Информационная безопасность – одна из наиболее «импортозамещенных» в области ИТ на сегодняшний день, причем замещение большинства иностранных решений произошло задолго до появления этого слова. С одной стороны, от импортных продуктов отрасль огораживало российское законодательство: для работы с государственными заказчиками производителям были необходимы сертификаты ФСТЭК и ФСБ, некоторые из них требовали передачи исходных кодов, что уже затрудняло работу иностранных разработчиков в стране. Касалось это не только сегментов, где обрабатывается гостайна, но и открытых сегментов государственных информационных систем. В некоторые ниши, например криптошлюзы для государственных органов, иностранные игроки никогда не допускались.
С другой стороны, защита информации (именно информации, а не данных) требует ее классификации, следовательно, понимания семантики русского языка, которой ввиду малости российского рынка таких решений по сравнению, к примеру, с англоязычным, иностранные производители занимаются «по остаточному принципу». Поэтому там, где нужно «понимать» русский язык, в частности в фильтрации контента − DLP, e-Discovery, частично антиспам, российские решения вытеснили зарубежных конкурентов без всяких юридических ограничений.
Наконец, сильные математическая, криптографическая и программистская школы СССР позволили российским компаниям создавать продукты в области информационной безопасности, конкурентоспособные на мировом рынке, тем более в своей стране. Такие ниши, как, например, антивирусы, в России закрыты практически полностью за счет российских решений «Лаборатории Касперского» и «Доктор Веб».
Таким образом, к моменту обострения геополитической обстановки, появлению антироссийских санкций и началу реализации российской политики импортозамещения в области ИТ информационная безопасность подошла наиболее подготовленной, наравне разве что с решениями для автоматизации бухгалтерского учета, которые тоже развивались в огороженной правилами российского бухучета нише. Практически во всех нишах ИБ уже работали российские продукты, а во многих не было иностранных. Остатки иностранных решений вытеснил сначала подскочивший в два раза курс доллара, а затем целенаправленная политика государства, постепенно распространяющая импортозамещение на все большее количество предприятий. Помогают им в этом сами иностранные производители, подчиняющиеся секторальным американским антироссийским санкциям и отказывающиеся продавать свои продукты российским компаниям, даже если те и хотят их приобрести.
Сегодня практически всю инфраструктуру информационной безопасности крупной компании можно построить на российских решениях. Однако остались отдельные сегменты информационной безопасности, в которых российские решения если и существуют, но не доминируют. Прежде всего это касается высокопроизводительных решений, таких как межсетевые экраны нового поколения (NGFW), «песочницы» и контроль доступа в Интернет, – тут «правят бал» американские Cisco, Palo Alto Networks, Intel Security (McAfee) и FireEye, израильская Check Point. Защита от DDoS-атак, особенно на крупных предприятиях и в операторском сегменте, представлена в основном американской Arbor и израильской RadWare. И так еще в нескольких нишах информационной безопасности: российские решения в этих областях существуют («Лаборатория Касперского», «Групп-АйБи», «Инфовотч» и «Куратор» предлагают конкурентные для небольших компаний решения) и неплохо себя окупают, но не могут конкурировать с американскими и израильскими решениями в высоконагруженном и требовательном к функционалу сегменте.
Рыночными мерами эту проблему быстро не решить – для создания высоконагруженных и многофункциональных решений нужны немалые инвестиции, которые не удастся вернуть, даже если забрать весь российский рынок себе. Поэтому государству надо определиться: хочет ли оно иметь в стране полный стек решений в области безопасности, включая высоконагруженный сегмент, или нет. Вопрос не праздный: в стране большой сегмент рынка составляют именно крупные территориально распределенные компании и ведомства с десятками и сотнями тысяч сотрудников в десятках и сотнях филиалах − «Газпром», РЖД, МВД, «Ростелеком», «Транснефть», «Росатом», «Сбербанк» и другие банки, «Роснефть» и ее «коллеги», ведущие металлургические и энергетические компании, промышленно-финансовые группы, которые нуждаются в надежной защите и специфических сервисных функциях.
Если государство хочет иметь полный стек технологий в области информационной безопасности, то в нишах, где российские компании не доминируют, необходимо поддержать российских разработчиков. Причем поддержка в виде госзаказа предпочтительнее, чем льготы или целевое финансирование, поскольку дает не только деньги, но и «пользовательские истории»: функции и сценарии использования продукта, которые нужны конкретным заказчикам. Это важно, потому что копировать функции иностранных продуктовых лидеров одна за другой неэффективно – их функции создавались под другие требования в других странах, следовательно, их польза может оказаться неочевидной. Создавая продукты под своих заказчиков, разработчики могут сфокусироваться на функциях, которые нужны именно им, существенно экономя на неприоритетных.
