|
Код за два |
Много шума
Но здесь все не так просто. Не случайно аналитическое агентство CNews.ru, которое ежегодно публикует обзоры рынка информационной безопасности, уже давно перестало выдавать оценки его объема — говорят, после того, как разошлось во мнениях с той же IDC, которая, кстати, в своих прогнозах выводит рынок на $391 млн аж в 2009 году.
Но даже если уже сейчас есть $400 млн, это достижение невеликое. Для сравнения: российский рынок IT в 2005 году вышел на объем $23 млрд (данные исследовательской компании J'Son & Partners). Конечно, тема горяча, но все равно непонятно, почему вокруг информбезопасности столько шума: такому количеству выставок, конференций и прочих мероприятий может позавидовать любой другой рынок.
Судите сами. На прошлой неделе завершилась выставка "Информационная безопасность" (проходила в рамках форума "Технологии безопасности"). Неделей раньше — криптологическая конференция "РусКрипто". Еще неделей раньше — Infoforum под эгидой Госдумы (проводится три раза в год). А за неделю до него состоялась церемония награждения профильной премией "Зубр". Впереди — тематические конференции в марте, июне, сентябре. И это не считая разовых мероприятий, среди которых есть и весьма масштабные. Так, в мае в Санкт-Петербурге пройдет ежегодный форум Международной ассоциации криптографов (IACR) — EuroCrypt. Впервые в России.
В общем, какой-то неясный алгоритм получается. Где же ключи?
Михаил Савельев:"Все больше продуктов, где составляющую ИБ трудно выделить, решения просто интегрированы"
Размытая точка входа
Андрей Калашников, директор центра технологий безопасности компании IBS: Сегментировать рынок можно по-разному, лично я выделяю четыре части: услуги операторов телекома по продаже защищенных каналов; вендоры, продающие различные решения; специализированные интеграторы в сфере ИБ; системные интеграторы, для которых информационная безопасность — важный элемент при построении информационных систем.
Между тем многие не соглашаются с включением в рынок ИБ операторов телекома — интернет-провайдеров. А вот консалтинговые компании "большой четверки", для которых ИБ лишь одно из направлений, наоборот, туда включают (в схеме Калашникова отдельного сектора консалтинга нет).
С наполнением сегментов тоже проблемы.
Михаил Савельев, заместитель директора по маркетингу компании "Информзащита": Мировая тенденция такова, что появляется все больше продуктов, где составляющую ИБ трудно выделить, такие решения туда просто интегрированы. Как пример — продукция компаний Cisco, Microsoft. Это делает критерии очень размытыми, и компании-поставщики, например, могут запросто завышать данные своих отчетов по ИБ, чтобы мощнее позиционировать себя в модном направлении. Мы в своих оценках рынка — $210-220 млн в 2005 году — отталкивались от объема комплексных работ, выполняемых именно по защите информации, но здесь тоже сложности. Те же системные интеграторы не прочь объявить о значительно больших деньгах, заработанных на ИБ, нежели они зарабатывают на самом деле. Известны случаи, когда компании в целях повышения своей значимости в рейтингах и обзорах завышали эти объемы в пять раз.
Другая проблема — невозможно точно оценить сектор госзаказов, при том что их доля на рынке, по мнению экспертов, не менее 50%. Безопасность — дело тонкое, и объем заказа напрямую зависит от оценки рисков, что создает идеальные условия для "отката". Грубо говоря, завысил степень той или иной опасности в два раза — получил "премию" за увеличение стоимости контракта.
Александр Каталов:"Российскому рынку мешает непрозрачность решений по допуску того или иного продукта к продаже"
Андрей Бедрань, ведущий инженер сектора информационной безопасности компании "Техносерв А/С" (системный интегратор): Сегодня для системных интеграторов информационная безопасность — это просто актуальная "точка входа" к клиенту. ИБ — тема модная и живая, но, принимая участие в выставках по безопасности, IT-интеграторы, по сути, продвигают свои услуги как в области информационной безопасности, так и в области системной интеграции в целом. Это нормально, но к рынку ИБ как таковому имеет опосредованное отношение.
Если так, есть ли смысл вообще говорить о рынке ИБ? Смысл есть. Хотя бы потому, что этот рынок имеет особенности, отличающие его от того же рынка IT.
Нерегулируемое регулирование
Главный документ для рынка ИБ — указ президента #334 от 3 апреля 1995 года "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств", согласно которому программно-аппаратные средства ИБ (практически все они содержат криптографию) должны сертифицироваться ФАПСИ, чьи приказы и инструкции регламентируют деятельность на этом рынке. Но ФАПСИ уже нет, и его функции перешли к ФСБ.
