Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Владимир Гайкович: Российским разработчикам нужно бояться собственной технологической отсталости

На вопросы CNews ответил Владимир Гайкович, генеральный директор компании «Информзащита»

CNews: Как вы оцениваете состояние современного рынка ИБ? Как отражается на нем глобализация мировой экономики?

Владимир Гайкович: Последние несколько лет «призрак ВТО» бродит по России, и хотя мало кто из экономистов может убедительно объяснить все преимущества вступления нашей страны в ВТО, в негативном влиянии этого события уверены практически все участники рынка ИБ, возможно, за исключением офисов зарубежных компаний-вендоров.

Однако не все так просто и ясно, как это может показаться. Уже сейчас глобализация экономики, как движущая идея ее развития, подвергается серьезному сомнению. Эту тенденцию иллюстрирует провал Дохийского раунда переговоров, который длился пять лет и который поставил под сомнение целесообразность наличия ВТО как единой наднациональной организации, регулирующей мировую торговлю.

Глобализация экономики затрагивает значительно более емкие и жизненно важные рынки государств, чем ИТ в целом и ИБ в частности: сельское хозяйство, промышленность, банковский, страховой сектор экономики и многие другие. Многим государствам иметь дело с локальными компаниями выгоднее, чем с международными: именно локальные компании создают основную массу рабочих мест и выплачивают основную часть налогов.

Совершенно не очевидно, какая из этих тенденций станет преобладающей в ближайшем будущем в мире и какая из них победит в России. На мой взгляд, для российских компаний ситуация в ближайшем будущем не ухудшится. И вряд ли, по моему мнению, в ближайшем будущем рынок ИБ будет полностью открыт.

CNews: То есть пока российским компаниям-разработчикам бояться нечего?

Владимир Гайкович: Если речь идет о проникновении западных компаний на наиболее доходные сегменты рынка — то, подчеркиваю, в ближайшей перспективе именно этого бояться не стоит. На мой взгляд, бояться нужно другого — прежде всего собственной технологической отсталости. Современные ИТ меняются быстро, в отличие от российских средств защиты. Уже сейчас невооруженным взглядом видно, что это отставание велико как по номенклатуре продукции, так и по свойствам уже существующих продуктов.

В один прекрасный день отечественные средства защиты, несмотря на их замечательные спецсвойства, станут непригодными к применению для защиты современных информационных систем. Останется только поставить их в незаметное место. В этом случае хоть защищай рынок, хоть не защищай — ничто не спасет.

CNews: Ввиду того, что российские разработчики компетентны в малой части современных технологий ИБ, и все большая часть рынка завоевывается иностранными компаниями — не получится ли так, что в ближайшем будущем нам останется только закрытый госсектор?

Владимир Гайкович: Сегодня складывается именно такая ситуация, из-за того что частные компании и органы государственной власти и управления предъявляют различные требования к СЗИ. Однако емкость госрынка на сегодняшний день существенно выше, чем корпоративного, поэтому именно там есть отечественные игроки, с которыми можно конкурировать. Вот почему развивается именно то, что нужно основному заказчику и именно теми темпами, которыми этот заказчик внедряет ИТ.

Однако справедливости ради следует отметить и обратную ситуацию. Иногда госзаказчику приходится ограничивать применяемые ИТ-системы, поскольку для них не существует отечественных средств защиты, применение которых предписывает закон. Например, до недавнего времени для защиты отдельных категорий гостайны не было средств защиты, работающих под Windows XP, и заказчику приходилось устанавливать устаревшую Windows 2000, чтобы обеспечить совместимость с существующими средствами защиты информации. Сейчас такие решения появились, в их числе наш Secret Net 5.0.

Из-за того, что происходит сосредоточение на госсекторе, те технологии, которыми владеют российские разработчики, далеко не всегда конкурентоспособны на корпоративном рынке. Кроме того, ситуацию осложняет не до конца определенная позиция государства по отношению к оставшимся в живых фирмам-разработчикам в области ИБ.

