30.09.2007

О разработчиках средств защиты и их судьбах

image

В марте у нас на сайте была опубликована статья Алексея Лукацкого "Западный или российский производитель ИБ: кого выбрать?" , как всегда вызвавшая острую дискуссию. Тогда автор призвал российских разработчиков написать ответную статью, отстаивающую другую точку зрения. И вот настал момент истины. Бывший работодатель Лукацкого, В.Гайкович, написал свой "ответ Чемберлену".

В марте у нас на сайте была опубликована статья Алексея Лукацкого "Западный или российский производитель ИБ: кого выбрать?" , как всегда вызвавшая острую дискуссию. Тогда автор призвал российских разработчиков написать ответную статью, отстаивающую другую точку зрения. И вот настал момент истины. Бывший работодатель Лукацкого, В.Гайкович, написал свой "ответ Чемберлену".

Вспомним тезисы упомянутой статьи. Основной посыл в том, что при выборе системы информационной безопасности надо обращать внимание не столько на технологии, сколько на имидж и состояние компании в целом, поскольку исчезновение с рынка того или иного вендора ударит прежде всего по его постоянным клиентам. Особенно в такой чувствительной области, как ИБ.

Российские же вендоры в большинстве своем, по мнению автора, может быть, и могут конкурировать на технологическом поле, но на коммерческом поле никак не сравнимы с крупнейшими игроками рынка. Причину этого автор видит в сирости и убогости российских вендоров по полному спектру коммерческой деятельности – от корпоративного управления до управления разработкой.

Мои выводы, основанные на многолетнем опыте работы на российском рынке ИБ, несколько иные.

От реалий никуда не деться

Страна-то нетипичная, страна – неординарная,
У нас любое действие всегда нулю равно.
Системы – бессистемные,
стандарты – нестандартные,
Пространство неэвклидово, черт знает чье оно.

Тимур Шаов


Автор подходит к российскому и мировому рынку ИБ с одной меркой, хотя похожесть их «чисто» внешняя.

Российский рынок ИБ, равно как и китайский, весьма своеобразен. Причем своеобразие это настолько велико, что делает оба этих рынка почти невосприимчивыми к внешним воздействиям и заставляет жить по своим внутренним законам. Не обсуждая нравственную или политическую сторону этого вопроса, я просто констатирую факт.

В чем же специфика? Прежде всего – в наличии строгого государственного регулирования. Если еще год назад витали легкие сомнения в наличии долгосрочной политики государства, то теперь таковых практически не осталось. Государство продолжает усиливать свое давление на бизнес и ужесточать регулирование во всех чувствительных для него областях, одной из которых, безусловно, является безопасность. Доказательством этому – принятие новых законов в области ИБ, а также возросшая активность регуляторов рынка по контролю исполнения существующего законодательства.

Можно долго «пинать» российские решения в области ИБ, но у них есть одно несомненное достоинство – они сделаны с учетом специфики рынка.

Вторая особенность рынка ИБ – его малый размер и корпоративный характер. Существуют разные оценки объема рынка, но более или менее адекватна, на мой взгляд, сумма в $300–350 млн. Это очень мало: таков объем рынков ИБ Бельгии или Нидерландов, не самых крупных стран Евросоюза.

Каждый новый обзор рынка ИБ России не устает подчеркивать, что крупнейшим потребителем услуг и средств ИБ являются госсектор и крупные корпорации, а сегмент SMB и частных лиц только начинает формироваться и для него еще нет адекватного предложения. А госсектор и крупные корпорации чувствительны к госрегулированию, и поэтому несоблюдение вендорами правил игры на рынке чревато не просто падением продаж, а их полным отсутствием.

Корпоративный характер рынка также сказывается на составе его участников. Давно прошли времена, когда на рынке имелись крупные заказчики, еще не охваченные вниманием компаний, специализирующихся в области ИБ. И отсутствие единых стандартов у разработчиков – способ, с помощью которого они «защищают» своего заказчика от прихода конкурентов.

Потому-то и состав участников рынка практически неизменен, а вдруг возникшие новые игроки занимают малую нишу. Громадного роста доли рынка у кого-либо из игроков, появления новых лидеров нет и в помине. Равно как нет и «чистки рядов». Да, у действующих игроков случаются неприятности, но они не фатальны для их текущей бизнес-деятельности. Компании, работающие в области ИБ, накопили некоторую «жировую прослойку», страхующую от различных изменений на рынке и в госполитике в целом.

