Прошедший 2010 г. (как многие надеются — послекризисный) стал годом нового резкого скачка продаж на рынке информационной безопасности (ИБ). Отчеты ряда игроков еще не опубликованы, но из того, что появляется в прессе, можно сделать вывод о «размораживании» отложенного спроса, преодолении проблем бюджетирования работ и закупок, а также о благотворном влиянии заявлений высшего руководства страны о необходимости развития электронного межведомственного взаимодействия и государственных услуг. Но все это касается государственного сектора и так называемого сегмента enterprise (крупнейшие предприятия, банки, страховые компании и другие бизнес-единицы международного и национального масштаба).
А что же с информационной безопасностью в малом и среднем бизнесе (SMB)? Вопрос не праздный, поскольку эта группа предприятий рассматривается как один из основных источников роста экономики России. Однако, услышав про ИБ для SMB, руководители российских компаний — поставщиков ИБ-решений заметно грустнеют, а их интерес к разговору быстро затухает.
Если говорить прямо, предприятиям этого уровня услуги не продаются практически вообще, а объемы поставок средств защиты могут порадовать ну разве что самого нетребовательного дистрибутора, живущего по принципу «курочка по зернышку». Не спасает положения даже четырехлетняя суета вокруг Федерального закона «О персональных данных», реализация которого, а особенно принятых в его развитие нормативных актов, казалось, неминуемо должна была бы заставить владельцев и руководителей бизнеса внедрять предписанные сертифицированные продукты. Увы, этого не происходит.
Между тем оптимизм в отношении продаж в SMB звучит в высказываниях производителей как в России, так на Западе уже много лет, а вендоры многократно заявляли о запуске специализированных решений для данного сегмента. Но ожидаемого прорыва, во всяком случае, в России, пока так и не произошло.
Трудный партнер
Попробуем разобраться, почему даже предприятию с годовым оборотом в
Абсолютное большинство предлагаемых на ИБ-рынке решений (за исключением антивирусных продуктов) дороги и сложны, их сопровождение требует многочисленного и квалифицированного персонала. В SMB такого персонала нет, он им не по карману и, более того, не нужен в принципе. Вспомогательного персонала (а ИТ- и ИБ-персонал для SMB, безусловно, именно такой) в такой фирме должно быть мало, он должен стоить ей дешево и быть легко заменяем, как сборщики на конвейере Форда. Можно позволить удерживать способного технолога или талантливого андеррайтера, но никак не администратора безопасности (а большего от предприятий этого уровня ожидать не стоит). Кроме того, руководители в SMB привыкли во всем рассчитывать на свои силы, в том числе — и при развертывании ИТ-инфраструктуры. Максимум, что они себе могут позволить, — купить готовое решение и установить его силами сисадмина (иногда выполняющего в одном лице функции ИТ- и ИБ-подразделения), а никак не нанимать внешнего исполнителя, ценник на услуги которого начинается числом с шестью нулями.
Специальные решения для SMB придумать очень трудно, поскольку понятие SMB объединяет слишком разные предприятия и организации, с совершенно разным уровнем информатизации. Небольшой банк с филиальной сетью, металлический завод, импортер товаров для розничной торговли и агропромышленный комплекс могут иметь примерно одинаковый годовой оборот, но заведомо совершенно разную и не сопоставимую как по сложности, так и по объему решаемых бизнес-задач информационную инфраструктуру. Здесь ключевым является слово «бизнес-задача», поскольку построить себе КИС и КСПД «вообще», как это нередко бывает в верхнем сегменте экономики, где колоссальные деньги вкладываются в расчете на плохо просчитанные будущие потребности, средний и малый бизнес не может. Каждый вложенный рубль достается «малыми и средними» из собственного, а не абстрактного «акционерного» (или лучше — государственного) кармана, и он должен принести прибыль в соответствии с установленной нормой ровно в те сроки, в какие приносят ее вложения в основные средства производства. В хорошем среднем и малом бизнесе практически невозможны «откатные и распилочные» проекты, столь характерные для государственного и корпоративного секторов, поскольку уровень контроля за расходованием средств гораздо выше, а обоснование — гораздо менее формально.
Кроме того, обозначенные выше различия ИТ-систем для разных вертикальных рынков делают проблематичным и создание хорошо тиражируемого коробочного решения. А вкладываться в разработку недорогих коробочных решений можно, только если продаваться их будет очень много.
Существует еще одна серьезная проблема SMB. Информационная система такого предприятия распадается на слабо связанные между собой части, нацеленные на решение строго определенных задач. Бухгалтерия (может быть, интегрированная в небольшую ERP-систему), АСУ ТП, электронная почта, иногда — CRM и ЭДО, кадровый учет. Плюс специфические подсистемы, продиктованные особенностями бизнеса — автоматизированная банковская система, биллинговая система оператора связи, база данных страховой компании или складского учета и т. п. Абстрагируясь от особенностей их построения, это — те же аналоги АСУ ТП, только процессы автоматизируются не производственные. Функционал таких систем четко определен, количество серверного и сетевого оборудования под задачи минимизировано до предельно возможного, у каждого элемента — своя, жестко определенная функция.
Большинство UTM-решений эту проблему не решает, поскольку они рассчитаны опять-таки на большую систему, имеющую резервы производительности и хранения данных, необходимые для обслуживания средств безопасности. Для SMB, как говорилось выше, нужна универсальная коробка, легко устанавливаемая и настраиваемая, с единым интерфейсом управления, простой и наглядной отчетностью, причем на русском языке. Круг замыкается.
