In English

Миллионы, которые хранят миллиарды

10.04.2002, Чачава Александр
Издание: iBusiness.ru
Этот выпуск “Инфобизнеса” мы посвящаем исследованию рынка информационной безопасности (ИБ). “Исследование” — конечно, громко сказано, рынок только зарождается. Впрочем, его объемы уже вполне ощутимы, более того, пропорции по отношению к “большому рынку” ИТ вполне соответствуют мировой практике. Крупные и средние предприятия начинают понимать, что надо платить не только за плечистых охранников, но и за программы, и за оборудование, которое защитит корпоративную сеть, а также за услуги интегратора, который из продуктов-кирпичиков выстроит надежную защиту. 

Правда, не стоит считать, что можно однажды пригласить специалиста и застраховать себя навсегда от всех бед. Это все равно что купить дорогую дверь в квартиру, но не закрывать ее ежедневно на замок и не следить за исправностью механизма. В штате каждой серьезной компании должны быть собственные специалисты по информационной безопасности, и в России есть учебные центры, где можно пройти соответствующую подготовку. Обзор Александра Чачавы, который на основе экспертеных данных составил примерную картину состояния и перспектив российского рынка, дополняют еще две статьи. Первая из них более детально исследует рынок антивирусных средств — наиболее динамично развивающийся и понятный потребителям сектор ИБ. Вторая статья раскрывает содержание такого нового для нашего рынка вида деятельности, как аудит информационной безопасности. — С. Б.

Для услуг информационной безопасности на мировом рынке услуг обеспечения защиты составляет около 6%. В России соответствующий показатель не превышает 4%. В то же время отечественный рынок информационной безопасности тесно связан с быстрорастущим рынком системной интеграции, что свидетельствует о его перспективности.

Рост интереса к технологиям ИБ наблюдается во всем мире. По мнению аналитической компании ЮС, рынок межсетевых экранов, средств криптографической защиты, идентификации, авторизации, управления безопасностью, антивирусных средств имеет тенденцию к ежегодному росту 20-23%. Правда, аналитики Vista Research прогнозируют в этом году “всего” 11-процентный рост, но на фоне стагнации в отрасли ИТ это достаточно высокий показатель. Все аналитики сходятся в том, что насыщение рынка и снижение темпов роста ожидается не раньше 2005 года. В целом объем мирового рынка средств обеспечения безопасности информации на начало 2002 года оценивается на уровне $5,1 млрд. Прогнозируется, что к 2005 году этот показатель достигнет $14 млрд. Причины благополучного развития этой отрасли настолько очевидны, что заслуживают лишь упоминания: сотни тысяч хакеров и миллионы вирусов, теракты, жесткая конкуренция с использованием средств и методов промышленного шпионажа и многое другое.


Отечественный рынок информационной безопасности

Российский рынок ИБ (кстати, как и рынок компьютеров) сегодня составляет примерно один процент мирового рынка. Эксперты компании “Элвис+” оценивают его объем в 2002 году в 40-80 млн. долларов, на 2003 год прогнозируют 47,6-95,2 млн., на 2005 -140—220 млн. долларов. В компании “Инфосистемы Джет” рынок ИБ в 2002 году оценивают более чем в 50 млн. долларов. Коммерческий директор НИП “Информзащита” Виктор Попов так характеризует рынок: “По нашей оценке объем рынка в 2001 году составлял 40~50 млн. долларов. Оборот нашей компании по окончании года составил 5 млн. долларов. Однако финансовые показатели других участников рынка ИБ не публикуются, что не дает возможности получить точные цифры”. Как считает Виктор, закрытость сведений об объемах продаж приводит к тому, что разные эксперты приводят оценки, отличающиеся на порядок. По собственным прогнозам “Информзащиты”, ее оборот в этом году должен составить более 10 миллионов долларов. Соответственно, и третья оценка не противоречит первой и второй: можно говорить об общем объеме рынка где-то в 70-80 миллионов долларов.

