Рынок средств защиты информации в России: до санкций и после. Часть вторая

Хочу продолжить вчерашнюю заметку о том, что принесли санкции и импортозамещение на отечественный рынок ИБ и смогли ли отечественные вендоры воспользоваться своим привилегированным положением, предложив заказчикам нечто новое? На фоне новостей о том, что российским силовикам разрешили вновь закупать западное ПО и разговорах о том, что это только первая ласточка к возврату на круги своя, было бы интересно увидеть, какие сюрпризы преподнесли российские разработчики средств защиты.

Когда я анализировал список сертифицированных продуктов, я все время вспоминал свою презентацию про "домотканные" средства защиты информации, в которой я попробовал перечислить отечественные продукты по ИБ хоть сколь-нибудь известные на рынке или у отдельных заказчиков. Однако порадоваться оказалось нечему :-( Новых типов продуктов среди сертифицированных решений почти не появилось, хотя на рынке новые имена все-таки есть и они регулярно звучат на различных стартаперских тусовках (правда, потом многие из них исчезают в никуда). Очень большое число железок для борьбы с утечками по техническим каналам и неимоверное число сертификатов на решения для РЖД - для тепловозов и электровозов, а также иных подвижных средств, в том числе и на отсутствие НДВ.

Какие же типы отечественных средств защиты находятся в реестре? Я перечислю то, что в той или иной степени можно отнести к традиционным средствам защиты, о которых я написал в прошлой заметке. Итак, список следующий:

• 2012-2013 годы
• средства вычислительной техники (СВТ), то есть средства защиты от несанкционированного доступа по классификации ФСТЭК
• средства гарантированного уничтожения информации
• "доверенные" операционные системы
• антивирусы
• средства аутентификации
• защищенные СУБД (точнее их две или три)
• межсетевые экраны
• средства резервного копирования
• 2013-2014 годы (в дополнение к вышеупомянутым)
• системы обнаружения вторжений
• сканеры защищенности
• средства защиты СУБД
• анализаторы исходных кодов
• электронные замки
• средства защиты корпоративной сотовой связи
• средства инвентаризации ресурсов
• 2014-2015 годы (в дополнение к вышеупомянутым)
• средства безопасного хранения информации
• сканер защищенности АСУ ТП
• DLP
• средства контроля конфигурации
• средства защиты приложений
• VDI и средства терминального доступа
• средства отражения DDoS-атак
• коммутаторы
• 2015-2016 годы (в дополнение к вышеупомянутым)
• WAF
• SIEM
• однонаправленные МСЭ

Если сравнивать с мировым рынком ИБ, то ситуация достаточно печальная. Там регулярно появляются какие-то свежие темы и решения. А у нас?.. Государству, как заказчику именно сертифицированных средств защиты, не нужны новые решения - нужны прошедшие оценку соответствия. Такая ситуация была 20 лет назад - такой ситуация и осталась. В 2007 году я написал статью "Западный или российский производитель ИБ: кого выбрать?", вызвавшую много споров, и заставившую моего бывшего руководителя, Володю Гайковича, написать ответный материал. И надо признать, что с тех пор почти ничего не поменялось. Причины такой ситуации остались те же - излишняя зависимость от регуляторики, отсутствие исследований (а зачем, если есть сертификат), отсутствие нормального маркетинга (хотя Twitter освоили почти все).

Итог печален - государственные структуры защищены не очень хорошо (мягко скажем) и с мертвой точки ситуация не сдвинется в обозримом будущем. Даже несмотря на очень неплохой 17-й приказ, который описывает большое количество защитных мер, совпадающих с лучшими мировыми практиками. Но под многие из них нет руководящего документа, утверждающего требования к той или иной мере. Нет требования; покупать решение никто не будет. И разрабатывать никто не будет. А если будут, то на соответствие чему сертифицировать? Техусловиям? А как потом это продать, если в сертификате нет четкого ответа о соответствии тому или иному классу или возможности работать в ГИС такого-то класса защищенности? И все возвращается на круги своя. А в условиях ужесточения правил сертификации ситуация и вовсе выглядит патовой...

На этом можно было бы закончить анализ реестра сертифицированных решений ФСТЭК, но это было бы неправильно. Все-таки есть у нас и положительные изменения, но они не касаются ни реестра, ни политики государства на импортозамещение, ни регуляторики. Есть компании, которые создают продукты, не благодаря, а вопреки усилиям государства. И ориентированы эти компании на решение нужд заказчиков, которых бумажки интересуют во вторую очередь (если вообще интересуют). Это Infowatch, Solar Security, Positive Technologies, Qrator, Wallarm и множество других. Было бы неверно завершить блиц-анализ текущей ситуации без упоминания этих компаний. Поэтому я превращу изначально планировавшийся диптих в триптих - в одной из следующих заметок обновлю презентацию про "домотканные" решения с указанием новинок нашего рынка.

В заключение хотел бы привести свою презентацию 2007 года, в которой я рассматриваю разницу подходов к разработке средств защиты в России и в мире.

Разработка средств защиты в России и на Западе: разность подходов from Aleksey Lukatskiy

Но есть и оптимисты. Вот как, например, на российский рынок ИБ в контексте импортозамещения смотрит одна из старейших отечественных ИБ-компаний - "Конфидент":

Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского разработчика. Информационная безопасность в государственном секторе" from Expolink