Буря в стакане воды
Передовики производства
Согласно прогнозу IDC, российский IT-рынок сократится в этом году почти вдвое — на 45,7% в долларовом выражении. Компании ищут спасение в сегменте информационной безопасности, пострадавшем от кризиса в наименьшей степени. Не в последнюю очередь благодаря принятию закона "О персональных данных", который подогрел интерес к соответствующим решениям.
Пока не грянул гром
Закон, объявивший компании операторами персональных данных и обязавший их применять соответствующую защиту, должен был вступить в силу 1 января 2010 года. Руслан Ахметов, директор центра компетенции по информационной безопасности компании "АйТи", приводит статистику: "Даже по самым скромным оценкам, в России более 2 млн операторов персональных данных, а процедуру регистрации пока прошли менее 70 тыс. из них". К счастью для новоиспеченных операторов, на пленарном заседании 20 ноября Госдума приняла в первом чтении поправку, дав операторам отсрочку на год. Теперь все информационные системы персональных данных должны быть приведены в соответствие не позднее 1 января 2011 года.
Процесс начался. Михаил Башлыков, руководитель направления информационной безопасности компании КРОК, отмечает: "Несмотря на то что буквально несколько дней назад Госдума приняла в первом чтении проект поправок в закон "О персональных данных", соблюдение требований регулирующих органов по-прежнему является основным драйвером рынка ИБ. Во-первых, решение об отсрочке пока неокончательное, и если его рассмотрение в Совете федерации и согласование президента не состоится до нового года, то с 1 января закон все-таки вступит в силу. Во-вторых, активное обсуждение темы на протяжении всего 2009 года позволило компаниям оценить сложности и продолжительность процесса приведения информационных систем в соответствие с требованиями. Поэтому работы в этом направлении не остановятся". Валерий Андреев, заместитель директора по науке и развитию компании ИВК, согласился, что основной тренд на рынке ИБ связан с ростом рынка систем защиты персональных данных. По его словам, заказчики всерьез озабочены подготовкой к этому событию. "Приближение "дня Х" приводит к ажиотажному росту активности в этой сфере, беспокойству исполнителей, ответственных лиц заказчика, безопасников и других. В принципе этот процесс идет уже не менее двух лет. Ведущие игроки давно отработали свои решения для этого нового типа угроз",— говорит Андреев.
Ему вторит Иван Бурдело, руководитель управления информационной безопасности компании "Кабест" группы "Астерос": "По сути, мы наблюдали мощный рывок формирования целого сегмента рынка информационной безопасности. Эта тема и будет главной в течение 2010 года". Директор центра технологий безопасности IBS господин Калашников отмечает, что в этом году в первую очередь внимание к закону проявили крупные компании, которые работают с персональными данными массовых клиентов: банки, страховщики, операторы связи, компаний ЖКХ и другие.
Подавать холодным
Не менее серьезным фактором, определившим развитие рынка ИБ в этом году, оказался финансовый кризис. По мнению экспертов, сокращение расходов, которое провели так или иначе все компании, затронуло и сегмент информационной безопасности. Хотя крупные предприятия снизили затраты в этом сегменте в меньшей степени, чем средние и малые. Евгений Акимов, заместитель директора центра информационной безопасности компании "Инфосистемы Джет", также обращает внимание на два фактора: массовое сокращение расходов, негативно повлиявшее на лояльность персонала, и сложности с удержанием компании "на плаву" с использованием честных механизмов конкуренции. Они привели к росту рисков утечки конфиденциальной информации и иных мошеннических действий. Поэтому, по словам господина Акимова, в текущем году клиенты также проявляют очень большой интерес к DLP-системам (Data Loss Protection) и FMRA (системам по борьбе с мошенничеством и гарантированию доходов). "При этом долгосрочные инвестиции в ИБ сократились очень существенно, что уменьшило спрос на "классическую" безопасность — сетевую, антивирусную и другую",— отмечает эксперт.
Генеральный директор LETA IT-company также подтверждает рост потребности бизнеса в системах предотвращения утечек данных и защиты от инсайдеров. "В связи с ограничением финансовых поступлений в условиях кризиса часть DLP-проектов была заморожена в конце 2008 — начале 2009 года. Но в условиях массовых сокращений персонала из-за ужесточения конкурентной борьбы резко участились попытки получения инсайдерской информации о конкурентах. Естественно, серьезно возникло желание работодателей обезопасить себя от нежелательных действий нелояльных сотрудников. В результате на рынке появились новые заказчики, которые ранее не планировали внедрения таких систем. Это направление по итогам года показывает положительную динамику",— заключает он.
