Обычно я сделкам слияния и поглащения не уделяю много внимания, но тут особый случай. 6 мая американская корпорация McAfee (часть Intel) объявила о подписании соглашения о приобретении финской Stonesoft за 389 миллионов долларов наличными. В мировом масштабе сделка не особо интересная, т.к. Stonesoft - компания нишевая и с небольшими оборотами, что не позволяло ей "светиться" в различных сравнениях, отчетах, квадратах и т.п. У себя в компании, иногда задавая вопрос коллегам из США или Западной Европы о сравнении решений Cisco и Stonesoft, постоянно слышу: "А Stonesoft - это что?" ;-) Но в России Stonesoft компания известная; в первую очередь тем, что смогла получить сертификат ФСБ на свой SSL Gate став второй зарубежной компаний после Cisco, получившей официальный статус от этого регулятора. Поэтому вопрос о том, что несет с собой это слияние, непраздный и в Facebook вчера мы немало внимания посвятили дискуссии на эту тему. Здесь я выскажу свою личную позицию по этому вопросу.
Сразу скажу, что обсуждать что-то конкретное рано. Я думаю, даже в самих компаниях еще не понимают конкретных шагов по интеграции и тех последствий, которые эта интеграция влечет за собой (достаточно посмотреть на письмо Ilkka Hiidenheimo, гендиректора и основателя Stonesoft по партнерам). Наблюдая за ИБшным M&A-рынком на протяжении последних лет 10-12, могу сказать, что перспективы поглощенных компаний почти всегда печальны ;-( Разработчики и архитекторы уходят в другие компании, руководство создает новые стартапы, технологии если и интегрируются, то очень небыстро. Какие-то технологии вообще прекращают свое существование. Партнерская и ценовая политика претерпевает серьезные изменения. Гибкости становится меньше. А вот поглотитель, как правило, в выигрыше ;-) Он либо устраняет конкурента, либо получает в свое портфолио новые технологии, либо получает клиентскую базу. В крайнем случае для него вообще ничего не меняется ;-) Но вернемся к сделке McAfee и Stonesoft.
Судя по пресс-релизу, цель приобретения заключалась в технологии межсетевых экранов. Именно о них говорят то-менеджеры обеих компаний в своих цитатах. Про IPS сказано вскользь, про VPN вообще ни слова. Это закономерно. Свои решения по IPS у McAfee есть и технологии Stonesoft скорее всего вольются в McAfee, а не наоборот. Хотя надо заметить, что судьба IPS как самостоятельного сегмента рынка сейчас в мире находится под вопросом. Очень уж активно пересекаются технологии IPS и FW NG. А учитывая заявления аналитиков и многие по-настоящему серьезные исследования по рынку сетевой безопасности, могу предположить, что через 2-3 года самостоятельных IPS в мире почти не останется - они вольются в межсетевые экраны и UTM-решения, как их неотъемлемая часть.
С VPN от Stonesoft ситуация, на мой взгляд, еще хуже. В портфолио McAfee, насчитывающем с 4-5 десятков различных продуктов, нет ни одного, который бы касался VPN. Есть фрагментарно разбросанные функции, но как самостоятельного направления нет. Учитывая мировые тенденции, можно предположить, что и эти продукты Stonesoft прикажут долго жить. Частично этот функционал может быть включен в МСЭ, частично в решения по мобильной безопасности.
Но в России же решения Stonesoft VPN имеют перспективы, скажете вы. Да еще и в контексте сертификации в ФСБ. Если смотреть с точки зрения России да. А если с точки зрения международного бизнеса? Россия одна из немногих стран в мире, где VPN-решения существуют как самостоятельный сегмент рынка, что связано с нашей регуляторикой. Во всех других регионах VPN - это одна из функций МСЭ, балансировщика нагрузки, маршрутизатора, UTM-устройств... Я более чем уверен, что McAfee не будет оставлять в своем портфолио продукт только для одного локального рынка, доход с которого измеряется 10-20 миллионами долларов. Это для финской компании это серьезный вклад в финансовое благополучие; для транснациональной корпорации - это в пределах погрешности. Я, конечно, не могу принимать решений за McAfee, но учитывая, что и сам работаю в американской компании и знаю, как принимаются такие решения, могу с высокой степенью достоверности предположить, что судьба VPN-продуктов Stonesoft предрешена (о них, кстати, в пресс-релизе о слиянии ни слова).
