УправлениеБезопасность

Закат эпохи динозавров

Рустэм Хайретдинов | 16.07.2013

Закат эпохи динозавров

Время от времени появляются сообщения об удачном пен-тесте системы управления холодной водой в местной бане.
Все идет к тому, что года через два мы не узнаем рынка ИБ и он станет совсем не таким, каким сформировался за последние два десятилетия. Стремительно и, главное, по разным причинам, меняются основные драйверы рынка. 

Традиционного рынка стало мало. Мало всем — и заказчикам, и производителям, и интеграторам. В разговорах с заказчиками часто слышишь, что непонятно, чем придется наполнять бюджет следующего года, который, как обычно, складывается из бюджета текущего года плюс небольшая «дельта». Эшелонированная защита уже построена, на ее поддержку и обновление тратятся 30–40% бюджетных средств. Идеи купить два, три, пять новых межсетевых экранов и антивирусов «для надежности» не встречает понимания у бизнеса. Снижение расходов на ИБ в компании практически неизбежно приведет к уменьшению количества сотрудников — внедрение требует гораздо больше сил, чем поддержка, — а вместе с этим и влияния соответствующих служб. Так что заказчики заинтересованы в придумывании и обосновании новых задач ничуть не меньше производителей и интеграторов.

Но решением «в целом» традиционных задач ИБ проблема не исчерпывается. Все большее количество привычных задач ИБ становятся рутинными — их можно реализовать довольно просто, а потому выполнение делегируется другим подразделениям компаний. Хорошим индикатором того, кто принимает решения, для меня является состав приглашенных сотрудников заказчиков на выездных конференциях антивирусных вендоров. Если в начале 2000-х такие мероприятия посещали исключительно сотрудники служб ИБ, то спустя десятилетие уже половина участников была из ИТ, а с прошлого года на конференциях стали появляться и представители закупочных подразделений.

Непроизводители средств информационной безопасности тоже изо всех сил вкладываются в уменьшение задач ИБ, оснащая данными решениями свои телеком- и десктопные продукты — начиная с операционных систем, которые по умолчанию снабжены подобной защитой и заканчивая маршрутизаторами с встроенным шифрованием. Но поскольку основной функционал относится к ИТ, то они и закладывают такие закупки в бюджет компании, а продают сами решения классические интеграторы. Хотя различные исследователи научились вычленять стоимость ИБ-модулей в ИТ-решениях и включать их в состав ИБ-рынка. Этот «праздник жизни» проходит мимо ИБ-отделов и ИБ-продавцов (если интегратор универсальный, то в план ИБ такие поставки не засчитываются).

Роль интеграторов меняется

На все это накладывается общий кризис системной интеграции — заказчики предпочитают иметь свою экспертизу и контактировать напрямую с производителями, оставляя интегратором лишь поставки. В данном процессе есть как часть общемировых тенденций, так и чисто российская специфика — несоответствие ставок специалистов средней зарплате по отрасли. Например, стоимость недели «аренды» инженера интегратора сопоставима с месячным окладом того же инженера при найме в штат заказчика. 

Оставаясь без денег за услуги, интеграторы вынуждены сокращать экспертизу. Чем меньше сторонняя экспертиза в проекте, тем сложнее его защитить от конкурентов — критерием становится только цена. На наших глазах из ничего появляются новые ИБ-интеграторы и ИБ-отделы у традиционных интеграторов, которые вкладываются только в продажи, зная, что решение внедрит производитель, защищая свою репутацию от мнения «купили такой-то продукт — ничего не работает». Новые интеграторы ради прорыва на рынок, а традиционные интеграторы от нежелания пускать других интеграторов к «своим» заказчикам, сбивают цены. Спираль неквалифицированных продаж закручивается все туже, поэтому недалеко то время, когда на поставках ИБ компании начнут работать в минус — 50%-ная скидка заказчику от рекомендованной цены уже не столь редкое явление. 
 
