Российскому ИБ-бизнесу становится тесно на отечественном рынке. Хотя он достаточно велик, но международные просторы имеют несравнимо большую инсталляционную базу. Насколько сложно вендорам развивать экспорт, какие препятствия встают на пути производителей и в чем преимущество отечественных ИБ-продуктов, рассказал IT-World Олег Кравчук, директор по работе с зарубежными и стратегическими проектами «Кода Безопасности».
Олег Викторович, можно ли сказать, что ИБ-сегмент рынка отличается от остального ИТ-сегмента и экспортировать решения для защиты информации сложнее?
Безусловно, ведь даже внутри страны требования к средствам защиты информации (СЗИ) намного более жесткие, чем к продуктам других классов. Например, если вендор планирует продавать свой ИБ-продукт на территории России, то для него необходима сертификация у ФСТЭК или ФСБ. Для продуктов других классов такого требования нет.
Если говорить об экспорте, то здесь ситуация усложняется. Если производитель планирует продавать свое решение исключительно за рубежом, то ему понадобится еще и лицензия на экспорт. Это касается и СКЗИ, и СЗИ. Получение экспортной лицензии довольно сложная бюрократическая задача, поэтому вендоры обычно доверяют ее специалистам или партнерам.
Экспорт вообще довольно творческая сфера, если можно так выразиться. Лицензию на экспорт выдают на конкретный контракт и поставку конкретному заказчику. Отсюда проблема – сделать оперативный склад СЗИ и СКЗИ за рубежом не получится. Очень бы хотелось, чтобы в порядок внесли изменения и разрешили вывозить продукт за рубеж, на склад, с последующим отчетом о заказчиках, купивших продукцию.
Вендор сам занимается продажей решений в иностранных государствах?
Надо понимать, что в экспорте все роли, как в театральной пьесе, расписаны заранее. Вендор занимается разработкой продукта и экспортной стратегией, а дистрибьютор получает у вендора право на продажу и распространение его решений за рубежом. Почему? Потому что у дистрибьютора есть сотрудники, которые умеют правильно возить за границу, соблюдая и российское, и иностранное законодательства, и продавать. Конечно, именно они должны оформлять экспортную лицензию, а не компания-разработчик. В идеале же у вендора должно быть несколько партнеров, которые имеют в целевых странах склады, куда можно завозить продукцию для реализации.
А в других странах есть дополнительная сертификация продукции?
Да, но имеются свои нюансы, которые зависят не от страны, а от того, в какой отрасли в государстве будет применяться решение. Если у граждан дома или в коммерческих организациях, то обычно дополнительных условий нет, но, когда дело касается промышленных предприятий, органов власти, силовых структур, возникают определенные требования.
Хотя и здесь высокая вариативность. В одной стране сертификация «желательна», в другой она обязательна, а в иной будет и сертификация, и другие условия, больше похожие на заградительные. Скажем, в ряде стран ЕАЭС взаимно признается лицензия российских регуляторов, соответственно, дополнительной сертификации продуктов не требуется. А в некоторых государствах условием допуска решений в критические отрасли и госорганы может быть локализация совместного производства на территории страны. И это у нас, в России, все ступени сертификации, локализации и прочего четко прописаны, а в других странах они могут быть «плавающими» и не иметь строгих законодательных границ.
Например, Саудовская Аравия. Это замечательный перспективный рынок, но, чтобы туда попасть с российскими средствами защиты информации, необходимо выполнить ряд определенных, весьма жестких условий, в том числе по локализации. Еще один вариант – государства ЕАЭС, некоторые из которых признаюют наши сертификаты. Хотя сейчас и у многих из них идет процесс выстраивания механизма собственного лицензирования, что тоже, в общем, правильно с точки зрения их суверенитета. И к этому надо относиться с уважением.
