Дмитрий Романченко на дискуссионной сессии «Рынок ИБ без западных вендоров»

В конце октября наш партнёр — компания «Код безопасности» при поддержке Минцифры России провела конференцию «Пространство безопасности». Приглашённым спикером сессии «Рынок информационной безопасности без западных вендоров» стал директор департамента ИБ Rubytech Дмитрий Романченко. Записали ответы нашего эксперта на вопросы модератора секции и делимся ими с вами.

Вопрос: Сегодня в России нет единого полноценного регулятора в сфере ИБ: эти полномочия разделены между Минцифры, ФСТЭК, ФСБ. При этом спрос на продукты в области информационной безопасности огромен, но не систематизирован. Нужен ли единый регулятор? Если да, то какие задачи он должен решать?

Дмитрий Романченко: Считаю, что дополнительный регулятор в сфере ИБ сегодня не нужен. Процесс регулирования вопросов кибербезопасности в Российской Федерации организован вполне сбалансированно. С точки зрения нормативного регулирования сегодня в России сделано гораздо больше, чем в других развитых странах.

Если говорить о практических аспектах, то сейчас наблюдается тренд, когда Минцифры активно курирует вопросы ИБ. Считаю, что этот тренд очень «здоровый», поскольку он отражает изменение подхода к построению систем информационной безопасности.

Когда на российском рынке присутствовали крупные западные производители, логика обеспечения кибербезопасности строилась следующим образом: мы брали лучшее иностранное ПО и пытались его сертифицировать. Если по каким-либо причинам сертифицировать ПО было невозможно, мы использовали вокруг него, так называемые, наложенные средства защиты и пытались достичь требуемого уровня безопасности.

Сейчас ситуация на российском рынке заметно изменилась: национальные производители активно развивают свои решения. И совершенно логично, что те системы и платформы, которые изначально появляются на российском рынке, должны быть априори безопасными. В этом плане Минцифры как регулятор IT в Российской Федерации неизбежно должно брать на себя значимую часть функций, чтобы те технологии и платформы, которые сейчас продвигаются, удовлетворяли требованиям ИБ в практической части. Как видится, сочетание трёх регуляторов — Минцифры, ФСТЭК и ФСБ — сейчас образуют сбалансированную практическую конфигурацию, которая поможет государству и отрасли прийти к успеху.

Вопрос: Нужен ли стране «единый вендор», созданный на базе отраслевых консорциумов?

Дмитрий Романченко: Не думаю, что нужен.

На самом деле, вопрос содержит в себе целых три составляющих. Первый аспект — это обеспечение практической безопасности. Специалисты–практики понимают, что создавать в современных условиях не эшелонированную систему — значит не защищать свою инфраструктуру. Пробой такого решения будет означать полный пробой защиты. Именно поэтому лучшие практики ИБ говорят нам о том, что система защиты должна быть в обязательном порядке зонированной и эшелонированной. В ней должны быть предусмотрены уровни распределения полномочий, критичности информации и т.д.

Второй аспект обусловлен глобальной практикой. Если смотреть на мировой рынок, то он достаточно четко специализирован по классам продуктов.

Третья составляющая вопроса — это отношение к сделкам M&A (слияниям и поглощениям). Во-первых, это здоровая практика на рынке, ведь покупают только те компании, которые представляют интерес. Как говорят в бизнесе, если компания ни разу не продавалась, то она ничего не стоит. И если говорить о крупных игроках, то это вполне стандартная практика на российском рынке.

Вопрос: Если говорить о рынке ИБ, ожидаете ли вы здесь усиления M&A-тенденций? В каких направлениях ИБ такие сделки будут происходить наиболее активно?

Дмитрий Романченко: Думаю, что здесь будут происходить два процесса: консолидация на рынке средств защиты как таковых и консолидация рынков ИБ и IT. Ведь защита информации — это одно из неотъемлемых свойств информационных систем.

Поскольку до недавнего времени на нашем рынке превалировали западные решения, возможность влиять на механизмы защиты отсутствовала. Сейчас, когда на рынке активно развиваются российские национальные IT-системы, отделять IТ от ИБ было бы неправильно.