По данным 12-го ежегодного международного исследования компании "Эрнст энд Янг" в области информационной безопасности за 2009 год, именно попытки мести со стороны уволенных сотрудников, а также недостаточный объем бюджета и ресурсов, выделяемых на безопасность, являются основной причиной головной боли всех IT-директоров. Из 1900 опрошенных руководителей высшего звена 75% обеспокоены этими факторами, 42% просчитывают потенциальные риски и лишь 26% принимают конкретные меры для того, чтобы их избежать. При этом 40% опрошенных планируют увеличить долю в суммарных расходах, направляемую на ИБ.
По всем фронтам
В качестве одной из тенденций Михаил Башлыков выделяет требования к обеспечению непрерывности бизнеса. Например, летом ЦБ обратился с подобным требованием к банкам. "Наша компания, работая в соответствии со стандартами 25999, активно оказывает подобные услуги в рамках проектов по дата-центрам", говорит эксперт КРОК. Еще один момент — обеспечение требований ряда платежных систем. Регуляторы диктуют телеком-операторам определенные требования, касающиеся безопасности трафика. Кроме того, усилился спрос на технологии мониторинга действий пользователя в сети, на решения для защиты от инсайдеров. Андрей Конусов отмечает повышение интереса рынка к системам веб-безопасности. Во многом благодаря тому, что эти решения позволяют четко контролировать работу сотрудников в интернете, запрещая им доступ на сайты нерабочей тематики. При этом полностью сохранилась потребность защитить сеть компании от попадания в нее вредоносных программ. "Такой функционал систем web-фильтрации позволяет значительно повысить производительность труда,— объясняет господин Конусов.— Так, серьезно сокращается время, которое сотрудники проводят на "ненужных" сайтах. С другой стороны, накапливаемая такими решениями статистика дает руководству прозрачную картину эффективности работы персонала. В условиях кризиса такая статистика неоднократно "выручала" многих работодателей, например, при пересмотре компенсационных пакетов и при сокращении сотрудников, постоянно затрачивающих большую часть рабочего времени на использование интернета в личных целях".
Из этой же области — повышение интереса к системам класса Compliance Management. Эти решения позволяют оценивать уровень соответствия всего комплекса IT-систем на соответствие стандартам и "подсказывать" об обнаруженных несовершенствах, например о недостаточном числе знаков в пароле. Объясняет Иван Бурдело: "Эти технологии не относятся к новинкам, но российские крупные клиенты открыли для себя их преимущества только в 2008-2009 годах, так как у них появилась необходимость отслеживать состояние своих разросшихся IT-активов на предмет соответствия разным стандартам".
Мягко стелют
По мнению аналитиков, по-прежнему востребованными остались продукты и услуги в сфере ИБ, являющиеся базовыми по умолчанию, например антивирусное ПО. "Сегодня от такой защиты не отказывается уже никто. И этому не мешает даже тот факт, что ежегодная оплата продления антивируса составляет достаточно серьезную сумму, особенно для крупных компаний",— говорит господин Конусов.
Производители программного обеспечения в сфере ИБ действительно чувствуют себя неплохо. По данным IDC, в 2008 году около 60% российского рынка контролировали всего пять компаний: "Лаборатория Касперского", ESET, Check Point, Symantec и Microsoft. Объем этого сегмента, согласно отчету IDC Russia Security Software 2009-2013 Forecast abd 2008 Vendor Shares, в 2008 году достиг $211 млн при росте в 46,7%. И хотя темпы роста рынка ПО для информационной безопасности в связи с кризисом снизились почти на 30%, они все равно оказались на 21% выше, чем показатель по рынку ПО в целом. Наибольшую активность показали домашние пользователи, ставшие основными потребителями таких продуктов. Малый бизнес тоже озадачился вопросом собственной безопасности: помимо стандартного набора в виде антивирусов, сетевых экранов и защиты от спама популярностью пользовались средства для управления идентификацией и доступом. По прогнозу IDC, в среднем сегмент программных средств в сфере ИБ будет расти на 16% в год.
