Лев Матвеев, «СёрчИнформ»: Вернувшись обратно, западные вендоры не вернут доверие клиентов
Заказчиков после лихорадки пандемии в 2022 году встретили новые испытания – экстренный процесс импортозамещения. Зарубежные вендоры ушли с рынка очень по-разному, некоторые – оставив своих клиентов в полной неопределенности и без защиты. Лев Матвеев, председатель совета директоров «СёрчИнформ», рассказал о своем видении ситуации и ответственности ИБ-вендоров.
Каких изменений вы ожидаете от последних событий в мире и в России для рынка ИБ-решений – в обозримой перспективе и более отдаленной?
Лев Матвеев: Давайте сразу оговоримся: ИБ-рынок делится на ПО для защиты от внешних и внутренних угроз. Я – специалист по внутренним угрозам, и здесь могу привести четкие цифры, высказать мотивированное мнение. За ПО для защиты от внешних угроз, естественно, тоже слежу, но не настолько глубоко погружен в эту тематику.
Теперь к ответу на вопрос. Изменения в обозримой перспективе очевидны: заказчики в экстренном порядке переезжают с сервисов, которые не просто ушли с рынка, а отозвали ключи от лицензий, превратив ПО в «кирпич». Так поступила, например, компания Fortinet.
В нашем сегменте рынка ПО для защиты от внутренних угроз почти ничего не изменится, потому что российские решения в некоторых классах ПО занимают более 90% рынка. Например, в классе DLP-продуктов мы сильнее западных аналогов, и я много раз об этом говорил. На рынке SIEM-систем тоже все неплохо: есть мы, есть коллеги из MaxPatrol, RuSIEM. Разница в функционале западных и отечественных систем есть, но она не настолько велика как, условно говоря, разница между «мерседесом» и «жигулями».
Резюмируя сказанное: с точки зрения ухода западных ИБ-компаний трагедии для российского ИБ-рынка вообще нет, точно так же, как нет трагедии в связи с уходом Макдоналдса.
Что не заменяемо для ИБ-рынка?
Лев Матвеев: Сложно сказать. Есть UserGate, которым можно заменить зарубежные файерволы, антивирус Касперского, который работает точно не хуже, чем Symantec, существуют и отечественные защитные решения от DDoS-атак.
Банкам сложно уйти с СУБД Oracle, потому что даже самая проработанная база данных из России, хотя и справляется с банковскими задачами, но требует в три раза больше вычислительных мощностей. Из DCAP-решений работающее и обкатанное минимум в течение года ПО имеется только у нас, но, думаю, что конкуренты со временем подтянутся. Получается, что в отдельных отраслях сложности будут, но они решаемы в обозримой перспективе.
Всё сразу заменить не получится, а возможно, и не имеет смысла. Очевидно, требуется аудит внутренней системы обеспечения ИБ. Вы можете дать общие рекомендации, очевидные для вас: какие именно западные решения в сфере ИБ следует заменять первыми?
Лев Матвеев: SIEM-, DCAP-, DLP-системы нужно замещать в первую очередь, потому что это критически важное ПО, и если оно в нерабочем состоянии, то компания под угрозой. Тем более, что такие решения представлены на отечественном рынке, они не хуже западных и заменить их можно за пару месяцев. То же самое я бы сказал о фаерволах, антивирусах — их нужно заменять отечественными решениями.
Российские разработки в области ИБ традиционно считаются передовыми, не отстающими от западных решений. Почему же российские предприятия, компании продолжают пользоваться западными системами?
Лев Матвеев: Первая причина – привычка: пользователи не хотят что-то менять, учиться работать с новым продуктом. Кто-то привык ездить на машине с механической коробкой, и ему не хочется переходить на автомат. Вторая причина: в некоторых компаниях установленные программы кастомизируются и годами дорабатываются под конкретные нужды, интегрируются с другим внутренним ПО. Это, в частности, специализированное отраслевое ПО, которое уникально для каждой отрасли. Например, ПО для цифровизации производства будет заменить сложно – софт для инжиниринга или контроля производства. Мало того, что это ПО часто иностранное, так оно еще и в каждом случае дорабатывается под конкретное предприятие годами. То есть весь путь внедрения нового софта компаниям придется начать сначала, даже если аналог из РФ формально существует.
Какие проблемы предстоит решить рынку и государству, чтобы импортозамещение шло быстро и эффективно?
