Security Lab

О разработчиках средств защиты и их судьбах

О разработчиках средств защиты и их судьбах

В марте у нас на сайте была опубликована статья Алексея Лукацкого "Западный или российский производитель ИБ: кого выбрать?" , как всегда вызвавшая острую дискуссию. Тогда автор призвал российских разработчиков написать ответную статью, отстаивающую другую точку зрения. И вот настал момент истины. Бывший работодатель Лукацкого, В.Гайкович, написал свой "ответ Чемберлену".

В марте у нас на сайте была опубликована статья Алексея Лукацкого "Западный или российский производитель ИБ: кого выбрать?" , как всегда вызвавшая острую дискуссию. Тогда автор призвал российских разработчиков написать ответную статью, отстаивающую другую точку зрения. И вот настал момент истины. Бывший работодатель Лукацкого, В.Гайкович, написал свой "ответ Чемберлену".

Вспомним тезисы упомянутой статьи. Основной посыл в том, что при выборе системы информационной безопасности надо обращать внимание не столько на технологии, сколько на имидж и состояние компании в целом, поскольку исчезновение с рынка того или иного вендора ударит прежде всего по его постоянным клиентам. Особенно в такой чувствительной области, как ИБ.

Российские же вендоры в большинстве своем, по мнению автора, может быть, и могут конкурировать на технологическом поле, но на коммерческом поле никак не сравнимы с крупнейшими игроками рынка. Причину этого автор видит в сирости и убогости российских вендоров по полному спектру коммерческой деятельности – от корпоративного управления до управления разработкой.

Мои выводы, основанные на многолетнем опыте работы на российском рынке ИБ, несколько иные.

От реалий никуда не деться

Страна-то нетипичная, страна – неординарная,
У нас любое действие всегда нулю равно.
Системы – бессистемные,
стандарты – нестандартные,
Пространство неэвклидово, черт знает чье оно.

Тимур Шаов


Автор подходит к российскому и мировому рынку ИБ с одной меркой, хотя похожесть их «чисто» внешняя.

Российский рынок ИБ, равно как и китайский, весьма своеобразен. Причем своеобразие это настолько велико, что делает оба этих рынка почти невосприимчивыми к внешним воздействиям и заставляет жить по своим внутренним законам. Не обсуждая нравственную или политическую сторону этого вопроса, я просто констатирую факт.

В чем же специфика? Прежде всего – в наличии строгого государственного регулирования. Если еще год назад витали легкие сомнения в наличии долгосрочной политики государства, то теперь таковых практически не осталось. Государство продолжает усиливать свое давление на бизнес и ужесточать регулирование во всех чувствительных для него областях, одной из которых, безусловно, является безопасность. Доказательством этому – принятие новых законов в области ИБ, а также возросшая активность регуляторов рынка по контролю исполнения существующего законодательства.

Можно долго «пинать» российские решения в области ИБ, но у них есть одно несомненное достоинство – они сделаны с учетом специфики рынка.

Вторая особенность рынка ИБ – его малый размер и корпоративный характер. Существуют разные оценки объема рынка, но более или менее адекватна, на мой взгляд, сумма в $300–350 млн. Это очень мало: таков объем рынков ИБ Бельгии или Нидерландов, не самых крупных стран Евросоюза.

Каждый новый обзор рынка ИБ России не устает подчеркивать, что крупнейшим потребителем услуг и средств ИБ являются госсектор и крупные корпорации, а сегмент SMB и частных лиц только начинает формироваться и для него еще нет адекватного предложения. А госсектор и крупные корпорации чувствительны к госрегулированию, и поэтому несоблюдение вендорами правил игры на рынке чревато не просто падением продаж, а их полным отсутствием.

Корпоративный характер рынка также сказывается на составе его участников. Давно прошли времена, когда на рынке имелись крупные заказчики, еще не охваченные вниманием компаний, специализирующихся в области ИБ. И отсутствие единых стандартов у разработчиков – способ, с помощью которого они «защищают» своего заказчика от прихода конкурентов.

