Контакты
Подписка
МЕНЮ
Контакты
Подписка

Тревога за импортозамещение

Тревога за импортозамещение

В рубрику "Импортозамещение" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Тревога за импортозамещение

Своими мыслями о том, как процесс импортозамещения видится изнутри отрасли, а также о его плюсах, минусах и подводных камнях поделились эксперты – представители ИБ-компаний.

Дмитрий Горелов, коммерческий директор компании “Актив”
Руслан Рахметов, генеральный директор SecurityVision, резидент “Сколково”
Евгений Куртуков, руководитель департамента продуктовой экспертизы компании Axoft
Сергей Панов, заместитель генерального директора ЭЛВИС-ПЛЮС
Дмитрий Пудов, заместитель генерального директора по технологиям и развитию Angara Technologies Group

Какие преимущества вам сейчас дает процесс импортозамещения в информационной безопасности?

Дмитрий Горелов

Сейчас крупный бизнес и государственные организации стали более уважительно относиться к российским разработчикам. Стало проще и легче общаться с крупными потребителями средств информационной безопасности. Даже появилась некоторая мода на отечественные средства ИБ.

Стало проще двигать проекты, находить точки входа к крупным заказчикам. Когда клиенты уже тестируют в своих проектах наши решения и решения наших технологических партнеров, дальше все становится легко и понятно. Потому что в том сегменте рынка информационной безопасности, где мы работаем, – средства аутентификации и электронной подписи – что российские решения, что западные функционально мало чем отличаются друг от друга.

Руслан Рахметов

Безусловно, импортозамещение для нас – это плюс, но я бы сказал, что скорее плюсик. Плюсик в том, что есть хайп вокруг этого процесса и российские разработчики понемногу начали показывать себя.

Евгений Куртуков

Стратегия импортозамещения, безусловно, правильная. Наша компания всегда с большим интересом относилась к отечественным производителям средств ИБ. С 2014 г., с момента принятия концепции импортозамещения, мы активно участвуем в ее реализации, оказываем помощь партнерам – пилоты, внедрение, консультации по продуктам и требованиям регуляторов; вендорам – донесение до рынка политики производителя, информирование о новых решениях, обновлении текущих продуктов; заказчикам – пресейл, обоснование необходимости использования того или иного решения, проведение сравнительных пилотов.

Сергей Панов

Преимущества, с одной стороны, очевидны: рынок МЭ, IDS и СКЗИ, где мы предлагаем свои решения, жестко регулируется ФСБ и ФСТЭК, и, видимо, в среднесрочной перспективе серьезные зарубежные игроки, как, например, CheckPoint, Fortinet, могут покинуть рынок.

Дмитрий Пудов

В системной интеграции важно не просто предоставить решение заказчику, но и "приземлить" его в инфраструктуру заказчика. И в этом плане российские решения обладают набором практически уникальных конкурентных преимуществ: они в большей степени ориентированы на потребности российских компаний, учитывают требования регуляторов, более отзывчивы к запросам клиентов. Для системного интегратора это означает, что мы получаем более отзывчивую реакцию на возникающие вопросы в рамках внедрения, интеграции и адаптации решения.

Что в текущем процессе импортозамещения создает для вас сложности? Что стоит улучшить?

Дмитрий Горелов

Хотелось бы, чтобы те, кто двигает крупные проекты, более четко определяли, какие решения точно можно заменить на полностью российские, а какие невозможно заменить в ближайшей перспективе. Когда проект комплексный и все останавливается из-за одного не самого критичного элемента, то страдают все.

Руслан Рахметов

В терминологии рынка отечественное средство защиты информации – это не значит разработанное нашими соотечественниками. Это значит, что оно входит в реестр отечественного ПО и сертифицировано как минимум по требованиям ФСТЭК. Процессы сертификации продукта и его включения в реестр отечественного ПО длятся долго. Например, чтобы производитель включил в реестр отечественного ПО новые продукты, нужно сделать минимум две-три итерации, при том, что одна итерация занимает 5–6 месяцев.

К моменту включения версии продукта в реестр выходят его более новые версии. Даже если повезет осуществить его включение в реестр отечественного ПО с первой итерации, полгода в информационной безопасности – это уже большой срок, за который продукт "стареет" и рискует стать неконкурентоспособным в сравнении с иностранными аналогами.

