Импорт информационной безопасности: запрет может привести к технологической отсталости IT-систем
Комиссия Госдумы по нормативно-правовому обеспечению развития наукоемких технологий стратегических информационных систем поддержала запрет госзакупок иностранного софта при наличии российских аналогов.
Попробую реконструировать точку зрения, которая, как мне кажется, привела к этому решению: на рынке засилье иностранных программных продуктов, их производители продавливают продажи за счет больших маркетинговых бюджетов, функционал этих продуктов в большинстве случаев избыточен для заказчиков – российских компаний, отечественный производитель софта гнется под напором мировых технологических гигантов и не ломается, но нуждается в помощи, сейчас мы уберем от него иностранных конкурентов, и для российских разработчиков наступит если не счастье, то хотя бы спокойствие.
Запретительное решение, в тренде. И деньги не уйдут супостатам, и «умных» внутри страны поддержим, и не дадим противнику безнаказанно смотреть наши данные. В общем, круто, даже логично. Но это если не задумываться о долгосрочных последствиях.
Проблему вижу в том, что рынок IT в целом и программного обеспечения в частности – крайне неоднороден. На нем есть ниши и сегменты. Присутствие отечественного ПО в разных сегментах рынка существенно неодинаково. Может быть, для рынка ERP это предложение и будет целесообразным, но вот, насколько оно пригодно для ИБ-систем – лично у меня тут серьезные сомнения, основанные на собственном многолетнем опыте.
Может показаться, что сомневаться странно. Ведь рынок информационной безопасности – важнейший с точки зрения решения государственных задач в области IT. Он изначально привлекал внимание регуляторов, и отечественный производитель чувствовал себя на нем если не комфортно, то уверенно. Большинство российских производителей средств защиты информации с миллиардными оборотами возникли исключительно благодаря действиям регуляторов. Есть, конечно, другая категория российских производителей, которая сразу ориентировалась на международные рынки, но таких немного.
Но чтобы заглянуть вперед, давайте посмотрим на результаты почти 20-летнего развития рынка ИБ в России.
По числу электронных замков и средств защиты от НСД рабочих станций, мы, определенно, впереди планеты всей. Системы этого класса, как правило, с нуля написаны отечественными разработчиками и выполняют, в основном, функции стандартных средств защиты операционных систем, а также обеспечивают большее доверие к составным частям персонального компьютера. Беда в том, что сегодня технологии обработки данных серьезно изменились, поэтому я считаю эти технологии реально устаревшими. Единственным их достоинством теперь является наличие сертификата, что делает их незаменимыми при подготовке к проверкам регулятора.
Более или менее хорошо обстоят дела в таких сегментах, как антивирусы, endpoint security, DLP (Data Leak Prevention), сканеры безопасности, IdM (Identity Management, управление учетными данными), средства анализа защищенности. Можно спорить об удобстве внедрения и эксплуатации, немного о функциональных возможностях, много – о надежности и эксплуатационной пригодности, однако факт существования отечественных разработок отрицать нельзя.
Есть обнадеживающие сигналы, предвещающие возможное появление отечественного WAF (Web Application Firewall), но пока это только сигналы. Нужно еще посмотреть, как этот продукт будет работать не только на стенде или во время презентации.
Причем коды продуктов созданы в основном в России. Да, есть некие включения СПО, но не очень много.
Однако в других нишах отечественных продуктов либо нет (защита баз данных), либо они уже устарели (Firewall, VPN), либо они рождаются, скажем мягко, в соавторстве с сообществом разработчиков СПО – таковы IPS (Intrusion Prevention System, системы предотвращения вторжений), SIEM (System Information and Event Management, система управления событиями).
Отечественные межсетевые экраны (МСЭ, они же Firewall) есть, и даже работают. Однако применяемые в них технологии были актуальны лет 10 назад. Сейчас сетевая безопасность базируется на концепции NGFW (New Generation Firewall), интегрированной платформе, которая обеспечивает глубокий анализ трафика и отражение атак. Буквы «NG» в Россию еще, видимо, не дошли. Но хорошо уже то, что стартовать будем не с нуля.
У VPN-решений долгая история и не совсем понятный итог. Из-за конкуренции за клиентов системы VPN отечественных производителей, несмотря на одинаковые алгоритмы и сертификаты регуляторов, не могут работать друг с другом. Не потому что плохо сделаны, а потому, что так и было задумано – в пику конкурентам.
Для российских МСЭ и VPN реальная проблема – низкая скорость работы. Особенно для VPN, где узким местом является применение отечественных алгоритмов. Для закрытия высокоскоростных каналов применять их нельзя, драматически не хватает скорости шифрования.