Возможное вступление в ВТО вряд ли приведет к тотальному открытию рынка для зарубежных вендоров, опять же из-за усиливающейся роли государства. Скорее, и после эпохального вступления при существующем и повышающемся уровне госрегулирования российские вендоры будут конкурировать друг с другом, а не с западными производителями.

Малый размер и корпоративный характер рынка привели к тому, что среди отечественных компаний в области ИБ почти перевелись классические вендоры. Ведь на продаже собственной продукции внутри РФ много не заработаешь, а выход на зарубежные рынки труден, особенно сейчас (но об этом – ниже). Поэтому российские ИБ-компании тяготеют к вертикальной интеграции, предоставляя своим заказчикам широкий спектр услуг, не ограничиваясь поставками «железа и софта». Это естественный, но нелегкий путь, и совмещать дистрибуцию чужих платформ и оказание услуг удается не каждому, так как суть этих бизнесов различна.

Если принять во внимание все указанные факторы, то основной вывод прост. В среднесрочной перспективе положение российских участников рынка ИБ устойчиво в силу протекционистской политики государства и корпоративного характера рынка.

Есть два основных фактора, способных повлиять на эту устойчивость. Первый – изменение государством правил игры во время игры. Так, увы, бывает, но пока данная перспектива не просматривается.

Второй фактор – технологическое отставание российских разработчиков, при котором их продукты будет затруднительно применять при построении современных ИС. В чем же причина такого отставания, если на слуху «высокая квалификация русских»?

Жизнь в дефиците

Мужик на приеме у доктора:
– Доктор, я жить-то буду?
–Жить? Будете, а летать – нет.
Из анекдота


Почему же российские разработчики не отличаются столь высокими темпами технологического развития, как их зарубежные коллеги? Причины этого исключительно экономические и лежат на поверхности. Для технологического прорыва (если нужно что-то создать, а не сломать) нужен масштаб. А для масштаба – люди и инвестиции.

О людях. О том, что на рынке труда существует острый дефицит кадров, не пишет разве что газета «6 соток». Пришедшие в экономику РФ нефтедоллары, безусловно, сказались на объеме рынка, но значительно серьезнее они повлияли на зарплаты и компенсации. Требования специалистов по оплате их труда растут день ото дня. Но, увы, их квалификация падает с той же динамикой. Рынок труда в Москве – Клондайк перекупки, ставки на нем неадекватны производительности труда и квалификации специалистов. Уже сейчас стоимость российского программиста или ИБ-специалиста в Москве выше, чем в Европе.

В то же время притока новых кадров из вузов на этот рынок почти нет, и ежегодный прирост «пула» специалистов ничтожен. Поэтому одни и те же люди «гуляют» по компаниям, обычно с повышением зарплаты и социального пакета. Редко-редко забредет человек из смежной отрасли. Еще год-другой такой тенденции, и ИБ-аутсорсинг в Украине или Молдавии станет модной темой нашего рынка.

Такая же ситуация и с менеджментом. Сегодня профессиональных менеджеров, понимающих рынок ИБ, очень мало. Безусловно, приятнее заниматься нефтянкой или ритейлом: масштаб другой, да и нет там уж очень сильных национальных особенностей.

Теперь о деньгах. Поскольку российский рынок ИБ мал, да еще и с «лица необщим выраженьем», вопросы инвестиций в разработки решаются на нем совсем не так, как у зарубежных коллег.

Ясно: чтобы расти, нужны деньги. И хотя, как я уже упоминал, некоторый резерв у российских компаний есть, он недостаточен для быстрого и стабильного роста. Хочешь расти – привлекай внешнее финансирование. Без него сложно осуществить и закупки технологий за рубежом, и продвижение продукта на рынке. Но надо понимать, что, даже заплатив $1–1,5 млн (например, за систему обнаружения атак), сразу выйти с ней на рынок не получится. Уйдет один-два года и еще $50–100 тыс. на сертификацию, обучение специалистов по технической поддержке, продвижение (не забыть и плату за поддержку производителя за эти годы). Итого для внедрения чужих сложных технологий нужно не менее двух лет, а окупаемость вложений начнется (возможно) года через три, естественно, без гарантий. Потому как этот продукт надо сертифицировать у регулятора рынка. Если получится.

Где и как можно найти деньги для такого развития? Финансовых источников немного. Кредиты отпадают почти сразу – их стоимость 14–15% годовых в USD, что эквивалентно почти 50% привлеченной суммы. Проектное финансирование банков рассчитано на другие объемы кредитов. Привлечение зарубежных инвесторов малореально.