По традиционным продуктам интеграторы держат минимальную экспертизу — лишь бы оставить за собой статус у производителя, гарантирующий хорошие скидки. С новыми продуктами интеграторы ведут себя крайне осторожно: насколько мне известно, почти во всех компаниях действует правило «утром деньги — вечером экспертиза». То есть производитель должен сам продать и внедрить проект у заказчика, при этом пропустить контракт с огромной скидкой через интегратора (кстати, одного раза недостаточно — нужно два-три), и только тогда интегратор, возможно, обучит сначала продавцов, а потом и инженера. Вот почему производители все меньше надеются на канал и приглашают на работу не только инженеров по внедрению, но и сильных вертикальных продавцов. Оставляя производителя наедине с заказчиком по большинству инноваций, интегратор роет себе такую яму, что выбраться из нее будет все сложнее — многие ИБ-интеграторы давно являются просто корпоративными реселлерами, «поставщиками больших спецификаций». 
 
Не имея возможности наращивать экспертизу внедрения продуктов за счет их поставки, интеграторы перестают изображать мультивендорных независимых игроков и все более диверсифицируются. Кто-то инвестирует в производство собственных продуктов, продавая их в ущерб другим, кто-то становится облачными провайдером, кто-то занимается заказной разработкой.  

Инфраструктура защищена, что дальше?

Для того чтобы придумывать новые проекты и обосновывать их у бизнеса, необходимо перейти от парадигмы к защите инфраструктуры — а именно на этом рос рынок последние десятилетия. С инфраструктурой бизнесу было все понятно: не вложишь деньги в эту защиту (антивирус, антиспам, межсетевой экран), в один прекрасный момент не сможешь пользоваться своими бизнес-инструментами — компьютером, электронной почтой. Вирусные эпидемии следовали одна за другой, не позволяя забыть о продлении обновленных вирусных баз.
 
Из триады «целостность/доступность/конфиденциальность» бизнесу наиболее понятна доступность, оттого она и финансируется лучше. Сомневаетесь? Давайте представим три решения для одного ERP-сервера: первое не даст его «положить», второй — не даст украсть с него данные, а третье — не даст изменить данные. Могу поспорить, что их этих трех решений заказчик в первую очередь выберет первое, а с обоснованием закупки второго и особенно третьего решения потребуются дополнительные усилия. 

Что последует за защитой имеющейся ИТ-инфраструктуры? Решения два: можно распространять защиту на другие, ранее игнорируемые элементы инфраструктуры, или перейти от защиты инфраструктуры к защите информации. Ведь по большому счету ни заказчики, ни поставщики еще и не приступали к собственно информационной безопасности — защите компьютеров/серверов/каналов, где может находиться чувствительная информация, а также процессы ее создания и обработки. 

Расширение рамок инфраструктурной безопасности

Если внимательно читать прессу по ИБ, то обращает на себя внимание два направления расширения инфраструктурной части ИБ — BYOD/BYOP, защита АСУ ТП.

Попытки расширять инфраструктурные решения на новые объекты — конечные точки и контроллеры — естественное желание увеличить рынок, оставаясь в старой парадигме, не требуя серьезной вертикализации. Если защита конечных пользовательских точек, не принадлежащих организации, действительно укладывается в инфраструктурные решения, то вторая сильно зависит от отрасли, а часто и от производителя защищаемой системы: управление нефтепроводом, электростанцией, железнодорожными стрелками, металлургическим заводом происходит по разным протоколам и с помощью разных команд. 

Всплеск интереса к защите конечных устройств в концепции BYOD, как к отдельному решению, уже сходит на нет, следуя желаниям крупных корпоративных клиентов, прежде всего — американских. Производители операционных систем для мобильных устройств (Apple, Microsoft, Google, Blackberry) уже встраивают подобные решения в свои операционные системы. Так что данную тему и в компаниях заказчиков, и на рынке довольно скоро заберут айтишники, вряд ли это действительно направление роста информационной безопасности.

Что же касается зашиты АСУ ТП, на мой личный взгляд человека, знающего, с какими допусками работают ИБ-интеграторы, лучше бы они эту тему не трогали. Цена ошибки в АСУ ТП также непривычна для ИБ-компаний: надежность защиты 99,99% в банке означает простой сети банкоматов в течении 5 минут в год, что вполне допустимо, а та же надежность на нефтеперерабатывающем заводе означает, что раз в год завод вместе с окружающим городом выгорает дотла. Если компания выпускает продукт, который раз в пару лет кладет компьютеры в «синий экран», я бы не хотел жить ниже по течению реки, где стоит гидроэлектростанция, чьими контроллерами будет управлять их разработка. 

