Установка "покупать российское" не упрощает жизнь вендорам

Есть ли в России проблемы с защитным ПО, как бизнес справляется с экстренной миграцией на российские системы, есть ли у российских программ преимущества перед западными, а также каких мер поддержки компании ждут от государства? Поговорили об этом с Львом Матвеевым, основателем и председателем совета директоров "СёрчИнформ", компании-разработчика систем информационной безопасности. \[quote\] Как показал опрос АРПП, уровень использования отечественных ИБ-решений превышал 90% еще до февраля 2022 года. Насколько это "средняя температура по больнице"? Какие сегменты наименее благополучны?\[/quote\] Опрос отражает реальное положение дел в большинстве сегментов. Во-первых, потому что отечественные ИБ-решения всегда были сильны и составляли достойную конкуренцию западным вендорам на местном рынке. Во-вторых, импортозамещение в стране началось не вчера, многие успели обеспечить себя полностью отечественным софтом. Так некоторые наши заказчики с легкой душой говорят – хорошо, что мы купили когда-то все ваши решения, не нужно сейчас экстренно что-то менять. Если говорить о внутренней безопасности, наименее благополучен здесь сегмент SIEM и DCAP. Иностранные SIEM стоят почти у 60% заказчиков, все это кастомизированные системы и, как правило, внедрения занимали у заказчика до нескольких лет. Мы собираемся сыграть серьезную роль в импортозамещении этого софта. С нашей "коробочной" SIEM, которая разворачивается на инфраструктуре заказчика от 6-8 часов, мы сможем побороться с российскими конкурентами. Что касается DCAP, то мы были первыми, кто в 2019 году выпустил отечественный файловый аудитор. Сейчас некоторые конкуренты заявляют о выпуске DCAP, но я думаю, что пока это просто маркетинг, коллеги по рынку не обзавелись большими клиентами. Мы же можем предоставить кейсы реальных внедрений и работы нашего ПО на инфраструктуре в несколько тысяч ПК.\[quote\] Президент России недавно подписал указ о запрете на закупку иностранного ПО для субъектов КИИ с 2025 года. Это правильно?\[/quote\] Я понимаю, чем продиктовано это решение и, вероятно, без таких мер просто не обойтись. При этом в области ИБ для КИИ уже создано множество решений, которые готовы конкурировать с иностранным ПО и без запрета. Однако мы понимаем ситуацию и уже предложили российским организациям механизм по быстрой миграции на российские технологии в случае, если им срочно необходимо заменить ИБ-решение.\[quote\] Что сейчас должно сделать государство, чтобы помочь легче пройти путь импортозамещения?\[/quote\] Я вижу, что это должны быть меры по двум направлениям: поддержка вендоров и поддержка заказчиков. Что касается разработчиков, государство вводит меры поддержки для ИТ-компаний. Кроме мартовского указа президента, в прошлом году уже были первый и второй пакеты мер поддержки. Меры поддержки заказчиков – это субсидирование закупок необходимого ПО. Такое тоже есть, проблема в том, что у этих мер есть ограничения: под льготы попадают только МСП, ИБ-софт не входит в перечень субсидируемого. Это странно, потому что именно информационная безопасность сейчас требует особого внимания. Но самое главное – это меры по развитию экономики, если компании будут чувствовать себя благополучно, сами придут и купят необходимый для работы софт.\[quote\] Что могут сделать вендоры, чтобы помочь?\[/quote\] Многие российские вендоры стараются не повышать цены, дают заказчикам время согласовать бюджеты. Кто-то предлагает специальные условия по миграции. Видя, как тяжело сейчас приходится компаниям, мы, например, объявили акцию : до 1 июля мы заменим иностранное ПО класса DCAP- (Varonis, Imperva, Netwrix и др.) и SIEM-систем (ArcSight, QRadar, Splunk и др.) по цене годовой техподдержки. То есть не будем брать с клиентов повторно деньги за покупку лицензий.\[quote\] Ваше ПО написано на открытом коде или это собственная разработка?\[/quote\] Все наши продукты – собственная разработка. DLP-система "СёрчИнформ КИБ", к примеру – единственное российское решение с собственным движком обработки данных – SearchServer. Мы предпочитаем не использовать открытый код в наших решениях по двум причинам. Во-первых – это критично для безопасности, т.к. уязвимости в оригинальном коде мигрируют в продукт на базе этого кода. Во-вторых, в коммерческом решении клиент платит за уникальные функции, а уникальные функции равны уникальному исходному коду.\[quote\] Сегмент российских SIEM довольно конкурентный. Чем обусловлен ваш выход туда?