Тенденции рынка сетевой безопасности России

Технологии VPN (Virtual Private Network, виртуальные защищенные сети) позволяют строить в открытых сетях шифрованные туннели, соединяющие удаленные офисы предприятий, которые, подобно непроницаемым водопроводным трубам, не дают внешней «грязи» проникнуть в корпоративную сеть. Это — криптографические технологии, которые, согласно российскому законодательству, могут поставлять только лицензиаты ФСБ России.

Практически все государства, создавшие собственные криптографические школы, стремятся опираться именно на них. Швейцария, с ее сверхнадежными банками, применяет свой криптостандарт IDEA. Те же США, кстати, в военных системах применяют модернизированные, а

Здесь следует вспомнить о присоединении России к ВТО. Документы о вступлении в ВТО подписаны. Либеральные общественные деятели говорят о грядущем радикальном изменении ситуации в области информационной безопасности (ИБ), когда мы вынуждены будем гармонизировать стандарты и разрешить западные алгоритмы. Всем этим нас пугали уже и 7 лет назад. А есть ли чего пугаться? Приведу два довода против испуга.

Довод первый.

Вступление в ВТО не изменит математических основ криптографии. Поэтому следует предполагать, что органы технического регулирования вряд ли подтвердят стойкость «кота в мешке». Их сопротивление могут, конечно, проигнорировать, но это — едва ли. Потому что в этом случае просто некому будет взять на себя ответственность за оценку стойкости систем защиты. В критически важной зоне возникнет правовой вакуум. Поэтому приход ВТО в Россию вряд ли приведет к значительному сужению рынка сертифицированной криптографии.

Довод второй.

В области криптографической сетевой защиты обозначилась вполне выраженная группа мировых лидеров, в первую очередь — компания Cisco, затем — Check Point Software Technologies, Huawei и др. Так вот, со вступлением в ВТО они сюда не придут, ведь они давно уже здесь. И российские компании с ними давно или конкурируют, или сотрудничают. Чего ж бояться-то?

Народонаселение

Рынок сетевой криптографической защиты России образовался в результате двух факторов: вышеупомянутого геополитического недоверия к «чужим» криптографиям и требований по применению в ряде ответственных сфер сертифицированных средств защиты информации. Вне рынка с высокой социальной, государственной или финансовой значимостью эти факторы не работают. Поэтому, например, в сегментах SOHO и SMB повсеместно применяются несертифицированные продукты компаний D-Link, Zyxel и десятков прочих, поменьше. И никому до этого особого дела нет. Также регулирование часто не обращает внимания на применение несертифицированных средств в провайдерских решениях, поскольку национальный рынок не всегда может удовлетворить их технологическому цензу. Но там где защищают, например, «живые» деньги или персональные данные, государство требует применять сертифицированные средства защиты. Это создает рыночное пространство для сертифицированной продукции емкостью не более 100 млн долл.

Перечислим основных игроков этого рынка: это компании «Элвис Плюс», «Инфотекс», «Код Безопасности», «Фактор-ТС», «Крипто-Про» и «С-Терра СиЭсПи» (подробнее — см. таблицу).

Западные производители, не имеющие возможности получить лицензию ФСБ России на разработку средств криптографии, выходят на российский рынок в сотрудничестве с российскими сателлитами, лицензиатами ФСБ.

Первенство в этой гонке принадлежит компании Cisco Systems, которая пошла на выдающиеся в сравнении с прочими игроками этого рынка меры и инвестиции. Так, еще в 2006 г. компанией был разработан специализированный сетевой модуль NME-RVPN, предназначенный исключительно для работы российских криптографических приложений. Однако без дополнительных мер безопасности это решение было расценено ФСБ России как недоверенное. Три долгих года ушло на создание в России доверенного производства сетевых модулей МСМ. Сегодня они паяются на российском заводе «Альтоника» в соответствии с согласованным с ФСБ России документом «Порядок производства...» и под надзором лицензиата ФСБ, компании «С-Терра». Но это не все. Cisco организовала локальное юридическое лицо ООО «Сиско Системс», получила для него лицензию ФСБ России на распространение средств криптографической информации и независимо выпускает и распространяет собственную продукцию, приобретая для этого сертифицированное ПО компании «С-Терра».

