Intelligent Enterprise: С какого времени IDC исследует российский рынок ИБ?
Денис Масленников: Свой первый отчет по российскому ИБ-рынку компания опубликовала в 2003 году. Он был посвящен ситуации на рынке защитного ПО, которая сложилась годом ранее, в 2002-м, и с прогнозом до 2007-го.
С того времени многое изменилось. Мы изучаем ситуацию не только на рынке ПО, но и в секторе оборудования. Периодичность наших исследований по России, как и по миру в целом, составляет полгода для ПО и квартал — для программно-аппаратных комплексов.
Каков объем рынка ИБ в России?
2014-й и 2015 годы были очень сложными для рынка ИБ, как, впрочем, и для всего ИТ-рынка. Имело место заметное снижение. Причины очевидны: острая фаза кризиса, резкое ухудшение конъюнктуры во многих сегментах, падение национальной валюты, санкции и контрсанкции.
Но в то же время темпы падения в сфере ИБ были не такими существенными, как на рынке ИТ в целом. А в некоторых сегментах даже отмечался рост, весьма и весьма уверенный. При этом речь идет о темпах роста в валютном исчислении. IDC, напомню, ведет статистику в разных выражениях, в том числе и в денежном, причем единицей измерения являются доллары США.
В целом, согласно исследованиям IDC Worldwide Semiannual Software Tracker и IDC Worldwide Quarterly Security Appliance Tracker (это соответствено исследования, проводимые два и четыре раза в год и посвященные программным системам безопасности и апплайенсам. — Прим. ред.) по итогам 2015 года объем рынка защитного ПО составил без малого 240 млн долл., а продажи программно-аппаратных комплексов — 126 млн. Соответственно в целом продажи на российском рынке ИБ составили около 365 млн долл.
Надо сказать, что продажи ПО упали сильнее — почти на треть по сравнению с 2014 годом. Рынок оборудования уменьшился на 21,4%.
Данные за текущий год, однако, начинают вселять некий оптимизм. Рынок, по крайней мере в секторе аппаратных средств, вновь начал расти. Причем темпы роста в ряде сегментов достигают 30%. Так что этот сектор рынка восстанавливается быстрее. А в будущем году тенденции к восстановлению усилятся еще больше. Хотя о возвращении к уровням 2012–2013 годов говорить пока не приходится. Тут должно пройти еще некоторое время.
Происходит это по нескольким причинам. Прежде всего сами аппаратные решения продолжают развиваться и совершенствоваться. С другой стороны, их проще заменять, если в этом возникает необходимость, поскольку такой шаг практически не влияет на работу всей остальной ИТ-инфраструктуры. А вот переход с одного программного решения на другое чреват довольно большими сложностями. Он может потребовать расширения ИТ-инфраструктуры для обработки новых данных, что ведет к дополнительным затратам. В итоге уговорить крупную компанию заменить ту или иную систему на конкурирующую крайне сложно.
Но при этом на рынке уже не так активны некоторые вендоры, которые прежде хоть занимали и небольшую долю, но были заметны в своих сегментах.
Как меняется российский рынок ИБ?
Начинают приходить большие бренды с существенными финансовыми возможностями, которые вкладывают серьезные инвестиции, например, Huawei. Раньше его решения по безопасности не были представлены на нашем рынке, но теперь становятся заметными.
Кроме того, сейчас наблюдается активное вытеснение специализированных устройств многофункциональными, или UTM, от Unified Threat Management, дословно — универсальное средство предотвращения угроз. Синонимами являются «универсальный шлюз безопасности» или «межсетевой экран нового поколения». Эти решения объединяют в одной коробке целый комплекс средств безопасности, включая межсетевой экран, шлюз виртуальной частной сети (VPN), инструменты детектирования и предотвращения атак, средства защиты сетевого трафика от вредоносного ПО (часто с использованием нескольких антивирусных движков). Перечень этот далеко не полон. При этом данный комплекс оснащен единым центром управления и все его модули обеспечиваются технической поддержкой от вендора «из одного окна».