Ввоз в страну шифровальных средств (а к таковым при желании можно отнести даже межсетевые экраны, где тоже не обошлось без криптографии) лицензируется, лицензию выдает Минэкономразвития по согласованию с той же ФСБ, которая дает добро, только если эти средства ею уже сертифицированы. Деятельность по их внедрению тоже лицензируется — Федеральной службой технического и экспортного контроля, если опять же ФСБ не против.
Но есть два нюанса. Во-первых, указ #334 регламентирует сертификацию только в том случае, если шифровальные средства используются государственным органом, и никак иначе. Во-вторых, нет четкого определения понятия "шифровальные средства" (по историческим причинам все связанное с криптографией в СССР было засекречено и неупоминаемо), что, в частности, приводит к необходимости получения сертификатов даже на защищенные CD-ROM.
Любопытно, что при всем этом процедура получения лицензии на распространение несертифицированных средств таки существует — совсем не прозрачная, не предусмотренная никакими правилами, но и не нарушающая их. То есть понятные всем правила игры на рынке ИБ отсутствуют, что создает предпосылки для неконкурентной борьбы.
Анатолий Лебедев, президент компании "ЛанКрипто": В действительности в большинстве специализированных компаний работают сотрудники с кагэбэшным прошлым, я и сам оттуда — все друг друга знают. Сертификация де-юре — дело добровольное, хотя на практике ее и пытаются сделать обязательной, однако сами по себе сертификационные требования не являются открытыми. Мы разрабатываем криптографические продукты уже много лет, но сертификаты получить не можем, причем формальных оснований на то нет. Сейчас мы называем шифрование защитным кодированием — так и работаем, хотя это не решение проблемы. Административный ресурс ФСБ велик. Есть примеры, когда в процессе оформления или продления банковских лицензий банкирам звонили, предлагали поменять используемую криптографию на сертифицированную ФСБ, грозя проблемами с банковской лицензией.
Разумеется, все эти ограничения не дают умереть российскому производителю. Многие российские дивайсы представляют собой лишь доведенные в соответствии с требованиями ФСБ разработки (например, мобильный телефон ФГУП "НТЦ 'Атлас'", используемый "МегаФоном" для обеспечения криптографически защищенной голосовой связи), однако протекционизм — это в принципе неплохо. Проблема в непрозрачности правил.
Александр Каталов, президент компании "Элкомсофт": Все развитые страны имеют в этой сфере ограничения, связанные с опасностью ввоза в страну программно-аппаратных средств с криптографическими закладками, однако там эта деятельность регламентируется четко. Российскому рынку очень мешают неопределенность и непрозрачность принятия решений по допуску того или иного продукта к продаже.
Одним из следствий этого является скрытое противостояние компаний, специализирующихся на ИБ, и системных интеграторов — за глаза они отзываются друг о друге иронически.
Любой системный интегратор с готовностью сообщит вам, что систему ИБ нужно внедрять в IT-систему еще на этапе проектирования, тогда как интеграторы в сфере безопасности "навешивают" систему ИБ на уже существующую IT-систему. Кроме того, многие ИБ-интеграторы выпускают собственные продукты, а значит, скорее всего, будут их навязывать.
Ну а любой интегратор в сфере ИБ обязательно отметит, что безопасностью должны заниматься профессионалы, каковых среди системных интеграторов нет по определению, поскольку при реализации проектов доля ИБ в доходах редко когда составляет больше 5%. Что же касается внедрения ИБ на этапе проектирования, то это, конечно, верно, но на практике и у интеграторов это часто носит декларативный характер, поскольку у клиента подчас нет средств, чтобы оплатить все сразу. Кстати, вендоров и те и другие уважают, а еще дружат вместе против компаний "большой четверки" — типа уж они-то точно в ИБ не разбираются.
Однако по большому счету друг друга они недолюбливают именно потому, что рынок непрозрачен,— взаимные обвинения в тесных связях с ФСБ, в практике "откатов" сыпятся градом. Казалось бы, делить им нечего, но рынок, как считают многие, вот-вот обратится в бурный рост, и к этому все усиленно готовятся.
Госстимул
Алексей Волчков:"Часто средства шифрования не внедряют как раз потому. что они сертифицированы ФСБ"
Фото: АЛЕКСАНДР МИРИДОНОВ
Павел Волков, руководитель отдела информационной безопасности компании "Открытые технологии": Основной рост еще впереди, ведь уровень зрелости потребителей на рынке ИБ еще невелик. Как мне представляется, этот рост проявится через полтора-два года.
Дмитрий Рагушин, менеджер по проектам информационной безопасности компании "Ланит": Сейчас рынок дозрел до того уровня, когда специально кого-то убеждать, что информацию защищать необходимо, уже не нужно. Случаи ущерба, которые несут компании на мировых и российском рынках по причине недостаточного внимания к ИБ, всем известны, и слова "нам нечего защищать" приходится слышать все реже. Но рынок действительно может пережить расцвет, связанный с изменениями в законодательной сфере.