Многие российские разработчики, чтобы обеспечить необходимую заказчику функциональность, строят свои решения на продуктах с открытым кодом, в дальнейшем постепенно переписывая их от версии к версии, заменяя открытый код своим. Такой подход обеспечивает быстрый старт с последующей адаптацией продукта под нужды именно российских заказчиков и переходом на собственный проприетарный код и полный контроль над приложением. Такие приложения с самого начала представляют клон популярных приложений с открытым кодом и по закону считаются российскими, получая все преимущества такого статуса.
Тем не менее надо разделять поддержку российских разработчиков и импортозамещение. Первая цель − экономическая, вторая – скорее оборонная. Стратегия импортозамещения решает две задачи. Первая − обеспечить доступность систем, т. е. невозможность их отключить по причине санкций, что уже происходило по географическому принципу (например, в Крыму), и по отраслевому − с компаниями, попавшими под секторальные санкции. Вторая – обеспечить безопасность данных, обрабатываемых этими системами. По откровениям Сноудена мы знаем, что некоторые американские продукты и сервисы имеют инструменты внутреннего контроля, замаскированные под сбор статистики и телеметрии, а также импланты спецслужб, поэтому допускать возможность их отсутствия у других продуктов было бы неосмотрительно.
Чтобы решить первую задачу, достаточно использовать не только российские разработки, но и приложения с открытым кодом – сборка их происходит в России, поэтому никто не сможет их отключить по какой-то причине. Для решения второй задачи можно использовать и иностранные решения, но контролировать их на уровне кода, например при сертификации. Закон об импортозамещении допускает применение сертифицированных иностранных решений при отсутствии российских аналогов.
Стоит сказать и о том, что импортозамещение в отдельно взятой информационной безопасности невозможно – программные продукты работают на определенных операционных системах, используют служебные программы для управления базами данных, которые, в свою очередь, функционируют на компьютерном «железе». Аппаратная часть, как и программная, тоже грешит уязвимостями и «закладками». Более того, приложения разрабатываются в программных средах и собираются компиляторами – все эти инструменты надо заменять российскими для полного импортозамещения, поскольку в процессе сборки и компиляции в программы теоретически может добавляться функционал, не предусмотренный разработчиками.
Что же делать в сегодняшней ситуации, готова ли Россия к полному импортозамещению хотя бы в области информационной безопасности? Полный стек технологий безопасности отсутствует, недостает импортозамещения на «железном» и системном уровнях – большинство программ российских производителей даже из Реестра российского программного обеспечения, как ни грустно это констатировать, работают исключительно на процессорах Intel и операционной системе MSWindows.
В первую очередь нужно обеспечить этот процесс на ключевых точках, прежде всего в армии и спецслужбах. Там импортозамещение должно быть полным: с использованием российских процессоров и контролируемых операционных систем – адаптированных клонов Linux. Это можно осуществить довольно быстро, поскольку многое уже сделано. К тому же сильная часть российских продуктов не в удобстве пользователя, а в ядре системы, а люди военные больше ценят эффективность в отражении атак, а не комфорт.
Пока замещение не произведено, нужно усилить контроль над используемыми продуктами, как российскими, так и иностранными, на предмет уязвимостей и недекларированных возможностей, «закладок».
Уровень глубины импортозамещения придется определять государству. Готово ли оно в перспективе полностью перейти на российскую электронику, контролируемые операционные системы (как настольные, так серверные и мобильные) и высокопроизводительные прикладные системы? Ведь за счет только российского рынка (в отличие, например, от китайского) обеспечить окупаемость разработки процессоров (настольных, серверных и мобильных) и операционных систем невозможно. Можно, конечно, помогать российским разработчикам окупать разработки путем поддержки государством экспорта в «дружественные страны» − Латинскую Америку, Юго-Восточную Азию, Африку и на Ближний Восток, и многое в этом направлении уже делается. Но надо понимать, что полную технологическую независимость могут позволить себе только очень богатые страны, и сегодня их две: США и КНР. В программе «Цифровая экономика» заложено финансирование отдельных технологий, которые государство считает ключевыми, но полного импортозамещения даже в отдельно взятой информационной безопасности там не наблюдается, не говоря уже о создании за государственный счет средств разработки программного обеспечения. Поэтому наиболее очевидным предполагается половинчатый вариант: разработка за государственные средства полного стека технологий для оборонной промышленности и импортозамещение в виде поддержки российских производителей за счет госконтрактов и различных льгот.
Такая стратегия разрабатывалась в предположении, что санкции не будут ужесточаться, но при этом долго не будут сняты. Соответственно существенного целевого финансирования, достаточного для создания аналогов иностранных продуктов, не предусматривалась. Современная международная политическая обстановка располагает именно к таким прогнозам, но что будет, если она изменится и иностранные продукты станут просто недоступными?
