Сложился ли в России рынок систем для обеспечения безопасности ИТ. Задавшись таким вопросом, мы обратились к специалистам, а также к клиентам, присматривающимся к возможностям предлагаемых решений.
Даже беглая оценка данного сегмента рынка показала его сложность и многоплановость, а мнения экспертов были неоднозначными. Вместе с тем создалось впечатление, что здесь уже кипят вовсю страсти, возникают объединения и альянсы, присутствует желание показать себя и свой товар лицом.
Оттолкнувшись от понятия рынка как «спроса на определенный товар или услугу, измеряемую объемом продаж за определенный период», мы выяснили, что спрос есть и что практически в каждой корпоративной ИС обязательно присутствуют некие средства безопасности. Генеральный директор компании «Элвис+» Александр Соколов утверждает, что сегодня невозможно найти практически ни одной организации, не использующей защитных систем. Одновременно в рядах заказчиков растет понимание того, что используемых средств недостаточно для обеспечения безопасности данных. И прежде всего потому, что средства эти весьма различны и направлены на предотвращение разных типов угроз — атаки, вторжения, вирусы, несанкционированный доступ и т. д. В то же время клиентов, которые имеют ясное представление о том, что они хотят защищать и с помощью каких средств, можно пересчитать по пальцам.
А как относятся к рынку информационной безопасности (ИБ) его участники?
По мнению Вадима Соколова, старшего эксперта компании «Информационно-коммуникационные структуры», полноценного, развитого рынка нет, а существует некое лобби, распространяющее свое влияние на ряд крупных государственных, нефтегазодобывающих и банковских структур. При этом каждая ИТ-компания работает в своей нише. А поскольку ниши часто не соприкасаются и даже не граничат, то всем достаточно вольготно.
Генеральный директор компании «Аладдин» Сергей Груздев говорит о рынке сдержанно: «Рынок существует, но в зачаточном состоянии, освоено 2—3%». И при этом делает такое сравнение: «Нынешнее состояние рынка систем безопасности можно сравнить с рынком бухгалтерского ПО семилетней давности — процессы схожи, но развиваться он будет, возможно, более бурно». Груздев полагает, что годовой оборот на этом рынке — 30—35 млн. долл.
Начальник отдела средств и методов защиты информации компании «Инфосистемы Джет» Илья Трифаленков считает, что рынок в области ИТ-безопасности в России есть, поскольку существуют все традиционные компоненты — спрос, предложения, механизм удовлетворения спроса, рыночное ценообразование и маркетинг. Он оценивает годовой объем в 20 млн. долл. и прогнозирует рост на 20—30% в ближайшие год-два.
Александр Соколов добавляет, что по результатам исследований различных организаций общий объем рынка ИБ в 2001 г. в России можно оценить на уровне 40—80 млн. долл. на 2002 г. в соответствии с данными о величине ВВП, заложенными в проект государственного бюджета — 60—120 млн. долл. А для сравнения приводит такие цифры: в соответствии с последними исследованиями IDC объем только европейского рынка средств защиты (программных и аппаратных) возрастет с 1,8 млрд. долл в прошлом году до 6,2 млрд. в 2005 г.
Начальник отдела ИБ «УСП КомпьюЛинк» Сергей Симонов соглашается, что рынок есть, весь вопрос в том, насколько он развит. По его мнению, в России он составляет примерно 0,1% общемирового, т. е. порядка 100 млн. долл. Технический директор компании «Лаборатория Касперского» Михаил Калиниченко отвечает кратко: «Рынок ИБ существует, годовой оборот — 30 млн. долл.». Вадим Саякин, до недавнего времени возглавлявший отдел продуктов ИБ компании «Открытые технологии», а ныне независимый эксперт, полагает, что по западным меркам российский рынок продуктов ИТ-безопасности можно назвать таковым лишь условно. Да и своя производственная база развита слабо — продуктов российского производства на рынке не более двух десятков. Но то, что отечественные разработки все же есть и появляются новые производители, — положительная тенденция.
Пожалуй, наиболее распространенным отечественным средством защиты является антивирусное ПО. Есть средства криптографической защиты на основе сертифицированных криптоядер от «Крипто-Про», МО ПНИЭИ и др., есть отечественные разработки для почтовых систем, документооборота.
Как указал Сергей Симонов, «в ведомственных системах документооборота иногда применяются и несертифицированные криптоядра от «ЛанКрипто», например в разработке «Инфосистемы Джет» для «Газпрома», которую они предлагают и в банковском секторе». Набор аппаратных решений невелик, в основном это серия «Криптон» от «Анкад», эти устройства приобретают госструктуры, а коммерческие организации предпочитают программные решения.
У корпоративных клиентов с разветвленной сетью удаленных филиалов популярны VPN «Инфотекс», «Элвис+», «Информзащита». Но здесь широко применяются и решения Cisco. Для защиты ПК и серверов применяют электронные замки, средства защиты от несанкционированного доступа, поставляемые фирмами «Конфидент» (Dallas Lock), «Информзащита» («Соболь»). В небольших компаниях и отделах предприятий часто пользуются устройствами идентификации как биометрическими, так и электронными ключами.
Некоторые специалисты полагают, что соотношение отечественных и зарубежных средств — 50/50, другие — 30/70. А заместитель генерального директора компании «Информзащита» Владимир Гайкович дает очень подробную справку: «Все зависит от формы собственности компании. В коммерческих банках доля российских средств может составлять до 15%, в нефтяной и газовой отрасли — до 40%, в министерствах — до 70%, а на режимных предприятиях — до 90% (10% оставляем на зарубежные ОС)». Причем все эти оценки даны без учета использования антивирусных средств.
Рассмотрим теперь проблему комплексных решений в области ИБ.
