а значит пользуются чуть большим количеством благ, чем все остальные. Но на бизнес компании, такие сотрудники влияют мало – кто-то все-таки должен выполнять распоряжения «небожителей». Мне часто приходится видеть, как один и те же имена циркулируют между различными компаниями, занимающимися информационной безопасностью. И причина не только в том, что спрос опережает предложение и кто-то смог предложить больше. Зачастую причина совсем иная – компания-прародитель не смогла или не захотела удерживать своего сотрудника и он уходит в поисках лучшего места.

 Другая проблема – подготовка кадров. В отличие от Запада в России очень мало профильных ВУЗов, а уж о качестве их преподавания и говорить не приходится – достаточно прочитать статью на эту тему в 8-м номере ИКСа.

 О высоком

 Как строительство дома немыслимо без плана, так и развитие бизнеса невозможно без стратегии. И вот тут в отечественном и западном подходах различий немного. «Многие компании имеют достаточно внушительные стратегические планы развития, но мало кому удается их реализовать. Крис Зук и Джеймс Аллен в своей книжке «Прибыль от основного бизнеса» (Profit From the Core) анализируют опыт почти 1900 крупных корпораций из разных стран, и оказалось, что только 12 процентов из этих компаний смогли добиться роста доходов при сохранении прибыльности. В большинстве случаев компаниям не удавалось преодолеть весьма скромный рубеж – увеличивать доходы и прибыль на 5.5 процентов в год при существующей стоимости капитала. Между тем у 90 процентов исследованных компаний имелись подробнейшие стратегические планы, предусматривающее достижение гораздо более значимых результатов. Чем объясняется такой разрыв между намерениями и реальными показателями? Авторам кажется, что проблема заключается в отсутствии связи между декларированием корпоративной стратегии и её осуществлением. Проведя исследование, авторы увидели, что в среднем 95 процентов сотрудников компаний не понимают стратегии компаний или вообще не имеют о ней представления. Но если сотрудники, которые работают с клиентами или обеспечивают создание стоимости, ничего не знают о стратегии, они никак не могут способствовать её эффективной реализации. Такую ситуацию нельзя считать нормальной» (Роберт Каплан и Дэвид Нортон, «Отдел управления стратегией», Гарвард Бизнес Ревю, Россия, 1’2006). Лучше и не скажешь.

 Существуют и другие крайности, когда в компании существуют не одна, а несколько различных стратегий. Общая стратегия всей компании и стратегии отдельных подразделений. И в абсолютном большинстве случаев эти стратегии между собой никак не связаны. Стратегии подразделений между собой никак не взаимодействуют и не кооперируются. Более того, они, зачастую, практически никак не связаны с общей стратегией компании. Как в известной басне «Лебедь, Рак и Щука». Разумеется, никакого видимого скачка в развитии компании в этом случае не ощущается.

 Другие отличия

 Другое отличие России от Запада – нежелание «жить дружно» и попытка перетянуть оделяло на себя. Выражается это по разному. Во-первых, в России практически отсутствуют какие-либо альянсы между различными разработчиками средств защиты. Каждый из них пытается съесть весь пирог целиком и не желает делиться с другими. В итоге страдает потребитель, который не может интегрировать приобретенные продукты между собой. В эту же категорию можно отнести отсутствие стандартов, позволяющих объединять, например, различные VPN-решения. На Западе глобальные или «точечные» альянсы в порядке вещей даже между «заклятыми» врагами и конкурентами.

 Российская экономика только начала развиваться и поэтому у нас практически не развиты инвестиционные и венчурные фонды, которые могут помочь компании не вариться в собственном соку, а найти деньги на развитие и получить мощный толчок, который позволит предприятию осваивать новые направления для роста. Отечественные разработчики либо не хотят, либо боятся брать кредит, что сильно отличает нас от Запада, где все живут в кредит и не чувствуют, что государство их «кинет».

 Средний бизнес не может приносить доход постоянно. Лет пять максимум. Потом наступает стагнация и рост останавливается. Разумный руководитель заранее прогнозирует такую ситуацию и диверсифицирует свой бизнес, делая ставку на новые направления (зачастую несколько). Когда приходит «осень» для основного бизнеса, начинается «весна» на заранее подготовленных площадках. Если руководитель был недальновидным, то его компания упирается в потолок развития. Спасти его могут только крупные капиталовложения, брать которые готовы далеко не все и не всегда. Да и дают не всегда (особенно при отсутствии прозрачности управления и четкой стратегии развития). Иногда, когда бизнес превышает некоторый объем, собственник понимает, что он не справляется. Единственный путь – отойти в сторону и пригласить наемного менеджера, который лучше справится с ситуацией. Но не всегда собственник соглашается признать, что он не способен управлять собственным бизнесом. И тогда рост бизнеса останавливается или даже приходит в упадок. А вот на Западе это случается сплошь и рядом – во главе компаний обычно стоит пара – технарь-основатель и грамотный финансист, который и обеспечивает правильное развитие и рост.