Странно также, на мой взгляд, решен вопрос поддержки СУБД. ПО, поддерживающее и отечественные, и иностранные СУБД "в одном флаконе", воспринимается как неотечественное и в реестр отечественного ПО не включается.

Поэтому производитель вынужден поддерживать одну версию для международного рынка (поддерживающую и отечественные СУБД, и иностранные) и другую – для отечественного (поддерживающую только отечественные СУБД).

Аналогичная проблема с процессом сертификации, только там сроки могут быть по 2–3 года и дольше, в зависимости от лаборатории и экспертизы. Вопрос сертификации – вообще отдельная тема. Для меня странно, когда сертификатор имеет свои продукты – средства защиты информации и при этом сертифицирует продукты конкурентов с доступом к их исходному коду.

Евгений Куртуков

Несмотря на активное обсуждение процесса импортозамещения, динамика реализации данной концепции пока отстает от наших ожиданий. На это есть несколько причин, и прежде всего – большой объем подготовительной работы, которую заказчики должны провести до реализации самой концепции импортозамещения.

На рынке, безусловно, есть зрелые игроки. Но если вести речь о молодых разработчиках, то предлагаемые ими решения пока не в полной мере отвечают ожиданиям заказчика. Это нормальный процесс, но он требует времени на то, чтобы клиенты и поставщики решений привыкли друг к другу и синхронизировали уровень ожиданий. Сейчас мы видим, что для многих крупных заказчиков важны не столько текущая функциональность того или иного решения (она часто недостаточная), сколько перспектива развития продукта, дорожная карта. Вендоры должны уделять больше внимания перспективам развития продукта.

Процесс запущен, динамика очевидна, и в перспективе 3–5 лет мы увидим результаты.

Сергей Панов

В настоящий момент сложности создает сам процесс введения регуляторных мер, который проходит в весьма сжатые сроки и чаще всего не поддерживается своевременным появлением необходимой методической базы в системах сертификации СЗИ, и пропускная способность системы сертификации СЗИ весьма ограниченна.

Кроме того, предстоящее ужесточение требований к использованию платформ на отечественной элементной базе, учитывая их крайний дефицит и пока еще довольно слабые показатели "цена/качество", усложняет нашу работу еще больше.

Дмитрий Пудов

Рынок инфромационной безопасности является весьма значимым для государства и его интересов, поэтому не стоит удивляться требованиям применения отечественных решений. Многие страны через национальные требования и системы сертификации ограничивают данный рынок или его отдельные сегменты для иностранных компаний. При этом хотелось бы видеть более открытую позицию регуляторов и вовлечение участников рынка в обсуждение инициатив, а может даже в систему принятия решений.

Большинству производителей тоже есть к чему стремиться и что позаимствовать у зарубежных компаний: необходимо больше внимания уделять созданию экосистемы, больше инвестировать в развитие продаж, в инфраструктуру поддержки клиентов и партнеров. Мы понимаем, что эти ограничения часто связаны с отсутствием необходимых инвестиций, на текущий момент наша компания готова помогать разрабатывающим перспективные решения фирмам и инвестировать собственные ресурсы.

В вашем сегменте отечественные решения и продукты опережают иностранные аналоги или отстают? Как вы оцените временной разрыв?

Дмитрий Горелов

Средства аутентификации и электронной подписи Рутокен, которые мы разрабатываем и производим, аналогичны по своему функционалу иностранным аналогам. В них есть поддержка российской криптографии – это ощутимое преимущество.

Западные продукты в области аутентификации более совместимы с решениями западных вендоров. За последние несколько лет мы сделали так, что в основных сценариях, где используются средства аутентификации, все работает так же хорошо, как и у наших уважаемых иностранных конкурентов. Поэтому временной разрыв в данном сегменте есть, но он минимальный. Я не вижу существенных различий между нашими продуктами и аналогами транснациональных компаний, с которыми мы конкурируем в корпоративном сегменте.

Руслан Рахметов

Западные решения в нашем сегменте, IRP, – хорошие, но негибкие. А наш подход подразумевает большую заточенность под заказчика и его процессы. К примеру, западные конкуренты не будут подстраивать свои разработки под Россию. Но нашим клиентам важен индивидуальный подход и правильная кастомизация, и в этом нам действительно удается обходить западные решения.