А что будет с сертификацией Stonesoft? Тут ситуация еще сложнее. О ней вообще мало кто думает - причем со всех сторон. Отечественный потребитель и интегратор о ней просто не знает. Российское представительство вендора либо не знает, либо не понимает как подступиться к ее решению. А американской штаб-квартире на нее вообще с высокой колокольни ;-) Американцы считают, что весь мир живет по их правилам и поэтому для них бывает большим открытием, что, например, в Россию нельзя взять и просто ввезти средство с шифрованием по AES или 3DES. Они не знают, что в России не действуют сертификаты по FIPS и "Общим критериям". Они всегда удивляются, когда им пытаешься рассказать о специфике российского регулирования. А когда они понимают, они начинают пытаться состыковать отечественную регуляторику со своей собственной. А она там тоже есть и не менее серьезная, чем у нас, а местами и более серьезная.
Например, там нельзя взять и просто вывезти какие-то технологии, имеющие значение для национальной безопасности. Необходимо получить согласование Министерства коммерции и, в частности, его бюро промышленности и безопасности (Bureau of Industry and Security). Чтобы получить разрешение на встраивание отечественной криптографии в американский продукт (не забывайте, что после завершения сделки продукция Stonesoft становится американской, а не финской) необходимо получить соответствующую лицензию. Получение такой лицензии - очень непростой процесс; может занимать до года и более. Чтобы впрягаться в эту игру, McAfee должна понимать не только сложности, но и преимущества. Нужен серьезный бизнес-кейс. 10-20 миллионов - это не бизнес-кейс для компании масштаба McAfee (по моим ощущениям). Аналогичную лицензию и еще большее количество согласований внутри американских госорганов небходимо получать в случае сертификации на отсутствие недекларированных возможностей, требующей предоставления исходных кодов.
Закончу я тем, с чего начал. Сейчас рано делать выводы о последствиях покупки финской Stonesoft американской McAfee. Одно можно сказать с уверенностью, мнение российских офисов Stonesoft и McAfee при принятии решения о покупке в расчет не бралось и их вообще не спрашивали об этом. Поэтому с последствиями для российского бизнеса в штаб-квартире McAfee если и будут разбираться, то уже после завершения всех необходимых формальностей. Опираясь на свой опыт и знание тех усилий, которые предпринимаются российским офисом Cisco для решения аналогичных вопросов (а замечу, что наш бизнес в России на пару порядков превышает бизнес McAfee в России), могу сказать что сценарий, по которому McAfee решит переиграть свои международные общекорпоративные правила в пользу России, не слишком вероятен.
Предположу, что вся эта история закончится следующим образом. Все технологии Stonesoft (МСЭ, IPS и VPN) в том или ином объеме будут интегрированы в линейку продукции McAfee; с упором на технологии межсетевого экранирования. Как самостоятельные продукты решения Stonesoft будут существовать какое-то время, но без развития и выпуска новых версий, а через год-другой они и вовсем исчезнут из прайс-листа McAfee. Сертификация VPN-решений Stonesoft в ФСБ прекратится, т.к. натолкнется на ограничения американского законодательства, которые врядли в обозримом будущем будут разрешены американским и российским офисами McAfee. При этом хочу заметить, что ограничения на экспорт технологий вступят сразу после завершения сделки, в то время как вопросы ценообразования, партнерской политики и т.п. будут приводиться в порядок еще долго (не менее года, а то и более). Аналогичная ситуация с сертификатами ФСТЭК на НДВ. Действующие же сертификаты пока будут действовать до срока, в них указанного
Могут ли быть иные сценарии? Теоретически да. Например, сделку могут не разрешить вовсе. Но это было бы более чем вероятное событие (как, например, в ситуации когда Check Point'у запретили поглощение Sourcefire) если бы Stonesoft решил купить McAfee, а не наоборот. Stonesoft могут оставить в качестве независимого подразделения, зарегистрированного в Финляднии. Тоже верится с трудом (пока такого на рынке "американских" поглощений почти не наблюдалось). Последний вариант - McAfee будет нарушать закон. Но это еще менее вероятный сценарий (после скандала с бывшем основателем одноименной компании McAfee сейчас меньше всего нужна негативная шумиха). Прав я или нет, покажет время. Но пока мои прогнозы, которые я делал раньше относительно поглощенных компаний, сбывались.