Потому-то и состав участников рынка практически неизменен, а вдруг возникшие новые игроки занимают малую нишу. Громадного роста доли рынка у кого-либо из игроков, появления новых лидеров нет и в помине. Равно как нет и «чистки рядов». Да, у действующих игроков случаются неприятности, но они не фатальны для их текущей бизнес-деятельности. Компании, работающие в области ИБ, накопили некоторую «жировую прослойку», страхующую от различных изменений на рынке и в госполитике в целом.

Возможное вступление в ВТО вряд ли приведет к тотальному открытию рынка для зарубежных вендоров, опять же из-за усиливающейся роли государства. Скорее, и после эпохального вступления при существующем и повышающемся уровне госрегулирования российские вендоры будут конкурировать друг с другом, а не с западными производителями.

Малый размер и корпоративный характер рынка привели к тому, что среди отечественных компаний в области ИБ почти перевелись классические вендоры. Ведь на продаже собственной продукции внутри РФ много не заработаешь, а выход на зарубежные рынки труден, особенно сейчас (но об этом – ниже). Поэтому российские ИБ-компании тяготеют к вертикальной интеграции, предоставляя своим заказчикам широкий спектр услуг, не ограничиваясь поставками «железа и софта». Это естественный, но нелегкий путь, и совмещать дистрибуцию чужих платформ и оказание услуг удается не каждому, так как суть этих бизнесов различна.

Если принять во внимание все указанные факторы, то основной вывод прост. В среднесрочной перспективе положение российских участников рынка ИБ устойчиво в силу протекционистской политики государства и корпоративного характера рынка.

Есть два основных фактора, способных повлиять на эту устойчивость. Первый – изменение государством правил игры во время игры. Так, увы, бывает, но пока данная перспектива не просматривается.

Второй фактор – технологическое отставание российских разработчиков, при котором их продукты будет затруднительно применять при построении современных ИС. В чем же причина такого отставания, если на слуху «высокая квалификация русских»?

Жизнь в дефиците

Мужик на приеме у доктора:
– Доктор, я жить-то буду?
–Жить? Будете, а летать – нет.
Из анекдота


Почему же российские разработчики не отличаются столь высокими темпами технологического развития, как их зарубежные коллеги? Причины этого исключительно экономические и лежат на поверхности. Для технологического прорыва (если нужно что-то создать, а не сломать) нужен масштаб. А для масштаба – люди и инвестиции.

О людях. О том, что на рынке труда существует острый дефицит кадров, не пишет разве что газета «6 соток». Пришедшие в экономику РФ нефтедоллары, безусловно, сказались на объеме рынка, но значительно серьезнее они повлияли на зарплаты и компенсации. Требования специалистов по оплате их труда растут день ото дня. Но, увы, их квалификация падает с той же динамикой. Рынок труда в Москве – Клондайк перекупки, ставки на нем неадекватны производительности труда и квалификации специалистов. Уже сейчас стоимость российского программиста или ИБ-специалиста в Москве выше, чем в Европе.

В то же время притока новых кадров из вузов на этот рынок почти нет, и ежегодный прирост «пула» специалистов ничтожен. Поэтому одни и те же люди «гуляют» по компаниям, обычно с повышением зарплаты и социального пакета. Редко-редко забредет человек из смежной отрасли. Еще год-другой такой тенденции, и ИБ-аутсорсинг в Украине или Молдавии станет модной темой нашего рынка.

Такая же ситуация и с менеджментом. Сегодня профессиональных менеджеров, понимающих рынок ИБ, очень мало. Безусловно, приятнее заниматься нефтянкой или ритейлом: масштаб другой, да и нет там уж очень сильных национальных особенностей.

Теперь о деньгах. Поскольку российский рынок ИБ мал, да еще и с «лица необщим выраженьем», вопросы инвестиций в разработки решаются на нем совсем не так, как у зарубежных коллег.

