Рынок российских решений ИБ всегда был впереди остальных отраслей с точки зрения импортонезависимости. Поэтому после ухода иностранных производителей в большинстве случаев зарубежные продукты были просто замещены российскими, но сам набор решений практически не изменился.
В то же время большой проблемой стало качество выпускаемых решений. Если попытаться описать общее положение на рынке сегодня, то я бы оценил как его вакханалию. Разработчики почувствовали, что имеется огромная свободная ниша, и побежали ее занимать. К сожалению, иногда такие разработки можно охарактеризовать расхожей фразой «и так сойдет».
Чаще всего российские продукты создаются на базе Open Source и это несет большие угрозы, так как разработчики до конца не понимают, какие скрытые «закладки» могут быть в коде. Некоторое время с помощью такого ПО заказчик сможет формально выполнить требования регулятора, но где гарантия, что Минкомсвязи России не исключит его из реестра после очередного обновления? Подобные примеры уже есть.
Еще хуже обстоят дела с классами ПО, в которых отсутствуют отечественные аналоги. Новые решения могут разрабатываться не один год, что критично не только для бизнеса, но и для государства. Многим организациям придется в последний момент сталкиваться с сырыми или с недостаточно апробированными решениями. Такие заказчики будут вынуждены создавать тестовые стенды, исследовать ПО, чтобы убедиться в его работоспособности, обучать персонал им пользоваться. В регионах ситуация еще более сложная из-за нехватки ресурсов и необходимых знаний.
Что с этим можно было бы сделать? На мой взгляд, устанавливать критерии качества, требовать обязательную сертификацию — неправильный путь, который закроет дорогу стартапам и действительно инновационным решениям. Я считаю, что в рамках крупных государственных организаций и инициатив было бы полезно не просто давать гранты на развитие проектов, но и выделять полигонные площадки для тестирования и получения оценок.
Заказчику, особенно из категории МСБ, в которой, как правило, не заинтересованы крупные и известные вендоры, в этой ситуации посоветую выбирать протестированные именно в рамках его инфраструктуры решения, так как вопросы совместимости продуктов тоже нередко становятся камнем преткновения.
Кроме этого, стоит обратить внимание на историю компании-вендора, время разработки продукта, количество его релизов. Если разработчик работает над решением, то патчи должны вноситься в него регулярно, не менее раза в год. Еще один маркер – большое количество партнеров, инсталляций и ежегодный рост выручки. Большим плюсом будет наличие технической поддержки и сопровождения при внедрении, а также обучающей программы для пользователей и ИТ-специалистов, которым предстоит работать с решением.
При этом цена решения сейчас абсолютно не является показателем качества. На мой взгляд, желание заработать мегамаржу – непорядочно в данной ситуации. Наша компания, например, ни разу не подняла цен за три года. Мы считаем, что в наше время это просто неэтично. По какой причине заказчики продлевают контракты на решения, которые подорожали иногда в несколько раз? На месте регуляторов я бы попросил участников рынка вернуть цены на уровень 2022 года, если рынку действительно нужны соответствующие меры поддержки, о чем мы все говорим почти на каждой конференции.
Максим Степченков, совладелец компании RuSIEM
