Rambler's Top100
Статьи ИКС № 3 2007
Алексей ЛУКАЦКИЙ  01 марта 2007

Западный или российский производитель – кого выбрать?

Одна из основных проблем при выборе оператором системы защиты: кого поддержать – отечественного или зарубежного производителя? Вопрос не праздный. На российском рынке представлены решения и тех и других, но ставку всегда надо делать на тот продукт, у которого есть будущее.

А.В. ЛукацкийСуществует два подхода к выбору инструментов информатизации, в том числе в области информационной безопасности (ИБ). Первый предлагает изучать решения только с технологической точки зрения. Второй учитывает куда больше аспектов, позволяющих сделать правильный выбор.

Обычно выбирают более простой путь, технологический. В итоге за десять лет множество отличных технологических «стартапов» не выдержали конкуренции менее прогрессивных в техническом плане соперников, но зато более продвинутых в других аспектах. Ведь система защиты – это не просто набор сотен тысяч строк кода. За ней стоят разработчики, маркетинг, руководство и многое другое.

Поэтому в расчет надо принимать экономику компании и отрасли, вопросы менеджмента и маркетинга, управления персоналом и т.п. Если Запад учитывает эти факторы уже не одно десятилетие, то Россия только вступает в эпоху цивилизованного ведения бизнеса, и на наш рынок влияют в первую очередь не технологические, а совершенно другие факторы, о которых большинство российских «защитных» компаний попросту не знают.

Учитывая скорое вступление России в ВТО и массированный перенос западного опыта на родную почву, посмотрим, в чем же различие производителей средств защиты по обе стороны российской границы и что нам полезно перенять у закордонных собратьев.

Технология – еще не всё

Часто приходится слышать, что российские разработчики лучшие в мире, что наши программисты работают во всех крупных корпорациях. Всё так. Только наличие хороших программистов не делает нашу страну технологическим лидером.

На кривой развития технологий сетевой безопасности, которую регулярно обновляет Gartner, Россия не была представлена ни разу. Это означает, что у нас нет развитого рынка ИБ. Исключение составляет весьма популярная в России технология виртуальных частных сетей, но и тут все непросто. Наши средства построения VPN, по сути, ближе к IPшифраторам, чем к полноценным VPN-решениям. Именно этот факт наряду с отечественным законодательством мешает российским продуктам выйти на международную арену. А в сегментах предотвращения вторжений (ID&PS), отражения DDoS-атак, средств защиты XML и веб-сервисов (application firewall), многофункциональных защитных устройств (UTM) и т.д. россиян нет.

Ситуация в сегменте «чисто» информационной безопасности немногим лучше: мы активно (но только в пределах собственного государства) работаем на рынке биометрии и электронной цифровой подписи, но обошли вниманием рынки compliance-систем, Single Sign-On (SSO), управления пользователями и патчами, цифровых прав (Digital Rights Management, DRM), безопасности Wi-Fi, управления безопасностью (SIM/SEM), доверенных вычислений, безопасности СУБД и систем хранения и т.д. Хотя наработки имеются: сканер безопасности X-Spider, система проверки соответствия требованиям по безопасности Digital Office...

Ни одна российская компания так и не заняла прочного положения на международном рынке безопасности. Даже «Лаборатория Касперского», давно обосновавшаяся на Западе, пока не может похвастать показателями, присущими мировым лидерам антивирусного рынка. В чем причина?

Во-первых, у нас почти не инвестируются исследования и разработки (R&D), отчасти из-за отсутствия средств, отчасти из-за непонимания такой необходимости. А западные компании стараются вложить в R&D каждый свободный цент. Да и госструктуры вкладывают миллионы в исследования, проводимые университетами и институтами. Это не только развивает рынок безопасности, но и ощутимо помогает исследовательским организациям. Россия же только в 2005 г. заявила о поддержке высокотехнологичных компаний и ИТ-отрасли. Однако слово все еще не стало делом.

Во-вторых, западные разработчики средств защиты, которые не готовы тратить деньги и время на исследования, приобретают лицензии на чужие разработки и заключают OEM-соглашения с их владельцами. На нашем счету таких примеров практически нет, самое большее – встраиваем в свои продукты сертифицированное криптографическое ядро или библиотеку. Зато во многие известные антивирусы встроены в том числе и российские «движки».