С одной стороны, гармонизируется законодательство под мировые стандарты, и проходят переговоры о перспективе взаимного признания сертификатов. С другой стороны, выходят документы, которые очень сходны по смыслу с известным приказом «Ни шагу назад». Нужно хоть как-то определяться. Если множим разработчиков на ноль — скажите об этом прямо, чтобы они долго не мучались. В то же время нужно понимать, что после принятия такого решения все вопросы технологической независимости от западных стран потребуется забыть и не вспоминать о них никогда.

Если на государственном уровне будет хотя бы приблизительно определено время действия защиты рынка, то возникнет реальная возможность сильно сократить технологическое отставание. Стоит отметить, что совсем недавно позиция государства была определена более четко. Передача в ФСБ функций по выработке и контролю исполнения нормативных документов в области информационной безопасности для критически важных объектов, произведенная недавним указом президента, на мой взгляд, дает достаточные основания для того, чтобы понять, что государство намерено и впредь жестко контролировать вопросы информационной безопасности.

CNews: Каким образом, по вашему мнению, можно сократить наше отставание?

Владимир Гайкович: Этот вопрос требует отдельного рассмотрения. Нужно понимать, что разработка какой-либо технологии «с нуля» — длительное и дорогое занятие. Это годы работы, успехи и неудачи, миллионы долларов инвестиций.

Сейчас же, на мой взгляд, критическим фактором для российских разработчиков является время. Его осталось не так много. Поэтому, если начинать разработки с нуля, то только те технологии, которые еще не подверглись широкому тиражированию в мировом масштабе. Иные технологии, на мой взгляд, целесообразно приобретать за рубежом и адаптировать под требования российского законодательства.

CNews: Почему же так не поступают российские компании-разработчики?

Владимир Гайкович: Слишком велики финансовые риски. Для адаптации под российские условия требуется покупка технологии целиком, то есть с исходными текстами и гарантией развития и сопровождения. И речь идет как о разовых суммах в миллионы долларов США только за покупку, так и о ежегодных дополнительных платежах за поддержку.

Найти в России денежные средства в таких количествах сейчас не самая большая проблема. Проблема — это оценка рисков, выходящих за четырехлетний срок президентского правления. Конкурировать на мировых рынках с такой купленной технологией очень трудно: этой технологией пользуются множество других компаний. В этой связи можно рассчитывать только на внутренний рынок, а в России одним росчерком пера экономические условия могут быть изменены на прямо противоположные. Вы заблуждаетесь, думая, что было осуществлено инвестирование, в реальности же это пустая трата денег.

Однако в этом случае также нужно соблюдать меру. На мой взгляд, совершенно не стоит финансировать такого рода действия из государственного бюджета либо из каких-либо венчурных фондов, не предусматривающих возврат финансирования. Такие инвестиции не будут эффективными, что подтверждает практика предыдущего десятилетия.

CNews: Кто и зачем будет продавать эти технологии?

Владимир Гайкович: Дело в том, что за последние несколько лет в мире не появилось ни одной принципиально новой технологии в ИБ, что подтверждено нашим анализом предложения на различных международных выставках по ИБ.

Лет пять-семь назад появилось много новых технологий: IDS, фильтрация контента, спам-фильтрация и другие. Безусловно, эти технологии не стоят на месте. Они совершенствуются, становятся все более зрелыми. В то же время каждый дальнейший шаг в их совершенствовании дается значительно труднее, чем предыдущий. А самое главное — необходимость новых возможностей далеко не всегда адекватно оценивается потребителями. Например, потребитель вряд ли сможет заметить разницу между системами спам-фильтрации, одна из которых обеспечивает 96 % распознавания, а другая, скажем, 97,3 %. С точки зрения потребителя, эти технологии одинаковы, хотя по содержанию они могут кардинально различаться.