Вопрос: Какова сейчас позиция системного интегратора в вопросах сотрудничества с вендорами по доработке решений для заказчиков? Дмитрий Романченко: Если говорить про вендорский рынок средств защиты информации, то исторически мы придерживались стратегии «50 на 50». То есть стремились использовать всё лучшее российское, а там, где функционала отечественных продуктов не хватало, применяли флагманские зарубежные решения. И эта стратегия всегда работала.

Однако сейчас проблема в другом: нередко при попытке сформулировать задачи российским вендорам (будь то: разработка технических заданий, либо предложение функциональных спецификаций тех продуктов, которые мы как интегратор считаем правильным сделать), мы сталкиваемся с неудовлетворительным ответом производителя. Большинство вендоров расценивают подобные предложения как инвестиции «вдолгую» и предпочитают не торопиться с доработкой решений под конкретные запросы.

С одной стороны, на российских производителей сейчас обрушился огромный поток денег. С другой же стороны, это вовсе не означает, что на выходе мы получим существенно более качественные решения. Кто-то сможет «переварить» такой поток и выдать идеальное решение. Однако очевидно, что это не будет массовым явлением для отечественных вендоров.

Мы в Rubytech выделяем для себя так называемую «большую пятёрку» вендоров, с которыми ведём постоянный диалог в отношении продуктового офферинга. Это позволяет нам закладывать в перспективные проекты ИБ-продукты, которые появятся уже завтра. И это здорово!

Вопрос: Какова, на ваш взгляд, сегодня степень зрелости российских решений в области ИБ?

Дмитрий Романченко: Я бы говорил сейчас не о зрелости решений, потому что реализованные в них защитные механизмы можно считать вполне функциональными. Здесь, скорее, стоит рассуждать о «юзабилити» и о «степени интеллектуальности» этих решений. Ведь в обслуживании каждого решения задействовано большое количество ИТ- и ИБ-специалистов, а при дефиците таких профессионалов решение «с низким уровнем интеллекта» становится слишком дорогой покупкой.

По мере появления на рынке информационной безопасности систем с большим объёмом автоматизированных функций, обслуживание ИБ-продуктов должно проводиться с привлечением минимального числа обслуживающего персонала. Решения должны включать в себя большое количество инструментов автоматизации. Не потому, что эксплуатирующий их персонал не достаточно интеллектуален, а потому, что очень быстро меняется палитра IT и технологии атак.

Вопрос: Как повлияло на рынок ИБ изменение путей поставок?

Дмитрий Романченко: Здесь есть две позиции: взгляд со стороны производителя решений и взгляд со стороны системного интегратора.

Если размышлять с позиции производителя, то в плане программных средств сейчас в России стремительно развивается история открытого кода. Эти инициативы активно поддерживает Минцифры. Так, например, создана структура АНО «Открытый код», которая оказывает поддержку российским разработчикам системного и прикладного программного обеспечения. В том числе, и в плане создания единого репозитория отечественного ПО.

Конечно, мы не можем игнорировать проблему разработки российских аппаратных средств (на уровне процессорной архитектуры). Однако если посмотреть шире — эта проблема глобальная. Сегодня сразу на нескольких мировых рынках наблюдаются трудности с базовыми технологиями создания микросхем: есть проблемы с электронной литографией, с инертными газами и не только. Сегодня в Российской федерации отсутствует целый блок индустрии, который, например, был 30 лет назад. Его нужно воссоздавать. Это большая задача, в которую сегодня активно финансирует государство, и которая со временем будет успешно решена.

Если размышлять с позиции интегратора или поставщика решений, то проблема, конечно же, есть. Однако она, скорее, связана с трудностью проработки оптимальных логистических цепочек, высокими издержками, удлинением сроков поставок, уходом с рынка зарубежных производителей. Но и это не только локальная российская, а общемировая проблема. Единственным выходом из неё может стать диверсификация производства и создание собственных решений.

Вопрос: Вырастет ли экспансия российских ИБ-решений на международный рынок?