В США так и случилось после вступления в силу закона Сорбейнса--Оксли — он был принят после трагедии 11 сентября 2001 года и установил новые требования к ИБ.
Нина Парфенова, руководитель группы информационной безопасности в России и странах СНГ компании "Делойт": Рост рынка консалтинговых услуг в сфере ИБ действительно во многом зависит от изменений законодательства или потребностей компаний соответствовать требованиям международных стандартов в данной области (таких как ISO 17799) в связи с выходом на западные рынки, например.
А что в России? Илья Медведовский, директор компании Digital Security (аудит и консалтинг в области информационной безопасности): Очевидно, что стандарт ИБ Центробанка, который сейчас носит рекомендательный характер, через какое-то время станет обязательным для всех коммерческих банков. Кроме того, скоро планируется принятие ГОСТ 17799, что подтолкнет как частные компании, так и государственные структуры к построению систем управления информационной безопасностью в соответствии с этим ГОСТом.
Здесь также можно вспомнить планирующееся принятие закона о персональной информации, который обяжет защищать ее те организации, у которых такая информация есть.
По результатам международного исследования на тему ИБ, проведенного в прошлом году компанией Ernst & Young (было охвачено 1300 компаний в 55 странах), именно вновь принятые требования стали главным фактором роста рынка ИБ по всему миру. Так что надежды экспертов, связанные с изменениями в российском законодательстве, кажутся оправданными.
Не стоит сбрасывать со счета и риски, порождаемые государством. Алексей Волчков, президент ассоциации "РусКрипто": Известно, что Ходорковского смогли прижать как следует в том числе и потому, что проект ЮКОСа по внедрению криптографической защиты внутренней информации так и не был завершен: информация не шифровалась, и правоохранительные органы легко смогли получить желаемое. А вот у Березовского все было сделано четко — никакой значимой информации, которая хранилась в структурах, с ним аффилированных, правоохранительные органы снять так и не смогли. Но здесь многое зависит от законодательной базы, ведь часто средства шифрования не внедряют как раз потому, что они сертифицированы в ФСБ; с другой стороны, с легитимностью шифровальных средств, не сертифицированных в ФСБ, не все ясно — в результате тормозится внедрение любых систем ИБ. Все завязано именно на шифровании.
Туманная фокусировка
Другой пример. На выставке "Информационная безопасность" компания "Сигнал-Ком" представила любопытное программное решение: инсталлировав его в обычный коммуникатор, можно получить защищенную голосовую связь примерно за $300 (стоимость ПО). Пока на рынке защищенной связи играет лишь "МегаФон" с телефонами по $1,5-2 тыс., и "Сигнал-Ком" действует с учетом этого обстоятельства.
Ирина Момчилович, коммерческий директор компании Rainbow Technologies: Вообще, о скором смещении услуг ИБ от централизованных сетей к распределенным (с участием того же мобильного интернета) говорят все эксперты. И это происходит уже сегодня, взять хотя бы тот же интернет-банкинг.
Это, в свою очередь, будет способствовать вовлечению в рынок ИБ частных пользователей. Сегодня они в той или иной степени задействованы им в части антивирусной защиты (один из сегментов рынка ИБ; $30-35 млн в 2005 году, по данным "Лаборатории Касперского") и упомянутых межсетевых экранов (их частным пользователям сегодня успешно продает, например, компания "Агнитум").
Следует также отметить, что после определенного снижения интереса к биометрическим технологиям они вновь начинают активно использоваться как один из элементов аутентификации доступа (см. интервью на стр. 24).
Андрей Вакуленко, директор по развитию бизнеса НПО "Информация": На рынке сейчас представлено три основных метода биометрической идентификации: на основе цифровой фотографии (двух- и трехмерных изображений лица), отпечатков пальцев и радужной оболочки глаза. Каждое из этих направлений имеет свои достоинства и недостатки, но как один из элементов контроля доступа к информации биометрия пользуется все большим спросом. Главное ее достоинство — биометрические признаки у человека всегда при себе. По нашим оценкам, в 2005 году таких систем было внедрено на $18 млн, в текущем может получиться на 25-30% больше.
Здесь стоит вернуться к началу статьи и порассуждать о том, что будет с рынком ИБ в дальнейшем. Всегда ли он будет столь же размытым и неприспособленным к оценке, как сегодня?