ЗЫ. Кстати, хочу еще заметить по поводу появившихся скоропалительных "экспертных" выводов о последствиях этой сделки. Оценивать ее надо не столько с точки зрения российской, сколько с точки зрения американской, т.к. именно законодательство США и правила компании-поглотителя будут первостепенными при принятии тех или иных решений. То, что было позволено небольшой финской компании, непозволено подразделению американской корпорации, которая очень жестко регулируется в контексте национальной безопасности США (особенно на фоне последних событий).
Сразу скажу, что обсуждать что-то конкретное рано. Я думаю, даже в самих компаниях еще не понимают конкретных шагов по интеграции и тех последствий, которые эта интеграция влечет за собой (достаточно посмотреть на письмо Ilkka Hiidenheimo, гендиректора и основателя Stonesoft по партнерам). Наблюдая за ИБшным M&A-рынком на протяжении последних лет 10-12, могу сказать, что перспективы поглощенных компаний почти всегда печальны ;-( Разработчики и архитекторы уходят в другие компании, руководство создает новые стартапы, технологии если и интегрируются, то очень небыстро. Какие-то технологии вообще прекращают свое существование. Партнерская и ценовая политика претерпевает серьезные изменения. Гибкости становится меньше. А вот поглотитель, как правило, в выигрыше ;-) Он либо устраняет конкурента, либо получает в свое портфолио новые технологии, либо получает клиентскую базу. В крайнем случае для него вообще ничего не меняется ;-) Но вернемся к сделке McAfee и Stonesoft.
Судя по пресс-релизу, цель приобретения заключалась в технологии межсетевых экранов. Именно о них говорят то-менеджеры обеих компаний в своих цитатах. Про IPS сказано вскользь, про VPN вообще ни слова. Это закономерно. Свои решения по IPS у McAfee есть и технологии Stonesoft скорее всего вольются в McAfee, а не наоборот. Хотя надо заметить, что судьба IPS как самостоятельного сегмента рынка сейчас в мире находится под вопросом. Очень уж активно пересекаются технологии IPS и FW NG. А учитывая заявления аналитиков и многие по-настоящему серьезные исследования по рынку сетевой безопасности, могу предположить, что через 2-3 года самостоятельных IPS в мире почти не останется - они вольются в межсетевые экраны и UTM-решения, как их неотъемлемая часть.
С VPN от Stonesoft ситуация, на мой взгляд, еще хуже. В портфолио McAfee, насчитывающем с 4-5 десятков различных продуктов, нет ни одного, который бы касался VPN. Есть фрагментарно разбросанные функции, но как самостоятельного направления нет. Учитывая мировые тенденции, можно предположить, что и эти продукты Stonesoft прикажут долго жить. Частично этот функционал может быть включен в МСЭ, частично в решения по мобильной безопасности.
Но в России же решения Stonesoft VPN имеют перспективы, скажете вы. Да еще и в контексте сертификации в ФСБ. Если смотреть с точки зрения России да. А если с точки зрения международного бизнеса? Россия одна из немногих стран в мире, где VPN-решения существуют как самостоятельный сегмент рынка, что связано с нашей регуляторикой. Во всех других регионах VPN - это одна из функций МСЭ, балансировщика нагрузки, маршрутизатора, UTM-устройств... Я более чем уверен, что McAfee не будет оставлять в своем портфолио продукт только для одного локального рынка, доход с которого измеряется 10-20 миллионами долларов. Это для финской компании это серьезный вклад в финансовое благополучие; для транснациональной корпорации - это в пределах погрешности. Я, конечно, не могу принимать решений за McAfee, но учитывая, что и сам работаю в американской компании и знаю, как принимаются такие решения, могу с высокой степенью достоверности предположить, что судьба VPN-продуктов Stonesoft предрешена (о них, кстати, в пресс-релизе о слиянии ни слова).
А что будет с сертификацией Stonesoft? Тут ситуация еще сложнее. О ней вообще мало кто думает - причем со всех сторон. Отечественный потребитель и интегратор о ней просто не знает. Российское представительство вендора либо не знает, либо не понимает как подступиться к ее решению. А американской штаб-квартире на нее вообще с высокой колокольни ;-) Американцы считают, что весь мир живет по их правилам и поэтому для них бывает большим открытием, что, например, в Россию нельзя взять и просто ввезти средство с шифрованием по AES или 3DES. Они не знают, что в России не действуют сертификаты по FIPS и "Общим критериям". Они всегда удивляются, когда им пытаешься рассказать о специфике российского регулирования. А когда они понимают, они начинают пытаться состыковать отечественную регуляторику со своей собственной. А она там тоже есть и не менее серьезная, чем у нас, а местами и более серьезная.