Ясно: чтобы расти, нужны деньги. И хотя, как я уже упоминал, некоторый резерв у российских компаний есть, он недостаточен для быстрого и стабильного роста. Хочешь расти – привлекай внешнее финансирование. Без него сложно осуществить и закупки технологий за рубежом, и продвижение продукта на рынке. Но надо понимать, что, даже заплатив $1–1,5 млн (например, за систему обнаружения атак), сразу выйти с ней на рынок не получится. Уйдет один-два года и еще $50–100 тыс. на сертификацию, обучение специалистов по технической поддержке, продвижение (не забыть и плату за поддержку производителя за эти годы). Итого для внедрения чужих сложных технологий нужно не менее двух лет, а окупаемость вложений начнется (возможно) года через три, естественно, без гарантий. Потому как этот продукт надо сертифицировать у регулятора рынка. Если получится.

Где и как можно найти деньги для такого развития? Финансовых источников немного. Кредиты отпадают почти сразу – их стоимость 14–15% годовых в USD, что эквивалентно почти 50% привлеченной суммы. Проектное финансирование банков рассчитано на другие объемы кредитов. Привлечение зарубежных инвесторов малореально.

Выход на финансовый рынок со своими облигациями не позволит существенно снизить ставку привлечения. Компании из сектора ИБ практически неизвестны на рынке, и инвесторы купят облигации только при хорошем комиссионном вознаграждении, что по затратам равносильно получению кредита.

Инвестиционные фонды при всей их привлекательности обладают одной неприятной особенностью. У большинства из них нероссийское гражданство, а у российских – не так много денег для вложений. Инвестор всегда хочет контролировать расход вложенных средств, а потому – получить за свои деньги не меньше блокирующего пакета. Это беда: после передачи большей части владения зарубежной фирме количество вопросов к такой «совместной» компании у регуляторов рынка сильно увеличивается. Преодоление этих трудностей сводит на нет экономический смысл таких действий.

Кроме того, внешние инвесторы обычно преследуют финансовые, а не стратегические цели. То есть хотят за счет улучшения корпоративного управления поднять стоимость компании на рынке, после чего продать ее с выгодой для себя. Чем крупнее компания, тем выгоднее финансовому инвестору с ней работать, так как результат будет весомее. На российском же рынке ИБ преобладают мелкие компании, у которых, хоть ставь им корпоративное управление, хоть не ставь, продажная стоимость очень большой не станет.

Размещение своих акций на открытом рынке экономически нецелесообразно, поскольку капитализация компаний, работающих в области ИБ, мала. Для большинства расходы на подготовку к IPO превысят объем эмиссии.

Поэтому логика поведения российских разработчиков проста и понятна. Люди готовы рисковать только своими средствами, так как любая ошибка в прогнозах может обойтись очень дорого, вплоть до потери всего бизнеса. Ведь план по расходам выполняется всегда, и лишь с доходами случаются проблемы.

А поскольку собственных средств для масштабного расширения не хватает, то отечественные компании действуют подругому: существующие продукты всеми способами поддерживаются на плато продуктивности, не допуская драматического спада. Заметим, что практически всем российским вендорам это удается. Однако на что-то принципиально новое ни сил, ни средств уже не остается.

Куды бечь?

Разговаривайте иногда на чужом языке, чтобы не забыть, как плохо вы его знаете.

Болеслав Пашковский


Вопрос выхода на зарубежные рынки требует отдельного обсуждения. Бог с ними, с затратами. Разобраться бы в содержательной части.

Сейчас на мировом рынке ИБ тенденции полностью определились, и они отнюдь не на руку отечественным разработчикам. Прежде всего, этап «чистых игроков» для рынка ИБ закончился. Если 7–10 лет назад конкурировать пришлось бы со специализированными вендорами, такими как ISS, Axent и др., то сейчас ситуация в корне иная. Конкурировать надо с мировыми гигантами – IBM, Cisco, EMC, маркетинговые бюджеты которых существенно превышают объем всего российского рынка ИБ.

