Чем сложнее становится ИТ-инфраструктура, тем больше появляется потенциальных уязвимостей, которыми могут воспользоваться злоумышленники. Цифровая трансформация неизбежно ведет к росту расходов на ИБ, так как все больше критически важных бизнес-процессов подвергаются автоматизации. Согласно прогнозу Gartner, глобальные траты на информационную безопасность по итогам 2019 г. вырастут на 8,7% до $124 млрд, сходные цифры приводят аналитики IDC, которые предсказывают рост на 10,7% до $107 млрд. Для сравнения, поставки ИТ в целом демонстрируют стагнацию (рост на 0,4% в 2019 г., оценка Gartner), подобная динамика свидетельствует, что предприятия уже обладают достаточно зрелой ИТ-инфраструктурой, поэтому внимание (и финансирование) смещается от создания ИТ-систем к их защите. Хотя в абсолютных цифрах ИТ-расходы значительно превосходят бюджеты на ИБ ($3,7 трлн против $124 млрд, согласно прогнозу Gartner на 2019 г.), наблюдается тенденция на рост доли систем и сервисов защиты информации в общей структуре ИТ-затрат.

Причины, ведущие к росту ИБ-бюджетов, можно разделить на две большие группы. Во-первых, это рост числа уязвимостей ввиду усложнения ИТ-ландшафта и соответствующее развитие технологий злоумышленников. Согласно оценке McAfee, в 2017 г. ущерб мировой экономике от действий киберпреступников составил около $600 млрд, что составило 0,8% от глобального ВВП. В свою очередь, эксперты компании Accenture прогнозируют, что в течение пяти лет 2019-2023 гг. глобальные потери предприятий от действий цифровых мошенников составят в общей сложности $5,2 трлн (для сравнения ВВП РФ в 2018 г. — $1,6 трлн). Что касается России, то потери от действий киберпреступников в 2019 г. по оценке аналитиков Сбербанка, составят p1,6-1,8 трлн (около 1,5% годового ВВП).

Вторая группа соображений, которая заставляет организации наращивать инвестиции в безопасность, касается государственного регулирования и сохранности личных данных. Правительства практически всех стран мира устанавливают требования к защите информации, обязательные к исполнения на их территории. Наиболее известная из подобных инициатив — новый европейский регламент по защите персональных данных (GDPR, General Data Protection Regulation), который вступил в силу в мае 2018 г.

В России ключевой государственный проект, реализуемый в сфере ИБ, имеет целью построение единой государственной системы обнаружения, предупреждения и ликвидации компьютерных атак (ГосСОПКА), к которой должны подключиться все предприятия, имеющие объекты критической информационной инфраструктуры (КИИ). На данный момент большинство операторов КИИ находятся на стадии категорирования или внедрения средств защиты: по данным ФСБ на ноябрь 2019 г., только 42 субъекта КИИ по всей стране в настоящее время заключили соглашение о взаимодействии с Национальным координационным центром по компьютерным инцидентам (НКЦКИ — структура ФСБ, координирующая работу ГосСОПКА), еще 192 подали заявки.

Безопасность как сервис

Расходы на безопасность можно разделить на три ключевые статьи : программное обеспечение, аппаратные комплексы и сервисы. Как полагают в IDC, на ПО в 2019 г. будет потрачено $38 млрд (данный пункт инвестиций включает расходы на защиту конечных устройств, средства идентификации и доступа, аналитики и администрирования ИБ). В сегменте физического оборудования ($21 млрд) наибольшим спросом пользуются устройства сетевой безопасности. А больше всего заказчики тратят на услуги и сервисы — $47 млрд, в данную категорию включены услуги по обеспечению безопасности от MSSP (Managed Security Service Provider, компании, оказывающие услуги по обеспечению безопасности), интеграцию, консалтинг и обучение. Рост затрат на ИБ сопровождается изменением структуры расходов, так как сегмент сервисов растет немного быстрее поставок ПО и оборудования (+11,2% в 2019 г. по данным IDC, рынок в целом, как уже говорилось, вырастет на 10,7%).

Структура глобального рынка средств ИБ, $млрд

Источник: IDС, 2019

Облако превращается в новую парадигму потребления ИТ, и рынок ИБ не является исключением. В случае информационной безопасности данный подход получил название Security-as-a-Service, когда средства защиты и их обслуживание предоставляются в аренду ИБ-провайдером. Переход на сервисную модель связан с рядом фактором, среди которых необходимость оптимизировать издержки и перевести их из постоянных в переменные, отказаться от «непрофильных» бизнес-процессов для того, чтобы сосредоточиться на развитии ключевых.

Кроме того, большую роль в переходе на аутсорсинг играет дороговизна экспертизы и нехватка квалифицированных кадров: в таких условиях дешевле и проще получить услугу у профессионального провайдера, чем построить собственный сервис внутри компании. По оценке ассоциации (ISC)², результатом глобальной нехватка ИБ-специалистов в 2019 г. станет 4,07 млн незаполненных вакансий, при этом данный показатель имеет тенденцию к увеличению от года к году. На дефицит квалифицированных кадров жалуются и сами заказчики: более половины европейских представителей бизнеса испытывают кадровые проблемы, свидетельствуют данные опроса. В России данную проблему пытаются решить на законодательном уровне, так, в сентябре 2019 г. российское Министерство образования представило проекты новых стандартов высшего образования в области ИБ, однако остается открытым вопрос, насколько эти требования смогут закрыть потребности рынка с учетом быстро меняющихся технологий.

