Закат эпохи динозавров
Автор
Рустэм Хайретдинов
Время от времени появляются сообщения об удачном пен-тесте системы управления холодной водой в местной бане.
Все идет к тому, что года через два мы не узнаем рынка ИБ и он станет совсем не таким, каким сформировался за последние два десятилетия. Стремительно и, главное, по разным причинам, меняются основные драйверы рынка.
Традиционного рынка стало мало. Мало всем — и заказчикам, и производителям, и интеграторам. В разговорах с заказчиками часто слышишь, что непонятно, чем придется наполнять бюджет следующего года, который, как обычно, складывается из бюджета текущего года плюс небольшая «дельта». Эшелонированная защита уже построена, на ее поддержку и обновление тратятся 30–40% бюджетных средств. Идеи купить два, три, пять новых межсетевых экранов и антивирусов «для надежности» не встречает понимания у бизнеса. Снижение расходов на ИБ в компании практически неизбежно приведет к уменьшению количества сотрудников — внедрение требует гораздо больше сил, чем поддержка, — а вместе с этим и влияния соответствующих служб. Так что заказчики заинтересованы в придумывании и обосновании новых задач ничуть не меньше производителей и интеграторов.
Но решением «в целом» традиционных задач ИБ проблема не исчерпывается. Все большее количество привычных задач ИБ становятся рутинными — их можно реализовать довольно просто, а потому выполнение делегируется другим подразделениям компаний. Хорошим индикатором того, кто принимает решения, для меня является состав приглашенных сотрудников заказчиков на выездных конференциях антивирусных вендоров. Если в начале 2000-х такие мероприятия посещали исключительно сотрудники служб ИБ, то спустя десятилетие уже половина участников была из ИТ, а с прошлого года на конференциях стали появляться и представители закупочных подразделений.
Непроизводители средств информационной безопасности тоже изо всех сил вкладываются в уменьшение задач ИБ, оснащая данными решениями свои телеком- и десктопные продукты — начиная с операционных систем, которые по умолчанию снабжены подобной защитой и заканчивая маршрутизаторами с встроенным шифрованием. Но поскольку основной функционал относится к ИТ, то они и закладывают такие закупки в бюджет компании, а продают сами решения классические интеграторы. Хотя различные исследователи научились вычленять стоимость ИБ-модулей в ИТ-решениях и включать их в состав ИБ-рынка. Этот «праздник жизни» проходит мимо ИБ-отделов и ИБ-продавцов (если интегратор универсальный, то в план ИБ такие поставки не засчитываются).
Роль интеграторов меняется
На все это накладывается общий кризис системной интеграции — заказчики предпочитают иметь свою экспертизу и контактировать напрямую с производителями, оставляя интегратором лишь поставки. В данном процессе есть как часть общемировых тенденций, так и чисто российская специфика — несоответствие ставок специалистов средней зарплате по отрасли. Например, стоимость недели «аренды» инженера интегратора сопоставима с месячным окладом того же инженера при найме в штат заказчика.
Оставаясь без денег за услуги, интеграторы вынуждены сокращать экспертизу. Чем меньше сторонняя экспертиза в проекте, тем сложнее его защитить от конкурентов — критерием становится только цена. На наших глазах из ничего появляются новые ИБ-интеграторы и ИБ-отделы у традиционных интеграторов, которые вкладываются только в продажи, зная, что решение внедрит производитель, защищая свою репутацию от мнения «купили такой-то продукт — ничего не работает». Новые интеграторы ради прорыва на рынок, а традиционные интеграторы от нежелания пускать других интеграторов к «своим» заказчикам, сбивают цены. Спираль неквалифицированных продаж закручивается все туже, поэтому недалеко то время, когда на поставках ИБ компании начнут работать в минус — 50%-ная скидка заказчику от рекомендованной цены уже не столь редкое явление.