Технологическая составляющая рынка ИБ в настоящее время на спаде: новые технологии находятся на стадии идеи или первого опытного образца. Поэтому особенно ценны каналы сбыта продукции. А они в корпоративном секторе есть только у гигантов. Для того чтобы «порезвиться», остается рынок SOHO и частных пользователей. Но и это до поры до времени, пока туда не добрался очередной гигант индустрии.

Есть еще один вариант выхода на западный рынок – разработка технологии и затем продажа лицензий на ее использование другим игрокам. Безусловно, это может стать выходом на «чужой» рынок. Одна беда: для того чтобы создать технологию, нужны серьезные затраты на протяжении длительного периода времени. Кроме того, инвестиции не дают гарантии результата. Пример – компания Trustworks: инвестиции были, люди работали, а технологии нет. Остались лишь воспоминания о финансировании и некоторое количество хорошо подготовленных специалистов.

Ну и завершающий штрих – существующая система налогообложения экспортной деятельности. Заплатить экспортный НДС легко. Вернуть сложно.

Ситуация похожа на сказку о волшебной палочке: раз взмахнешь – все желания пропадают.

Зарубежный рынок для большинства наших разработчиков в области ИБ, как далекая звезда: ты ее видишь, она тебя (скорее всего) – нет. Остается локальный национальный (пока маленький) и корпоративный (сильно регулируемый) рынок. Работать приходится только здесь. И смотреть, что дальше…

Кстати, на этом рынке российский вендор способен показать себя ничем не хуже западного, если… не проиграет технологическую гонку. Имидж компании вторичен, важны продукт или услуга. А за российского клиента мы тоже умеем бороться.

Рисковать на любом рынке можно лишь тогда, когда премия за риск адекватна и можно просчитать возвратность инвестиций. На мой взгляд, это время уже наступает, даже при высоких ставках на привлечение средств. Остается только действовать.

О бурлаках российского бизнеса

Критиковать – это рассказывать другому человеку, что он делает неправильно по сравнению с тем, как сделал бы ты, – если бы умел.

Народная мудрость


Тема корпоративного управления в целом и отдельных личностей на этом рынке давно не дает покоя ни автору, ни многим другим. Видимо, основная причина в том, что всем искренне хотелось бы, чтобы в России компании управлялись так же эффективно, как и на Западе. Однако, чтобы делать некие мотивированные суждения и давать рекомендации, необходимо обладать некоторыми знаниями и желательно опытом.

Чтобы понять, кто и зачем назначает человека с бизнес образованием на позицию CEO, какова роль совета директоров в компании, как используемые приемы маркетинга связаны с целевой аудиторией и т.д., нужны специальные знания. Образование в конкретной области не является самоцелью, оно просто дает возможность понимать чужую логику и иногда объяснить происходящие процессы.

Опыт тоже полезен. Только «поруководив», можно уяснить, что управление людьми «немного» отличается от инженерной деятельности хотя бы способностью брать на себя ответственность за поступки других и достигать поставленной цели. То же самое можно сказать и об инвестиционной деятельности. Если сам никогда не пробовал, все кажется очень простым.

Безусловно, руководители российских компаний – далеко не идеальные творения Господа. Но надо не забывать, что именно они, со всеми присущими им особенностями, смогли организовать бизнес и добиться, чтобы он жил и развивался. Эти люди создают рабочие места, платят зарплату сотрудникам, пополняют бюджет государства налогами и по мере возможности развивают рынок ИБ в России. И работа у них – сродни бурлацкой: впряглись и тянут, какой бы ни была ноша.

Их можно осуждать за жадность, технократичность, «совковость» и прочие недостатки. Но есть ли среди осуждающих кто-либо, готовый взвалить на себя те риски и ответственность, которые несут на себе эти люди?

      В. Ю. ГАЙКОВИЧ,

генеральный директор НИП «Информзащита»
   

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!