Рубрикатор |
Статьи | ИКС № 09 2011 |
Михаил ЕМЕЛЬЯННИКОВ  | 13 сентября 2011 |
Как сдвинуть рынок
Услуги безопасности, предоставляемые операторами связи, в мире успешно развиваются, во многих странах их давно уже освоили как корпоративные, так и частные клиенты операторов. Россия к этому рынку совершенно не готова и готовится, к сожалению, очень медленно. Между тем целый ряд проблем обеспечения информационной безопасности не решить без оператора. Какие это проблемы и почему они не сдвигаются с мертвой точки?
Массовый сегмент: инертность и невежество
С одной стороны, сами компании не спешат: внедрение и продвижение сервисов ИБ требует определенных инвестиций и, самое главное, больших маркетинговых усилий. С другой – пользователи, особенно частные клиенты, не готовы эти сервисы покупать. Нет уверенности, что при получении антивируса онлайн провайдер будет в полном объеме отвечать за безопасность. И эти сомнения во многом оправданны: каналы плохие, компьютеры старые… Конечно, очень многие люди понимают, что антивирус необходим, – и покупают (в лучшем случае) программу, устанавливают ее и настраивают самостоятельно, руководствуясь инструкциями вендора. И все же на уровне частного пользователя в абсолютном большинстве случаев все вопросы, связанные с безопасностью, решить нельзя.
Другая проблема, которую без оператора устранить довольно сложно, – это опасности, подстерегающие детей в Интернете. Минимизировать их очень трудно без предустановленного на стороне провайдера продукта, который может автоматизировать категоризацию сайтов по уровню доверия. Понимания в обществе на этот счет нет. А нет понимания – нет услуги, нет и рынка. Чтобы услуга контент-анализа «родительский контроль» стала массовой, оператор должен, как минимум, очень сильно вложиться в повышение осведомленности общества.
Иногда операторы объясняют свое нежелание вкладывать деньги в запуск таких услуг их низкой маржинальностью. С одной стороны, маржинальность, безусловно, низкая. С другой – понятие маржи у наших операторов немножко оторвано от реальной жизни. Если во всем мире маржа в 3–10% считается хорошей, то у нас меньше чем за 30–40% операторы в принципе не хотят ничего делать.
Я бы рассматривал эти сервисы в другом ракурсе – как некое дополнение к основной услуге оператора, которое повышает его конкурентоспособность. Не просто доступ в Интернет, но безопасный доступ в Интернет. Уровень безопасности станет для пользователя сильным аргументом в пользу выбора того или иного провайдера, когда мы придем к насыщению рынка интернет-доступа и обострению конкуренции на нем – рано или поздно это произойдет. Войти на рынок интернет-доступа будет довольно сложно – значит, надо войти с чем-то новым. И этим новым может быть безопасность. Наверное, по этой причине «ВымпелКом» достаточно активно занялся продвижением на массовый рынок услуги, несмотря на ее невысокую прибыльность.
Вообще же, на мой взгляд, как не парадоксально это звучит, основным драйвером продаж услуг безопасности пользователям может оказаться сотовая связь. Сейчас iPhone – это фактически компьютер по функционалу, просто у него устройства ввода-вывода довольно специфические. Для кибермошенников это сигнал заняться разработкой вредоносных программ и попытаться заработать деньги. Вирусы и фишинговые программы для сотовой связи создаются и распространяются очень быстро, а на абсолютное большинство сотовых аппаратов поставить антивирусную защиту сейчас невозможно. Пользователь, прежде чем открыть MMS-файл, не имеет технической возможности проверить его безопасность – значит, об этом должен позаботиться оператор.
Корпоративный сегмент: беспечность и недоверие
DDoS – это колоссальная угроза для всех компаний, бизнес которых «развернут» в Интернет. Защищаться от нее самостоятельно бесполезно, если мощность атаки превосходит пропускную способность канала последней мили. Это должен делать провайдер – разумеется, за определенную плату. К слову, цены, которые заявляют московские провайдеры на своих сайтах, мне представляются сильно заниженными. Сомневаюсь, что за 1500 рублей в месяц можно обеспечить корпоративную защиту от DDoS-атаки. Скорее всего, речь идет о каких-то других услугах, которые маскируются под защиту от DDoS. Оказание этой услуги требует от оператора связи очень больших инвестиций. Существующие решения вендоров весьма дороги, сложны, требуют высокой производительности, большой вычислительной мощности, резервирования каналов и пр. Поэтому компании, ведущие бизнес в Интернете, должны закладывать более реальные бюджеты на защиту от DDoS-атак.
Эта проблема будет, на мой взгляд, с каждым годом только обостряться, поскольку DDoS – это самый дешевый способ расправиться с конкурентами, к тому же безнаказанно. Но к осознанию масштабов угрозы и поиску средств защиты от нее бизнес в массе своей еще не пришел. Многие компании лишь на третий день DDoS-атаки обращаются в специализированные организации: «Не можем справиться, приезжайте, помогите». Поздно на третий день DDoS-атаки приезжать и помогать. Об этом надо было думать раньше – и думать вместе с оператором, без него не обойтись.
Следующая колоссальная проблема, которая сейчас возникает и которую без операторской услуги не решить, связана с облачными вычислениями. Все, что пользователь передает со своего компьютера в «облако», дальше принадлежит оператору/провайдеру. И если он не обеспечит безопасность – ни один конечный клиент самостоятельно ее не обеспечит. Однако у пользователя нет доверия к оператору, поскольку нет внятных соглашений об уровне обслуживания (SLA), не работает приемлемая для клиента система страхования рисков. Недавно с помпой была анонсирована очередная программа страхования информационных рисков, однако есть основания для скепсиса – после 12 лет разговоров на эту тему, ни к чему продуктивному не приводящих, когда дело доходит до возмещения понесенных убытков. Оператор связи предлагает в качестве возмещения, например, месяц бесплатного обслуживания. Зачем компании месяц бесплатного обслуживания, если за три дня простоя бизнеса она потеряла больше денег, чем заплатила бы оператору за 100 лет обслуживания?.. И в этом вопросе мы тоже не двинемся вперед, не потратив сил на продвижение услуги, на повышение осведомленности и убеждение клиентов, на формирование внятных SLA.
К слову, и к «обычной» (не SaaS) модели сервисов информационной безопасности, предлагаемых оператором, доверия у корпоративного клиента мало. Он часто не готов отдать операторам такие элементарные вещи, как антивирусная защита, антиспам, веб-фильтрация. Между тем самостоятельно решать эти задачи дорого и сложно, особенно среднему и малому бизнесу. Гораздо проще доверить это провайдеру и договариваться с ним.
Несомненно, рынок будет развиваться. Интуитивно он готов, технически никаких проблем, по большому счету, нет. Но в силу организационных, правовых и психологических аспектов рынок стоит.