"Гарда": данные как один из важнейших активов бизнеса

О том, почему игроков, которые ищут новые ИБ-стартапы в России все больше, а стартапов - все меньше, ожидает ли рынок предоставления услуг кибербезопасности монополизация, и о многом другом ComNews рассказал заместитель генерального директора группы компаний "Гарда" Рустэм Хайретдинов.

Каковы итоги реорганизации "Цитадели"? Каковы были цели и достигнуты ли они?

Выделение части продуктов "Цитадели" в "Гарду" имело целью сфокусироваться на рыночном продвижении продуктов корпоративной информационной безопасности и комплементарных продуктов и сервисов на конкурентном рынке. Сегодня под управлением компании портфель из нескольких продуктовых групп: защита данных (DBF, DCAP, DLP, Маскирование, Аналитика), защита сети (операторский и корпоративный анти-DDoS, WAF, Deception, TI, NDR, на подходе NGFW), управление сетью (пакетные брокеры, коммутаторы, балансировщики), продукты для телеком-операторов (DPI, PCEF), а также профессиональные сервисы по построению корпоративной информационной безопасности. Часть продуктовой линейки компания унаследовала, часть разработала уже будучи самостоятельной, часть получила в рамках процесса слияния и поглощения небольших перспективных компаний. Рост продаж за 2022-2023 годы составил более 80%, что гораздо выше среднерыночного. Без потери роста флагманских продуктов мы обеспечили рост продаж новых продуктов и расширили клиентскую базу, то есть можно смело говорить, что стратегия выбрана правильно и успешно реализуется.

Какие драйверы определяют рост рынка ИБ в России сегодня и в среднесрочной перспективе? Находимся ли мы в русле мировых тенденций? И если да, то как они преломляются к ситуации у нас?

Сегодня в России работают одновременно все традиционные драйверы рынка информационной безопасности: и реальные инциденты (incident-driven security, основной мотив - чтобы никогда не повторился), и требования регулятора (compliance-driven security, чтобы регулятор не оштрафовал), и оценка рисков для цифровых систем (risk-driven security - рисковая модель инвестиций).

Общемировая тенденция - смещение фокуса в сторону первоочередного выполнения требований регуляторов, у нас она тоже присутствует, но в меньшей мере, поскольку реальные массовые атаки на российские ресурсы заставляют владельцев цифровых систем заниматься практическими вопросами безопасности.

Кто сейчас конкурирует на рынке ИБ-сервисов для предоставления услуг крупному бизнесу и государству? За какие сегменты идет основная битва?

Мы не предоставляем ИБ-сервисы конечным клиентам, но крупные провайдеры оказывают им такие сервисы на базе наших разработок, например, защиту от DDoS и WAF. Массовые атаки вызвали спрос на такие услуги, поэтому этот рынок активно растет. Преимущество на нем имеют крупные провайдеры, обладающие и развитой инфраструктурой, и фокусной экспертизой. Растут сервисы SOC и антифрод, но их размер еще невелик как в деньгах, так и в количестве подключений. Если своим трафиком компании еще готовы делиться с провайдером (физически входящий трафик и так еще не их), то делиться своими событиями в инфраструктуре и тем более транзакциями, готовы пока немногие. Традиционно пользуются спросом экспертные сервисы - аудиты, расследования, тестирование на проникновение, анализ кода, но они плохо масштабируются, поскольку время экспертов ограничено, поэтому многие компании часто используют их как пресейл или дополнительные услуги, и рассматривать это как отдельный рынок я бы не стал.

Месяц назад ГК "Солар" запустила программу поддержки ИБ-стартапов Cyber Stage, компания "Газинформсервис" проводит "Биржу ИТ-стартапов". Является ли привлечение стартапов основным способом поиска новых идей на рынке ИБ? Почему игроков, которые ищут новые ИБ-стартапы в России, все больше, а стартапов - все меньше?

Российский стартап в ИБ сегодня - исчезающий вид, основные инновации рождаются в крупных компаниях - там есть и ресурсы, и данные для обучения, и инфраструктура для тестирования. Большинство новых продуктов на рынке - инициативы больших компаний, в том числе и непрофильных. Банки, нефтяные компании, розничные сети и т.п. могут сами разрабатывать для себя инновационные решения, в том числе и в области ИБ. Информационная безопасность сегодня не лучший сегмент для вложения денег - это слишком зарегулированная отрасль. Например, поставить небольшой компании свой MVP ИБ-решения в периметр заказчика непросто: классическому стартапу без продаж сложно получить сертификат ФСТЭК, без которого эксплуатация средств защиты проблематична.

Ожидает ли рынок предоставления услуг кибербезопасности монополизация в том или ином виде?

Если речь идет об экспертных сервисах (аудиты, пентесты, расследования), то никакой монополизации не предвидится, основные игроки рынка - это команды с максим десятком профильных специалистов, и управлять сотнями, скажем, пентестеров просто невозможно. Если речь идет об управляемых сервисах (MSSP), то в этой отрасли точно будет укрупнение, поскольку предоставление таких сервисов часто строится вокруг телеком-услуг, поэтому крупные телеком-провайдеры будут иметь преимущество. Укрупнение - да, но монополизация вряд ли.

Как в современных условиях поступать небольшим компаниям, которые, так же как крупные предприятия, вынуждены выполнять все требования закона, в том числе в сфере работы с персональными данными, а их возможности резко ограничены?

Так же, как они поступают с любыми ИТ-требованиями: бухгалтерия, кассовое обслуживание и т.п. - использовать уже защищенные облачные сервисы, а там, где полный переход в облака невозможен, - аутсорсинг, который в небольших компаниях часто выражен в "приходящих специалистах".