Попробуем подсчитать примерный годовой рост рынка ИБ. Вадим Деянышев, заместитель директора по развитию бизнеса департамента сетевых технологий компании “АйТи”, оценивает рост рынка в 20-30% на ближайшие несколько лет. Эксперты “Элвис+” дают более интересный прогноз: 19% роста в 2003 году по отношению к 2002 и по 70% роста в 2004 и 2005 годах. Западные аналитики относительно 2003 года сходятся к тем же оценкам: IDC прогнозирует 20~23% роста, а KPMG-19%.

Структуру продаж разные эксперты оценивают по-разному. Так, с точки зрения НИП “Информзащита” 27% рынка занимают антивирусные системы. Вместе с тем Лаборатория Касперского ожидает по результатам 2002 года оборот в 16 млн. долларов, причем около 40% продаж приходится на Россию. Если учесть имеющиеся оценки продаж других производителей ПО, то сегмент антивирусных систем достигает 20-25 млн. долларов. Таким образом, объем всего рынка в этом случае составляет почти 100 млн. долларов.

Такие сегменты рынка, как межсетевые экраны и средства защиты настольных ПК, “Информзащита” оценивает в 14% каждый. Доля средств VPN (организации виртуальных сетей) и PKI (архитектуры открытых ключей) полагается равной 13%, что примерно совпадает с оценкой Романа Кобцева, руководителя группы по связям с общественностью “Элвис+”. “Потенциальный объем сегмента VPN и PKI оценивался в 2001 году в 2,8 млн. долларов. Ожидается, что к концу 2002 года он составит 3,2-6,4 млн. долларов. Прогнозируемый потенциальный объем в 2003 году оценивается в 4,3-8,5 млн., а к 2005 году он может достигнуть 15,4 млн. долларов”, — сообщил Роман Кобцев. При этом следует отметить, что сегмент систем VPN и PKI растет как на российском, так и на западном рынках опережающими темпами. Сегменты IDS (средств обнаружения вторжений) и сканеров, а также консалтинга в области ИБ оцениваются по 8% каждый. Примечательно, что оценки “Информзащиты” примерно совпадают с мировым распределением рынка ИБ по сегментам.

Связь с системной интеграцией

Рынок ИБ имеет много общего с рынком системной интеграции, даже если не брать в расчет, что первый, по сути, находится в составе второго. На нем предлагаются продукты и услуги по обеспечению безопасности хранения, передачи и обработки информации, причем для этого используются как программные и аппаратные средства, так и собственно сервисы. По оценке Ильи Трифаленкова, начальника отдела средств и методов защиты информации “Инфосистемы Джет”, услуги занимают около 25% рынка, 75% остается на долю программных и аппаратных систем. При этом Илья Трифаленков отмечает, что последние год-два наблюдается быстрый устойчивый рост именно доли услуг. На рынке системной интеграции соотношение услуг к продуктам выражается как 30 к 70, и доля услуг также растет, а оптимальным соотношением продуктов и услуг считается паритет двух составляющих системной интеграции.

Таким образом, безопасность информационных технологий и сами технологии неразрывно связаны между собой. Зачастую заказчик хочет получить комплексное решение, включающее в себя элементы информационной безопасности. И здесь он оказывается перед выбором — заказать это решение у системного интегратора, либо у специализированной компании, либо все-таки разделить эти работы и раздать разным подрядчикам. На практике встречаются оба варианта, при этом “специализированные” интеграторы утверждают, что обеспечивать безопасность информации должны именно они.

Специализированные в кавычках - потому что с таким же успехом “специализированным” можно называть любого интегратора. Например, в бизнесе компании “Инфосистемы Джет” только 15% приходится на работы по обеспечению информационной безопасности, другие “специализированные” интеграторы также не отказываются от комплексных проектов. Для сравнения, у “АйТи” доля таких работ составляет 5~6%, правда вместе с соответствующим обучением. Единственное отличие “специализированных” и “широкопрофильных” интеграторов, несмотря на всю условность такого деления, заключается в объемах работ по проектированию подсистем защиты информации или систем в защищенном исполнении. Иными словами, когда требуется решить масштабную и нетривиальную задачу для заказчика, для которого уровень ИБ критичен, в 75% случаев, по оценке Виктора Попова, обращаются в “специализированные” компании. Яркий пример — конкурс на комплексное обеспечение безопасности информации Казначейства Москвы, в котором принимали участие только “специализированные” интеграторы, хотя квалификационный отбор вполне могли пройти и некоторые “широкопрофильные”. Но, видимо, знали, что тягаться со “специализированными” на их поле трудновато.