Выход на финансовый рынок со своими облигациями не позволит существенно снизить ставку привлечения. Компании из сектора ИБ практически неизвестны на рынке, и инвесторы купят облигации только при хорошем комиссионном вознаграждении, что по затратам равносильно получению кредита.

Инвестиционные фонды при всей их привлекательности обладают одной неприятной особенностью. У большинства из них нероссийское гражданство, а у российских – не так много денег для вложений. Инвестор всегда хочет контролировать расход вложенных средств, а потому – получить за свои деньги не меньше блокирующего пакета. Это беда: после передачи большей части владения зарубежной фирме количество вопросов к такой «совместной» компании у регуляторов рынка сильно увеличивается. Преодоление этих трудностей сводит на нет экономический смысл таких действий.

Кроме того, внешние инвесторы обычно преследуют финансовые, а не стратегические цели. То есть хотят за счет улучшения корпоративного управления поднять стоимость компании на рынке, после чего продать ее с выгодой для себя. Чем крупнее компания, тем выгоднее финансовому инвестору с ней работать, так как результат будет весомее. На российском же рынке ИБ преобладают мелкие компании, у которых, хоть ставь им корпоративное управление, хоть не ставь, продажная стоимость очень большой не станет.

Размещение своих акций на открытом рынке экономически нецелесообразно, поскольку капитализация компаний, работающих в области ИБ, мала. Для большинства расходы на подготовку к IPO превысят объем эмиссии.

Поэтому логика поведения российских разработчиков проста и понятна. Люди готовы рисковать только своими средствами, так как любая ошибка в прогнозах может обойтись очень дорого, вплоть до потери всего бизнеса. Ведь план по расходам выполняется всегда, и лишь с доходами случаются проблемы.

А поскольку собственных средств для масштабного расширения не хватает, то отечественные компании действуют подругому: существующие продукты всеми способами поддерживаются на плато продуктивности, не допуская драматического спада. Заметим, что практически всем российским вендорам это удается. Однако на что-то принципиально новое ни сил, ни средств уже не остается.

Куды бечь?

Разговаривайте иногда на чужом языке, чтобы не забыть, как плохо вы его знаете.

Болеслав Пашковский


Вопрос выхода на зарубежные рынки требует отдельного обсуждения. Бог с ними, с затратами. Разобраться бы в содержательной части.

Сейчас на мировом рынке ИБ тенденции полностью определились, и они отнюдь не на руку отечественным разработчикам. Прежде всего, этап «чистых игроков» для рынка ИБ закончился. Если 7–10 лет назад конкурировать пришлось бы со специализированными вендорами, такими как ISS, Axent и др., то сейчас ситуация в корне иная. Конкурировать надо с мировыми гигантами – IBM, Cisco, EMC, маркетинговые бюджеты которых существенно превышают объем всего российского рынка ИБ.

Технологическая составляющая рынка ИБ в настоящее время на спаде: новые технологии находятся на стадии идеи или первого опытного образца. Поэтому особенно ценны каналы сбыта продукции. А они в корпоративном секторе есть только у гигантов. Для того чтобы «порезвиться», остается рынок SOHO и частных пользователей. Но и это до поры до времени, пока туда не добрался очередной гигант индустрии.

Есть еще один вариант выхода на западный рынок – разработка технологии и затем продажа лицензий на ее использование другим игрокам. Безусловно, это может стать выходом на «чужой» рынок. Одна беда: для того чтобы создать технологию, нужны серьезные затраты на протяжении длительного периода времени. Кроме того, инвестиции не дают гарантии результата. Пример – компания Trustworks: инвестиции были, люди работали, а технологии нет. Остались лишь воспоминания о финансировании и некоторое количество хорошо подготовленных специалистов.

Ну и завершающий штрих – существующая система налогообложения экспортной деятельности. Заплатить экспортный НДС легко. Вернуть сложно.

Ситуация похожа на сказку о волшебной палочке: раз взмахнешь – все желания пропадают.

Зарубежный рынок для большинства наших разработчиков в области ИБ, как далекая звезда: ты ее видишь, она тебя (скорее всего) – нет. Остается локальный национальный (пока маленький) и корпоративный (сильно регулируемый) рынок. Работать приходится только здесь. И смотреть, что дальше…

Кстати, на этом рынке российский вендор способен показать себя ничем не хуже западного, если… не проиграет технологическую гонку. Имидж компании вторичен, важны продукт или услуга. А за российского клиента мы тоже умеем бороться.