В-третьих, нас подводит желание всегда идти своим путем, создавая системы, аналогов которым на Западе нет. Зачастую наши фирмы подстраиваются под систему сертификации и пытаются изобрести нечто, соответствующее прописанному в российских законах, указах, постановлениях, но не слишком нужное потребителям. Иными словами, в России требования к системам защиты часто диктует система сертификации, а на Западе – рынок.

Такие «особенности» в условиях нарастающей рыночной конкуренции могут выбросить российских разработчиков на обочину мирового прогресса.

Торговлю нужно двигать

Даже о гениальном продукте никто не узнает, пока за дело не возьмется реклама или – в более широком смысле – маркетинг. И в этой области российские и зарубежные разработчики придерживаются разной тактики.

Западные игроки следуют по так называемой кривой развития продукта (продукт, не дойдя до своего «финиша», получает развитие в следующем обновлении либо заменяется абсолютно новым). А у нас «по кривой» не ходят, предпочитая получение новых сертификатов ФСТЭК разработке новых функций. Отечественные системы защиты подолгу не обновляются, тогда как зарубежные продукты выходят раз в один-два года.

Что касается номенклатуры продуктов, то в момент своего появления все фирмы похожи: система защиты, послужившая источником рождения бизнеса, всего одна. Затем пути расходятся. Зарубежные компании, достигнув определенного положения, стараются распределять свои риски и держать в портфолио иногда до нескольких десятков продуктов безопасности, чтобы потеря бизнеса по одному из них не сказалась на общем благосостоянии. Один-два продукта продают либо начинающие компании, либо совсем уж «мелочь», а лидеры – Cisco, Check Point, IBM, Symantec, Trend Micro – предлагают множество защитных систем и средств. Из наших разработчиков мало кто понимает, что сидеть с одной «дойной коровой» десяток лет невозможно. Раз в 2–3 года на рынок «впрыскивается» условно новая версия замшелого продукта, интересного только тем, что ему дали заветную бумажку от Гостехкомиссии (ФСТЭК). Об освоении новых сегментов рынка ИБ, выпуске новых продуктов (а не версий!) никто не задумывается.

В любом труде по маркетингу написано, что ни один продукт не может расти бесконечно – наступает стабильность и затем спад. Талант заключается в том, чтобы до начала спада «соскочить» с кривой развития продукта. Именно поэтому эффективные ИТ-компании и выпускают новые версии и продукты, например Intel чуть ли не каждые полгода «штампует» процессоры, Microsoft каждые год-полтора вбрасывает на рынок очередную версию «офиса». На рынке ИБ Cisco, Aladdin, Trend Micro, Symantec и им подобные достаточно часто выпускают решения по безопасности, стимулируя интерес к ним со стороны заказчиков и прессы. На продвижение тратятся огромные средства, которые и окупаются с лихвой.

PR и реклама обязательны в ИТ-бизнесе. Они подогревают интерес к продукту на стадии завоевания рынка, и только через полгода-год продукт начинает приносить прибыль. На сайте любой уважающей себя западной компании ежедневно появляются 2–3 пресс-релиза. А на сайтах отечественных разработчиков нередко самая свежая новость двухлетней давности. Типичная ситуация: разработчик выпускает пресс-релиз на 2 абзаца и, может быть, еще опубликует статью в специализированном СМИ – и ждет, что через пару дней выстроится очередь заказчиков. Но заказчики что-то не торопятся. Производитель причисляет новый продукт к невостребованным и, бывает, попросту закрывает проект, хороня отличный продукт или идею.

Кесарю – кесарево…

Парадоксальность ситуации в том, что многие отечественные руководители считают себя приверженцами западного менеджмента, некоторые даже прослушали курс Executive MBA. Если уж принимать во внимание этот статус, то важно, где он получен. Считается, что в России не так много «правильных» бизнес-школ. Но наш человек, выйдя из стен такой школы, считает свои знания абсолютными и уверен, что теперь он поднимет свою фирму. На практике case study оказываются неприменимыми в российских условиях, подчиненные не понимают «птичьего языка» своего руководителя, изобилующий терминами, и почемуто без энтузиазма воспринимают призыв «жить по-новому».