Разработки UTM являются одним из главных драйверов роста для всего рынка. Они очень интенсивно вытесняют с рынка традиционные решения. И если межсетевые экраны прежнего поколения еще находят себе место, то, например, шлюзы VPN заменяются очень активно.
На рынке ПО явных аутсайдеров обозначить я не могу. Ярко выраженного проседания в каких-то сегментах назвать нельзя. Многофункциональные «комбайны» появляются и среди программных комплексов, но погоды они пока не делают. Тем более, что существует устоявшаяся практика создания систем защиты с использованием программных решений от разных вендоров, отказываться от которой нет большого смысла.
Как повлияла на рынок политика импортозамещения? Есть ли тут явные бенефициары и аутсайдеры?
В большей степени на рынке отразилось падение рубля при снижении доходов у потенциальных заказчиков. Политика государства тоже сказывается, но не в такой мере. Во всяком случае она касается лишь части рынка, хотя и довольно существенной. Кроме того, в России немало производителей высококачественных решений в области защиты информации, особенно если речь идет о ПО. У него уже сложилась значительная инсталляционная база. Особенно в госсекторе и ОПК, на которые политика импортозамещения и ориентирована. Но в целом российское ПО обеспечения безопасности вследствие падения рубля получило определенное ценовое преимущество, и в итоге его доля увеличилась. Лишь очень небольшое число зарубежных компаний предприняли какие-то шаги, например, зафиксировав рублевые цены, чтобы удержать свою долю на российском рынке. Одним из немногих таких исключений стала компания ESET.
Да и вообще иностранные компании находят способы закрепиться в России. Скажем, словацкая ESET, один из лидеров в сегменте средств защиты конечных точек, наряду с «Лабораторией Касперского» и Positive Technologies заключила технологический альянс с фирмой «Код безопасности». Движок от ESET используется в решении для защиты серверов и рабочих станций Secret Net Studio и в системе обнаружения вторжений «Континент» 4.0. Если говорить о производителях аппаратных решений, то выходом может стать локализация сборки оборудования. Примеры тому тоже есть в других сегментах ИТ-оборудования. Что касается средств ИБ, то несколько компаний также представили соответствующие планы, но практических результатов их воплощения пока не заметно.
В качестве «пострадавших» часто называют Symantec, McAfee и Trend Micro. Но их проблемы, скажем так, сильно преувеличены. Да, их обороты упали, но на величину, в целом соизмеримую с общим уменьшением объемов российского рынка ИБ. У Symantec и McAfee действительно сильно упала доля на рынке DLP, но этот сегмент занимал в их продажах довольно скромную величину.
А вот на рынке аппаратных средств ситуация более интересная. Тут происходит серьезный передел. Лидерами здесь являются CheckPoint и «Код безопасности». Оба чувствуют себя неплохо и демонстрируют устойчивый рост, причем, повторюсь, в долларовом исчислении. И тот и другой производители сертифицировали (или находятся в процессе сертификации) свою продукцию у основных регуляторов, что открывает им дорогу на рынок госзакупок. В этом секторе представлена также продукция McAfee и Palo Alto Networks. Каких-то новых игроков пока не видно. Возможно, они станут заметны позже. Ведь для выхода на рынок надо долго работать или предложить какие-то востребованные функции, которых нет у конкурентов.
Аутсайдером же является Cisco. Причины проблем этой компании все знают, и связаны они с известной историей о предполагаемых сливах информации американским спецслужбам. Кроме того, есть предположение, что сотрудничество с АНБ вынуждало Cisco не закрывать многие уязвимости в течение многих лет. Когда же информация об этом нашла очередное подтверждение, а сами эксплойты были выставлены укравшей их хакерской группировкой на продажу, результат был, как говорят в определенных кругах, довольно предсказуем. Впрочем, в этом скандале оказались замешаны и другие компании, в частности Juniper, и для них результат оказался аналогичным. Но в целом на рынке UTM, по большому счету, пока правят бал зарубежные поставщики.
Появляются ли на ИБ-рынке принципиально новые направления?
