Шерстобитов Сергей
Генеральный директор Angara Technologies Group
Окончил Российский государственный гуманитарный университет по специальности «Комплексная защита информации» с отличием.
На рынке информационной безопасности работает более 20 лет. C сентября 2011 года был генеральным директором группы ИБ-компаний, одной из самых крупных на российском ИТ-рынке. В феврале 2015 года основал и возглавил собственную группу компаний ANGARA.
Ведущий цикла телепрограмм «Популярно о безопасности».
Сергей Шерстобитов, генеральный директор Angara Technologies Group, рассказал Anti-Malware.ru о положении дел на рынке системной интеграции, о самых интересных проектах компании за последний год, о востребованности аутсорсинга и тенденциях на рынке коммерческих SOC.
Что сегодня представляет собой Angara Technologies Group?
С. Ш.: В феврале 2019 года мы отметили четвертый день рождения, следующий год будет годом укрепления и становления. До этого мы росли быстро, фактически удваивали свои показатели — сказывались и эффект низкой базы, и большие возможности на рынке информационной безопасности. 2018 год мы завершим 30% плюс к прошлому, но связано это с тем, что несколько крупных проектов просто перенеслись.
В группе компаний работает больше 140 человек. Angara сейчас — это прежде всего системный интегратор. Но вместе с тем мы понимаем, что рынок системной интеграции в нынешнем виде будет существовать лет пять…
Он сужается?
С. Ш.: Он меняется. И многих — как все новое и непонятное — это пугает. На рынке снижается маржинальность, выходят новые игроки, набирают силу инсорсинговые компании. Кроме того, стремительно идет процесс огосударствления, и мы являемся свидетелями этого в самых разных отраслях.
Сегодня основные наши клиенты находятся в финансовом и госсекторе. Традиционно, последний формирует более половины рынка, и нам еще есть куда развиваться. Работаем мы и с телекомом, который сейчас претерпевает активные изменения. Планируем идти также в сторону промышленности и энергетики, собираем экспертизу и готовим свое предложение.
Ваша компания работает с 2015 года. Еще тогда многие говорили, что рынок сужается, и скоро интеграторам суждено будет заниматься только гайками и проводами. Остальное заберут вендоры и консалтеры. В то же время вы стали быстро расти. За счет чего это удалось сделать на стагнирующем рынке?
С. Ш.: Я не верю в стагнирующий рынок. Сейчас есть геополитические факторы, которые играют в пользу рынка информационной безопасности в России. Это открывает возможности для наших разработчиков, но с другой стороны, наши разработчики не могут развиваться за рубежом, а зарубежный рынок значительно больше российского.
В России внимание к теме информационной безопасности чувствуется. Раньше об этом нужно было долго рассказывать, объяснять, что это такое, и кроме требований Гостехкомиссии ничего не было. Сейчас жизнь сильно изменилась, и мы являемся свидетелями того, что похищаются деньги в банках, можем представить себе, что случится с технологическими процессами на производстве, если кто-то перехватит управление... Градус постоянно повышается.
У интеграторов будет меняться структура выручки. Раньше большую часть выручки составлял боксмувинг, но его доля будет сокращаться и перетекать в сторону профессиональных услуг. Клиенты для этого созревают и понимают, что без этого нельзя и качественная экспертиза не может стоить дешево. Я верю, что в этом смысле у интеграции есть будущее. Оно будет другим, но оно будет.
Какие отдельные ваши проекты можно выделить по итогам 2018 года?
С. Ш.: У нас в 2018 году было несколько интересных проектов. Например, защита высоконагруженного веб-приложения в крупном банке. Как мне кажется, мы успешно справились с этой задачей, хотя это был новый для нас вызов. Из других ярких проектов я бы отметил запуск коммерческого SOC и первые шаги дочерней компании — Angara Professional Assistance. Она ориентирована на оказание сервисных услуг в области безопасности нашим клиентам.