Руководитель российской компании един во многих лицах: учредитель, совладелец, акционер, член совета директоров… Он совмещает по меньшей мере две несовместимые роли – руководителя, развивающего бизнес компании, и владельца, стремящегося к дивидендам. Особенно острым этот конфликт становится при необходимости инвестировать развитие бизнеса или решить социальные вопросы, например поднять зарплату сотрудникам. Стремление вложить деньги борется с желанием сэкономить… побеждает обычно последнее.

На Западе многоликость руководителя – явление крайне редкое. Как правило, акции компании котируются на бирже, а ее глава является наемным менеджером. Его доходы зависят от его решений, но средства на развитие он берет не из своего кармана.

Теперь об образовании. У российских менеджеров оно обычно техническое, у западных – из области бизнеса (управление, экономика и т.п.). Основатель отечественной компании остается ее руководителем и пытается управлять бизнесом, насколько позволяет его техническое образование. В западных фирмах для таких людей предназначены позиции архитектора, председателя совета директоров: они остаются «наверху», но бразды правления отданы акулам бизнеса, умеющим лавировать меж опасностей Уолл-стрит.

Запад живет по принципу «кесарю – кесарево», а потому обязанности на фирме распределяются между финансовым (CFO), исполнительным (CEO), техническим (CTO) директорами. А наш руководитель зачастую так и остается, по сути, программистом. Недавно на одном круглом столе гендиректор российского производителя средств VPN горячо говорил о стеке TCP/IP, семиуровневой модели, ключевой матрице, стойкости криптографического преобразования и ни слова – о решаемых задачах, преимуществах для потребителя, бизнес-потребностях…

Самое ценное надо беречь!

Самое ценное в компании – люди. Но часто капиталом они не считаются. А раз так, то и текучка высока. (Разумеется, уходят не все: кому-то некуда, у кого-то квалификация не та, кого-то всё устраивает, есть и узкий круг приближенных к «Олимпу», пользующихся чуть большими благами, чем остальные.) Так что одни и те же лица циркулируют между ИБ-фирмами не столько по причине опережающего спроса на их знания, сколько потому, что компании не удерживают своих сотрудников. Впрочем, подготовка кадров – тоже наше слабое звено (см. «ИКС» № 8'2006, с. 54).

Виртуальность стратегии

Развитие бизнеса немыслимо без стратегии. В этом вопросе политика компаний очень близка, независимо от их национального признака. Лучше всего об этом рассказали К. Зук и Дж. Аллен в книге «Прибыль от основного бизнеса» (Profit From the Core): «Многие компании имеют внушительные стратегические планы, но мало кому удается их реализовать. Анализ работы почти 1900 крупных корпораций мира показал, что только 12% добились роста доходов при сохранении прибыльности. В большинстве случаев не удавалось увеличивать доходы и прибыль даже на 5,5% в год. Между тем 90% исследованных фирм имели стратегические планы с гораздо более значительными цифрами».

Разницу между намерениями и реальным результатом авторы объясняют отсутствием связи между декларированием корпоративной стратегии и ее осуществлением. В среднем 95% сотрудников не понимают стратегии компании или вообще не имеют о ней представления. Но как тогда они могут способствовать ее эффективной реализации?

Другая крайность, когда у компании есть несколько стратегий: общая – для всей компании и частные – для подразделений, которые в большинстве своем никак не связаны между собой и с общей стратегией компании. Разумеется, никакого видимого развития компании в этом случае не будет.