Кроме того, есть огромное количество стран, например, из Юго-Восточной Азии, где процессы сертификации достаточно демократичны и лояльны. Можно пройти сертификацию в Малайзии или Сингапуре, которые вроде бы тоже признаются большим количеством государств региона, но успех все равно не гарантирован. Сертификат могут и не спросить, а могут заставить пройти дополнительную сертификацию.
Какие конкретно условия выдвигают страны?
Показать часть исходного кода, чтобы государственный регулятор мог убедиться: в продукте нет недекларированных возможностей. Где-то требуют применять уникальную криптографию, которая используется в стране. Как пример, Белоруссия. Кому-то важно, чтобы решение, помимо английского языка, поддерживало и национальный.
Каким было самое необычное условие для экспорта?
Убрать русский язык из локализации.
В чем главная сложность экспорта ИБ-решений?
Как раз в том, что это продукты кибербезопасности, а не какое-либо функциональное ПО. Ведь когда вопрос касается средств безопасности информации, экспортер всегда имеет дело с местными регуляторами ИБ-рынка. Это может быть Центральный банк, если речь идет о сфере финансов, Министерство обороны или другой силовой орган, если СЗИ планируется поставлять в эти структуры и так далее. Наладить с ними контакты на корпоративном уровне весьма непросто, поэтому для продвижения в таких чувствительных отраслях необходима помощь наших государственных органов.
То есть нужно политическое лобби?
Да, именно лобби. В этом отношении показателен пример представителей западных государств. На каждой выставке они ходят по стендам и говорят посетителям: «Что вы тут стоите, пойдемте лучше посмотрим наши продукты». И они лоббируют не отдельные компании, а политические интересы страны и своих налогоплательщиков. Они заботятся о развитии своих высокотехнологичных отраслей.
Российские представители так по выставкам не ходят?
Нам грех жаловаться. Государство помогает. Роль Минпромторга и Минцифры нельзя недооценивать. По отдельным направлениям – это настоящие двигатели! В повседневной деятельности крайне полезны консультации службы «цифровых атташе» из торговых представительств РФ.
Нельзя не отметить Российский экспортный центр (РЭЦ). Их бизнес-миссии и содействие в выставках полезны многим отечественным вендорам. Есть много других участников этого процесса, в том числе МИД, Национальная ассоциация международной информационной безопасности (НАМИБ) и даже госкорпорации. Например, «Росатом», как и другие компании с госучастием, имеет разветвленную сеть собственных загранпредставительств, опытные международные департаменты и реальные зарубежные контракты. Взаимодействие с ними может дать достаточно быстрый результат.
В общем, экспортных «инструментов» много, главное, научиться ими пользоваться и не только искать выгоду для своей компании, но и приносить пользу стране, ведь госорганы, продвигая российские продукты, решают свои, глобальные задачи.
Читайте также
Сергей Щербаков: «Цифровая безопасность — это люди, техника и каждодневная дисциплина»
За последние годы ФСИН России сделала заметный шаг вперед. Развивается интеллектуальное видеонаблюдение, внедряются системы инцидент-менеджмента на основе ИИ, усиливается защита данных и сетей. Но вместе с технологическим ростом растут и киберугрозы: атаки становятся сложнее, масштабнее и изощреннее. Как выстроена цифровая защита ФСИН, кто атакует пенитенциарную инфраструктуру и зачем учреждениям нужен собственный SOC — об этом и не только IT-World поговорил с заместителем директора ФСИН России Сергеем Щербаковым.
Вы упомянули службу «цифровых атташе», о которой в свое время ходило много разговоров? Что они из себя представляют, это некие коммивояжеры?
Ни в коем случае. Это не продавцы, которые за тебя сделают презентацию продукта и продадут его. В первую очередь «цифровые атташе» – это отличный банк ценных знаний о стране, ее бизнесе и внутренних процессах. У такого сотрудника можно узнать, какие органы власти и за что отвечают, какие частные компании заслуживают уважения в стране и приоритетного внимания, кроме того, он может помочь организовать предварительные встречи для деловых бесед. Причем наличие «цифрового атташе» – это огромный плюс, потому что потенциальные партнеры с той стороны видят: компания пришла не с улицы, а с представителем своего государства. При этом тесное сотрудничество с нашими министерствами в принципе позволяет нам участвовать в важных мероприятиях, например, межправительственных комиссиях и других межгосударственных мероприятиях.