 Когда конкурентная борьба ставит перед выбором «сдайся или умри» единственным решением зачастую является продажа бизнеса более удачливому «собрату». На Западе многие startup'ы специально создаются для будущей продажи. У нас таких случаев меньше чем пальцев на одной руке, но это только начало. Большинство сегментов российского рынка (связь и телекоммуникации, пиво, косметика, автомобили, ритейл и т.п.) вступило в стадию насыщения и теперь происходит перераспределение долей между основными игроками. Рынок ИТ пока только подходит к этой стадии и на нем случаи слияния и поглощения скорее исключение, чем правило. Рынок безопасности пока далек и от этого, но ситуация может измениться в любой момент – особенно после вступления России в ВТО. Российский собственник не готов уступить свой бизнес чисто психологически. Для многих компаний с оборотом 5-30 миллионов такие предложения поступают нечасто, а может быть и вообще никогда. А значит руководитель просто не готов к такому повороту в своей жизни (особенно если он свою компанию «выстрадал» с самого нуля), а потому и отклоняет такие предложения. Некоторые собственники, правда, слишком завышают цену своего бизнеса и этим отпугивают потенциальных покупателей.

 Еще одна проблема наших руководителей – неумение разговаривать с бизнесом на одном языке. Большинство из них имеют за плечами либо погоны, либо багаж ИТ-образования. А значит и мыслят они соответствующими категориями. Современный же руководитель компании-заказчика далек от битов, байтов и других понятных ИТ-шнику терминов. Он мыслит совершенно иными категориями. Система сбалансированных показателей, KPI, добавленная стоимость, ROI в конце концов. А значит доказывать необходимость приобретения системы защиты надо именно в этих терминах. Наши этого не могут, их этому не учили, и учиться этому они не хотят. Вот и растет провал между менеджментом заказчиков, все больше ориентированных на западные методики управления бизнесом, и российскими производителями средств защиты информации, «живущими» еще советскими временами, когда все решало лобби или система распределения.

 Последнее отличие, которое я уже упоминал – надежда отечественных разработчиков на обязательную сертификацию средств защиты, которая позволяет им держаться «на плаву». Если на Западе требования диктует рынок, то у нас все наоборот. Можно выпустить абсолютно неработающую систему, но если у нее есть заветная бумажка с голограммой, то можно быть уверенным, что на нее найдется покупатель (хотя бы для того, чтобы иметь бумагу с печатью «на всякий случай»). А вот на Западе этот фокус не пройдет – сегодня систему купят, а завтра об обмане раструбят по всему миру и компания-разработчик будет обречена на прозябание, а то и судебные преследования за недостоверную рекламу или обман потребителя.

 О ВТО в качестве эпилога

 В преддверии вступления в ВТО российским компаниям надо быть готовым к жесткой конкуренции со стороны западных производителей. Ряд компаний вынужден будет уйти с рынка, не выдержав конкуренции с более качественной и при этом более дешевой продукцией. Многим придется работать по западным стандартам. Кто-то предпочтет быть поглощенным более крупным игроком рынка или войти в альянс с бывшими конкурентами для борьбы за место под солнцем. Разумеется, многие компаний, не зацикленные только на себе, вступление в ВТО встретит с радостью, т.к. это позволит им найти новых бизнес-партнеров или улучшить взаимодействие с существующими. В любом случае вести бизнес так, как это делается сейчас, уже будет невозможно. Российские разработчики должны будут выбрать новую стратегию развития, которую потенциальные покупатели должны начинать оценивать и учитывать при выборе систем защиты уже сейчас. Ведь недооценка этого вопроса может обойтись потребителю очень дорого – компания-исполнитель может исчезнуть с рынка и заказчик останется с необновляемым и неподдерживаемым продуктам «у разбитого корыта». Поэтому мой заключительный совет при выборе между российским и западным продуктом в области информационной безопасности будет таким – смотрите не только на функциональность и красивую обертку, но и на окружение выбираемой системы. Только это позволит сделать правильный выбор и не пожалеть о нем.

 PS. В качестве постскриптума хочу заметить, что я ни в коем случае не стремлюсь доказывать, что приобретать надо только зарубежные системы защиты. Это совершенно не так. Моя цель показать путь, по которому должны идти российские разработчики. Пора привыкнуть к мысли, что мы живем не в условиях тотального распределения благ и госзаказов – наступила рыночная конкуренция и Россия должна на равных бороться за потребителя. А для этого мы должны перенимать все самое лучшее и оставлять за бортом все самое худшее. И пусть победит сильнейший…

 Об авторе:

Алексей Викторович Лукацкий,