За время совершенствования технологий на рынок выходят новые вендоры с собственными реализациями, которые принципиально не менее достойны, чем реализации признанных игроков рынка, однако эти вендоры уже потеряли время, рынок перешел в фазу зрелости и для получения своей доли требуются инвестиции не столько в технологии, сколько в маркетинг. Ряд специализированных вендоров не могут себе это позволить, поэтому они делают ставку на продажу технологий на тех рынках, где сами не продают собственные продукты.

Безусловно, можно пытаться использовать open-source-продукты для сокращения затрат, но, на наш взгляд, это не очень эффективно. Мы проводили сравнения по ряду технологий — пока качество private-решений выше. Все было бы намного проще, если бы такие наработки существовали и в России, но здесь купить готовую технологию сложно. Максимум — сырой исходный код и высокая вероятность ухода разработчика в творческий кризис или его эмиграции.

CNews: Насколько серьезно, по-вашему, технологическое преимущество продуктов зарубежных вендоров перед отечественными разработками? Многие российские специалисты утверждают, что такие отечественные решения, как VPN и межсетевые экраны, не отстают от зарубежных аналогов?

Владимир Гайкович: На мой взгляд, все зависит от критериев сравнения. Если в основу сравнения положить криптографическую стойкость реализованных алгоритмов шифрования и наличие некоторых специальных свойств у продуктов, то у российской продукции вообще не будет конкурентов. Если же сравнивать по тем ограничениям, которые накладывает применение продуктов на ИТ-инфраструктуру, по возможности интеграции в единую систему мониторинга и управления, в таком случае российские продукты будут выглядеть далеко не лучшим образом.

«Ахиллесова пята» практически всех российских продуктов — крайне слабое управление большой совокупностью устройств/агентов и плохие возможности их интеграции в единую систему в части контроля ИБ. Такое впечатление, что весь молодецкий задор наших разработчиков пропадает после написания защитных подсистем. Что, собственно, и неудивительно: очень мало российских разработок широко внедряется, а именно для создания адекватной системы управления требуется реальный опыт крупных внедрений. Кроме того, для российских компаний характерны и проблемы, связанные с управлением производством и внедрением. Даже имея хороший продукт и получив крупный заказ, компания может быть не в состоянии произвести и внедрить свое решение в срок из-за элементарных просчетов с производством и оценкой рисков проекта.

Боюсь навлечь на себя гнев коллег по отрасли, но думаю, что нарисованная мной картина может показаться несколько оптимистичной. Хочу заметить, что все сказанное мной ранее, не относится к антивирусному рынку — рынку, который не регулируется ни в одной стране и к которому не предъявляется никаких специальных требований, кроме требований по отсутствию недекларированных возможностей.

Справедливости ради хочу заметить, что есть примеры и обратного свойства. Этои Positive Technologies с XSpider’ом, и Agnitum с Outpost Firewall. Надеюсь, что и мы сможем продолжить этот ряд нашим продуктом «КУБ».

CNews: Кстати о «КУБе» — прошло полтора года с того момента, как вы его анонсировали. Оправдал ли этот продукт ваши ожидания?

Владимир Гайкович: И да, и нет. С точки зрения сложности проекта, количества пользователей и приложений, которые затрагивает его внедрение, продукты такого класса близки к системам ERP, которые никогда не покупаются в коробке. Вот почему цикл продажи такого продукта совершенно другой, по сравнению, например, с межсетевым экраном или системой предотвращения атак.

Пока этот проект не приносит нам прибыль, но мы рассматриваем его как инвестиции в те самые технологии, которые будут востребованы рынком в ближайшем будущем. Количество заказчиков растет, их ожидания от возможностей технологии оправдываются. По нашим данным, «КУБ» технологически не отстает от зарубежных аналогов. Со следующего года мы начнем его продвижение не только в РФ, но и за рубежом.

CNews: Насколько успешно проходят внедрения продуктов этого класса в России у таких компаний, как IBM, ORACLE, HP — по вашим данным?