Рисковать на любом рынке можно лишь тогда, когда премия за риск адекватна и можно просчитать возвратность инвестиций. На мой взгляд, это время уже наступает, даже при высоких ставках на привлечение средств. Остается только действовать.

О бурлаках российского бизнеса

Критиковать – это рассказывать другому человеку, что он делает неправильно по сравнению с тем, как сделал бы ты, – если бы умел.

Народная мудрость


Тема корпоративного управления в целом и отдельных личностей на этом рынке давно не дает покоя ни автору, ни многим другим. Видимо, основная причина в том, что всем искренне хотелось бы, чтобы в России компании управлялись так же эффективно, как и на Западе. Однако, чтобы делать некие мотивированные суждения и давать рекомендации, необходимо обладать некоторыми знаниями и желательно опытом.

Чтобы понять, кто и зачем назначает человека с бизнес образованием на позицию CEO, какова роль совета директоров в компании, как используемые приемы маркетинга связаны с целевой аудиторией и т.д., нужны специальные знания. Образование в конкретной области не является самоцелью, оно просто дает возможность понимать чужую логику и иногда объяснить происходящие процессы.

Опыт тоже полезен. Только «поруководив», можно уяснить, что управление людьми «немного» отличается от инженерной деятельности хотя бы способностью брать на себя ответственность за поступки других и достигать поставленной цели. То же самое можно сказать и об инвестиционной деятельности. Если сам никогда не пробовал, все кажется очень простым.

Безусловно, руководители российских компаний – далеко не идеальные творения Господа. Но надо не забывать, что именно они, со всеми присущими им особенностями, смогли организовать бизнес и добиться, чтобы он жил и развивался. Эти люди создают рабочие места, платят зарплату сотрудникам, пополняют бюджет государства налогами и по мере возможности развивают рынок ИБ в России. И работа у них – сродни бурлацкой: впряглись и тянут, какой бы ни была ноша.

Их можно осуждать за жадность, технократичность, «совковость» и прочие недостатки. Но есть ли среди осуждающих кто-либо, готовый взвалить на себя те риски и ответственность, которые несут на себе эти люди?

      В. Ю. ГАЙКОВИЧ,

генеральный директор НИП «Информзащита»
   

