В последнее время тема импортозамещения, в том числе и в сфере информационной безопасности (ИБ), становится все более популярной. Благо во многих сегментах данного рынка имеются высококачественные хорошо зарекомендовавшие себя отечественные решения и процесс этот естественным образом идет уже давно. И многим кажется, что тут все должно быть в порядке. Но это не совсем так, а по некоторым направлениям даже далеко не так.

Согласно оценке аналитического центра TAdviser, по состоянию на начало 2015 года отечественные программные средства поддержания ИБ занимали ровно половину российского рынка. А вот на аппаратные средства от отечественных вендоров приходилось уже 30% общего объема продаж. При этом стоит иметь в виду, что аппаратная часть программно-­аппаратных комплексов (ПАК) российских компаний все равно собирается из иностранных комплектующих, пусть иногда и некоторым образом доработанных. Кроме того, на рынке давно уже проявляют серьезную активность компании из стран, которые не присоединились к антироссийским санкциям. А среди них довольно прочные позиции занимают не только производители из Юго-­Восточной Азии и зарубежного Дальнего Востока. Показателен пример такого серьезного игрока, как CheckPoint. И эта израильская компания не является единственной в своем роде.

Отмечается устойчивая тенденция к росту этих показателей. Это связано как с ослаблением курса рубля, которое автоматически ведет к росту цен на импортную продукцию и услуги по ее сопровождению, так и с влиянием экономических санкций. Впрочем, тревожные тенденции были заметны и раньше. Так, Сергей Земков, управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии, отметил торможение продаж и ориентацию на снижение бюджетов еще во второй половине 2013 года.

Иногда импортозамещению способствовало и то, что вендоры кардинально меняли позиционирование своих продуктов на рынке. В итоге многие прежние потребители были вынуждены от них отказаться, часто в пользу отечественных решений. Впрочем, такие ситуации возникают не только на ИБ-­рынке, причем довольно регулярно, в том числе и с популярными продуктами.

Есть и такие примеры, когда отечественные разработчики заняли безусловное лидерство в отдельных сегментах. Произошло это потому, что они создали именно то, что от них хотели, тогда как решения зарубежных вендоров не соответствовали ожиданиям потенциальных потребителей. С другой стороны, существуют ниши, где сложилась прямо противоположная ситуация. Рассмотрим положение дел в разных сегментах ИБ-­рынка подробнее.

Средства защиты конечных точек

В этом сегменте, который объединяет наиболее востребованный на рынке класс систем защиты, представлены два очень сильных игрока с российскими корнями: «Лаборатория Касперского» и «Доктор Веб». По данным IDC, на долю продуктов одной только «Лаборатории Касперского» по итогам 2014 года приходилось почти 56%. У «Доктора Веб» позиции существенно скромнее, но и их разработки входят в «большую пятерку» наиболее сильных игроков отечественного рынка.

Однако это лишь на первый взгляд. Никаких вопросов с национальной принадлежностью нет только у «Доктора Веб». Продукты же «Лаборатории Касперского» используют лицензированные компоненты зарубежных разработчиков, а значит, отечественными могут считаться с некоторой натяжкой.

Среди лидеров антивирусного рынка всегда был высокий уровень конкуренции. Некоторые его участники, например ESET, ведут себя довольно агрессивно. И такая политика приносит результаты: рыночная доля продукции ESET составляет, по разным оценкам, от 25 до 30%. Кроме того, у решений зарубежных поставщиков есть определенные преимущества и с точки зрения функциональности. Так, многие эксперты полагают, что корпоративные антивирусы TrendMicro имеют наиболее развитые инструменты защиты систем с активным использованием виртуализации, а у продуктов Symantec хорошо развиты средства централизованного управления, в том числе и в распределенных сетях.

Надо сказать, что ситуация в данном сегменте далеко не безоблачна вообще для любых продуктов, распространяемых на возмездной основе, вне зависимости от их происхождения. Особенно серьезно она проявляется среди компаний СМБ (средний и малый бизнес). По результатам «боевого» тестирования лидерами часто оказываются как раз продукты Avira, Avast, AVG, базовые версии которых к тому же бесплатны. Не улучшают позиции игроков и выявленные уязвимости, иногда весьма серьезные, или просто неудачная реализация ряда функций либо не слишком адекватная реакция на компоненты применяемых приложений. Собственно, тот или иной серьезный недостаток при желании можно найти в любом продукте.

Наверное, именно по этой причине в последнее время все больше распространяется практика использования нескольких антивирусных движков, благо многие программные и программно-аппаратные комплексы, рассчитанные на поддержание сетевой безопасности, это позволяют. Так, например, в комплексе Crossbeam (в России их по лицензии производит компания РКСС) и в старших моделях устройств CheckPoint можно использовать три антивирусных движка одновременно.