Дмитрий Романченко: Если говорить о глобальных партнёрствах, то конкуренция между Россией и азиатскими производителями сейчас нарастает. Тем не менее, ожидать кратного роста доли отечественных решений на зарубежных рынках прямо сейчас я бы не стал. Очевидно, что здесь будет наблюдаться конкуренция по всей совокупности параметров решений, услуг и сервисов. Ситуация будет жёсткой: в условиях отсутствия явного лоббирования лицом к лицу столкнутся сильнейшие игроки нескольких рынков. Посмотрим, что из этого получится. Я ставлю на российского производителя!

Вопрос: Как вы оцениваете готовность отрасли остаться без иностранного ПО, начиная с 1 января 2025 года?

Дмитрий Романченко: Этот вопрос мне видится не столь однозначным. Сегодня и Минцифры, и российские производители заметно сфокусировались на инфраструктурном блоке. И здесь результат, без сомнения, будет достигнут. Однако самая большая и не решённая на сегодняшний день проблема — это разработка прикладного ПО. Если говорить про бизнес-сегмент — это, например, создание альтернативы ERP-системы SAP R/3, которая является отраслевым стандартом в госкорпорациях. Миграция с SAP для крупного предприятия означает перестройку функционирования всей экосистемы бизнеса.

Второй значимый блок — это разработка узкоспециализированных систем, связанных с проектированием (например, программ САПР, систем управления станками ЧПУ и прочего). Это специализированные продукты, которые содержат объёмные библиотеки компонентов. Не так сложно заместить программный код платформы, сколь сложно осуществлять поддержку этих библиотек, перевести их на российскую элементную базу и увязать с технологическими цепочками, которые сейчас реализованы в стране. Если говорить про системы обработки баз данных, то здесь основная проблема по всем технологическим направлениям успешно решена. В России уже давно имеются сертифицированные решения подобного класса.

В сегменте системного ПО в целом тоже всё стабильно. По сути, в нашей стране появился национальный лидер — производитель продукта Astra Linux, который, в свою очередь, поддерживает и базовую ОС, и виртуализацию, и контейнеризацию.

Резюмируя, можно сказать, что с ИТ-инфраструктурой в нашей стране фундаментальных проблем не наблюдается, а вот с разработкой сложного прикладного ПО есть проблемы.

Вопрос: Насколько быстро в России может появиться полноценная замена отсутствующим ИТ-решениям?

Дмитрий Романченко: Выход Указа Президента Российской Федерации от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» создал уникальную ситуацию на рынке: нам больше не обязательно делать импортозамещение компонентов «в лоб» — один в один.

Избавляться от Microsoft и VMware можно разными способами: к примеру, поставить на каждый хост Linux-подобную систему или же использовать платформенные решения и фактически перевести заказчика на сервисную модель предоставления ИТ-услуг. И вопрос здесь не в том, как быстро наши коллеги разработают клоны, форки или аналоги зарубежных решений; а в том, насколько рационально и дальновидно будет решаться задача импортозамещения и перехода на новый технологический стек к 2025 году. Государство не ограничивает нас в выборе решения проблемы. Установлен лишь окончательный срок отказа от иностранного ПО.

Если говорить про отраслевую специфику, то она тоже различна. В частности в России всегда была сильна разработка банковского софта. Например, в ЦБ РФ импортозамещённой является вся палитра информационных систем.

Вопрос: Когда мы сможем организовать собственное полноценное производство микроэлектроники и оборудования? Каковы перспективы развития этого сегмента в России?

Дмитрий Романченко: Перед нами вынужденно возникла потребность в импортозамещении и в создании национальной индустрии IT. Здесь вопрос лишь в том, насколько успешно при поддержке государства наша страна воспользуется этой возможностью. Производство замещающих аналогов хорошо лишь для решения «точечных» проблем (чтобы формально выполнить требования Указа Президента).

В то же время, это уникальная возможность решить те проблемы, которые стоят перед отраслью уже не первый год. Причём сделать это на новом уровне — с использованием новых технологий и уникальных разработок. Это, как раз, и есть для нас тот самый уникальный экспортный потенциал. Продвижение новых подходов, технологий и сервисов — это тот мейнстрим, успех движения в котором обеспечит нам технологический прорыв.

Дискуссионную сессию в записи можно посмотреть тут (03:34:30 чч:мм трансляции).