Правда, Вадим Деянышев опровергает утверждение о предпочтительности специализированного интегратора: “Позиция системного интегратора широкого профиля, предлагающего комплексное решение по построению такой системы (включая и ИБ) и несущего за нее полную ответственность, выглядит для клиента предпочтительнее выбора нескольких узкоспециализированных фирм-интеграторов, каждая из которых работает только со своим определенным продуктовым рядом. Как говорится, "к пуговицам претензий нет"...” Но это скорее констатация общих тенденций смещения интересов клиента от разрозненных продуктов и решений к комплексному подходу, в том числе и при создании системы И Б.

Вариант совместного участия двух интеграторов в проекте маловероятен. По словам Ильи Трифаленкова, “опытные интеграторы специально обращаются к услугам специализированной фирмы, если не хотят брать на себя груз ответственности за безопасность”. А вот Виктор Попов видит ситуацию несколько иначе: “Симбиоз интегратора и специализированной компании встречается крайне редко, чаще всего на бумаге в виде протокола о намерениях. Интегратор всегда будет стараться минимизировать свои издержки на субподрядные отношения, может быть даже в ущерб качеству. Исключение составляют проверенные временем консорциумы и альянсы, созданные для осуществления конкретных программ на основе четкого разделения сфер ответственности, когда конечный результат важнее копеечной экономии”.

Так или иначе, рынок сегодня формируют не только финансовые или государственные организации, но и слой крупных компаний, внедряющих гигантские информационные системы, но не совсем понимающие, зачем им нужна информационная безопасность. По словам Ильи Трифаленкова, “стоимость ИБ обычно составляет 8-15% от стоимости информационной системы”. Виктор Попов апеллирует к таким оценкам: “Неоднократно в различных публикациях назывался показатель в 10-15% от общих затрат на ЙТ, приходящихся на создание подсистемы защиты. Если эти заявления не имеют декларативного характера, то объем рынка, на котором мы работаем, должен превышать 200 млн. долларов,

что не подтверждается практикой даже с учетом всех допустимых погрешностей. В реальной жизни эти владельцы информационных систем тратят на И Б не более 5%. За исключением критичных систем государственного назначения, когда эта доля может достигать и 50%”. Вадим Деянышев настроен еще более скептически: “По данным независимых аналитиков средний объем инвестиций в ИБ на Западе составляет 7-8% от ИТ-бюджетов организаций. В соответствии с нашими оценками, 5% ИТ-бюджета на ИБ тратят немногие российские компании, для остальных эта цифра гораздо ниже. Исключение составляют лишь учреждения финансового сектора и ряд государственных организаций, где бюджеты на ИБ могут достигать 20% ИТ-бюджета”.


• Виктор Попов (• Информзащита ): Осознание необходимости принятия мер по ИБ приходит при разрастании сетей и невозможности обеспечения безопасности стандартными средствами.

• Российские компании по-прежнему уделяют непропорционально большое внимание обеспечению физической безопасности и мало тратят на безопасность информационную. При этом потери от действий хакеров могут быть неизмеримо большими.

В теории обеспечивать информационную безопасность необходимо одновременно с разработкой и внедрением информационной системы. На практике это правило соблюдается не всегда. Виктор Попов делится опытом: “Нам практически всегда приходится приступать к созданию подсистемы защиты в уже давно существующей сети. Как правило, заказчик осознает необходимость этих работ и их конкретное содержание через несколько лет после развертывания сетевой инфраструктуры”. Но зато все большее количество выполненных проектов позволяет зарабатывать на сопровождении уже внедренных систем ИБ. Так, “Инфосистемы Джет” зарабатывают на сопровождении около 20% от общего объема работ. Виктор Попов не считает сопровождение значительным бизнесом: “Сопровождение систем ИБ в общей структуре затрат на эксплуатацию ИС занимает весьма скромное место. В основном эти затраты определяются стоимостью обновлений средств защиты (10-20% в год от стоимости средств), стоимостью обучения и повышения квалификации администраторов безопасности, а также расценками на услуги внешних консультантов по настройке средств и аудиту. Размер этих затрат составляет 1~2% от всех затрат на эксплуатацию ИС”.