Лев Матвеев: Рассуждения о проблемах импортозамещения идут не первый год, и они давно обозначены. Если коротко: с прикладным ПО в стране все отлично, с операционными системами и базами данных – ситуация «средней сложности». Операционки есть, но они сплошь клоны западных, их много, и вендорам прикладного ПО практически невозможно поддерживать их все. Для простоты я сравниваю ситуацию с розетками в домах. Мы ведь не делаем где-то европейские розетки, где-то американские, а где-то российские? Во всех домах стандартные розетки, и это удобно. Так же и с ОС. Необходимо выбрать одну-две операционные системы, которые нужно поддерживать, а не заставлять вендоров распылять ресурсы на десятки линуксовых клонов. В этом контексте важно сделать единый ГОСТ и единые стандарты, и если операционная система хочет работать на рынке, она должна поддерживать эти стандарты.
То же самое с базами данных, той же СУБД PostgreSQL: пусть производитель организует варианты легкой конвертации из MS SQL. Вместо того, чтобы напрягать тысячи вендоров, логично напрячься одному.
Ну и главная проблема импортозамещения – это российское «железо», а вернее его отсутствие. Но про данную проблему я рассуждать не буду, поскольку имею привычку говорить только о том, в чем хорошо разбираюсь. Одно отмечу: дефицит зарубежного оборудования пока не очень заметен, но если ситуация не изменится, то в полной мере мы с ним столкнемся через полгода-год. Решение – использование облаков. Например, всё наше ПО доступно для использования в облаке. Мы предлагаем заказчикам свое облако и тогда все данные хранятся на серверах «СёрчИнформ», либо клиент может выбрать любого другого облачного провайдера.
По вашей оценке, насколько широко сегодня распространены западные ИБ-решения на российском рынке? В каких сегментах экономики пространство для импортозамещения наиболее велико?
Лев Матвеев: Западное ПО распространено очень по-разному. Например, в классе SIEM-систем, иностранное ПО используют порядка 60% заказчиков, так что пространство для импортозамещения есть. Другое дело, менять SIEM для заказчика не так просто: ПО всегда кастомизируется, долго внедряется. Поэтому даже при желании быстро импортозаместить эти 60% не получится. Но мы рассчитываем в этом процессе сыграть большую роль, потому что наша SIEM-система создавалась как коробочное решение. Она разворачивается на инфраструктуре заказчика от 6 часов, начинает работать сразу, т.к. поставляется с предустановленными правилами.
Мы видим, как тяжело сейчас приходится компаниям, поэтому мы решили объявить акцию: до 1 июля заменим иностранное ПО класса DCAP- (Varonis, Imperva, Netwrix и др.) и SIEM-систем (ArcSight, QRadar, Splunk и др.) по цене годовой техподдержки. То есть не будем брать с клиентов повторно деньги за покупку лицензий.
Если сравнить функционал одного из лидеров рынка, зарубежный Varonis и ваш FileAuditor, в чем одно превосходит другое, в чем уступает?
Лев Матвеев: Чтобы не уходить надолго в рекламу, обозначу три критичных параметра. Первый: только наш FileAuditor является настоящим средством контентного разграничения доступа. То есть система сама сначала анализирует файл и принимает решение – показать его пользователю или запретить действие с ним. Во всех остальных системах оценивается атрибут файла, в котором прописаны параметры доступа. Уязвимость этого подхода в том, что любой пользователь с доступом может взять секретный документ, сохранить его в другом формате, перенести в папку общего пользования и там его сможет посмотреть любой желающий. В случае с нашим FileAuditor такое не пройдет.
Второй параметр: у нас реализована возможность блокировать доступ и пересылку конфиденциальных файлов в любых приложениях. Конкуренты этого не могут.
И третье преимущество нашего решения: существенно более хорошая поддержка русского языка. В России подавляющее большинство документации ведется на русском языке и корректная работа ПО с кириллицей критична. Иностранные аналоги этим похвастаться не могут.
В чем преимущества FileAuditor перед аналогичными отечественными продуктами, представленными на рынке?
Лев Матвеев: Если называть конкурентами тех, кто заявил в СМИ «о выпуске собственного DCAP-решения», то преимущества у нас есть. Но я всегда был уверен в том, что если выпущена альфа- или бета-версия продукта, но система не поработала в боевых условиях у клиентов хотя бы год, и нет открытых отзывов, то и продукта нет. Не секрет, что красиво расписать функционал маркетологи умеют отлично.