\[/quote\] "СёрчИнформ SIEM" появилась после множества запросов заказчиков. Клиентов не устраивало, что в классическом понимании SIEM — это "игрушка" для айтишников, что сотрудники ИБ не могут настроить систему под себя без привлечения IT-специалистов — собственных или вендора. Под эти потребности мы сначала дорабатывали функционал "СёрчИнформ КИБ", а после приняли решение выпустить отдельный продукт. В результате появилась система, которая легко разворачивается, настраивается — да еще и бесшовно интегрирована с DLP. Заказчиков это привлекает.\[quote\] Если система так проста и удобна, почему российские заказчики массово не перешли на нее?\[/quote\] Во-первых, к западным решениям просто привыкли и не хотят учиться работать с новым продуктом. Во-вторых, в некоторых компаниях установленные программы закупались на десятки миллионов, а потом еще кастомизировались, годами дорабатывались под конкретные нужды, интегрировались с другим внутренним ПО. Это стоило немалых денег. ИБ-специалистам бывает сложно согласовать бюджет повторно, даже если появилось решение получше. Тем не менее, у нас есть множество кейсов, когда компании переходили с западной на нашу SIEM. Заказчики отмечали скорость развертывания и получения первых результатов, простоту создания правил корреляции. Сейчас у отечественных заказчиков появилась возможность "переехать" на нашу систему по цене техподдержки, не оплачивая повторно лицензии. Я думаю, желающих будет достаточно.\[quote\] Давайте обсудим ситуацию на российском рынке DCAP. Почему вы решили разрабатывать отечественное решение, когда рынок был прочно занят западными системами?\[/quote\] На "СёрчИнформ FileAuditor" было много предзаказов: рынок нуждался в отечественном решении с широким функционалом по приемлемой цене. В РФ тогда были представлены только иностранные системы, которые этим требованиям не соответствовали. Один из заказчиков пришел с конкретным кейсом. Он увидел дорогостоящее исследование рынка, которое стоило его компании около 100 тысяч долларов, в интернете. Как выяснили, права доступа к файлу были у нескольких десятков человек, но кто-то переложил документ в общую папку, и исследование оказалось в доступе у 300 сотрудников. Так от запросов конкретных клиентов появился новый продукт для всего рынка.\[quote\] Ваш FileAuditor повторяет функционал западных систем или имеет оригинальные возможности?\[/quote\] Мы и здесь пошли по своему пути, а не повторяли чужой. Только наш FileAuditor – настоящее средством контентного разграничения доступа. Система сама анализирует файл и принимает решение – показать его пользователю или нет, запретить ли действие с ним. Во всех DCAP-системах оценивается атрибут файла, в котором прописаны параметры доступа. Проблема такого подхода в том, что любой пользователь с доступом может взять секретный документ, сохранить его в другом формате, перенести в папку общего доступа – и там его сможет посмотреть любой желающий. В случае с нашим FileAuditor такое не пройдет. Второе существенное отличие – у нас реализована возможность блокировать доступ и пересылку конфиденциальных файлов в любых приложениях. Конкуренты этого не могут. Для российского пользователя существенным преимуществом станет и лучшая поддержка кириллицы, чем у иностранных аналогов.\[quote\] Проще или сложнее стало работать на российском рынке в изменившихся условиях? Какие появились новые возможности, какие риски создает новая ситуация?\[/quote\] То, что сейчас у заказчиков установка "покупать российское", – не упрощает жизнь вендорам. По крайней мере среди решений по внутренней безопасности – конкуренция между российскими программами чуть ли не жестче, чем на международном рынке. У нас много сильных конкурентов в DLP и SIEM, так что – нет, проще не стало. Более того, если заказчикам сложно, то эти сложности отражаются и на вендоре. Мы же не просто поставляем продукт и забываем о клиенте. У нас постоянно на связи с заказчиком менеджер, специалист техподдержки, специалист внедрения. В сложные времена мы еще больше погружены в задачи клиента. Сейчас компании меняют ИТ-инфраструктуру: ПО, сетевое оборудование ушедших вендоров на новое. А это новые уязвимости, новые каналы передачи данных, новые интеграции, новые политики безопасности… Многим заказчикам приходится на ходу перестраивать защиту или даже полностью заменять и защищающий софт. Чтобы четко решать эти проблемы, нужна слаженная работа вендоров, ИТ- и ИБ-департаментов, которые должны все это запускать и думать, как защитить. Ссылка на источник