Тем не менее ситуация может измениться, и существенно. Например, в том случае, если контролирующие органы ужесточат требования к сертификации зарубежных продуктов, что сделает невозможным их использование для определенных категорий потенциальных заказчиков. Или в качестве средства для решения наиболее востребованных задач, например, связанных с защитой информации, в которой содержатся персональные данные. А такого поворота исключать нельзя.

Средства обеспечения сетевой безопасности

В этом сегменте имеет смысл объединить средства межсетевого экранирования, контроля доступа в Интернет, а также выявления и предотвращения атак. Тем более, что в настоящее время производители объединяют эти функции в одном программном или программно-аппаратном комплексе.

Данный сегмент рынка весьма широк, и в нем всегда хватало места многим — как крупным международным компаниям, так и отечественным разработчикам. Кроме того, здесь традиционно сильны позиции свободного ПО (СПО), особенно для СМБ-компаний. Нулевая стоимость лицензирования, большой опыт применения, быстрая адаптация под стремительно меняющийся ландшафт угроз являются весомыми достоинствами. И при этом полный набор средств входит практически в любой дистрибутив Linux или xBSD, и для продуктивной работы будет достаточно ПК, в том числе, что называется, второй свежести, непригодного для работы с современными приложениями.

Важно отметить, что целый ряд коммерческих продуктов также представляет собой доработанное СПО. И среди продукции российских разработчиков таких решений немало. Однако этот подход чреват существенными опасностями. Известно, что СПО также содержит уязвимости, часто весьма коварные, и при доработке свободного кода их устраняют далеко не всегда. Хорошим примером тут является HearthBleed, выявленная в 2012-м, но обнародованная спустя без малого два года. После ее обнаружения некоторые эксперты советовали даже не выходить в Интернет, пока не будет выпущена исправленная версия уязвимой разделяемой библиотеки.

Особенно в сегменте средств сетевой безопасности популярны программно-аппаратные комплексы, причем как среди корпоративных, так и у СМБ-заказчиков. Прежде всего потому, что трудозатраты по их установке и особенно обслуживанию существенно меньше, чем у чисто программных решений. А в последнее время, с агрессивным вторжением ПАК азиатских производителей, это стало еще и выгодно с финансовой точки зрения. Причем использовать такое оборудование не считают зазорным даже крупные компании (см.: Особенности национальных ИТ в глобальной компании // Intelligent Enterprise, 2014, № 3). По крайней мере до тех пор, пока не поймут, что здесь необходима единая система мониторинга.

Продукции российских производителей, впрочем, как и крупных международных, сложно конкурировать с китайскими и тайваньскими компаниями. Тем не менее определенная ниша для неё сложилась. Прежде всего это касалось средств защиты информации, составляющей военную и государственную тайну, а также содержащей персональные данные высоких категорий.

Но многие отечественные производители не прибегали к помощи регуляторов. Некоторые из них воспользовались промахами западных вендоров. Так, целый ряд западных вендоров не локализует свои продукты для России, в результате их доля оказывается ниже, чем могла бы быть. К слову, отсутствие локализации или ее плохое качество — главный враг и продукции азиатских компаний, особенно второго эшелона.

Есть и такие случаи, когда популярные в России зарубежные продукты вендор в силу каких-то причин прекращал развивать и их пользователям поневоле приходилось искать альтернативу. Хорошим примером тут является Microsoft Internet Security and Acceleration Server (MS ISA Server), позднее переименованный в Microsoft Forefront Threat Management Gateway (MS Forefront TMG). Еще в 2010 году всем стало ясно, что этот продукт, как говорится, не жилец, и ему стали искать альтернативу. И многие находили ее в отечественных продуктах, например, компаний Etensys, Smart-Soft или «А-Реал Консалтинг». По мнению аналитика портала «Анти-Мальваре.Ру» Валерия Коржова, эти продукты ни в чем не уступают зарубежным аналогам (http://www. anti-­malware.ru/node/16486).

Ответом на экспансию азиатских производителей и активизацию российских явилась локализация сборки продукции западных вендоров. Пионером тут стала Cisco, которая начала действовать в данном направлении еще несколько лет назад.

Средства защиты от утечек информации

Данный сегмент интересен тем, что решения российских поставщиков здесь доминируют, причем подавляющим образом. По данным «Анти-Мальваре.Ру», одна только «большая тройка», куда входят InfoWatch, Solar Security и Zecurion, контролирует более 80% рынка. Так произошло в силу целого комплекса причин. Прежде всего потому, что зарубежный продукт хуже адаптирован к языковой среде. Особенно когда речь идет о таком сложном языке, как русский. В итоге зарубежный продукт оказывалось куда проще «обмануть», а значит, его эффективность заведомо ниже, чем у отечественного.

