Очередная оценка рынка ИБ в России

Компания LETA IT-company выпустила второй отчет «Навстречу переменам: рынок информационной безопасности 2007-2008», посвященный рынку ИБ в России. У меня и к первому отчету были серьезные претензии, но видимо авторы второй версии не приняли во внимание всю ту критику, которая на них свалилась. При этом авторы смело заявляют «Первый отчет был выпущен в начале 2007 года и многие его оценки стали признанными фактами на рынке информационных технологий«.

Что же меня смутило в этом отчете? Во-первых, названный объем рынка в 912 миллионов долларов. Наверное, приятно причислять себя к почти миллиардному рынку, но эта цифра не просто взята с потолка, — она притянута за уши. Причем авторы противоречат сами себе. В прощлом отчете объем «белого» рынка ИБ составлял 250 миллионов; в этом — 431. При этом цифра рост объявляется в 45-50%! Как у математика (в прошлом) у меня при этих объемах такого роста никак не получается. Другая цифра — 6% всего рынка — это аппаратное обеспечение. Только мы, как один из крупнейших производителей именно аппаратной безопасности, зарабатываем в России вдвое больше. А ведь помимо нас встречаются и другие игроки (нечастно, но встречаются 😉

Вообще приведенные цифры, кроме как гаданием на кофейной гуще не назовешь. «Белый» рынок, «черный» рынок, «серый» рынок? Как его оценивали? Откуда такие цифры? Что в них входит? Если только то, что четко называется средством защиты, то 912 миллионов — это оценка раза в 2,5-3 превышает реальность. Если речь идет даже о встроенных в инфраструктурные решения механизмах безопасности (ОС, СУБД, маршрутизаторы, коммутаторы), то емкость рынка превышает оценки LETA в разы. Правда про последний вариант LETA даже не упоминает.

Во-вторых, непонятна методика подготовки отчета и источники информации. В преамбуле сказано, что цифры взяты путем опроса участников рынка. Cisco как бы и не последняя на российском рынке (если не сказать первая по данным Cnews) ИБ, но нас не спрашивали. Это конечно не показатель, но сомнение в остальных оценках закрадывается. И вообще, почему в отчете не указаны компании, которых опрашивали? Чего скрывать их имена? Может потому, что никакого опроса и не было?

Главным разочарованием авторы отчеты называют «отсутствие роста широкого применения международного стандарта ISO 27001». А кто его вообще предсказывал, этот рост? «Эксперты» LETA? Ни один здравомыслящий специалист такого предсказать не мог. Да, интерес к стандарту есть. да, есть первые попытки сертификации. Но ни о каком широком применении необязательного стандарта речи и быть не может. Если уж авторы ссылаются на то, что пользовались данными Gartner, то могли бы посмотреть на оценки этой международной компании. А она еще пару лет назад предсказывала, что стандарты ISO 2700x выйдут на «плато продуктивности» не раньше чем через 5-10 лет.

Главной удачей рынка называется активный рост сегмента DLP. Это просто смешно. Активность Infowatch и Perimetrix на данном поприще еще не говорит о том, что рынок развит. Все DLP-вендоры вместе взятые заработали в России от силы миллионов 6-10 (LETA, правда, называет цифру в 24 миллиона). При правдивости данных LETA — это меньше процента. Интересное толкование удачи. И вообще DLP не дает покоя специалистам LETA. Почему-то они считают, что быстрый рост данного сегмента российского рынка связан с выходом документов ФСТЭК по персональным данным и выходом российских компаний на IPO и обязательным соответствии SOX. Однако 4-ка нормативных актов ФСТЭК по защите ПДн вообще ни слова не говорит про DLP-решения (даже косвенно), а IPO необязательно должно осуществляться в Америке, где и действует SOX/

Одной из главных тенденций развития угроз эксперты LETA называют угрозы для мобильных устройств. И я опять задумываюсь о том, что не стоит слепо копировать западные отчеты и надо иногда думать. Я активно езжу и в России и зарубежом и еще ни разу не столкнулся с мобильной угрозой. НИ РАЗУ!!! Мобильный Касперский у меня раз пять на смартфоне «вылез» и то по поводу неизвестного отправителя SMS. Угроза мобильных угроз очень сильно раздута. Да, про нее нельзя забывать и через несколько лет она станет актуальной (может и в России). Но нельзя же ее называть одной из главных. Вывод о росте интереса к мобильным устройствам со сканерами отпечатков пальцев я комментировать не буду.

Интересный вывод сделан о том, что одной из важных тенденций 2007 года стал «экономический» подход при выборе и внедрении решений ИБ. Мол, многие компании научились считать стоимость своей информации и активно используют методы финансовой отдачи в проекты по ИБ. Где, кто?.. Ау?!..

Некоторые моменты отчеты вызывают недоумение и вопросы. Например, авторы почему-то ставят знак равенства между ISO 20000 и ITILv3. А ведь последний был выпущен двумя годами позже ISOшного стандарта. В отчете, датированном 2008-м годом (не ранее марта), упоминается компания Vontu, которую Symantec купил еще в прошлом октябре.

Интересно посмотреть на отчет и с точки зрения стилистики и русского языка (про орфографические ошибки, согласование падежов я вообще не говорю). Например, в начале отчета приведены главные драйверы роста рынка ИБ в России. Но по ряду из них написано, что они не являются общеприменими и скорее отражают частный случай. Какже он тогда стал драйвером роста? С удивлением узнал, что термин СУИБ вообще мужского рода; хотя всегда считал, что СУИБ, это система, т.е. она.

Из всех выводов LETA я могу согласиться только с одним — «В 2007-2008 гг. произошло усиление внимания государства к вопросам защиты конфиденциальной информации, за это время было выпущено ряд нормативных актов«. Правда, чтобы сделать такой вывод, не надо обладать аналитическим умом.

Пугает меня заключение, данное в конце отчета: «Компания LETA продолжит исследование российского рынка информационной безопасности. В дальнейшем будут выпушены исследования как по отдельным сегментам, так и по рынку в целом (2009 год). LETA IT-company надеется, что эти исследования, которые компания готовит для себя, будут востребованы всеми участниками ИТ и ИБ рынка.«