Вообще говоря, занижение затрат на ИБ — проблема не только российская. В феврале этого года советник президента США по компьютерной безопасности Ричард Кларк, выступая на RSA Conference, констатировал настораживающий факт. Всего 0,0025% (!) от своих доходов тратит средняя американская компания на обеспечение информационной безопасности. Это ниже даже, чем затраты на закупку кофе для сотрудников.

Кто заказывал ИБ?

По мнению Вадима Деянышева, самыми серьезными и “объемными” потребителями услуг в сфере информационной безопасности являются финансовые структуры, предприятия ТЭК и металлургической отрасли. Естественно, что финансовые учреждения стали первыми клиентами поставщиков услуг ИБ. Топливно-энергетические и металлургические компании заинтересовались проблемой год-два назад, столкнувшись с первыми серьезными вторжениями в свои корпоративные ИС, где уже были размещены критически важные данные.

Еще один эшелон массовых потребителей услуг И Б являют собой госструктуры, для которых необходимость обязательного использования средств защиты информации определяется регламентами и нормативами их работы. На уровне ТЭК и металлургии двухлетней давности сейчас стоят транспортные, торговые, машиностроительные предприятия — в настоящее время они внедряют более серьезные системы автоматизации управления и, следовательно, начинают все более пристально рассматривать необходимость широкого использования средств ИБ. Но “рассмотрение” не всегда ведет к соответствующему перераспределению ИТ-бюджета.

Виктор Попов предлагает говорить не о перспективных отраслях, а о размерах защищаемых сетей. Действительно, осознание необходимости принятия мер по ИБ приходит при разрастании сетей и невозможности обеспечения безопасности стандартными средствами с участием администратора. “Как правило, такое осознание приходит при расширении сети до 800-1000 рабочих мест. Понятно, что этот показатель весьма условен и не является единственным фактором. Дополнительными факторами могут быть государственные требования к защите объекта, и тогда размер сети не имеет значения”, — утверждает Виктор Попов. Обе оценки верны, потому что крупные корпорации, обладающие критичной для своего бизнеса информацией, появляются, как правило, в вышеупомянутых отраслях.

Проблемы рынка

Как это обычно бывает не только в России, но и в мире, одним из основных сдерживающих факторов внедрения средств и систем ИБ является позиция ИТ-менеджеров предприятий. Например, в исследованиях Vista Research отмечается, что, по мнению менеджеров многих компаний, хотя они и не признаются в этом прилюдно, “безопасность не позволяет в ежедневном режиме экономить деньги или повышать выручку”. Роман Кобцев отмечает еще один сдерживающий человеческий фактор: “Некоторая пассивность потенциальных потребителей рынка средств обеспечения безопасности информации объясняется тем, что понимание необходимости выделения средств на защиту информации приходит только после осознания ее как основной ценности бизнеса”. “Системы безопасности всегда внедряются с большим трудом, — сетует Виктор Попов, — поскольку экономический эффект от них до конца понимают только те, кто знает о существовании рисков, а свобода действий ограничивается для всех. Наверное, никто не получает удовольствия от процедур досмотра в аэропортах, но после известных событий все осознают масштаб угроз на воздушном транспорте”.

Самая большая проблема при внедрении мер информационной безопасности — желание руководителей ИТ-подразделений ограничиться применением каких-то конкретных средств, как можно меньше затрагивающих существующий регламент эксплуатации ИС. Однако обеспечение безопасности — это комплексная задача, при решении которой не бывает второстепенных проблем. Решили задачу по закрытию каналов, но забыли о контроле за пользователями в сети — ждите инцидентов со стороны своих сотрудников. Установили межсетевой экран, но неправильно настроили — рано или поздно он не устоит перед атакой. Особая статья — организационные меры защиты. Производители средств безопасности постоянно напоминают, что технические меры являются вторичными по отношению к организационным. Высокая дисциплина пользователей лучше обеспечивает безопасность, чем самые дорогие и совершенные системы защиты, применяемые в отсутствие организационной поддержки.

