7 стратегий в условиях приостановки деятельности иностранных ИБ-вендоров

Прошло уже 3 месяца как абсолютное большинство зарубежных, преимущественно американских и европейских, производителей ИБ-решений и поставщиков ИБ-услуг прекратили свою деятельность и перед потребителями встает вопрос, вынесенный в заглавие романа Чернышевского — «Что делать?«. 26 мая довелось мне модерировать секцию AM Camp, на которой мы как раз обсуждали возможные сценарии с представителями заказчиков и российских производителей средств защиты. Но перед секцией мы провели опрос подписчиков канала Anti-malware, который дал достаточно интересные результаты, отличающиеся от привычного бинарного взгляда на проблему. Мол, есть только две альтернативы иностранцам — отечественные вендора и open source (о последнем мы говорили на секции на PHDays).

Как вы видите, число респондентов, желающих подождать возврата «американцев» равно числу желающих работать с китайцами и израильтянами, а число тех, кто готов посмотреть в сторону южноамериканских и ближневосточных вендоров, меньше в пять раз. Да, наверное, неправильно говорить о репрезентативной выборке, но число тех, кто ничего не хочет делать, все равно достаточно велико. Интересно, что на дискуссии ситуация была схожей — российские вендора топили за себя, трое заказчиков не питали иллюзий насчет возврата и тоже смотрели в сторону российских компаний, считая, что доверять любым иностранцам уже нельзя (правда, вопрос «а что если российский вендор в условиях нехватки запчастей обанкротится?» тоже пока остается неотвеченным). Open source, в принципе является некой альтернативой, но только в умелых руках и при соблюдении ряда условий, среди которых нормальное управление корпоративного уровня, что для open source обычно представляет проблему. Сервисная модель тоже пока не рассматривается как серьезная панацея, так как у поставщиков сервисов ИБ пока не самая высокая зрелость; как, собственно, и у заказчиков.

Я не буду призывать ни к одной из стратегий, так как это зависит от условий, в которых находится каждая компания. Но с доводами участников дискуссии ознакомиться стоит:

Ну а я уже традиционно зафиксирую некоторые тезисы, прозвучавшие на этой секции AM Camp, с добавлением моих комментариев:

1. Если кто-то ждет возврата «американцев», но при этом не может обновить используемые решение, то почти по каждому вендору уже существуют Telegram-каналы и иные Интернет-ресурсы, в которых можно найти все необходимое — от новых прошивок до обновлений. Пользование такими ресурсами — всегда палка о двух концах, так как возможна загрузка вредоносных обновлений и прошивок. Если уж используете, то сверяйте контрольные суммы обновлений и новых версий с данными с официального сайта и release notes.
2. Некоторые вендора и заказчики пробовали «перепрошивать» иностранное оборудование на отечественное, так как они обычно работают на x86-архитектуре, но массовой этой историей не назовешь, так как непредсказуемы последствия такой процедуры. Да и для сетевых средств ИБ, использующих ASIC или FPGA такой фокус уже не срабатывает — теряется смысл перепрошивки (с оборудованием, использующем SecureBoot, перепрошивка тоже маловероятна). При этом до каббализации иностранного оборудования пока еще далеко. Однако, если ситуация с поставками оборудования не разрешится в обозримом будущем, то все может быть.
3. Многие заказчики привыкли к конкретным именам (Cisco, Check Point, Fortinet, Palo Alto) и отечественных вендоров сравнивают с уже известными вендорами, что не совсем правильно, так как нужно подбирать решение конкретной задачи и зачастую избыточного функционала может и не понадобиться. Помните, известную загадку о том, чем отличается Windows 95 от Windows 98? Тем, что в первой не используется 95% функций, а во второй — 98%!
4. Мы так и не успели обсудить такую непростую тему, как производственные мощности, масштабирование, функциональность и интеграцию в существующую инфраструктуру, но я про это уже писал и об этом частично поговорили на третьей секции AM Camp, запись которой можно посмотреть на канале Anti-malware. Вообще, мне показалось, что вопросы работы отечественных решений по ИБ на отечественных же платформах (процессорах, ОС и т.п.) отечественные вендора старались обходить вниманием и не погружаться в эту тему. И их можно понять 🙂
5. На Западе достаточно активно муссируется тема о единой платформе безопасности и уходе от концепции заплаточного «франкенштейна». В России такие примеры тоже стали появляться (Касперский, Positive, Серчинформ и т.п.), но совсем недавно, преимущественно вокруг SIEM-решений. Но так как у нас пока рынок достаточно фрагментарен и выбор не богат, то класть все яйца в одну корзину готовы пока не все.

   

6. Интересно, что отдельные заказчики, использовали два решения в параллель — отечественное и зарубежное, и когда «иностранцы» ушли или отключились, то переключиться оказалось не так уж и сложно. Но такие схемы использовались далеко не всегда, так как требовали почти двойных инвестиций в ИБ, что доступно далеко не всем.
7. Средняя длительность миграции с используемых ранее иностранных решений на отечественные составляет не менее двух лет, что, с учетом бюджетного цикла, означает переход на отечественные решения только к концу 2024-го года (если повезет).

   

8. Отдельно обсудили названия отечественных решений по ИБ и непонятную приверженность наших производителей к аббревиатурам (например, СКДПУ), комбинациям чисел и символов (например, М-506) или имен, звучащих не очень благозвучно. Но участники, ни вендора, ни заказчики, не видят особо в этом проблемы, не желая ничего менять в своих продуктах. А у некоторых они и так прекрасно звучат (например, Афина, Локи, Октопус и т.п.).
9. Не все руководители ИБ готовы идти к руководству и просить денег на отечественные решения по ИБ и причина у многих очевидна — надо быть готовым признать свою ошибку за «потерянные» деньги, на что готовы далеко не все. При этом проблема усугубляется еще и тем, что, с одной стороны, у заказчиков денег больше не стало и они тратятся на более приоритетные задачи выживания бизнеса, а с другой, — отечественные вендора подняли цены в 2 раза минимум (хотя назывались примеры роста цен в 7 раз). Такой рост обусловлен как ростом стоимости запчастей и изменением логистики, так и желанием срубить денег с заказчиков в условиях отсутствия выбора.
10. В финале я спросил у вендоров, участвовавших в секции, чем они могут помочь своим заказчикам в непростых условиях (скидки, отсрочки платежа, trade-in и т.п.), но увы, все они готовят новые продукты (местами интересные), но не варианты финансовой помощи (видимо, сейчас всем нелегко).

Вот такая секция получилась. Вообще программа этого AM Camp оказалась достаточно сбалансированной и раскрывала тему «импортозамещения» по нарастающей. Сначала началось с общего обсуждения текущей ситуации, затем перешли к стратегиям и тактике ухода от «иностранцев», а затем закончилось дискуссией с заказчиками, рассказывающих о реальных примерах импортозамещения, плюсах и минусах отечественных решений по ИБ.