По традиционным продуктам интеграторы держат минимальную экспертизу — лишь бы оставить за собой статус у производителя, гарантирующий хорошие скидки. С новыми продуктами интеграторы ведут себя крайне осторожно: насколько мне известно, почти во всех компаниях действует правило «утром деньги — вечером экспертиза». То есть производитель должен сам продать и внедрить проект у заказчика, при этом пропустить контракт с огромной скидкой через интегратора (кстати, одного раза недостаточно — нужно два-три), и только тогда интегратор, возможно, обучит сначала продавцов, а потом и инженера. Вот почему производители все меньше надеются на канал и приглашают на работу не только инженеров по внедрению, но и сильных вертикальных продавцов. Оставляя производителя наедине с заказчиком по большинству инноваций, интегратор роет себе такую яму, что выбраться из нее будет все сложнее — многие ИБ-интеграторы давно являются просто корпоративными реселлерами, «поставщиками больших спецификаций».
Не имея возможности наращивать экспертизу внедрения продуктов за счет их поставки, интеграторы перестают изображать мультивендорных независимых игроков и все более диверсифицируются. Кто-то инвестирует в производство собственных продуктов, продавая их в ущерб другим, кто-то становится облачными провайдером, кто-то занимается заказной разработкой.
Инфраструктура защищена, что дальше?
Для того чтобы придумывать новые проекты и обосновывать их у бизнеса, необходимо перейти от парадигмы к защите инфраструктуры — а именно на этом рос рынок последние десятилетия. С инфраструктурой бизнесу было все понятно: не вложишь деньги в эту защиту (антивирус, антиспам, межсетевой экран), в один прекрасный момент не сможешь пользоваться своими бизнес-инструментами — компьютером, электронной почтой. Вирусные эпидемии следовали одна за другой, не позволяя забыть о продлении обновленных вирусных баз.
Из триады «целостность/доступность/конфиденциальность» бизнесу наиболее понятна доступность, оттого она и финансируется лучше. Сомневаетесь? Давайте представим три решения для одного ERP-сервера: первое не даст его «положить», второй — не даст украсть с него данные, а третье — не даст изменить данные. Могу поспорить, что их этих трех решений заказчик в первую очередь выберет первое, а с обоснованием закупки второго и особенно третьего решения потребуются дополнительные усилия.
Что последует за защитой имеющейся ИТ-инфраструктуры? Решения два: можно распространять защиту на другие, ранее игнорируемые элементы инфраструктуры, или перейти от защиты инфраструктуры к защите информации. Ведь по большому счету ни заказчики, ни поставщики еще и не приступали к собственно информационной безопасности — защите компьютеров/серверов/каналов, где может находиться чувствительная информация, а также процессы ее создания и обработки.
Расширение рамок инфраструктурной безопасности
Если внимательно читать прессу по ИБ, то обращает на себя внимание два направления расширения инфраструктурной части ИБ — BYOD/BYOP, защита АСУ ТП.
Попытки расширять инфраструктурные решения на новые объекты — конечные точки и контроллеры — естественное желание увеличить рынок, оставаясь в старой парадигме, не требуя серьезной вертикализации. Если защита конечных пользовательских точек, не принадлежащих организации, действительно укладывается в инфраструктурные решения, то вторая сильно зависит от отрасли, а часто и от производителя защищаемой системы: управление нефтепроводом, электростанцией, железнодорожными стрелками, металлургическим заводом происходит по разным протоколам и с помощью разных команд.
Всплеск интереса к защите конечных устройств в концепции BYOD, как к отдельному решению, уже сходит на нет, следуя желаниям крупных корпоративных клиентов, прежде всего — американских. Производители операционных систем для мобильных устройств (Apple, Microsoft, Google, Blackberry) уже встраивают подобные решения в свои операционные системы. Так что данную тему и в компаниях заказчиков, и на рынке довольно скоро заберут айтишники, вряд ли это действительно направление роста информационной безопасности.