или введите имя

CAPTCHA
Страницы: 1  2  3  
01-10-2007 09:20:54
И готов бы поверить, да очень уж похоже на 99 уважительных причин АвтоВАЗа.
0 |
01-10-2007 13:20:42
+1. Вобще вся статья перечисление проблем и почему мы не можем даже если хотим. Лично мое мнение, что ситуация на рынке ИБ в России есть зеркальное отражение ситуации в экономике в общем. А основное, это сырьевая направленность и купля-продажа. И не надо ныть, что гос-во вам мешает, оно мешает везде, а то что сколько в год открывается IT компаний, и сколько магазинов базаров и т.д. Никто из бизнеса не хочет вкладывать деньги туда, где нужно много думать, работать, и вложения долгосрочные. В этом все и дело. Без роста рынка IT услуг вобще и роста рынка ИБ не будет. Да и зарплата, отдельная тема разговора, и не надо ля-ля, что в москве так уж хорошо платят спецам, да, кое-где и платят, но не везде. Поэтому, вместо нытья, господа, начните с себя.
0 |
01-10-2007 14:02:36
Причем эти "компании от ИБ", прекрасно понимая, что имеющиеся сотрудники не в состоянии создать ничего нового, пытаются заниматься сбором сведений со стороны в надежде "позаимствовать" чужие идеи. У нас есть такой пример - купили смарт-карту от ActiveIdentity у фирмы "АНК", на диске с драйверами анонсировано, что дополнительный resource-kit можно получить бесплатно, обратившись к продавцу... Так вот продавец требует, чтобы мы им подробно описали - для каких целей нам нужен этот resource-kit. Несколько раз пытались объяснить для чего мы используем смарт-карты - "не понимают", спрашивают опять. Вопрос - для каких целей нужны эти данные? Понятно, что это не простое любопытство, а технический шпионаж.
0 |
lw+
01-10-2007 11:06:59
Еще год-другой такой тенденции, и ИБ-аутсорсинг в Украине или Молдавии станет модной темой нашего рынка. Естественно будем аутсорится хоть на Луне лиш бы не в остальной(за пределами москвы) России
0 |
01-10-2007 11:42:36
Ага А где в России есьт нормальные специалисты по ИБ, кроме Москвы. Новосиб допустим, но на нем вся структура Сибири держится. Сертификация по информационнной безопасности имеют только единицы. Это было подмечено многими специалистами. К примеру сертификация по GIAG. Microsoft MCSE Security говорит что вы сможете построит всего лишь безопасную сеть на основе продуктов Майкрософт. А к примеру интеграция продуктов различных производителей не учитывается. Далее возникает вопрос сколько процентов ИТ специалистов понимает что написано в стандарте ЦБ РФ. Так что работа в Иб это не только технические средства но и в первую очередь бумаги.
0 |
01-10-2007 12:05:19
Позволю не согласится. Частично. Сейчас очень требуются грамотные разработчики, инженеры, проектировщики, тестировщики... Т.е. инженерный состав. С ним - йопа. Полная. Студенты из пеленок вуза сразу метят в руководители груп, архитекторы, гендиры С бумажками сейчас то проблем нет. Натаскать на "бизнесориентированый" подход, можно и обезьяну за годик. Будет ходить в костюме со значком CISSP и проводить аудиты по чеклистам. А научить человека грамотно писать код или разруливать конфликты различных "крипто- фаеро - ids" в сетях с больной маршрутизацией, за годик не получается... Не заметил у автора одной славной и спасительной для отечества мысли - не смотря на то, что производители в России отстают от рынка на 2-4 года, сам рынок примерно на этот же период отстает от запада. И это пока хорошо
0 |
Сергей
01-10-2007 15:25:59
Сейчас очень требуются грамотные разработчики, инженеры, проектировщики, тестировщики...сейчас в россии вообще требуются грамотные специалисты вот только где их взять?
0 |
01-10-2007 14:07:32
Нету нигде, особенно, если наличие специалистов считать по сертификатам, которые можно получить только в Москве. ps: да, у меня, например, нет ни одного сертификата по профилю моей работы.
0 |
01-10-2007 22:46:13
ну например сертификат IBM ISS можно получить онлайн.
0 |
01-10-2007 12:46:21
Технический персонал это отдельная тема. К примеру есть человек со статусом MCSE Security И чего этот придурок пароль на домен поставил на 8 символом. И написал на бумаге Приетом выполняя задачи на пользовательских компах под данной учеткой в сеансе Radmina Как я получил администраторский доступ к ресурсам локального компьютера, очень просто он вошел под собой я взял выдернул кабель убрал антивирус поставил трояна и снова пустил его Думаете заметил не тут то было и через 15 минут он менял свои пароли. Хотя может конечно многое с точки зрения техника Эта на давнем давнем месте работы Иб должна быть в голове Это особый образ жизни, у меня даже девушка использует в почте пароли не менее 14 символов
0 |
01-10-2007 13:24:53
у меня даже девушка использует в почте пароли не менее 14 символов И что, это показатель ИБ-мышления? Это просто показатель того, за сколько секунд ваш пароль будет вскрыт, за 2или за 3.
0 |
Сергей
01-10-2007 15:32:03
фанат, вы вообще понимаете что-то в криптографии? юзерплейс можно организовать так, что даже аккаунт админ:админ вы не сможете взломать, даже зная логин-пароль. причем без каких-то значимых денежных затрат на организацию рабочего места.
0 |
02-10-2007 11:05:12
Это называется параноя. Золотое правило безопасности - защита должна соответствовать защищаемому. Использовать 14 символов на простую почту - глупо.
0 |
rav
01-10-2007 15:53:04
Статья правильная. Пара комментариев. 1. В России есть несколько стартапов (один из них- мой, чтобы не быть голословным), который создают системы безопасности на самом переднем краю развития индустрии. Так что насчёт полного и безоговорочного технологического отставания- это перебор. Конечно, если сравнивать количественные показатели с лидерами (США, Израиль), то Россия находится сейчас в глубокой-глубокой... 2. Рынок ИБ в Росси и настолько уродлив, что стартапам выходить на него просто нельзя- убьёте свой мозг нафиг. Правильный вариант- сразу начинать работу с западными рынками, забив болт на российский. Там и пользователь дружелюбнее, и возможностей с деньгами на порядки выше. 3. Вопрос не сколько в количестве инвестиций, сколько в их качестве. Получить качественные инвестиции в России под ИБ-проект на сегодняшний день невозможно- я пробовал. А вот деньги, которые идут из нефтянки, к качественным инвестициям причислить никак нельзя...
0 |
Страницы: 1  2  3