Евгений Куртуков

В сегменте ИБ отечественные решения за последние пять лет значительно улучшили свои позиции. В ряде случаев продукты уже не уступают западным аналогам, а где-то и превосходят их. На зрелость наших решений позитивно и сильно влияют жесткие правила регуляторов. В целом подход государства к вопросам ИБ в России более зрелый, чем даже в западных странах. К примеру, закон о персональных данных в России был принят на несколько лет раньше, чем аналогичный GDPR в Европе, и гораздо более детально проработан с точки зрения подходов.

Не стоит также забывать и про экономику процесса. Практически во всех сегментах решения из реестра отечественного ПО ниже по стоимости западных аналогов, при схожей функциональности.

Если говорить глобально, не только про ИБ, а в целом про отечественные программные продукты и смотреть на процесс импортозамещения в рамках сравнения с иностранными решениями по функциональности, то большинство вендоров предоставят рынку схожие решения уже в ближайшие 3–5 лет.

Сергей Панов

В целом пока еще отечественные решения существенно отстают.

Дмитрий Пудов

Западные решения зачастую являются технологическими лидерами. Вместе с тем есть ниши, где российские продукты чувствуют себя достаточно уверено. Приятно, что помимо традиционных – криптографии и решений для защиты гостайны – мы видим рост технологичности и функциональности в таких направлениях, как защита БД, управление рисками, защита АСУ ТП и др. Не стоит забывать, что есть российские компании (например, "Лаборатория Касперского"), решения которых ничем не уступают зарубежным аналогам. Более того, не каждый зарубежный производитель может им составить конкуренцию.

Испытываете ли вы тревогу за успешность импортозамещения в информационной безопасности? Почему?

Дмитрий Горелов

У нас все больше и больше появляется оборудования и программного обеспечения, где ключевые технологии контролируют исключительно российские компании. Поэтому оптимизм есть. Тревогу вызывает то, что российский рынок – это лишь единицы процентов от мирового и инвестиции в новые разработки для компаний, работающих только на российском рынке, ограниченны. Приходиться вкладываться точечно и угадывать тенденции. "Бить по площадям" российские разработчики не могут.

Руслан Рахметов

В среднесрочной перспективе качественных российских продуктов станет немного больше, но не настолько, чтобы полностью заменить импортные решения. Потому что есть проблемы, и не только с железом, а начиная с отсутствия возможности прямого участия без АНО в больших национальных программах импортозамещения и заканчивая инструментами прохождения сертификации и добавления в реестр отечественного ПО. Конечно, реализуя пожелания больших заказчиков, отечественный производитель будет повышать качество продукта, но кардинально ситуация по сравнению с нынешней, на мой взгляд, не изменится.

Евгений Куртуков

Импортозамещение – это стратегическая и долгосрочная задача. Текущие тенденции и продолжение политики в этом направлении дают уверенность, что процесс не будет заброшен, а поддержка со стороны государства только увеличится. Каких-либо глобальных тревожных тенденций нет, а временные трудности преодолимы.

Сергей Панов

Не испытываю тревоги за импортозамещение. Просто на все нужно время. В горизонте планирования пяти лет, уверен, отрасль изменится кардинально.

Дмитрий Пудов

Сам термин "импортозамещение" подразумевает, что компании-производители должны быть ориентированы на воспроизведение существующих решений, а не на создание новых решений/технологий. Возможно, в этом есть логическая ловушка и вызов для производителей и государства. Для нас как системного интегратора это зачастую оборачивается тем, что мы получаем российские решения, которые, с учетом цикла разработки, отстают от западных аналогов на несколько лет. Второй момент, который внушает опасение, – ограниченная емкость российского рынка. Компании, действительно нацеленной на создание передовых решений, рано или поздно придется выходить за пределы локального рынка, чтобы поддерживать приемлемый уровень инвестиций в развитие своих продуктов. И тут нас ожидает другой сюрприз: многие преимущества на зарубежных рынках девальвируются. В сухом остатке будет набор технологий, ориентированных на реальную безопасность. Более того, решения необходимо будет адаптировать под новые рынки сбыта, с учетом новых требований и специфики, обеспечить интеграцию с наиболее распространенными решениями этих рынках, что в свою очередь требует еще больше вливаний в продукт, одновременно утяжеляя его и делая менее привлекательным для локального рынка.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019

Приобрести этот номер или подписаться

Статьи про теме