Что же касается зашиты АСУ ТП, на мой личный взгляд человека, знающего, с какими допусками работают ИБ-интеграторы, лучше бы они эту тему не трогали. Цена ошибки в АСУ ТП также непривычна для ИБ-компаний: надежность защиты 99,99% в банке означает простой сети банкоматов в течении 5 минут в год, что вполне допустимо, а та же надежность на нефтеперерабатывающем заводе означает, что раз в год завод вместе с окружающим городом выгорает дотла. Если компания выпускает продукт, который раз в пару лет кладет компьютеры в «синий экран», я бы не хотел жить ниже по течению реки, где стоит гидроэлектростанция, чьими контроллерами будет управлять их разработка.
Но на всякий случай компании столбят эту тему за собой. Практически не осталось ИБ-интегратора, который не заявил бы себя как игрока рынка защиты АСУ ТП. Как грибы, плодятся отчеты о полной уязвимости страны перед атаками на инфраструктуру, вызывающие здоровый смех у отраслевых специалистов. Время от времени появляются сообщения об удачном пен-тесте системы управления холодной водой в местной бане — в общем, тема греется. Все ждут, что требования закона о защите КВО заставят компании тратить деньги и на это, а поскольку большинство критически важных объектов у нас принадлежит государству, то вероятность такого события действительно ненулевая. Но сформируется рынок или нет, зависит не от потребностей заказчиков, а от государства, которое одной рукой должно выдвинуть требования по защите, а другой — их профинансировать.
Вертикальные решения
Решений в области бизнес-безопасности полно, они дорогие и полезные, почему же их не внедряют вперед и с песней? DLP, DRM, Anti-fraud — бери и внедряй. Много ли вы видели полномасштабных внедрений (а не продаж и установок) таких систем? Только не надо говорить, что у вас внедрена DLP-система на 30 тысяч пользователей — я в ответ спрошу, почему она не работает в режиме блокирования для всех пользователей на всех потоках. Что бы вы ни ответили, подтекст будет таков: «Мы недостаточно хорошо знаем бизнес своей компании, чтобы настроить правила, не раздражая бизнес при ложных срабатываниях».
Для внедрения данных решений в том виде, от которого бизнес-заказчик приходил бы в восторг, нет ни каналов продаж, ни внятной экспертизы, ни внутреннего заказчика. Более того, если такие решения продавать «как раньше», станет только хуже — обманутые ожидания болят долго и отбивают охоту заниматься инновациями.
Раз за разом заказчики наступают на грабли, любезно подставленные им интеграторами и вендорскими продавцами. Всем нравится обманываться, хотя причины самообмана у всех разные: служба ИБ получает новый инструмент влияния, продавцы — выполнение квот, производители — объем продаж. Причем название класса продуктов не имеет значения: будь то DLP, DRM, Anti-fraud, защита приложений, аудит защищенности приложений, противодействие действиям привилегированных пользователей, инструменты расследований — все продается и покупается, как в несмешной комедии.
Продавцы вендоров обещают, что все будет работать «из коробки». Интеграторы уверены: внедрение такого продукта — это его инсталляция и изменение пароля администратора по умолчанию (а другому его никто и не учил). Заказчик не сомневается, что все заработает с полпинка и что ему нужно только регулярно скачивать обновление и время от времени читать отчеты. Все это усиливается магией бренда — как правило, небольшие успешные нишевые стартапы уже поглощены монстром, в линейке которого есть инфраструктурные решения. В России новый продукт просто включается в прайс-лист, и те же продавцы, что предлагают антивирусы и антиспам, наперевес со своим прейскурантом, состоящим из тысячи позиций, и брошюрами на четырех страницах по каждой из позиций, тихо матерясь о новой квоте, устремляются к заказчикам.