Здесь есть радикальная точка зрения. Рынка безопасности в нынешнем виде просто не будет, считает директор по информационной безопасности кабинета президента Microsoft в России и СНГ Владимир Мамыкин: Не только наша компания, но и многие другие мировые гранды сейчас активно внедряют системы информационной безопасности во все свои продукты. Например, в Windows уже давно встроены и криптоалгоритмы, и межсетевой экран, скоро появится антивирусная защита, интегрированные решения по борьбе со шпионским ПО. Если компании, специализирующиеся на безопасности, и останутся, то только в части аудита и консалтинга, а также в тех нишах рынка, которые обслуживают узкие потребности. В качестве примера: на автомобильном рынке были времена, когда не только воздушные подушки, но и ремни безопасности предлагались как дополнительные опции — теперь это все встроено даже в недорогие модели. Однако отдельный бизнес по бронированию автомобилей остался — решение достаточно узкое и далеко не всем необходимое.
Дмитрий Скляров, аналитик по информационной безопасности компании "Элкомсофт" (автор книги "Искусство защиты и взлома информации"; прославился в связи с процессом о взломе американских электронных книг, где он был обвиняемым): Я согласен, что большие куски того, чем сейчас занимается ИБ, попадут на десктопы пользователей из рук производителей, начинавших совсем не с безопасности. Но любую защиту в принципе можно сломать, огрехи всегда есть, ведь интеграция безопасности — процесс длительный. Безопасность должна лежать в основе, а не "навешиваться" позже, а много ли таких, кто согласится заново вложиться в разработку и отказаться от обратной совместимости?
Но с тем, что рынок ИБ скоро станет более четко структурированным и прозрачным, не спорит никто. Равно как и с тем, что доля услуг (аудит, консалтинг, проектирование) на этом рынке будет быстро расти. Это происходит уже сегодня. По оценкам "Информзащиты", в 2005 году эта доля выросла с 25 до 40%. И с появлением на рынке решений с интегрированными средствами ИБ (о чем говорил Владимир Мамыкин) она будет только увеличиваться.
АЛЕКСЕЙ ХОДОРЫЧ
|
ЗАКОНОДАТЕЛЬНАЯ БАЗА
В ожидании хаоса Георгий Афанасьев, генеральный директор удостоверяющего центра Ekey.ru: Инвестиции в создание УЦ — $50-100 тыс., примерно 50% стоит его поддержание в течение года, кроме того, оплата разработчика ПО — не менее трети всех отчислений. Сам сертификат стоит около $20, ежегодная абонплата — столько же. Таким образом, на точку безубыточности можно выйти, когда будет собрано около 5 тыс. пользователей, а окупить затраты — за три-пять лет. Сейчас в России сотни тысяч обладателей сертификатов — ЭЦП активно используют сотрудники крупных корпораций, исключивших бумажный документооборот из своей практики. Однако из тысячи созданных в России удостоверяющих центров выжил только каждый пятый, деятельность остальных была фактически приостановлена, поскольку заметного роста пользователей ЭЦП не произошло. Причина — в несовершенстве закона, который плох прежде всего нечеткостью терминологической базы и формулировок. Это приводило и пока приводит к излишним рискам и ущемлению интересов участников оборота ЭЦП. Однако новый законопроект "Об электронной подписи", который сейчас активно обсуждается в Думе, по мнению участников рынка ЭЦП, еще хуже. Юрий Маслов, заместитель коммерческого директора компании "КриптоПро": Во-первых, в обращение вводится новая правовая конструкция "электронная подпись", при этом не как эквивалентная уже существующей конструкции "электронная цифровая подпись", что автоматически приведет к необходимости перезаключения существующих договоров между 150 тыс. юридических и физических лиц, изменению порядка 20 постановлений правительства и сотни ведомственных актов, в которых упоминается термин ЭЦП. Во-вторых, вводятся три вида подписи, применение каждого влечет наступление равных правовых последствий. Но не введены четкие классификационные признаки этих подписей и их обращения в гражданско-правовой сфере. В-третьих, исключена норма о равнозначности электронной подписи собственноручной. В-четвертых, правовые требования переносятся на уровень подзаконных актов и соглашений, и, таким образом, законопроект приобретает декларативную форму и не обеспечивает защиту интересов лиц, применяющих электронную подпись. А всего-то и нужно было что сделать существующий закон законом прямого действия, чтобы не ждать выхода подзаконных актов, каких-то инструкций, регулирующих использование ЭЦП; ввести нормы исполнения электронных документов — действующая законодательная база не обязывает стороны исполнять документы в электронной форме, хотя и не запрещает. Предполагалось, что данная проблема будет разрешена нормами закона "Об электронном документе", но закона все нет, а проблемы остаются. Поэтому целесообразно включить в закон об электронной цифровой подписи нормы, связанные с электронным документом. В общем, владельцы сертификатов ЭЦП сейчас с тревогой ждут принятия нового закона — ведь он может лишь ухудшить ситуацию. Недавно проект закона обсуждался на конференции "РусКрипто", где участники рынка встретились с разработчиками документа, и остается только надеяться, что их мнения и замечания будут учтены в процессе доработки законопроекта. |