Типовой проект

“Типовых” проектов по созданию системы ИБ настолько много, что вывести несколько возможных вариантов и ограничить ими спектр применений множества технологий ИБ невозможно. Но если обобщенно говорить о наиболее часто встречающихся задачах по обеспечению безопасности ИС предприятия, то условно можно выделить четыре вида работ:

1. Создание внутри распределенной сети информационно-независимых виртуальных защищенных контуров, включающих как отдельные компьютеры, так и сегменты сетей, для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач.

2. Защита как локальных сетей в целом, так и отдельных компьютеров от несанкционированного доступа и атак из внешних и внутренних сетей.

3. Организация безопасного для локальной сети подключения отдельных рабочих станций вычислительной сети компании к открытым ресурсам Интернета.

4. Организация безопасного для локальной сети подключения внешних пользователей для защищенного обмена информацией в электронном виде с подразделениями компании.

Несмотря на расплывчатость формулировок и условность такого деления, некоторые компании все же выделяют для себя типовые проекты. Например, НИП “Информзащита” чаще всего выполняет работы по созданию систем мониторинга электронной почты и контроля доступа к web-серверам. Такая система контролирует все входящие и исходящие почтовые сообщения и данные Web, обнаруживая в них конфиденциальную информацию, вирусы. Задачами системы мониторинга являются защита от утечки секретной информации, борьба с рассылкой рекламных сообщений нецелевого характера, борьба с непроизводительным использованием сервисов Интернета, пресечение распространения клеветнических сообщений, контроль кадровых служб за лояльностью персонала.

Для формирования политики безопасности системы мониторинга используются методики, исчерпывающим образом описывающие шаги по формированию правил контроля и реакции на нарушения. В НИП “Информзащита” разрабатываются различные организационно-распорядительные документы, которые учитывают особенности российского законодательства и регламентируют весь процесс контроля, начиная от классификации информации до определения политики использования электронной почты и доступа к web-ресурсам. Еще один вид типовой работы “Информзащиты” — это создание системы мониторинга атак, позволяющее выявлять внутренние и внешние атаки на критические информационные ресурсы, а также регламенты действий администраторов безопасности в случае обнаружения атак. Стоимость таких типовых работ колеблется от 20 000 до 70 000 долларов. При условии готовности объекта работы выполняются в течение 3-4 месяцев,

Как ни странно, еще одним сдерживающим фактором можно признать невысокий уровень конкуренции на российском рынке ИБ. Конечно, это утверждение достаточно спорное, но не будем забывать о значительных ограничениях, которые накладывают факторы государственного регулирования на деятельность зарубежных компаний в этой области (они существуют практически во всех цивилизованных странах). Зарубежные производители ограничены в доступе на рынок в таких, например, сферах, как средства криптографической защиты информации (СКЗИ), которые контролируются ФАПСИ. Но это же создает почву для эффективного продвижения сертифицированных российских разработок на основе ГОСТов. Что касается рынка межсетевых экранов, то здесь открыт доступ потенциально любому зарубежному производителю, который пройдет стандартную процедуру сертификации своего продукта в Гостехкомиссии РФ. Однако процедуры лицензирования и сертификации не так уж просты. Илья Трифаленков в качестве основных проблем называет неполноту нормативной базы, отсутствие реальной информации по сертификационным испытаниям продуктов и условиям их применения. Фактически контроль в этой области поделен в результате номенклатурной борьбы ФАПСИ и Гостехкомиссии РФ, но, например, до сих пор не ясно, кто же занимается сертификацией средств электронной подписи.