«Настоящая информационная безопасность» — хотя мне больше нравится теремин «бизнес-безопасность» — требует абсолютно иных подходов и, боюсь, совсем других людей со всех сторон. Я проходил подобную перестройку сознания в конце 1990-х, продавая ERP-системы. Помню, как негодовали заказчики, понимая, что сколько бы они ни заплатили за лицензии на софт и консультации, все равно большую часть работы придется делать самим. Помню, как будучи продавцом, сам негодовал, что проект продается в течение года, а то и больше.
Для того чтобы идти в бизнес-безопасность, рынку надо понять: никто, кроме заказчика, не знает его собственных процессов, а значит — все правила и настройки должны быть за ним. Информация и правила ее обработки меняются сообразно реалиям бизнеса, экономической обстановке и требованиям регуляторов, меняются постоянно и незапланированно, и настроить, например Anti-fraud-систему, интегратор или вендор способен, только исходя из лучших практик, которые в продуктах «бизнес-безопасности», особенно западных вендоров, могут быть экстремально далеки от реалий российского бизнеса.
Более того, часто настроить систему бизнес-безопасности нереально в принципе: период настройки может быть больше времени изменений или требований бизнеса. Например, настройка и тестирование правил на ложные срабатывания, созданных для противодействия мошенничеству, со скидками в ретейле занимает несколько дней. А бизнес ждать столько не будет: программы «купи что-то — получи что-то со скидкой» появляются каждый день, да и пара лишних дней хранения залежалого товара на складе — слишком большая цена для ретейлера за то, чтобы уберечься от умозрительных угроз.
Беда в том, что большинство бизнес-решений производят те же компании, продают те же интеграторы и принимают те же начальники ИБ, что и производят, продают и покупают «антивирусы» (то есть традиционные средства инфраструктурной ИБ). Поэтому и стиль продажи, внедрения и использования таких решений остался старым.
В нынешнем состоянии рынок не готов «переварить» новые сегменты ИБ. Заказчики не готовы принять то, что работоспособность таких систем зависит от них больше, чем от поставщиков и производителей решений. Интеграторы не готовы совершенствовать экспертизу по каждой вертикали. Вся тяжесть развития рынка лежит на производителях, которые озабочены прежде всего сбытом лицензий, а не решением проблем заказчиков. Эта схема не может работать долго. Когда клиентам надоест то, как действует банковский антифрод, который некому настраивать? Попробуйте попить в один день кофе по пути из Москвы в Мехико — в Шереметьеве, в аэропорту Шарля де Голля и в Мехико, заплатив одной картой, — третий платеж не пройдет и вы останетесь с заблокированной картой. Я проверяю это ежегодно на картах пяти банков, выпустивших пресс-релизы о внедрении в них дорогущей системы антифрода. Неудачных внедрений систем бизнес-безопасности пока большинство, а каждое первое внедрение не оправдало ожиданий.
Что делать?
Продавать и покупать (!) бизнес-ориентированные решения в бизнес-безопасности стоит совсем не тем людям, которые сейчас продают и покупают инфраструктурные продукты. Нынешние покупатели таких решений слишком тяготеют к большой кнопке «сделать, чтобы все было хорошо» и не любят разбираться в деталях бизнес-процессов собственной компании. Нынешние продавцы привыкли к коротким сейлз-циклам и квартальным квотам. В безопасности не принято внедрять проекты, результаты которых не видны сразу после инсталляции.
Мы все хотим продавать и зарабатывать больше, но расти на стагнирующем рынке инфраструктурной безопасности все сложнее. Но мы не сможем увеличить рынок, не изменившись сами. Те, кто не сделает этого, если и не вымрет, то будет продавать антивирусы закупщикам (а не ИБ-шникам), как и любой другой товар — мебель или бумагу для принтеров, которая, кстати, не так давно тоже считалась высокотехнологичным товаром и продавалась в комплекте с принтерами.
Динозавры тоже думали, что раз они такие большие, то им нечего бояться.
Опубликовано 16.07.2013