«Сложность задач и сложность систем информационной безопасности требует от ИБ-специалистов широкий список навыков и умений, зачастую выходящих за границы профессиональных, а иногда требующих редких узконаправленных умений, — комментирует Игорь Гавриш, руководитель отдела ИБ компании «Ланит-Интеграция» — Для многих организаций будет более выгодно экономически приобрести эту услугу у провайдера, нежели расширять штат организации и нанимать туда специалистов».

Дефицит ИБ-специалистов по регионам

Источник: (ISC)², 2019

Россия опаздывает

Тенденция к росту расходов на сервисы характерна и для России, наибольшим спросом у заказчиков пользуются услуги в области compliance (соответствие требованиям регуляторов), тесты на проникновение (pentest) и услуги центра по управлению безопасностью (SOC, Security Operations Center). Однако пока наиболее крупной статьей расходов остается программной обеспечение. Руководитель группы системных архитекторов «Лаборатории Касперского» Дмитрий Стеценко утверждает, что спрос на ПО обусловлен распространением виртуализации и отказом от аппаратных комплексов в пользу программных решений. «Кроме того, для оказания услуг зачастую от заказчика все равно требуется использование определенного набора программного обеспечения, поверх которого уже оказывается сам сервис», — добавляет эксперт.

По оценке директора управления ИБ компании Softline Владимира Лаврова, в среднем в ИБ-бюджетах российских компаний расходы на услуги и сервисы составляют около 20%, хотя налицо тенденция к росту таких затрат: «Чем более развита система ИБ, тем больше денег тратится на сервисы», — говорит он. «Доля услуг и сервисов в расходах на информационную безопасность растет из года в год, однако она не только не превосходит 50%, но и едва ли перейдет эту границу в ближайшие годы», — утверждает Андрей Янкин, директор центра информационной безопасности компании «Инфосистемы Джет».

При этом в структуре ИБ-расходов могут быть значительные расхождения в зависимости от отрасли, размера предприятия и специфики ИТ-инфраструктуры конкретного бизнеса. «Например, в крупных банках или в ритейл-компаниях работают подразделения, которые самостоятельно обеспечивают безопасность информации и информационных активов. Сами закупают ПО и аппаратное обеспечение, внедряют и эксплуатируют его», — делится опытом руководитель направления информационной безопасности ИТ-компании «Крок» Андрей Заикин. Заместитель коммерческого директора «Информзащиты» Лев Фисенко добавляет, что затраты на приобретение и интеграцию ПО и оборудования носят цикличный характер, а после внедрения решений удельный вес поддержки и сопровождения возрастает.

Сервис «на костылях»

Недоверие к сервисам SecaaS (Security as a Service) со стороны отечественных заказчиков препятствует развитию этого сегмента: из-за не самой высокой распространенности SecaaS зачастую вендоры не готовы предоставлять в России решения по сервисной модели, даже если в мире такая модель широко применяется. «Приходится согласовывать для заказчика уникальные условия лицензирования, придумывать какие-то «костыли», что не прибавляет гибкости и масштабируемости, которых ожидают от модели SecaaS», — делится опытом Андрей Янкин.

Тем не менее, даже сейчас наблюдается существенный рост продаж SecaaS по отдельным направлениям. Например, в портфеле услуг «Инфосистемы Джет» наибольшим спросом пользуются мониторинг и реагирование на инциденты ИБ, управление уязвимостями, защита сайтов и противодействие DDoS-атакам. Андрей Заикин отмечает, что по итогам 2018 г. на проекты SecaaS пришлось 7% выручки компании, это цифра включает сервисы SOC, услуги по защите веб-приложений по сервисной модели, предоставление в аренду оборудования (HaaS с аттестацией для ГИС) и аренда вычислительный инфраструктуры (IaaS с соответствием требования по защите персональных данных).

Стимулирует рост интереса к «безопасности как услуге» и реализация проекта ГосСОПКА. «Из-за сжатых сроков и сложности строительства своего SOC многие компании действительно обратились к аутсорсингу. Практически все потенциальные и действующие клиенты нашего центра мониторинга и реагирования на инциденты ИБ Jet CSIRT интересуются возможностями взаимодействия с ГосСОПКА и ФинЦЕРТ ЦБ РФ», — комментирует Андрей Янкин.

Участники рынка утверждают, что со временем ИБ из облака станет основным способом защиты ИТ-систем. «Для многих SecaaS будет единственным более или менее доступным способом не отставать от конкурентов и соответствовать требованиям законодательства, поэтому по мере приближения сроков плановых проверок спрос на SecaaS должен будет возрастать», — прогнозирует Дмитрий Стеценко. По его словам, уже сейчас продукты «Лаборатории Касперского» производятся с учетом требований «MSSP-ready». Среди крупных проектов, реализованных в данной области он отмечает соглашение с SOC-Angara по Anti-APT (защита от целевых атак) и проект с МТС-Cloud по защите виртуальных инфраструктур.

Таким образом, хотя и с отставанием на несколько лет, российский рынок повторяет общемировой тренд на эволюцию информационной безопасности в сторону аутсорсинга и сервисной модели.