Бизнес – тоже наука

Немногие наши соотечественники понимают, что ведение и организация бизнеса – одна из фундаментальных дисциплин науки о рынке и рыночных отношениях. Но незнание не освобождает от неприятностей.
  • Особенность отечественного рынка – нежелание игроков жить дружно. Везде в мире глобальные или точечные альянсы в порядке вещей даже между заклятыми конкурентами. У нас этого практически нет. Каждый пытается сам съесть пирог, не делясь. В итоге страдает потребитель, который не может интегрировать приобретенные продукты. Ситуацию усугубляет и отсутствие стандартов, позволяющих объединять разные решения.
  • Российская экономика только встает на ноги, у нас еще не развиты инвестиционные и венчурные фонды, способные подпитывать новые направления роста компаний. Да и разработчики не хотят либо боятся брать кредиты, что сильно отличает нас от Запада, где все живут взаймы, не опасаясь, что государство их «кинет».

    Средний бизнес не может приносить доход постоянно. Срок его жизни – максимум пять лет, потом наступает стагнация и рост прекращается. Разумный руководитель заранее прогнозирует такую ситуацию и диверсифицирует свой бизнес, делая ставку на новые направления. Когда наступает осень основного бизнеса, начинается весна на подготовленных площадках. Но если руководитель недальновиден, то компания упирается в потолок развития. И спасти ее могут лишь крупные капиталовложения, а брать их готовы далеко не все и не всегда (см. выше). Да и дают кредиты не всегда, особенно в отсутствие прозрачности управления и четкой стратегии развития компании.
  • Когда бизнес превышает некий объем и собственник начинает понимать, что сам не справляется, единственный путь – пригласить наемного менеджера. В крайнем же случае, когда конкурентная борьба ставит компанию перед выбором – сдайся или умри, безальтернативным решением зачастую становится продажа бизнеса. На Западе многие «стартапы» изначально предназначаются для продажи. У нас таких случаев единицы.

    Большинство сегментов отечественного рынка вступили в стадию насыщения, и теперь происходит перераспределение долей между основными игроками. Рынок ИТ только подходит к этому уровню, и случаи слияния и поглощения на этом поле – исключение. Рынок ИБ еще дальше от насыщения, но ситуация может измениться в любой момент, особенно после вступления России в ВТО. Однако отечественный собственник психологически не готов уступить свой бизнес. Компаниям с оборотом $5–30 млн такие предложения делаются настолько редко, что руководитель бывает просто не готов к такому повороту в своей жизни и чаще всего предложение отклоняет. А бывает, собственники завышают цену своего бизнеса и этим отпугивают потенциальных покупателей.
  • Наших руководителей (в большинстве своем имеющих за плечами «погоны» либо ИТ-образование) порой подводит неумение разговаривать с бизнесом и заказчиками на одном языке. Глава компании-заказчика далек от битов, протоколов и других ИТ-терминов. Ему близки сбалансированные показатели, KPI, добавленная стоимость. Значит, говорить с ним следует в тех же терминах. Наши этого не могут, их этому не учили, и учиться этому они не хотят. Вот и отдаляется менеджмент заказчика, ориентированного на западные методики управления бизнесом, от российских производителей средств защиты информации, живущих еще советскими привычками, когда все решало лобби или система распределения.
  • Отечественные разработчики надеются на обязательную сертификацию средств защиты, которая позволяет им держаться на плаву. Если на Западе требования диктует рынок, то у нас можно выпустить абсолютно неработоспособную систему, но имеющую заветную бумажку с голограммой, и будьте уверены – покупатель найдется. На Западе этот фокус не пройдет: сегодня систему купят, а завтра раструбят об обмане всему миру, и компанию-разработчика ждет расплата за недостоверную рекламу или обман потребителя.

***

В преддверии вступления России в ВТО производителям пора готовиться к жесткой конкуренции со стороны западных коллег, переходить на западные стандарты. Кто-то не выдержит конкуренции, кто-то заключит альянс с бывшими конкурентами, а кому-то вступление в ВТО позволит найти новых бизнес-партнеров. В любом случае российским разработчикам не избежать изменения бизнесстратегии. Пора привыкнуть к мысли, что мы живем в условиях рыночной конкуренции и надо бороться за потребителя. А для этого мы должны перенимать лучшее из мировой практики.

Так что, сравнивая российский и западный продукты в области ИБ, следует смотреть не только на функционал системы, а оценивать также компанию-производителя, ее портфель, стратегию и все прочее, о чем сказано выше. Только тогда выбор будет правильным.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!