Владимир Гайкович: Интересный вопрос. Тема Identity&Access Management у всех на слуху, но даже терминология в мире еще не до конца устоялась. Под одно название объединяют SSO, управление учетными записями, а также управление правами доступа в корпоративном масштабе. Это показывает, что мировой рынок до конца не сформировался. Есть возможность проявиться на нем.

На российском рынке начинается разогрев интереса к этой теме. Что неудивительно. Ценовая планка на подобные решения начинается в районе 300–400 тысяч долларов США без стоимости внедрения. Для многих системных интеграторов это как раз та самая заветная цифра, которая побуждает их к активности.

С реальными внедрениями дела обстоят похуже — их очень мало. Системы такого класса — это «тяжелые» решения, требующие наработанных методик внедрения и опыта. Все это приходит только со временем, и легких путей здесь нет.

CNews: Не являются ли ранее описанные трудности российских разработчиков причиной того, что с течением времени «Информзащита» стала интегратором?

Владимир Гайкович: В том числе. Просто бизнес компании-разработчика, особенно на этапе становления, подвержен значительным рискам. Чтобы уменьшить их, мы с самого начала существования компании последовательно развивали консалтинг, дистрибуцию, обучение и затем и сервисные услуги. Тем самым мы создали компанию, работающую на различных сегментах рынка ИБ, снизив большинство рисков, свойственных различным сегментам.

Вместе с этим мы получили возможность предлагать своим клиентам услуги полного цикла в области ИБ — от постановки задачи до внедрения, обучения сотрудников заказчика и дальнейшего сопровождения.

В этом году наша компания реализует пилотные проекты на смежном рынке — рынке систем охраны и видеонаблюдения. Теперь мы можем предложить заказчикам действительно комплексное решение в области безопасности. Впоследствии мы можем активно предлагать эту услуг своим заказчикам.

CNews: А что вы будете делать, когда к нам придут еще и западные интеграторы с западным опытом, крупные консалтинговые компании?

Владимир Гайкович: На мой взгляд, здесь будет существенно легче, чем с продуктами. Во-первых, интегратор силен техническими компетенциями, знанием специфики бизнеса клиента и налаженными отношениями с клиентом. По моему мнению, два последних фактора говорят только в пользу российских компаний.

Во-вторых, советы советами, проекты проектами, но внедрять системы кто-то все равно должен. Если это будут делать вахтовым методом специалисты из Брюсселя или Лондона, то затраты будут слишком высокими. Здесь российские компании тоже имеют явное преимущество. Хотя еще года два-три — и эта разница может уйти.

В-третьих, большую роль играет российский менталитет. Например, многим заказчикам нужно сделать работу, как говорится, «еще вчера». Попробуйте обсудить эту проблему с представителями «большой четверки». Вряд ли вам удастся о чем-либо договориться. Может быть, и удастся, но это достижение будет стоить на порядок дороже. В этом плане российские компании проявляют более гибкий подход. На мой взгляд, эти факторы дают определенную свободу маневра российским компаниям даже в случае прихода крупных иностранных игроков на этот рынок.

CNews: Еще один больной вопрос — кадры. «Информзащита» из года в год расширяется. Где вы ищете новых сотрудников?

Владимир Гайкович: Кадровая проблема остро стоит не только для нас, но и для всего рынка. Количество людей с высокой квалификацией в нашей отрасли растет намного медленнее, чем запросы соискателей. На ИТ-рынке проблема еще больше: на многих позициях зарплаты ИТ-специалистов в Москве уже сравнялись со среднеевропейскими, и пока об остановке их роста речь не идет. Налицо явная тенденция увеличения запросов соискателей вместе с серьезным уменьшением их знаний и навыков. Это серьезно осложняет нашу работу. Кроме того, исправно работавшая ранее схема привлечения специалистов с просторов нашей необъятной родины начинает давать сбои — дело в квартирном вопросе. При текущем положении дел решить его в Москве практически невозможно.