На состоявшемся в начале осени семинаре Symantec «Безопасность. Технические и организационные вопросы» вендор представил российским специалистам ряд новых разработок. Они были связаны с обнаружением попыток несанкционированного проникновения в корпоративную сеть, оценкой уязвимости сети, со средствами для управления политикой безопасности, межсетевыми экранами и защитой от вирусов. При этом разговор шел о комплексных решениях в области безопасности.
По мнению ряда специалистов, в России комплексные системы в состоянии поставить компании «Элвис+», «Информзащита», «Инофотекс», да и то только для компаний малого и среднего размера (до 500 рабочих мест).
Где же используются комплексные решения ИБ? Если под этим понимать систему, полностью реализующую политику безопасности предприятия, включая поддержку согласованного управления средствами защиты, разделение полномочий, эшелонированность механизмов безопасности, а не набор отдельных продуктов, реализующих разрозненные функции, то, по мнению Владимира Гайковича, таких предприятий — единицы.
Сергей Груздев вообще полагает, что таких предприятий практически нет, поскольку «почти все российские компании продвигают те продукты, которые у них имеются, или те, которые просто выгодно продавать, не обращая внимания на комплексность». При этом, по мнению Груздева, поднять рынок комплексных решений по ИБ, в принципе, не под силу какой-то отдельно взятой компании. Решение этой проблемы — в консолидации фирм, работающих на рынке, в осознании того, что они «одна команда».
Попытка создать подобную команду была предпринята на выставке SofTool’ 2001, где было объявлено о создании Альянса по ИБ (см. CRN/RE № 19/2001).
Остановимся еще на одном важном моменте, который обсуждался на семинаре Symantec. Присутствовавшие на нем представители потенциальных заказчиков опасались, что американская компания в ближайшее время не сможет получить все необходимые сертификаты, а без них не продашь решения клиентам. Впрочем, как выяснилось позже, и без сертификатов люди все же работают. А глава российского представительства Symantec Владимир Ларин заметил, что получить все необходимые документы для продажи продуктов на российском рынке весьма сложно, и это крайне затрудняет продажи. Поэтому разумнее было бы придерживаться западной сертификации.
Так достаточно ли рациональна позиция наших государственных органов в отношении сертификации и лицензирования продукции по ИБ?
Многие из опрашиваемых полагают, что в целом отечественная и западная нормативная базы совпадают. Документы «Гостехкомиссии «первой серии» базировались на западных разработках, сейчас идет работа по внедрению в России стандарта ISO 15408 (Common Criteria). В этом смысле позиция достаточно рациональна. Вопрос скорее в неизбежном отставании нормативной базы от развития ИТ, но и здесь ситуация вполне оптимистична, поскольку процесс формирования стандартов идет интенсивно, с привлечением широкого круга отечественных специалистов.
Но есть и противоположные мнения. Так, Сергей Груздев считает, что позиция госорганов устарела, часто не существует адекватных документов для лицензирования (например, VPN лицензируются как «межсетевые экраны» и т. п.). В связи с этим разработки «притягивают за уши» к существующим определениям, ценность сертификации нивелируется. К тому же нередко случается, что сертификация просто фиктивна, а сертификаты выдаются на неготовые, откровенно сырые продукты. Настоящего тестирования не проводится, «тестируется» документация. Выдача сертификата на ПО зависит от того, насколько интенсивно его лоббируют. С точки зрения Груздева, госорганы, с одной стороны, сами во многом дискредитируют систему сертификации, с другой — подходят к этому вопросу слишком жестко, с третьей — отстают от жизни.
Есть еще одна проблема: Гостехкомиссия вовсе не принуждает тестировать системы безопасности. В результате на рынке присутствуют как сертифицированные, так и несертифицированные разработки. Понятно, что сертифицированные средства обходятся производителям дороже.
А как обстоят дела со «святая святых ИБ» — с криптосредствами? Большинство специалистов утверждают, что компетентные органы «настоятельно советуют» применять только свое, проверенное.
С точки зрения Ильи Трифаленкова, отечественные разработки достаточно успешно закрывают эту нишу. Проблемы скорее в расширении набора программных платформ, где они могут применяться, — сегодня это либо Windows NT, либо Solaris.
Вадим Саякин при этом опасается, что мы снова отгораживаемся от Запада. С его точки зрения, куда выгоднее добиться разумного сочетания зарубежного опыта в части разработок и законодательства с нашим. «Не секрет, что большинство коммерческих организаций использует DES или 3DES», — утверждает он. Почему же российский заказчик не доверяет отечественным разработкам? В первую очередь потому, что нет уверенности в качестве. Сказывается отсутствие реального опыта тестирования, нет уверенности в том, что ПО не будет давать сбои в сложной неоднородной среде.
Сергей Груздев считает, что в позиции ФАПСИ по этому вопросу долгое время не было ясности. Ему представляется, что было бы разумным разделить криптосредства на «государственные» и «гражданские». Те средства, которые используются в государственном секторе, должны быть лицензированы, сертифицированы, соответствовать ГОСТ’у. Что же касается коммерческого рынка, он не должен быть под неусыпным контролем ФАПСИ, клиенты должны иметь возможность выбора. В том числе заказчики должны иметь возможность пользоваться импортными продуктами (например, постоянным партнером компании может быть крупная западная фирма — почему бы и российскому партнеру не пользоваться теми же криптографическими средствами?).
Александр Соколов предлагает разработать ограничения на применения в специальных областях. Тогда при наличии четко определенных правил не будет и серьезных проблем с использованием ПО зарубежных поставщиков.
Калиниченко тоже придерживается подобных позиций и утверждает, что излишняя закрытость приводит к тому, что отечественные производители не могут предлагать решения мирового уровня.