Но на всякий случай компании столбят эту тему за собой. Практически не осталось ИБ-интегратора, который не заявил бы себя как игрока рынка защиты АСУ ТП. Как грибы, плодятся отчеты о полной уязвимости страны перед атаками на инфраструктуру, вызывающие здоровый смех у отраслевых специалистов. Время от времени появляются сообщения об удачном пен-тесте системы управления холодной водой в местной бане — в общем, тема греется. Все ждут, что требования закона о защите КВО заставят компании тратить деньги и на это, а поскольку большинство критически важных объектов у нас принадлежит государству, то вероятность такого события действительно ненулевая. Но сформируется рынок или нет, зависит не от потребностей заказчиков, а от государства, которое одной рукой должно выдвинуть требования по защите, а другой — их профинансировать.  

Вертикальные решения

Решений в области бизнес-безопасности полно, они дорогие и полезные, почему же их не внедряют вперед и с песней? DLP, DRM, Anti-fraud — бери и внедряй. Много ли вы видели полномасштабных внедрений (а не продаж и установок) таких систем? Только не надо говорить, что у вас внедрена DLP-система на 30 тысяч пользователей — я в ответ спрошу, почему она не работает в режиме блокирования для всех пользователей на всех потоках. Что бы вы ни ответили, подтекст будет таков: «Мы недостаточно хорошо знаем бизнес своей компании, чтобы настроить правила, не раздражая бизнес при ложных срабатываниях».

Для внедрения данных решений в том виде, от которого бизнес-заказчик приходил бы в восторг, нет ни каналов продаж, ни внятной экспертизы, ни внутреннего заказчика. Более того, если такие решения продавать «как раньше», станет только хуже — обманутые ожидания болят долго и отбивают охоту заниматься инновациями.

Раз за разом заказчики наступают на грабли, любезно подставленные им интеграторами и вендорскими продавцами. Всем нравится обманываться, хотя причины самообмана у всех разные: служба ИБ получает новый инструмент влияния, продавцы — выполнение квот, производители — объем продаж. Причем название класса продуктов не имеет значения: будь то DLP, DRM, Anti-fraud, защита приложений, аудит защищенности приложений, противодействие действиям привилегированных пользователей, инструменты расследований — все продается и покупается, как в несмешной комедии.

Продавцы вендоров обещают, что все будет работать «из коробки». Интеграторы уверены: внедрение такого продукта — это его инсталляция и изменение пароля администратора по умолчанию (а другому его никто и не учил). Заказчик не сомневается, что все заработает с полпинка и что ему нужно только регулярно скачивать обновление и время от времени читать отчеты. Все это усиливается магией бренда — как правило, небольшие успешные нишевые стартапы уже поглощены монстром, в линейке которого есть инфраструктурные решения. В России новый продукт просто включается в прайс-лист, и те же продавцы, что предлагают антивирусы и антиспам, наперевес со своим прейскурантом, состоящим из тысячи позиций, и брошюрами на четырех страницах по каждой из позиций, тихо матерясь о новой квоте, устремляются к заказчикам.

«Настоящая информационная безопасность» — хотя мне больше нравится теремин «бизнес-безопасность» — требует абсолютно иных подходов и, боюсь, совсем других людей со всех сторон. Я проходил подобную перестройку сознания в конце 1990-х, продавая ERP-системы. Помню, как негодовали заказчики, понимая, что сколько бы они ни заплатили за лицензии на софт и консультации, все равно большую часть работы придется делать самим. Помню, как будучи продавцом, сам негодовал, что проект продается в течение года, а то и больше.