Единственной российской компанией, вошедшей в список лидеров среди производителей средств защиты конечных пользователей в рейтинге IDC, стала "Лаборатория Касперского" (ЛК). Правда, рейтинг составляется на основе объема выручки за 2008 год — тогда средний показатель роста выручки составил 13,2%, тогда как у ЛК эта цифра превысила 100%. ESET сообщила, что темпы роста всех продаж компании в 2008 году составили 148,1%, а корпоративные клиенты потратили на решения поставщика на 80,5% больше денег. А на рынке ПО для защиты домашних пользователей ESET обогнала конкурентов, показав рост 230,8%. У ЛК эта цифра оказалась меньше — 107,1%. Panda показала рост в 49,1%, а решения Microsoft продемонстрировали отрицательный результат, потеряв 20,3%. Андрей Албитов, глава российского представительства ESET, сообщает, что на эти результаты в значительной степени повлияла активность офиса в России. По его словам, российское представительство в этом году также должно опередить иностранные офисы компании и занять первое или второе место по росту продаж.
"Растишка" для IT
Эксперты LETA предсказывают, что рост рынка ИБ в 2009 году по отношению к предыдущему году составит около 10%, а в денежном выражении его объем будет $35-40 млн. Михаил Башлыков комментирует: "Конечно, общая ситуация в экономике отразилась и на этом сегменте. Тем не менее его сжатие оказалось далеко не столь существенным, как IT-рынка в целом". Эксперт связывает это с тем, что обычно проекты по информационной безопасности длятся не более полугода, а их стоимость невелика, поэтому и замораживать их в первую очередь смысла не было. Тем не менее Валерий Андреев считает, что сегмент ИБ уменьшился примерно на 25% — даже с учетом всеобщего оживления в области персональных данных. "Информационная безопасность приоритетна по сравнению с другими видами IT-проектов. Бизнес и госструктуры это понимают,— говорит господин Андреев.— Но многие заказчики были вынуждены направить основные ресурсы на решение иных вопросов. Правда, это сформировало серьезный отложенный спрос".
Качественное изменение рынка наблюдают и в LETA IT-company. "По проектам построения систем защиты персональных данных в связи с лавинообразным ростом рынка в 2009 году мы ожидаем порядка 50% от общего оборота, тогда как в 2008 году доля подобных проектов не превышала и 5%. В целом направление защиты данных стало одной из главных точек перелома рынка и спасло его от серьезных потрясений",— говорит Андрей Конусов, генеральный директор компании.
В последние годы доля направления ИБ в выручке компании активно нарастала. Начиная с 2006 года ее ежегодный прирост составлял около 15%. "Мы ждем сохранения этой тенденции. Если по итогам 2008 года направление информационной безопасности составило 84% оборота компании, то по итогам этого года должно возрасти примерно до 95%",— признается господин Конусов. В настоящее время около половины проектов LETA IT-company приходится на защиту персональных данных, при этом типичный проект занимает около шести-девяти месяцев. По оценкам компании, к концу года бизнес-портфель составит около 100 крупных проектов в сфере ИБ.
Господин Конусов ожидает большого внимания со стороны игроков рынка к выполнению требований различных стандартов в сфере ИБ. Например, внедрения финансовыми организациями стандарта в области безопасности платежных карт PCI DSS к определенному дедлайну. "В контексте постепенного подъема экономики, введения в России новых законодательных ограничений, а также повышения прозрачности российских предприятий, выходящих на международные рынки, более пристальным будет внимание к услугам по построению систем, соответствующих и другим стандартам ИБ — ISO 27001, СТО БР ИББС и т. д. Кроме того, уже в первом полугодии 2010 года в сегменте ИБ для банковского сектора можно ожидать серьезных изменений,— считает господин Конусов.— Это связано с вероятной выработкой и внедрением интегрированного стандарта безопасности, учитывающего действующую нормативную базу в сфере защиты ПДн, разработанное ЦБ РФ семейство документов, образующих обновленный стандарт СТО БР ИББС, а также стандарт безопасности PCI DSS для работы с пластиковыми карточками".
В компании "Инфосистемы Джет" отмечают резкий рост сегмента консалтинговых услуг, связанных с защитой персональных данных. В телекоммуникационной отрасли начались масштабные проекты по борьбе с фродом, в частности с нелегальной терминацией трафика. Евгений Акимов отмечает, что многие игроки ИБ ушли с рынка, так как занимались сугубо нишевыми проектами.