С оставшимися продуктами – еще хуже. Оригинальных разработок в таких областях, как IPS или SIEM, нет. Существующие IPS – это перелицовка Snort с доработками для прохождения сертификации по конкретному классу защищенности. С SIEM ситуация еще хуже. За SIEM выдаются системы SIM или SEM, доработанные для сбора информации с отечественных средств защиты. При этом сразу утверждается, что это решение “лучшее в своем классе” и точно “полный аналог HP Arcsight” (HP Arcsight – это одна из SIEM-систем, входящих в тройку мировых лидеров по версии Gartner – ред.).
В МСЭ, IPS и SIEM (если не брать продукты на основе MSDOS & Windows 95, есть еще и такие) есть большая доля кода СПО, то есть они созданы в соавторстве с мировым сообществом программистов. И это именно тот случай, когда разница между авторством и соавторством равна разнице между пением и сопением: не своего кода в продуктах от 50 до 80%, и он сложный, досконально не может быть проверен ни разработчиками, ни сертификаторами. В результате мы получаем не свой и не доверенный код, но почему-то продолжаем считать его надежным.
Это не умозрительные соображения. Уязвимость heartbleed была обнаружена только что, в апреле, и она была выявлена мировым сообществом СПО, а не отечественными разработчиками или сертификаторами. Поэтому никто достоверно не знает, что еще может быть в свободно распространяемом коде, вошедшем в российские продукты.
Мы взглянули только на программное обеспечение. Теперь о программно-аппаратных комплексах, на которых поставляются сетевые средства защиты. Это отдельная тема, требующая особого внимания. Дело, прежде всего, в проценте отечественных изделий, выходящих из строя при поставке и эксплуатации. Диапазон – от 1,5-2% до 15-20% (на пике) от партии. Причина в «оптимизации» стоимости готовых изделий. Проще говоря, средства защиты устанавливаются на самое дешевое китайское оборудование.
Вот, собственно, таков итог 20 лет жизни российского рынка ИБ – в части средств защиты. На мой взгляд, реальная картина сильно отличается от той, которую рисует себе законодатель, предлагая ограничить импорт софта.
Посмотрим теперь, что может произойти, если введут ограничения, предложенные комиссией Госдумы:
- Сразу же появятся “аналоги” зарубежных средств защиты с отечественными названиями. И эти названия будут использованы как аргументы в споре за денежные знаки государственного заказчика.
- Тем, кто будет строить большие системы на основе отечественных продуктов, придется уменьшать возможности систем и их сложность, что вряд ли поспособствует построению надежных и высокопроизводительных решений.
- Выигрыш в доверии к отечественному продукту может быть получен только в отдаленной, среднесрочной в лучшем случае, перспективе, когда у наших компаний появятся силы и умения сделать действительно собственный код. В краткосрочной же перспективе мы получим и недоверенный код и низкую эксплуатационную пригодность.
- Выигрыш по цене неочевиден. Российские разработки тут ни в чем по цене не уступают западным аналогам, при прочих равных условиях. Более того, если уровень патриотической риторики зашкалит и снова выплеснется в Госдуме, то нужны будут серьезные капитальные вложения на замену неправильного ПО в уже работающих системах. Про технические последствия таких действий предпочту ничего не говорить.
Актуальным остается вопрос – делать-то чего?
Дальнейшие действия должны зависеть от того, какую именно проблему мы будем решать, говоря об импортозамещении.
Если задача в том, чтобы отдать меньше денег западным производителям и увеличить реальную безопасность (или потенциальную безопасность), то запрет закупок импортного софта – это быстрый выход из ситуации. Но за него придется платить технологической отсталостью IT-систем (вместо IT-продуктов) и, возможно, отсутствием конкурентоспособных продуктов (если деньги и так платят, зачем делать что-то новое?).
Если же речь идет о том, чтобы сделать отрасль способной создавать конкурентоспособные продукты, хотя бы и для внутрироссийского применения, то ограничение импорта — не единственный и не самый оптимальный способ достичь этого.
Прежде всего, требует серьезного пересмотра регулирование ИБ-отрасли. Нужно сделать так, чтобы потребительские качества продукта были важнее по приоритету, чем чеклист сертификационной лаборатории. Главными должны быть полезность и работоспособность продукта, а не факт получения того или иного класса по руководящим документам регулятора.
Для того, чтобы появлялись новые продукты, нужно на деле проверять много идей, потому как хорошо если 10% от того, что придумается, будет реально работать. Существующие возможности российских компаний по придумыванию и финансированию нового не соответствуют потребностям текущего момента. Нужны стимулирующие меры государства, чтобы развитие шло не вопреки, а благодаря его действиям.
Для выработки таких мер на мой взгляд, нужен постоянный диалог между всеми участниками процесса создания IT-систем.
В этом диалоге должны участвовать не только те, кто делает софт и те, кто его закупает, но и те, кто создает системы из готового софта для заказчиков. Без участия этих людей велик риск того, что системы создать будет нельзя или слишком сложно.
Об авторе: Владимир Гайкович, с 2012 года — генеральный директор и совладелец компании «Андэк». Один из основателей компании «Информзащита».