Идея разделить рынок между ИБ-игроками - вредна!

2022 год для сферы информационной безопасности стал знаковым: сдвинулись многие "тектонические плиты", которые мы пытались сдвинуть несколько лет. С начала года защита данных - на устах у высших чинов, Президент предписал создать ИБ-подразделения в компаниях и назначить заместителей руководителя, ответственных за безопасность. А к концу полугодия приняты долгожданные поправки в 152-ФЗ.

Вопросы информационной безопасности вышли в стране на революционно новый уровень. И если смотреть в разрезе импортозамещения, мер поддержки ИТ, я думаю, главное в этих мерах - дать отечественным ИТ- и ИБ-компаниям толчок к развитию, возможность конкурировать с международными гигантами за иностранные рынки сбыта.

Но кажется, не все коллеги понимают это, потому что по факту публично предлагают вещи, которые могут погубить конкуренцию внутри страны, а значит - качество российских продуктов.

Заморозка и дележ

В конце прошлой недели председатель правления АРПП "Отечественный софт" Наталья Касперская выступила с идеей "заморозить цифровизацию" и "разделить рынок между ключевыми ИБ-игроками". Хочу пояснить, почему это предложение - вредное для сферы ИБ в частности и для страны в целом.

Остановить процесс цифровизации в стране, когда на него потрачено столько усилий и средств? Боимся потерять данные? У нас есть решения, которые могут обеспечить их защиту, их нужно внедрять. Мало ИБ-специалистов? Мы несколько лет продвигаем инициативу центров защиты данных. Они смогут аутсорсить процессы безопасности для госорганов и небольших компаний, которые не могут себе позволить содержать целый отдел безопасности или нанять ИБ-специалистов нужного уровня. В центре защиты данных один ИБ-специалист сможет обслуживать две-три-четыре компании среднего размера, такая "массовая" история, как и бухгалтерия или ИТ -специалист на аутсорсе, удешевит и сделает доступной услугу для заказчиков.

Искусственный дележ рынка между ключевыми игроками - это предложение также считаю вредным. Читаю его так: давайте уничтожим конкуренцию, игрокам рынка не нужно будет поддерживать качество продуктов, потому что "итак купят, у отрасли выбора нет". Это предложение похоронит наши экспортные стремления.

Отраслевая специфика решений в ИТ, конечно же, существует. Но грамотный отдел внедрения, отраслевые политики безопасности, качественная работа вендора с заказчиком решают эти проблемы. Как-то же антивирус Касперского справляется с защитой от вирусов во всех сферах? Не понимаю, откуда взялся тезис, что "отдельно взятая российская ИБ-компания не может обеспечить безопасность всех сфер".

У нас есть клиенты из всех отраслей, и ни от одного из них я не слышал, что мы не закрываем их вопросы в полной мере. У клиента всегда есть запросы на доработки, нам всегда есть куда расти. Но это вопрос развития и специфики ИБ: появляются новые риски, угрозы - вендоры работают над их устранением.

Экспортные перспективы

Теперь поговорим о том, как скажется возможное деление сфер влияния среди ИБ-вендоров на наших экспортных перспективах. Итак, мы приходим к тому, что для каждой сферы есть один разработчик, вендору без конкуренции не надо думать про новые фичи, да и где эти идеи взять, если практики в других отраслях нет. Через какое-то время мы получаем совершенно посредственное ПО без развития.

Дальше представляю картину: проводим встречу за рубежом при помощи тех же цифровых атташе, собрались иностранные компании из промышленности, ретейла и, например, логистики. А наша сторона заявляет: мы только для логистики делаем ПО. Для промышленности и ретейла вендоры приехать не смогли. И как с этим работать над продуктами "мирового" уровня? Непонятно. Вот и останется российским вендорам сидеть на "гарантированном отраслевом заказе" на далеко не большом в мировом объеме рынке.

Дефицит кадров

Проблема дефицита ИБ-кадров обозначена верно, тут я согласен. Но в корне не согласен с предложенным вариантом ее решения. Давайте заморозим цифровизацию и дождемся, пока найдутся кадры… сколько будем ждать? Четыре-пять-шесть лет, пока не выпустятся и не наберутся опыта новые специалисты?

Этот процесс должен быть параллельным. Уже сейчас мы сотрудничаем с вузами, проводим курсы по обучению действующих ИБ-специалистов, наши специалисты внедрения обучают всех сотрудников заказчика работе с системами. Если у компании вообще нет безопасника, ее вариант - аутсорсинг ИБ.

В госсекторе сейчас активно развивается тема региональных центров по защите данных, мы участвуем в этих инициативах как вендор, с опытом аутсорсинга. Регионы заинтересованы в решении проблемы с защитой данных.

Выводы

Прочитав идею "разделить сферы между вендорами ИБ", я первым делом вспомнил книгу "Атлант расправил плечи", которую часто называют "Библией предпринимательства". Там много крутых мыслей о бизнесе, но в контексте искусственного разделения рынка мне вспомнились две цитаты: "Когда один выигрывает, а другой проигрывает, это не сделка, а мошенничество" и "когда вы видите, что торговля ведется не по согласию, а по принуждению, когда чтобы производить, вы должны получать разрешение, […] знайте, ваше общество обречено".

Мы все помним, чем закончилось дело в книге: когда люди начинают определять правила экономики административными указами, это в конце концов губит экономику и все, что создают бизнесмены. Книга, конечно, утопия, и события в ней "вывернуты на максимум", утрированы. Но законы экономики и принципы бизнеса в ней описаны очень четко. Надеюсь, мы не будем совершать ошибки персонажей из этой истории.

Резюмирую: приняв идею искусственного регулирования рынка ИБ, мы убьем конкуренцию и лишим отечественных заказчиков возможности выбирать лучшее для них защитное ПО. А вендоров лишим стимула развивать ПО и быть конкурентоспособными не только на внутреннем рынке, но и на мировом.