Да. И они становятся на нём драйверами. Причем многие из этих направлений имеют природу, отличную от привычных ПО или программно-аппаратных решений. Это сервисы, ориентированные на предупреждение сложных угроз. В чем-то они близки к системам предотвращения целевых атак, но все же имеют серьезные отличия от них. В России такие сервисы пока не очень востребованы, что во многом связано со слабой информированностью ИТ- и ИБ-специалистов. Хотя в будущем году, как мне кажется, преимущества данных решений осознают и у нас. Становятся востребованными и услуги внешних аналитиков.
В последнее время много говорят о защите технологических систем и критически важных объектов. Сюда же я добавил бы и всё, что связано с предотвращением угроз в отношении инфраструктуры Интернета вещей. Это очень сложная задача, поскольку на каждом предприятии, где эксплуатируются такие решения, сложилась уникальная модель взаимосвязей низкоуровневых систем автоматизации с другими корпоративными ИТ-решениями. И во всем этом надо будет долго разбираться. Мне кажется, задачу защиты таких предприятий невозможно решить с помощью одних только тиражных решений. Хотя данное направление, безусловно, займет существенную долю.
Сохраняет актуальность и такая задача, как защита от DDoS-атак. Это направление появилось в ИБ не так давно и оказалось одним из тех, где обороты постоянно росли, несмотря на кризис. Так, по данным исследования Russia Anti-DDoS Services Market 2016–2020 Forecast and 2015 Analysis (Прогноз развития инструментов противодействия DDoS-атакам в России на период 2016–2020 гг. — Прим. ред.) рост в 2015 году по сравнению с 2014-м составил 25,4%. И есть все основания для того, чтобы данный сегмент рос и в дальнейшем. Как показывают наши прогнозы, к 2020 году объем этого рынка практически удвоится по сравнению с результатами 2015‑го и достигнет 32 млн долл. Надо сказать, что это не такая простая услуга, как кажется. Современные DDoS-атаки, для организации которых используются бот-сети, состоящие из сотен тысяч узлов, причем с применением уязвимостей нулевого дня, позволяющих усилить мощь на несколько порядков, являются очень серьезной угрозой.
Но при этом на рынке существует предубеждение к некоторым из этих сервисов, имеющим облачную природу. Особенно в России, где значительную массу руководителей в области ИБ составляют выходцы из спецслужб или вооруженных сил. Так называемся профессиональная паранойя в этой среде — весьма распространенное явление. Сама мысль передавать какие-то данные непонятно куда вызывает у них протест. Впрочем, это не мешает вендорам использовать облака для каких-то своих нужд, например, для анализа атак, вредоносного кода, иных угроз. Но в целом использование облачных защитных сервисов на глобальном уровне распространено пока не очень сильно.
Какие новые тенденции будут влиять на ситуацию с безопасностью?
Появляются новые мощности и новые подходы, например, связанные с аналитикой последнего поколения на основе разбора больших данных, с помощью которых можно добиться того, о чем раньше только мечтали. Системы последнего поколения через некоторое время позволяют специалисту по безопасности видеть любые отклонения от типичной картины поведения пользователей или систем. Как правило, за такими отклонениями стоят разного рода инциденты в области безопасности, будь то действия внешних злоумышленников, проявление вредоносного ПО или нарушение политик и регламентов со стороны пользователей.
Что касается мобильных устройств и быстрого мобильного Интернета, то их широкое распространение я расцениваю скорее как благо. Тут моя позиция отличается от точки зрения многих коллег, которые видят в этом угрозу. Ведь именно личные смартфоны и планшеты используются для общения и игр, причем без подключения к корпоративной сети. Да, это явное нарушение трудовой дисциплины, если происходит в рабочее время, но на ситуацию с ИБ оно влияет положительно.
А раньше приходилось бороться с тем, что в соцсети или в онлайновые игры пользователи заходили с рабочих ПК. Причем речь могла идти даже об АРМ диспетчерских комплексов, управляющих технологическим оборудованием электросетевой компании, металлургического или химического завода, которые вообще не должны подключаться к публичному Интернету. Года три-четыре назад такая проблема стояла весьма остро.
С Денисом Масленниковым беседовал научный редактор Intelligent Enterprise Яков Шпунт