На многочисленных ИБ-конференциях дискуссия между основными игроками рынка идет в трех плоскостях: первое - защищать весь периметр или сформулировать недопустимые события и делать их невозможными; второе - использовать сигнатурные методы или подход secure by design; третье - не допустить проникновение ("стрелять в того, кто только занес ногу над забором") или работать в ситуации, когда киберпреступник уже проник в периметр (в том числе пытаясь предугадать, куда он направится). Как выглядит позиция ГК "Гарда" в этой трехмерной системе координат?

Это довольно абстрактная классификация, и в каждой плоскости возможен выбор не только "или", но и "и". Мы представляем продукты, которые позволяют заказчику решить любую задачу: защищать периметр (antiDDoS и WAF), искать уже проникших в систему злоумышленников (NDR и ловушки), противодействовать хищениям данных (можете называть это недопустимыми событиями) как хакерами, так и инсайдерами (DBF, DLP, DCAP, Маскирование). Во всех наших решениях используются как сигнатурные методы, ускоряющие поиск уже где-то "засвеченных" паттернов атак, так и решения в области ИИ, которые позволяют детектировать еще неизвестные атаки. Если говорить об общем подходе, то наш конек - защита данных. В отличие от большинства производителей средств защиты, мы не только понимаем, как именно хакеры лезут в сеть наших заказчиков, но видим и знаем, за чем они лезут.

ComNews, как наверняка и другие СМИ, еженедельно получает не менее 10 псевдоисследований о ситуации на рынке ИБ от его российских игроков, причем цифры и критерии часто сильно разнятся. С какой целью игроки рынка активно тиражируют эти "пугалки", почему в РФ до сих пор не появились независимые исследователи этого рынка? Заинтересована ли "Гарда" в появлении таких исследований?

Маркетинговые брошюры в виде "исследований" - это тренд рынка, и не только российского. Хотя компании, имеющие большую клиентскую базу, способны собирать действительно эксклюзивную информацию, они почему-то предпочитают делать посредственные исследования в виде опросов или довольно банальных утверждений "утечек (атак, инцидентов, ущерба) стало больше", потому что такие исследования направлены на непрофессионалов, которые, например, могут купить ваши акции или продукты. Нам, как активному игроку рынка слияний и поглощений, очень интересна, например, рыночная информация - объем рынка определенных решений, конкурентный анализ игроков и их рыночных стратегий. При том, что почти все закупки идут на торговых площадках, а все игроки сдают налоговую отчетность, то есть исходные данные есть, нам приходится делать такие исследования самостоятельно, поскольку предложение по таким отчетам отсутствуют.

Почему при большом количестве отечественных игроков на рынке РФ за пределами страны известны лишь единицы? Планирует ли "Гарда" продвигать продукты и услуги за рубежом. Если да, то какие именно и в каких странах-регионах?

Российский рынок очень комфортен, особенно теперь: он защищен регулированием, стимулируется импортозамещением, очень понятные конкуренция и отстройки. Мы в ближайший год специально не планируем продвижение за рубежом, за исключением Белоруссии, где уже хорошо представлены. Однако время от времени наши партнеры заказывают у нас лицензии для стран СНГ, стран Персидского залива и Африки. Партнеры продают и поддерживают наши продукты самостоятельно, и их заказчиков устраивает английский (в СНГ часто и русский) интерфейс. Как только накопится критическая масса клиентов, требующая нашего присутствия в стране, мы, возможно, и откроем там представительство на базе партнера.

За последние два года сразу несколько компаний представили или завершают разработку межсетевых экранов нового поколения (NGFW), ГК "Гарда" недавно презентовала продукт "Гарда WAF" - автоматизированную платформу защиты веб-приложений и API. Чем она отличается от NGFW и почему "Гарда" пошла именно этим путем?

Это разные классы решений, одно для защиты веб-приложений, другое для защиты корпоративной сети. Мы планируем выпускать оба продукта для разных задач, решаемых нашими клиентами. WAF мы уже выпустили, NGFW появится в этом году позже.

В реестре отечественного ПО значатся десятки операционных систем. С какими из них совместимы продукты "Гарда" и есть ли у вас планы/возможности обеспечить совместимость со всеми ОС?

В базе мы поддерживаем Astra Linux и AltLinux, для крупных заказчиков готовы портировать решения и на другие ОС. Если наши заказчики будут использовать все ОС, мы рано или поздно поддержим их все.

Недавно на сайте "Гарды" появилась новость, что "Гарда" отразила атаку на информационные ресурсы "ИКС Холдинга". Выглядит так, словно "ИКС Холдинг" оказался единственным объектом таких атак. Не кажется ли вам, что нежелание заказчиков публично рассказывать о кибератаках создает вакуум информации на рынке и не позволяет другим компаниям должным образом защититься от похожих угроз?

То, что подробности об атаке не были опубликованы, не означает, что она не передана в различные центры защиты в виде индикаторов компрометации, то есть профессиональные участники рынка получили всю нужную для отражения подобных атак информацию. На наши "фиды" (поток индикаторов компрометации) подписаны практически все игроки рынка.

Услугами ИБ занялись многие крупные операторы связи: "Ростелеком", МТС, "Билайн", "МегаФон". Создает ли наличие телекоммуникационной сети дополнительные возможности для ИБ-компании

Конечно, большая клиентская база по телеком-услугам делает простой допродажу сервисов безопасности: "Покупаешь трафик? Доплати немного и получишь защищенный трафик. Просто поставь галочку в личном кабинете, и мы добавим тебе эту услугу в счет!" Сложно отказаться от такой простой возможности масштабировать бизнес. Обычным вендорам такое не под силу, но мы, например, продаем наши решения провайдерам, а они на их основе оказывают сервисы корпоративным клиентам - так называемый b2b2b.