Например, там нельзя взять и просто вывезти какие-то технологии, имеющие значение для национальной безопасности. Необходимо получить согласование Министерства коммерции и, в частности, его бюро промышленности и безопасности (Bureau of Industry and Security). Чтобы получить разрешение на встраивание отечественной криптографии в американский продукт (не забывайте, что после завершения сделки продукция Stonesoft становится американской, а не финской) необходимо получить соответствующую лицензию. Получение такой лицензии - очень непростой процесс; может занимать до года и более. Чтобы впрягаться в эту игру, McAfee должна понимать не только сложности, но и преимущества. Нужен серьезный бизнес-кейс. 10-20 миллионов - это не бизнес-кейс для компании масштаба McAfee (по моим ощущениям). Аналогичную лицензию и еще большее количество согласований внутри американских госорганов небходимо получать в случае сертификации на отсутствие недекларированных возможностей, требующей предоставления исходных кодов.
Закончу я тем, с чего начал. Сейчас рано делать выводы о последствиях покупки финской Stonesoft американской McAfee. Одно можно сказать с уверенностью, мнение российских офисов Stonesoft и McAfee при принятии решения о покупке в расчет не бралось и их вообще не спрашивали об этом. Поэтому с последствиями для российского бизнеса в штаб-квартире McAfee если и будут разбираться, то уже после завершения всех необходимых формальностей. Опираясь на свой опыт и знание тех усилий, которые предпринимаются российским офисом Cisco для решения аналогичных вопросов (а замечу, что наш бизнес в России на пару порядков превышает бизнес McAfee в России), могу сказать что сценарий, по которому McAfee решит переиграть свои международные общекорпоративные правила в пользу России, не слишком вероятен.
Предположу, что вся эта история закончится следующим образом. Все технологии Stonesoft (МСЭ, IPS и VPN) в том или ином объеме будут интегрированы в линейку продукции McAfee; с упором на технологии межсетевого экранирования. Как самостоятельные продукты решения Stonesoft будут существовать какое-то время, но без развития и выпуска новых версий, а через год-другой они и вовсем исчезнут из прайс-листа McAfee. Сертификация VPN-решений Stonesoft в ФСБ прекратится, т.к. натолкнется на ограничения американского законодательства, которые врядли в обозримом будущем будут разрешены американским и российским офисами McAfee. При этом хочу заметить, что ограничения на экспорт технологий вступят сразу после завершения сделки, в то время как вопросы ценообразования, партнерской политики и т.п. будут приводиться в порядок еще долго (не менее года, а то и более). Аналогичная ситуация с сертификатами ФСТЭК на НДВ. Действующие же сертификаты пока будут действовать до срока, в них указанного
Могут ли быть иные сценарии? Теоретически да. Например, сделку могут не разрешить вовсе. Но это было бы более чем вероятное событие (как, например, в ситуации когда Check Point'у запретили поглощение Sourcefire) если бы Stonesoft решил купить McAfee, а не наоборот. Stonesoft могут оставить в качестве независимого подразделения, зарегистрированного в Финляднии. Тоже верится с трудом (пока такого на рынке "американских" поглощений почти не наблюдалось). Последний вариант - McAfee будет нарушать закон. Но это еще менее вероятный сценарий (после скандала с бывшем основателем одноименной компании McAfee сейчас меньше всего нужна негативная шумиха). Прав я или нет, покажет время. Но пока мои прогнозы, которые я делал раньше относительно поглощенных компаний, сбывались.
ЗЫ. Кстати, хочу еще заметить по поводу появившихся скоропалительных "экспертных" выводов о последствиях этой сделки. Оценивать ее надо не столько с точки зрения российской, сколько с точки зрения американской, т.к. именно законодательство США и правила компании-поглотителя будут первостепенными при принятии тех или иных решений. То, что было позволено небольшой финской компании, непозволено подразделению американской корпорации, которая очень жестко регулируется в контексте национальной безопасности США (особенно на фоне последних событий).