Для того чтобы идти в бизнес-безопасность, рынку надо понять: никто, кроме заказчика, не знает его собственных процессов, а значит — все правила и настройки должны быть за ним. Информация и правила ее обработки меняются сообразно реалиям бизнеса, экономической обстановке и требованиям регуляторов, меняются постоянно и незапланированно, и настроить, например Anti-fraud-систему, интегратор или вендор способен, только исходя из лучших практик, которые в продуктах «бизнес-безопасности», особенно западных вендоров, могут быть экстремально далеки от реалий российского бизнеса.

Более того, часто настроить систему бизнес-безопасности нереально в принципе: период настройки может быть больше времени изменений или требований бизнеса. Например, настройка и тестирование правил на ложные срабатывания, созданных для противодействия мошенничеству, со скидками в ретейле занимает несколько дней. А бизнес ждать столько не будет: программы «купи что-то — получи что-то со скидкой» появляются каждый день, да и пара лишних дней хранения залежалого товара на складе — слишком большая цена для ретейлера за то, чтобы уберечься от умозрительных угроз.

Беда в том, что большинство бизнес-решений производят те же компании, продают те же интеграторы и принимают те же начальники ИБ, что и производят, продают и покупают «антивирусы» (то есть традиционные средства инфраструктурной ИБ). Поэтому и стиль продажи, внедрения и использования таких решений остался старым.

В нынешнем состоянии рынок не готов «переварить» новые сегменты ИБ. Заказчики не готовы принять то, что работоспособность таких систем зависит от них больше, чем от поставщиков и производителей решений. Интеграторы не готовы совершенствовать экспертизу по каждой вертикали. Вся тяжесть развития рынка лежит на производителях, которые озабочены прежде всего сбытом лицензий, а не решением проблем заказчиков. Эта схема не может работать долго. Когда клиентам надоест то, как действует банковский антифрод, который некому настраивать? Попробуйте попить в один день кофе по пути из Москвы в Мехико — в Шереметьеве, в аэропорту Шарля де Голля и в Мехико, заплатив одной картой, — третий платеж не пройдет и вы останетесь с заблокированной картой. Я проверяю это ежегодно на картах пяти банков, выпустивших пресс-релизы о внедрении в них дорогущей системы антифрода. Неудачных внедрений систем бизнес-безопасности пока большинство, а каждое первое внедрение не оправдало ожиданий.

Что делать?

Продавать и покупать (!) бизнес-ориентированные решения в бизнес-безопасности стоит совсем не тем людям, которые сейчас продают и покупают инфраструктурные продукты. Нынешние покупатели таких решений слишком тяготеют к большой кнопке «сделать, чтобы все было хорошо» и не любят разбираться в деталях бизнес-процессов собственной компании. Нынешние продавцы привыкли к коротким сейлз-циклам и квартальным квотам. В безопасности не принято внедрять проекты, результаты которых не видны сразу после инсталляции. 
 
Мы все хотим продавать и зарабатывать больше, но расти на стагнирующем рынке инфраструктурной безопасности все сложнее. Но мы не сможем увеличить рынок, не изменившись сами. Те, кто не сделает этого, если и не вымрет, то будет продавать антивирусы закупщикам (а не ИБ-шникам), как и любой другой товар — мебель или бумагу для принтеров, которая, кстати, не так давно тоже считалась высокотехнологичным товаром и продавалась в комплекте с принтерами.

Динозавры тоже думали, что раз они такие большие, то им нечего бояться.

Безопасность

Журнал: Журнал IT-Manager [№ 7-8/2013], Подписка на журналы

Об авторах

Рустэм Хайретдинов

Рустэм Хайретдинов

Генеральный директор компании "Атак Киллер". VP ИнфоВотч.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Мы много и часто говорим о том, что "ИТ меняют наш мир". Посмотрим, как это происходит в Китае с применением конкретных инструментов и затрагивает сотни миллионов человек.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

VI Конференция ЦИПР-2021
Нижний Новгород, ул. Совнаркомовская, дом 13, «Нижегородская Ярмарка»
15 000 руб
23.06.2021
Выставка «EXPO-RUSSIA KAZAKHSTAN 2021»
Республика Казахстан
23.06.2021 — 25.06.2021
10:00–18:00
ЖКХ Будущего. Актуальные вопросы и решения
ОНЛАЙН
10 500 руб
24.06.2021 — 25.06.2021
10:00–18:00