Запад уже продвинулся по части защиты SMB
Следует отметить, что на американском и европейском рынках создание продуктов безопасности для среднего и малого бизнеса идет бурными темпами. На последней лондонской выставке Infosecurity Europe (апрель 2010 г.) помимо антивирусных решений, защиты электронной почты и доступа в Web, «заточенных» под небольшие предприятия (простота настройки и администрирования купленной «коробки», отсутствие сложных функций, требующих для реализации специальных знаний), а также комплектов класса endpoint security, демонстрировались и продукты, гораздо более новые по заложенной в них идее. Прежде всего, было представлено колоссальное количество решений по защите как мобильных устройств, так и доступа с их помощью к общим ресурсам. Мобильный офис, состоящий из работающего дома компьютера (в роли сервера), смартфона у одного работника, ноутбука — у второго и Blackberry — у третьего, стал повседневной реальностью. При этом всем пользователям обеспечивается доступ к любым необходимым данным и относительно надежная защита.
Второй класс «массовых» средств ИБ связан с использованием мобильных хранилищ данных, в первую очередь — USB-флэшек и дисков. То, что у нас вообще не воспринимается всерьез, на Западе стало большим бизнесом, причем занимаются им как сами производители носителей (все без исключения!), так и сторонние компании, в основном, — небольшие, нишевые.
Следующая группа продуктов — средства идентификации и аутентификации — откуда угодно, с чего угодно, к какому угодно ресурсу. Web 2.0 дал новый мощнейший толчок этой теме. Генераторы одноразовых паролей, SMS-пароли, высылаемые на телефон, предъявление надежно зашитых в токен или смарт-карту сертификатов — далеко не полный перечень предлагаемых решений. Часто они предназначены не для корпоративного использования, а предлагают аутентификационную платформу третьей доверенной стороны (сервис по запросу), причем список способов идентификации пополняется и паролями (соответствующими заданной политике), и скретч-картами, и вообще чем угодно для доступа к любым приложениям на любых платформах.
Наконец, квинтэссенцией решений для SMB, на мой взгляд, являются защищенные серверы, куда уже заложено огромное количество механизмов безопасности.
Что ждет от ИБ российский SMB?
Между тем, кризисные проблемы сильно обострили понимание российскими топ-менеджерами SMB-предприятий важности управления рисками в информационной сфере. В последнее время мне неоднократно приходилось беседовать с такими руководителями, причем по указанным выше причинам не айтишниками или из подразделений безопасности, а с теми, на ком лежит ответственность за успешность бизнеса.
Понимание того, что в информационная сфера таит большие риски для бизнеса, пришло. Но вот разобраться самостоятельно в этом возможности нет — по причине отсутствия и специальных знаний, и специалистов.
Разговоры про системы межсетевого экранирования, обнаружения вторжений и корреляции событий здесь бесполезны. Никто этого просто не поймет. По-другому же продавцы и консультанты рынка ИБ разговаривать, как правило, не умеют. Как устроен бизнес, они не знают, поскольку никогда им не занимались и ни в каком бизнесе, кроме ИБ, не работали. Вот и получается беседа эскимоса с папуасом: поговорить хочется, но языков не знаем...
В результате защищать инфраструктуру не готов SMB, а защищать конкретные данные плохо готов рынок ИБ.
Итак, что, по моим оценкам, реально нужно для SMB:
- Системы резервирования, поддержки непрерывности бизнеса и восстановления при сбоях и авариях — практически всем, даже тем, кто про это никогда не думал.
- Универсальные системы защищенного удаленного доступа к ресурсам.
- Системы защиты от самых распространенных и типовых угроз (класса endpoint security, обязательно с хорошим антивирусом, а то тащат пользователи в ИТ-систему все, что попало, как дети в рот), элементарно просто разворачиваемые, не требующие подготовки для эксплуатации, с наглядной и простой отчетностью.
- Услуги по инвентаризации ресурсов, определению их критичности и созданию процедуры управления доступом к ним (недорогие и не требующие в ходе работ значительного привлечения персонала заказчика).
- Системы защиты конфиденциальности (та, где она есть, в первую очередь в компаниях, дозревших до режима коммерческой тайны).
Практически все. Остальное покупаться не будет. Во всяком случае, пока.
Я не упомянул персональные данные и выполнение требований закона, которые неизбежно затронут и ИТ-системы малых предприятий. Но к проблемам ИБ для рынка SMB они никакого отношения с точки зрения бизнеса не имеют. Проще заплатить штраф, чем выкладывать несколько миллионов на систему защиты, абсолютно непонятную, сложную и пожирающую производительность, которой и так не хватает.
И что же есть на нашем рынке?
К сожалению, абсолютное большинство компаний — производителей средств защиты, как российских, так и зарубежных, но работающих в России, не откликнулись на наше предложение представить свое видение рассматриваемой проблемы и продукты, предназначенные для предприятий SMB. Поэтому краткий обзор базируется на общедоступной информации, выложенной на сайты игроков рынка. Продукты выбирались, исходя из их позиционирования самими производителями: для предприятий и организаций SMB. В таблице приведен перечень продуктов класса endpoint security, поскольку они наиболее широко представлены на российском рынке и востребованы предприятиями SMB.
Таблица. Продукты класса Endpoint Security для SMB
В завершение хотелось отметить: даже при наличии на рынке продуктов, разработанных специально для рассматриваемого сегмента экономики, перспектива их широкого распространении в ближайшем будущем видится весьма туманно. Почему? Да потому, что на рынке SMB будут покупать только готовые решения, понятные с точки зрения бизнеса, т. е. скорее технологии защиты, чем конкретные продукты. А продвигать такие решения и обосновывать их необходимость для среднего и малого бизнеса пока получается очень плохо.
Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.
