15.07.2009

Очередной отчет Leta-IT о рынке ИБ в России

Год назад Leta-IT выпустила отчет о состоянии рынка ИБ в России. И вот на днях Leta порадовала третьим своим видением тенденций отечественного рынка ИБ. Многие из озвученных год назад претензий к логике и фактам отчета остались без внимания. Поэтому пройдусь по новой версии отчета более внимательно ;-)

  1. Мне непонятен отказ от исследования сегмента сетевой безопасности, хотя он самый массовый в России (да и в мире тоже). Возможно потому, что авторы отчета на этом рынке не работают?
  2. Я не верю в 30%-й ежегодный рост рынка ИБ. При этом авторы отчета сами подтверждают, что затраты на ИБ снизились. Даже называются конкретные цифры - от 20% до 50% проектов по ИБ заморожены, т.е. деньги на них не выделяются. Откуда тогда те же показатели роста, что и в докризисные времена? В другом месте отчета Leta вообще говорить о продолжении стагнации рынка.
  3. Рынок ИБ в России наполняют частные, закрытые и абсолютно непрозрачные компании. В таких условиях, даже в кризис, говорить об инвестиционной привлекательности (да еще и самой большой по сравнению с другими сегментами) не приходится. По рынку ходят слухи о покупке ряда игроков рынка ИБ ИТ-интеграторами, но дальше слухов дело не пошло. Единственное публичное слияние "Информзащиты" и ОКБ САПР сорвалось, а других сделок на российском рынке ИБ пока не видно и не слышно.
  4. В одном месте отчета Leta заявляет о росте интереса к стандартам серии 2700x, а в другом - об отсутствии применения этих стандартов...
  5. Тезис о непременном выделении денег на обязательные требования регуляторов даже в условиях кризиса очень спорен. Любой здравомыслящий руководитель оперирует рисками, а не "мифическими" угрозами со стороны киберпреступников. Когда на одной чаше весов находится проект по приведению себя в соответствие с требованиями регуляторов в сотни тысяч долларов, а на другой - штраф за невыполнение требований всего в несколько тысяч рублей, говорить, что деньги будут выделяться всегда крайне неразумно.
  6. В одном месте отчета говорится о том, что проекты ИБ внедряются компаниями самостоятельно, а в другом, что заказчики стали больше приглашать внешних консультантов. Тезис о том, что к услугам консультантов прибегает малый бизнес выглядят вообще смешно. Этот сегмент российской экономики в условиях кризиса думает не о безопасности, а о том, как выжить. Они и об ИТ думают с позиций, как съэкономить пару сотен долларов. А уж про самостоятельную безопасность (исключая быть может антивирусы) они вообще не думают на данном этапе развития.
  7. К сегментации средств ИБ у меня тоже серьезные нарекания. Соотношение 68%/5% в пользу ПО показывает непонимание авторами тенденций всего рынка ИБ. Я могу допустить, что такое соотношение применимо к рынку антивирусной защиты, на котором в первую очередь специализируется Leta, но приравнивать тенденцию ко всему рынку... это в корне неверно. Мой тезис подтверждается и выводом авторов отчета о том, что возрос интерес к ИБ у частного потребителя. Опять же это может касаться антивирусов, но не всего рынка. Например, на рынке безопасности Интернет-доступа большого спроса со стороны физлиц пока не наблюдается.
  8. Интересен список производителей ПО безопасности и ИБ-интеграторов. В нем отсутствуют такие компании, как Positive Technologies, объемы продаж которой даже превышают показатели некоторых из упомянутых Leta игроков. А среди интеграторов "забыты" Открытые технологии, Nvision, АМТ, Техносерв, РНТ и т.д.
  9. Раздел, посвященный введенным в строй в 2008 году национальным стандартам, показывает, что нельзя слепо копировать данные из чужих презентаций на различных конференциях (в данном случае копирование было из презентации г-на Герасименко из Воронежского института ФСТЭК). Приведенный список якобы введенных в действие стандартов соответствует действительности процентов на 10% в лучшем случае. Многие из указанных в отчете стандартов еще даже не переведены профильными НИИ наших регуляторов, не говоря уже об их принятии. А, например, принятый в конце 2008-го года ГОСТ по безопасности сетей и систем связи был забыт. Также как и новая версия стандарта PCI DSS.
  10. Я еще в прошлом году говорил, что считать будто бы ROSI и KPI стали стандартом для большинства организаций - значит не знать рынка ИБ. В этом году могу только подтвердить этот факт. А уж утверждать, что даже малый бизнес стал оперировать этими терминами... Это вообще несерьезно.

