К таким выводам в своем исследовании пришла российская компания Zecurion, занимающаяся разработкой систем предотвращения утечек данных и консалтингом в области информационной безопасности. Сотрудники компании опросили 243 специалиста по информационной безопасности из разных российских компаний и государственных учреждений.
Несмотря на то что программные продукты в области информационной безопасности и сервисное обслуживание подорожали в результате снижения курса рубля, 59% респондентов заявили о том, что в их компаниях не планируется снижение расходов на информационную безопасность. При этом во многих из них увеличилось время, затрачиваемое на выбор решений по обеспечению информационной безопасности, и все чаще реализуются пилотные проекты для оценки и выбора соответствующих решений. Также теперь уже на стадии тестирования DLP (Data Leak Prevention — решения по предотвращению утечек данных) выявляются инсайдеры, сотрудники, копирующие конфиденциальную информацию, подвергая ее риску утечки.
Сотрудники считают, что их наработки, контакты и файлы с текущей работы помогут им при будущем трудоустройстве. Для некоторых сфер деятельности, например для менеджеров по продажам, это действительно так.
Однако в большинстве случаев сотрудники копируют конфиденциальную коммерческую информацию «на всякий случай», даже не собираясь ее впоследствии использовать. При этом они не осознают, что подвергают данные риску утечки. Эта тенденция усиливается с ростом негативных ожиданий, связанных с рисками снижения заработной платы или сокращения.
Самих сотрудников в области информационной безопасности компании стараются не терять. Согласно опросу, в 72% компаний сокращения сотрудников информационной безопасности не проводились и не планировались. Несмотря на большое количество специалистов в этой сфере, выпускаемых российскими учебными заведениями, опытных специалистов, обладающих необходимыми компетенциями, на рынке не так много. Кроме того, потеря своего специалиста по информационной безопасности может дать в руки конкурентов важную информацию по особенностям и уровню защиты информации в компании.
Необходимо учитывать, что информационная защита крупных предприятий и важнейших объектов инфраструктуры теперь связана не только с деятельностью конкурентов и киберпреступников, но и с защитой киберсуверенитета на международном уровне.
Известно о существовании специализированных киберподразделений в разных странах, и все чаще можно слышать взаимные обвинения в кибератаках, финансируемых правительствами. Чиновники США, например, допускали в своих высказываниях применение военной силы в качестве ответных мер и экономических санкций против отдельных лиц и компаний.
В связи с этим особое значение приобретает импортозамещение в области решений по информационной безопасности. Принятие в России соответствующего закона, предусматривающего преференции в закупках российского ПО, уже позволило увеличить обороты российских компаний в области информационной безопасности и вывести разработку соответствующих российских продуктов на новый уровень.
Однако в Zecurion опасаются, что это может сыграть с российским рынком информационной безопасности злую шутку, поскольку при отсутствии сильной конкуренции со стороны зарубежных продуктов российские разработчики могут перестать интенсивно развивать свои решения. В итоге это негативно скажется на общем уровне информационной безопасности в России.
Тем не менее ряд экспертов не разделяют эти опасения.
«Принят закон, который утверждает критерии отечественного ПО, наделяет правительство полномочиями по реализации преференций при госзакупках. И уже можно констатировать, что государственные и муниципальные заказчики стали не на словах, а на деле отдавать предпочтение российскому ПО. Конечно, в тех сегментах, где представлены российские аналоги», — рассказал «Газете.Ru» управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии Сергей Земков.
По словам эксперта, примеры таких внедрений уже есть в достаточном количестве, но это пока отдельные сегменты, в которых традиционно присутствуют российские вендоры: информационная безопасность, бухгалтерские и учетные системы, САПР и ряд других.
В то же время глава представительства ESET в России и СНГ Денис Матвеев считает, что на данный момент импортозамещение повлияло на рынок информационной безопасности разве что косвенно. В этом сегменте и без законодательных мер наблюдается здоровая конкуренция отечественных и импортных продуктов. В свою очередь, есть рынки, где отечественных аналогов нет вообще или они неконкурентоспособны. Импортозамещение направлено на исправление этого дисбаланса, но в ближайшее время изменить ситуацию вряд ли удастся.
«В любом случае, пока закон не вступил в силу, остаются некоторые вопросы относительно его трактовки. В настоящее время мы наблюдаем не столько импортозамещение, сколько спекуляции некоторых игроков на патриотических настроениях», — добавляет Матвеев.
Генеральный директор регистратора и оператора дата-центров REG.RU Алексей Королюк считает, что сейчас импортозамещение в сфере информационной безопасности становится возможным, поскольку на решения и услуги в данном секторе существует спрос. Развивается и рынок специального оборудования, необходимого для обеспечения ИБ, часть из которого уже производится в России.
«Катализатором этого стал принятый еще в 2006 году федеральный закон «О персональных данных», который на государственном уровне поднял и урегулировал вопрос их обращения, — говорит Королюк. — Все последующие подзаконные акты расширили возможности для отечественных IT-компаний и положительно сказались на развитии сегмента информационной безопасности. И если сегодня российским компаниям еще сложно конкурировать с глобальными корпорациями, то нынешняя ситуация способствует тому, что у России есть все шансы, чтобы стать одним из мировых лидеров в сфере информационной безопасности».
В целом эксперты сходятся во мнении, что уровень затрат российских компаний и ведомств на информационную безопасность будет возрастать, а степень контроля за конфиденциальными данными усилится.
«Информационная безопасность и в тяжелые времена остается той областью, на которую деньги стараются выделять, потому что инциденты, вызванные вынужденной экономией, могут привести к еще более затратным последствиям», — считает Земков.
Кроме того, эксперт напоминает, что информационная безопасность — сильно регулируемая государством отрасль, где многие защитные продукты необходимо внедрять для соответствия требованиям законодательства.
Алексей Короткин