С другой стороны, с течением времени количество необходимых лицензий и видов продукции, подлежащих сертификации, постоянно увеличивается, нормативная база растет. Получается, что вид деятельности один — защита информации, а число лицензий, которые надо получить игрокам рынка, достигает десяти. Средства защиты также проходят несколько сертификационных испытаний по разным требованиям. Таким образом, поддерживать в актуальном состоянии продуктовую линейку, в которой сертифицированы все продукты по всем имеющимся требованиям, становится слишком дорого. В этой ситуации некоторые поставщики перекладывают свои затраты на потребителя. Например, сертифицированный образец межсетевого экрана стоит дороже обычного. При этом их функциональность никак не различается. “Возможно, следует ввести серьезные различия для средств, сертифицированных отдельно для защиты государственной тайны и отдельно для защиты конфиденциальной информации”, — предлагает Виктор Попов.


• Илья Трифаленков (“Инфосистемы Джет”): Стоимость информационной безопасности составляет 8-15% от стоимости информационной системы. 25% рынка приходится на услуги, остальное — на программные и аппаратные системы.

Роль государства

В настоящее время средства, выделяемые на обеспечение безопасности информации, слишком малы для закупок “тяжеловесных” систем, однако российские компании постепенно начинают поддерживать финансирование вопросов безопасности информации на стабильном уровне. И этому немало способствует многолетняя работа федеральных органов, а именно Гостехкомиссии РФ и ФАПСИ. Они в достаточной мере способствуют разъяснению подходов к организации защиты и прав собственника информации. С развитием информационных систем и появлением возможности выхода в глобальные информационные сети ужесточились и требования по обеспечению безопасности конфиденциальной информации.

Илья Трифаленков говорит о роли госорганов: “Гостехкомиссия и ФАПСИ не должны стимулировать рынок, это не Торгово-промышленная палата. Они должны обеспечивать корректные и равные правила игры на этом рынке. И с этой точки зрения ситуация в последние год-два заметно улучшается”. Кроме того, сокращается дефицит сертифицированных средств. Это связано, с одной стороны, с улучшением качества отечественных разработок, их ориентацией на нормы международного рынка ИБ, с другой стороны, несколько возросшим в последнее время интересом к нашему рынку со стороны западных компаний. Да и улучшение отлаженности механизмов сертификации продуктов и аттестации систем по требованиям ИБ играет позитивную роль.

Перспективы

Собственно, с перспектив рынка мы и начали статью. Согласно большинству расчетов, сочетание различных позитивных и негативных факторов позволит расти рынку в диапазоне 20-25% в год. И вместе с тем некоторые компании надеются на гораздо более значительный рост рынка в 2003-2004 годах. Чего они ждут? Именно через год-полтора ожидается решение всех проблем с так называемыми “удостоверяющими центрами” и созданием предпосылок для реализации принятого в начале этого года закона “Об электронной цифровой подписи”. Теоретически это будет совсем иное качественное состояние рынка услуг, поскольку помимо общих задач по безопасности придется обеспечивать юридическую значимость электронных документов на основе новых технологий и создания удостоверяющих центров.

Такие виды услуг окажутся под силу только подготовленным компаниям, уже сегодня развивающим новые направления, осваивающим перспективные технологии и прорабатывающим вопросы законодательства. Виктор Попов так отзывается о перспективах рынка: “Сложно спрогнозировать темпы роста, но если иметь в виду, что большинство бумажных документов в скором будущем будут заменены на электронные, можно представить предстоящий объем работ. По сути, каждый гражданин Российской Федерации будет являться пользователем нескольких защищаемых систем со своими атрибутами прав доступа”.

Кроме того, несмотря ни на что, продолжают развиваться системы электронных платежей, хотя понятие “электронная коммерция” себя несколько дискредитировало в России, не оправдав многих надежд. Тем не менее, это направление развивается в виде систем интернет-банкинга и различных систем электронных расчетов.

Наконец, возможным “неожиданным” фактором роста рынка ИБ наверняка будет замена устаревшей нормативной базы, существующей больше десяти лет, если она, наконец, состоится. Насколько известно, такая работа ведется, и в ближайшее время игроки рынка надеются увидеть ее результаты.

Центральный федеральный округ