Кроме прочего, вопрос не только в сроке эксплуатации продукта. Важно, чтобы решение работало у крупных заказчиков, ведь одно дело развернуться на 100 компьютерах, и совсем другое – на десятках тысяч. Благодаря тому, что мы давно на рынке и нас знают по флагманской DLP «СёрчИнформ КИБ», у нас есть такие внедрения и с FileAuditor. Крупные заказчики доверяют нашему качеству и закупили лицензии сразу на весь парк компьютеров. Могут ли похвастаться этим наши «конкуренты»?
Отвечу политкорректно: конкуренты есть, но они только начинают свой путь. Сравнивать функционал работающего продукта с «заявлениями в пресс-релизах» не считаю корректным. Я бы отметил также, что мы конкуренции никогда не боялись, понимая, что делаем не очередной «китайский клон», а разрабатываем уникальный продукт, зачастую принципиально с другим подходом к решению задач клиента. Я считаю, что нужно делать не кальку с зарубежного продукта и вешать шильдик «Сделано в России», а разрабатывать уникальное ПО или хотя бы с определенной изюминкой и идеологией. Иначе за пределами РФ перспектив у такого ПО не будет, и вендор быстро упрется в «потолок».
А в чем функционально проигрывает и выигрывает «СерчИнформ SIEM» у зарубежных конкурентов?
Лев Матвеев: SIEM-систему мы разрабатывали, понимая, что не все наши клиенты могут позволить себе нанимать специалиста для написания правил корреляции и работы только с этой системой. Поэтому применили принципиально отличный от конкурентов, в том числе зарубежных, подход: сделали ее коробочным решением, благодаря чему программа разворачивается на инфраструктуре заказчика от 6 часов и сразу выдает результат. Ее не нужно настраивать месяцами и заниматься «скриптописанием», наша SIEM-система более простая и понятная.
Я бы сказал так: раньше в машинах была только механическая коробка, а сейчас практически везде автоматическая, и, на самом деле, на автомате проще учиться, легче и безопаснее ездить. Наша SIEM-система, по сути, коробка-автомат вместо механической коробки. ArcSight, QRadar и прочие зарубежные компании – это скорее механика: есть свои плюсы, но в целом и сложнее, и с кучей неудобств.
У вас целый спектр продуктов в области инфобезопасности. ИБ-системы от одного вендора – это хорошо?
Лев Матвеев: Вы, наверное, слышали от ИТ- и ИБ-специалистов такое выражение как «зоопарк решений». Оно употребляется в контексте: не закупайте множество продуктов, которые будет сложно подружить между собой, с которыми будет сложно работать и поддерживать. Так вот, в нашем случае системы от одного вендора бесшовно интегрированы и взаимодействуют между собой лучше, чем с какими бы то ни было сторонними программами. И это логично.
Интеграция SIEM-продукта и FileAuditor с нашeй DLP-системой «СёрчИнформ КИБ» дает заказчику несоизмеримо больше возможностей, чем использование ПО от разных производителей. Простой пример: FileAuditor заблокировал пересылку конфиденциального файла, информация за периметр не ушла. Но что привело к инциденту? Не повторит ли злоумышленник попытки отправить информацию? Дальше в дело вступает DLP-система, в которой масса возможностей для контроля, мониторинга связей пользователей, поиска и расследований.
Вы ожидаете сопротивления импортозамещению со стороны западных ИБ-вендоров? Как изменится конкурентная ситуация на рынке в целом?
Лев Матвеев: Сопротивления не ожидаю, они добровольно приостановили работу. Мало того, даже если они вернутся в Россию, в сфере ИБ мало что изменится. Если компания хлопает дверью и говорит, что больше не будет поддерживать продукты или, что еще хуже, отзывает оплаченные лицензии, то это крайне некорректно. Западные игроки бросили добросовестных заказчиков в один из самых непростых моментов. Получается, что российские компании должны экстренно искать замену иностранным ИБ-продуктам, и параллельно изыскивать бюджет, чтобы второй раз закупить лицензии защитного ПО. Это, по моему мнению, крайне нечестно. При этом на российские компании давят и другие факторы: из-за роста рисков внутренних и внешних инцидентов регуляторы ужесточают требования к защите, вышел указ Президента о запрете на закупку иностранного софта на объекты КИИ.
Уверен, что даже если западные вендоры вернутся на российский рынок, они уже не смогут вернуть доверие клиентов. ИБ-решения нельзя не обновлять, потому что угрозы меняются. Считаю, что те апологеты западного софта по инфобезопасности, которые еще останутся в компаниях после этих событий, при возврате западных компаний, получат серьезное внутреннее сопротивление от руководства.