Что такое межправительственная комиссия?
Взаимоотношения между странами ведутся в двух плоскостях: политической – за что отвечает МИД, и экономической – этот трек ведет Минэкономразвития. Два раза в год представители министерств и госорганов обоих государств встречаются, чтобы наметить планы по торговому и научно-техническому сотрудничеству, и на таких встречах могут присутствовать крупные компании-экспортеры.
На таких комиссиях можно предложить сотрудничество в области защиты информации, совместной разработки, обучении кадров и так далее. Причем заранее проводится определенная работа по подготовке к такому участию. И на межправительственных комиссиях уже присутствуют потенциальные партнеры со стороны второго государства, с которыми можно заключать первичные договоренности.
Если говорить о другом уровне экспортной поддержки, то есть ли контакт между самими частными компаниями или здесь, как в джунглях, каждый сам за себя?
Я бы отметил, что в последнее время российские вендоры стараются сотрудничать друг с другом для участия в крупных проектах и в целом в выходе на зарубежные рынки. Компании тесно работают в рамках отраслевых ассоциаций, например, АРПП «Отечественный софт», АПКИТ, РУССОФТ – через них идет постоянный поток информации о мероприятиях, выставках, межправительственных комиссиях и других зарубежных активностях. Эти ассоциации порой выступают как площадка для поиска делового партнера, для обмена мнениями и для того, чтобы найти ответы на экспортные вопросы.
А если говорить о конкуренции между российскими и иностранными вендорами на рынке третьей страны, какие преимущества есть у наших вендоров, а какие у иностранных компаний?
Здесь важны три момента. Во-первых, лучшая сторона отечественных вендоров ИБ – это сама концепция нашей структуры кибербезопасности. В чем она проявляется? Когда началась СВО, весь мир с удивлением увидел, как западные производители стали отключать в России свои продукты. Оказалось, что средства защиты информации могут быть элементом политического давления. Для многих стран это стало, мягко говоря, шоком, более того, оказалось, что западные производители могут получить привилегированный доступ к ИТ-системам, нанести какой-то ущерб и так далее. В российских решениях подобного нет – никто не делает специальных версий для экспорта, и ими невозможно управлять извне, потому что такова культура отечественных ИБ-продуктов и такова философия нашего подхода к кибербезопасности.
Во-вторых, для иностранных заказчиков привлекательна идея использования наложенных средств защиты. Самый яркий пример – Windows. Весь мир говорил, что этой ОС можно верить, а Россия говорила – нет. И поэтому дополнительно обеспечивала защиту ИТ-инфраструктур на базе Windows собственными продуктами кибербезопасности. То есть извне, через Windows, никто не сможет повлиять на системы просто потому, что наложенные средства защиты этого не позволят.
И третий важный момент: по сути, киберпространство России подвержено особой интенсивности атак с 2014 года. То есть отечественные вендоры дорабатывают свои продукты под непрерывными и весьма яростными атаками. И все страны видят, что Россия, несмотря на уход западных вендоров, несмотря на санкции, по-прежнему сохраняет высокую устойчивость. Работают платежные системы и государственные порталы, работают компании критических отраслей и корпоративный сектор – пользователи в стране буквально не замечают, что больше десяти лет инфраструктуру России атакуют. Конечно, есть примеры успешных хакерских атак, но они локальны и не вызывают коллапса, и это лучше всего характеризует отечественные ИБ-решения.
Кроме того, наши вендоры всегда готовы к плотному сотрудничеству. Мы готовы создавать совместные предприятия, обеспечивая страну-партнера рабочими местами, готовы делиться технологиями и опытом. А это всегда ценно. Поэтому у российских производителей много экспортных перспектив. Осталось их только реализовать.