Общее резюме: отчет скорее претендует на анализ рынка ИБ в бизнесе компании Leta-IT. Если трактовать его так, то вопросов почти не будет. На анализ всего рынка ИБ в России этот отчет претендовать не может - ни с логической, ни с фактографической точки зрения.

ЗЫ. Про орфографию и русский язык отчета я опять умалчиваю ;-( Вообще складывается впечатление, что отчет готовился впопыхах (как и документы ФСТЭК по персданным). Текст не вычитан, предложения обрываются на полуслове, впечатляют скачки от "космических кораблей" в виде ROSI, KPI и инвестиций в рынок до описания уязвимостей в Acrobat Reader.

9 коммент.:

Ригель комментирует...

Уж не первый год ты уделяешь их отчету почти столько же внимания, сколько они сами, и в разы больше, чем все остальные вместе взятые. Вражда какая-то?

Алексей Лукацкий комментирует...

Нет, вражды никакой. Просто я перфекционист ;-) А таких отчетов в России больше никто не выпускает.

ЗЫ. Может самому отчет выпустить - пусть и другие надо мной поизгаляются ;-)

swan комментирует...

Отчеты всякого рода делать стало модно. Видимо методы работы и конкурентной борьбы выплывают с запада на нашу землю... Ведь у обывателя складывается впечатление, что тот кто пишет отчеты - все знает и самый грамотный... Хотя это сами знаете...
На поверку оказывается что отчет решает 2 задачи на сегодняшний день:
1 - пиар себя и друзей
2 - несет в себе достоверные данные необходимые рынку

Так если 1 задача решается, то достоверность второй - вызывает сомнения...

Maria Sidorova комментирует...

В отчете приводится анализ рынка ИБ в бизнесе самой компании Leta, я думаю этот постулат уже ни у кого не вызывает сомнений, поэтому я думаю пробегаться по отчету смысла нет.

Swan, я вообще не помню за последнее время отчетов которые бы удовлетворяли пункту 2 :(

Алексей, ваш отчет почитала бы с огромным удовольствием :)

swan комментирует...

2 Maria
На западе иногда появляются отчеты близкие к действительности (по моим внутренним ощущениям по крайней мере)

Алексей Лукацкий комментирует...

Марии: На самом деле любой отчет таких компаний, как Cisco, Symantec, IBM ISS, KPMG, E&Y, Deloitte и т.п. опирается на реальную статистику и поэтому представляет вполне адекватные данные.

В России такие отчеты выпускают Infowatch, Perimetrix (последние две - по утечкам) и Positive Technologies (по уязвимостям). Пиар себя - это необходимое условие для таких отчетов; главное не переборщить. Рекламируй себя, дав что-то полезное потребителю. У рассматриваемого отчета уровень полезности не очень высокий. Учитывая передергивания, нестыковки и несоответствующие реальности утверждения, даже к реальным фактам возникает недоверие. А приплюсовывая сюда отсутствие редакторской и корректорской работы, впечатление скорее негативное, чем позитивное.

Felix комментирует...

Я вот не знаю, кем у Вас там "забыта" последняя версия PCI DSS, а вот все, для кого использование этого стандарта является обязательным - работают именно по ней, а не по 1.1 или там 1.0.

Алексей Лукацкий комментирует...

Felix: Последняя версия забыта в отчете.

Анонимный комментирует...

Leta IT-company ответила на развернувшуюся на прошлой неделе дискуссию об исследовании «Рынок ИБ: эпоха перемен»:

http://safe.cnews.ru/news/line/index.shtml?2009/07/20/354648