Вслед за Cisco в Россию пришли еще два авторитетных мировых вендора с Запада и один с Востока: компании Check Point Software Technologies (США-Израиль), StoneSoft (Финляндия) и Huawei (Китай).

Следует также упомянуть еще две компании, сыгравшие на российском VPN-рынке вполне заметную роль, но на сегодня несколько снизившие активность. Это компании «Амикон» и «Голлард», созданные в середине 90-х годов.

Народные промыслы и ремесла

Продукция на VPN-рынке резко различается по ряду потребительских показателей. Разбирать их технику — не по профилю издания, но следует поговорить о различиях в продуктовых концепциях, влияющих на динамику рынка. Крупных дифференциаторов рынка два: стандартизация и комплексностьрешения.

Стандартизация имеет два аспекта. Первый — стандартизация собственно VPN-протоколов. На сегодня это группа спецификаций IETF RFC 2401-2409. Второй аспект — стандарты взаимодействия с окружением (ключевые инфраструктуры и каталоги, управление, мониторинг и аудит).

Поскольку соотношение сил на рынке в течение 10 лет было примерно 1:2 в пользу нестандартных решений (сейчас тенденция резко меняется, но об чуть этом позже), у нас весьма активно муссировался тезис «А чего нам стандарт? Регулятор сертифицировал — и порядок!». В действительности у стандарта есть ряд вполне весомых достоинств: аналитическая проработка «всем миром» (стойкость и гибкость), совместимость, возможность кросс-отладки продуктов (надежность) и документированность их поведения. Последний фактор имеет особое значение. Даже гиганты вроде Microsoft относительно бедно документируют поведение своих частных протоколов. А российские «проприетарщики» вообще этого не делают. Как следствие — трудности в эксплуатации. Ответ на вопрос сисадмина: «А текущее поведение продукта — это бага или фича?» может дать только разработчик. Между нами отметим, что для него это плюс: можно приподнять цену поддержки. Все равно купят, деваться некуда.

VPN-функциональность ограничена, и ее базовая часть у всех игроков рынка уже написана и достаточно хорошо отлажена. Поэтому все они, каждый на свой лад, рассуждают о комплексности своих решений. Причем слово все употребляют одно, но каждый вендор, по своим соображениям, трактует его по-своему. Здесь можно выделить целых три тенденции.

Тенденция первая — специализация. Она характерна для некоторых сателлитов западных компаний («С-Терра», «Крипто-Про»), для не сателлита — «Элвис Плюс» и не характерна для сателлита Huawei — компании «Инфотекс». Суть ее заключается в том, что по-настоящему комплексное решение поставляет крупная западная компания. Роль российского сателлита — обеспечить качественный и стандартный криптографический модуль, который западный вендор сам разработать не может. Лозунг игроков этого типа — высокое качество, стабильность кода, модульность для встраивания в стандартные инфраструктуры.

Тенденция вторая — «все в одном флаконе». Здесь вам предложат не только VPN, но и причудливое сочетание разнородных приложений, начиная от просто сервера защищенной электронной почты, «притороченного» к VPN-шлюзу (практика исключительно российская, в мире отсутствует, но национальным вендором подается как преимущество), до совершенно оригинальных технологий, таких, как «чистый Интернет». Не факт, что все это вам нужно, но предлагается «в комплексе» и «дополнительная функциональность — бесплатно». Игроками этой группы являются компании «Инфотекс» и «Фактор ТС».

Наконец, третья тенденция — попытка создать-таки собственное комплексное решение. Ее на сегодня реализует единственная компания — «Код безопасности». Функциональные модули решения имеют товарную стоимость как отдельные продукты и обоснованную техническую специализацию. Например, обнаружение проникновений или защита систем виртуализации. Функционал модулей отчасти выходит за пределы государственного криптографического протекционизма, и, таким образом, пытается конкурировать с западной некриптографической функциональностью. Борьба неравная, но пожелаем компании успеха.