По мнению Ивана Бурдело, средняя стоимость проектов в области ИБ снизилась на 30%, а в отдельных сегментах ИБ — до 50%. Также снизилась и рентабельность проектов. "Госсектор свою политику в области ИБ не изменил, эти структуры довольно консервативны,— рассказывает господин Бурдело.— Конечно, жаль, что сфера НИОКР существенно пострадала в результате кризиса и часть разработок была либо приостановлена, либо уменьшена по объемам. Коммерческий сектор в течение прошедшего года не стартовал новые большие проекты, в основном "докручивал гайки" — завершал уже начатые проекты, занимался модернизацией по отдельным направлениям". В "Астеросе" отмечают, что поведение заказчиков в течение года кардинально менялось: от ожидания самого худшего в первом полугодии до взрывной активности осенью. "Направление ИБ в нашей компании в этом году выросло в том числе и за счет активного развития аутсорсинга ИБ. Это произошло в силу того, что штат специалистов не расширяется, а часто и сокращается, при этом требования к поддержке больших, территориально распределенных IT-инфраструктур остаются на том же высоком уровне. Поэтому заказчики все чаще из всех доступных инструментов обслуживания выбирают аутсорсинг ИБ",— объясняет господин Бурдело. В "Астеросе" ожидают, что в 2010 году сегмент ИБ покажет рост в 15-20%. По мнению господина Калашникова, в ближайшие два года динамика роста рынка ИБ снизится с прошлогодних 70% до 25-30%, а доходы компаний этого сектора уменьшатся не более чем на 10-15% от ежегодных показателей. А Валерий Андреев оптимистично замечает, что ИБ-рынок может вернуться на докризисный уровень и двинуться дальше в опережающем темпе уже через год-два.
Подводные камни
Михаил Барышников из КРОК замечает, что не все так однозначно. "Развитие рынка ИБ во многом будет зависеть от основных акцентов развития российского законодательства. Это будет определять вектор развития не только на следующий год, но и ближайшие два-три года,— говорит эксперт.— Кроме того, развитие нашего сегмента зависит от конкретных потребностей вертикальных рынков". Например, по словам господина Барышникова, банковский сектор, скорее всего, будет заинтересован в создании комплексных систем доступа в интернет, систем контроля действий пользователя в сети, систем защиты от мошенничества. Важное значение для банков будет иметь обеспечение ИБ в рамках имеющихся бизнес-систем. Востребованной становится и возможность предоставления услуг аутоидентификации с использованием различных технологий доступа (карты, интернет, телефония). В следующем году КРОК планирует завершить один из крупнейших проектов в этой области. Для телекоммуникационных компаний наиболее актуальной задачей является обеспечение безопасности абонентов. Клиенты телеком-провайдеров демонстрируют большой интерес к возможностям родительского контроля в сетях широкополосного доступа, к обеспечению защиты от атак. По прогнозам КРОК, российский рынок услуг информационной безопасности в 2010 году вырастет минимум на 30%. А вот рынок поставок средств ИБ останется на прежнем уровне либо на 5-10% сократится в зависимости от конкретного сегмента программно-аппаратных ИБ-средств.
В LETA уверены, что серьезных изменений структуры спроса в 2010 году ждать не стоит. Основным вектором развития станет дальнейший рост спроса по флагманским направлениям с постепенным возвращением спроса к решениям, к которым в период кризиса интерес сократился. По словам господина Конусова, рынок станет и более объемным, и более "выровненным" благодаря увеличению числа сильных конкурентов. По мнению гендиректора LETA, самые крупные потоки заказов в 2010 году в сфере защиты ПД могут обеспечить государственные организации, большинство которых в 2009-м не имело бюджетов на соответствующие проекты. Также весомую долю проектов защиты ПД могут занять крупные коммерческие предприятия.
Евгений Акимов из "Инфосистемы Джет" говорит, что следующий год будет не похож ни на "докризисное" время, ни на 2009 год. В компании ожидают резкого роста решений по ИБ, заметных на уровне бизнеса, понятных топ-менеджменту, с просчитываемым сроком возврата инвестиций. Кажется, экономическая ситуация подтолкнула к тому, чего так долго ждали и о чем так давно говорили,— к началу участия бизнес-подразделений в управлении информационной безопасностью.