По мере совершенствования технологий и процесса, суть которого наиболее адекватно отражает поговорка «аппетит приходит во время еды», у российских потребителей систем защиты от утечек информации выкристаллизовался свой набор требований, которые зарубежные продукты удовлетворить не могут в принципе. Впрочем, попытки передать вовне компании данные, содержащие, например, номера кредитных карт, такие системы с успехом пресекают.

А вот требования российских заказчиков одной только защитой от утечек не ограничивались. Тут очень показательно, например, что конференция DLP Russia, посвященная данным технологиям, со временем была переименована в Форум по защите бизнес-информации. Как раз к концу 2013 года появились средства нового поколения, построенные на технологиях анализа больших данных. Они закрывают весьма широкий набор функций, многие из которых относятся даже не к информационной, а к общей безопасности. В частности, относящиеся к выявлению внутреннего мошенничества (фрода) и коммерческого подкупа. А эта проблема крайне актуальна, особенно в кризис. Между тем специализированных систем защиты от мошенничества для многих вертикальных рынков просто не существует. А вот DLP последнего поколения практически за неделю способны «научиться» выявлять практически любые отклонения от типового поведенческого паттерна, за которым может скрываться злонамеренная активность. Автор этих строк присутствовал на демонстрации одной из таких систем, и она оставила весьма сильные впечатления (http://www.iemag.ru/analitics/detail.php?ID=31869).

Однако почивать на лаврах не стоит. Аналогичная отечественным DLP-системам функциональность начинает появляться и в продуктах зарубежных разработчиков, причем некоторые из них, к примеру SAP и Teradata, никогда прежде не были замечены в выпуске решений, направленных на поддержание безопасности.

Системы мониторинга и корреляции событий

Этот класс систем очень быстро набирает популярность. Строго говоря, такие инструменты находятся на стыке управления ИТ и ИБ. С их помощью можно выявлять не только инциденты в области безопасности, такие как заражение неизвестным вредоносным ПО или несанкционированное использование оборудования и программных средств, запрещенных корпоративными политиками, но и, например, определять неполадки в работе серверов, сетевого оборудования, всевозможных информационных систем.

Данная специфика и привела в конце концов к тому, что инструменты эти были консолидированы у трех компаний, являющихся ведущими или, по крайней мере, заметными игроками не только в сфере средств ИБ, но и в области систем управления ИТ, — речь идёт о корпорациях HP, IBM и Symantec. И в России, и в мире они занимают подавляющую доля рынка, не менее 80%.

Тем не менее есть и альтернативы. Так, довольно широкое распространение получило СПО-решение OSSIM. Можно назвать и отечественную систему КОМРАД компании «НПО Эшелон», однако она является нишевой и ориентирована исключительно на защиту систем, которые обрабатывают информацию, содержащую государственную или военную тайну.

Но и в этот сегмент началось проникновение систем нового поколения, использующих технологии анализа больших данных. А среди новых игроков есть и отечественные компании, в частности Positive Technologies с ее продуктом MaxPatrol SIEM. Как утверждается, множество проведенных тестов на проникновение позволило разрешить наиболее серьезные проблемы традиционных систем мониторинга и корреляции событий. Впрочем, данная система позиционируется как средство мониторинга и корреляции событий исключительно в маркетинговых соображениях. Не исключено, что на внешних рынках этот продукт будет позиционироваться иначе.

***

Представленный обзор не охватывает все сегменты рынка. Тем более, что постоянно появляются новые классы продуктов. Например, направленные на защиту систем промышленной автоматики и технологических сетей. Такие комплексы анонсировали как российские, так и международные компании. Тем не менее ситуация в целом ясна.

Как видно, ее сложно назвать однозначной. С одной стороны, отечественные решения так или иначе представлены практически во всех сегментах рынка ИБ. Но с другой — многое зависит от того, по каким критериям то или иное решение следует считать отечественным. Ведь всё можно повернуть так, что многие популярные продукты, которые принято считать российскими, с точки зрения регулятора окажутся зарубежными. Особенно легко это сделать с программно-аппаратными комплексами, где российской является лишь программная начинка, тогда как аппаратная — всегда целиком импортная, иногда с небольшими доработками. Да и в программных средствах не так уж и редко используются лицензированные иностранные компоненты.

Но даже если эти критерии максимально смягчить, ситуация все равно остается не вполне однозначной. Из того, что сказано выше, видно, что лишь в одном сегменте подавляющее преимущество имеет продукция отечественных разработчиков. Но есть и такие, где доля отечественной продукции находится на уровне статистической погрешности. По крайней мере пока. Хотя, конечно, все может измениться.

И скорее всего действительно изменится. По некоторым оценкам на рубеже 2015–2016 годов следует ожидать заметной активизации отечественных разработчиков и выхода на рынок новых решений. Мы будем следить за данным процессом.