Наш опыт последних лет показывает, что ВУЗы выпускают людей, которые в лучшем случае могут делать что-то руками. Самостоятельно думать могут трое-четверо из десяти. Анализировать и сопоставлять могут один-двое. Из оставшихся нужно постараться найти тех, кто может свою точку зрения изложить в форме, понятной для окружающих. Что получается в результате? Мы действуем как золотодобытчики: чтобы найти самородок, проделываем огромную работу и начинаем потихоньку менять формы привлечения сотрудников на работу, то есть практикуем удаленную работу, иногда — частичную занятость.

CNews: Какую роль для вас как для работодателя играет то, сертифицирован ли по ИБ специалист?

Владимир Гайкович: На мой взгляд, любой сертификат говорит только о том, что человек смог получить его. Наш опыт работы с сертифицированными специалистами показывает, что среди них есть достаточной процент людей, непригодных к какой-либо практической деятельности, за исключением получения следующего сертификата. В то же время, среди несертифицированных специалистов много одаренных людей, приносящих пользу компании.

Если при приеме на работу соискатель просит повышенную зарплату «за свой статус», то я как работодатель выберу, при прочих равных условиях, человека без сертификата. Другое дело, если сотрудник необходим для выполнения определенного класса работ, например аудита по требованиям VISA — тогда, естественно, выбор падет на сертифицированного специалиста.

Если же у человека множество сертификатов, то это сразу вызывает подозрение. Когда он работает, если все время учится и получает сертификаты? Люди, которые знают жизнь и имеют реальный опыт работы значительнее полезнее людей, которые имеют коллекцию сертификатов. Вот почему я не отрицаю полезность сертификации, но в тоже время не преувеличиваю ее значимость при приеме на работу. По крайней мере, в нашу компанию.

Надо отметить также, что большая часть тестов по сертификации специалистов дискредитирована. В Сети существуют ресурсы, где можно всего за 50 долларов купить ответы на вопросы того или иного теста. Выучить сто ответов, сдать экзамен, а потом требовать прибавку к зарплате сегодня сможет любой желающий. Последний пример. Весной этого года компания Cisco ввела новую сертификацию специалистов по безопасности, а уже через две недели в Сети появился список вопросов и ответов для сдачи экзаменов. На российских ресурсах задержка чуть больше, в данном случае она составила примерно четыре месяца.

Что же касается нашего учебного центра, то мне приятно наблюдать то, что все чаще в резюме на сайтах по поиску работы в качестве одного из достижений указывают на сертификаты, полученные в нашем учебном центре.

CNews: Каким вы видите российский рынок в перспективе — что может измениться?

Владимир Гайкович: На мой взгляд, основные факторы, которые могут в ближайшее время повлиять на рынок — это возможное появление новых технологий (как в ИТ, так и в ИБ), а также действия государства по регулированию рынка ИБ.

Мне кажется, что в ближайшие 1-2 года ничего прорывного на рынке не произойдет. Те перспективные технологии, о которых идет речь на выставках, еще находятся в рамках обсуждения и первых попыток реализации. Существующие технологии будут переплетаться в самых причудливых последовательностях, и будут утверждать, что именно эта последовательность применения является самой эффективной.

Действия государства будут оказывать наибольшее влияние на рынок: в нашей стране государство определяет многое на рынке ИБ, в том числе и категории потребителей, и требования к компаниям — участникам рынка, а также требования к средствам защиты информации.

Когда речь идет о действиях государства, здесь очень много «если». Если заработает закон о персональных данных, то рынок получит серьезный импульс роста на несколько лет. Если государство доведет до логического завершения все то, что написано в последнем указе Президента по критическим информационным системам, то появится возможность сделать российские разработки более современными. Если будет доведена до конца работа над Техническим регламентом в области информационной безопасности, то прояснится и нормативная база.

Этот список из «если» можно продолжать довольно долго. Давайте немного подождем и перейдем от анализа предположений к анализу фактов. Мы смотрим в будущее со сдержанным оптимизмом. Посмотрим, как изменится наша точка зрения через год.

CNews: Спасибо.