Ритуальный межсетевой экран

Тотемическим атрибутом у всякого игрока российского VPN-рынка является сертифицированный межсетевой экран (МЭ). Штука весьма важная, но есть нюансы. В силу старения критериев оценки МЭ российского производства пользователи с успехом используют их для «защиты от регулятора» при аттестациях систем, но опасаются ставить на периметр Интернета. И правильно. Для этой цели используют импортный межсетевой экран «в обвеске» дополнительных средств защиты. Но описание этих средств в цели данного обзора не входит.

Быт и нравы

На непрозрачном регулируемом рынке российский читатель, наверное, ожидает скандалов и беспредела. Разочарую. Уровень коррупции участниками рынка оценивается как меньший, чем в российском ИТ, и неизмеримо меньше, чем, например, в дорожном строительстве.

Среди вендоров некоторые продолжают подковерное запугивание заказчиков: у кого и какой сертификат круче, на какой срок посадят заказчика, если он купит у этого, а не у того... И, как ни странно, пока такой алгоритм работает. Боятся люди написать простой запрос регулятору, вывести жулика на чистую воду, «ведутся» на мистические трактовки вполне рациональных технических требований.

Случаются также и вполне рыночные казусы, например, демпинговые войны. Только на пользу ли они всем игрокам рынка, криптографически образованным, но экономически чахлым?

Грядущее

Геополитические, уровня ВТО, факторы (об этом уже шла речь) вряд ли сильно у нас сыграют. Но это вовсе не значит, что впереди у нас тишь да гладь. Во-первых, в открытом техническом комитете по стандартизации криптографии ТК-26 ведутся работы по стандартизации VPN. Потребность в российском стандарте (на фоне имеющихся международных) обусловлена тем, что необходимо оговорить параметры использования отечественных криптоалгоритмов в общей, криптографически нейтральной архитектуре. Иначе не будет совместимости.

Вообще в воздухе давно носится соглашение о совместимости между участниками стандартного VPN-рынка. Так, компания «С-Терра» ранее оттестировала свой продукт на совместимость с «Элвис Плюс» и вела работы по аналогичному тесту с Check Point. Сегодня с инициативой большого соглашения о совместимости выступает компания «Крипто-Про» (а это — не только Check Point, но и StoneSoft, и мигрирующая в сторону VPN-стандарта компания «Фактор ТС»). И если такое соглашение состоится, оно будет иметь ряд серьезных рыночных последствий, а именно:

· Пользователь выиграет, поскольку в зоне защиты сети он впервые получит по-настоящему конкурентный рынок продуктов безопасности. Семь компаний предложат совместимую (взаимозаменяемую) продукцию. Следствием этого будет усиление внутренней конкуренции и ускоренное вымывание периферийных игроков.

· Игрокам с «нестандартным» продуктом придется крайне несладко. Им и сейчас, бывает, задают вопрос: «А если я внедрю нестандартную технологию — меня ФАС за преференцию не осудит?». Когда же на рынке появятся стандартные и совместимые продукты от четырех российских и трех зарубежных компаний (в числе которых, кстати, 1-й и 2-й номера в мировой табели о рангах сетевой защиты) — этот вопрос утратит теоретический оттенок.

Конкуренция и сотрудничество с западными производителями также приобретут более радикальные формы. Местные VPN-вендоры пасутся на маленькой полянке, менее 1% российского ИТ-рынка. Гиганты Cisco и Check Point обладают несоизмеримым превосходством по ресурсам разработки, питаются опытом и деньгами от внедрений в мировом масштабе. В этих условиях о функциональной конкуренции между ними и нами речь вести просто не приходится. Поэтому всем российским игрокам нужно будет сильно сосредоточиться, чтобы выработать действенную стратегию выживания развития.

Таким образом, на нашем рынке неизбежны большие структурные изменения. Это обернется как общеизвестными преимуществами конкуренции, так и определенными потерями.

Сергей Рябко, эксперт рынка криптографических систем

Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.

Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.