Давайте поговорим о сервисах и аутсорсинге ИБ: какие перспективы и сложности у этого рынка на ближайшие пару лет?
С. Ш.: Я по-прежнему верю в эту историю. В 2016 году мы задумались о том, что подобные услуги могут быть востребованы заказчиками. Тогда еще не было жесткого санкционного прессинга, и мы планировали строить свой SOC на базе SIEM-системы одного из зарубежных производителей. Однако мы понимали, что объем лицензионных затрат может быть существенным, в то время, как основной спрос мы видели со стороны средних предприятий, для которых вопрос цены имеет не последнее значение. И мы начали оптимизировать стоимость для конечного потребителя, стали разрабатывать свою платформу. В прошлом году мы ее сделали и зарегистрировали. В ее основе лежит ряд опенсорсных проектов, но многое было написано специально для платформы, и все элементы были между собой интегрированы. Помимо этого, были добавлены перспективные технологии, такие как машинное обучение, что позволяет быстрее реагировать на инциденты и разгрузить аналитиков. В течение 2018 года у нас появились первые коммерческие проекты.
Тема аутсорсинга, и в частности MSSP, начала выстреливать последние пару лет. Многие говорят о том, что рады были бы этим пользоваться, но не было адекватных предложений со стороны рынка. Сейчас они появляются. Как в дальнейшем будет развиваться это направление?
С. Ш.: MSSP-модель востребована международными компаниями, которые работают на нашем рынке. Для них это является нормой там и они переносят эту практику сюда. В последние годы эта модель становится востребованной и российскими компаниями, сейчас таких компаний становится больше.
На рынке сегодня есть несколько компаний, которые предоставляют услуги подобного рода. Как мне кажется, лидером станет тот, кто быстрее всего приспосабливается к условиям рынка. Если мы сейчас остановимся и скажем, что мы предлагаем только то, что умеем делать, то какое-то время мы на этом проживем, но можем не заметить, как другие убегут вперед. Здесь надо крутить головой на 360 градусов и формировать предложение, которое востребовано рынком. Причем важно не уйти и в другую крайность — напридумывать кучу уникальных сервисов, которые трудно воспроизводятся. Надо найти баланс между соответствием ожиданиям клиента и тиражируемостью. Рынок взрослеет, ИБ равняется на старшего брата — на IT, и в этой части аутсорсинг будет активно развиваться.
Иногда выходит, что аутсорсинг получается дороже, чем если бы эту работу выполняли люди внутри компании.
С. Ш.: Это вопрос качества и методологии. Если компания честно считает TCO, то разница будет очевидна. Тут важно, что бизнесу имеет смысл сосредоточиться на развитии профильных функций. Например, наша операционная функция — доставка клиентам услуг в области ИБ, и над ее совершенствованием мы работаем каждый день. Сомневаюсь в целесообразности соизмеримых усилий в развитие непрофильных…
На одном из предыдущих Positive Hack Days был круглый стол с заказчиками, где прозвучало мнение, что крупный бизнес был бы рад отдать на аутсорсинг базовые функции ИБ, чтобы сотрудники занялись более интеллектуальной деятельностью. Но сейчас, в том числе из-за регуляторного давления, на первый план выходит более тяжелый уровень аутсорсинга, такой как коммерческие SOC, а базовый аутсорсинг не развивается. Почему так происходит?
С. Ш.: Сейчас чаще всего клиенты обращаются к вендорам. Произошло у них срабатывание — они бегут к вендору. Многие вендоры начинают предлагать пакеты премиальной поддержки, куда входит расследование инцидентов. Это стало происходить недавно, и пока непонятно, будет ли готов вендор переварить запросы от всех клиентов. Скорее всего нет. И они с радостью отдадут их в партнерскую сеть. Тут есть чем заниматься поставщикам этого сегмента услуг.
Предоставлять базовые услуги информационной безопасности — предложение, которое до сих пор не утратило свою актуальность. Чаще всего это упаковывается в техподдержку, но иногда это касается и более высоких уровней, таких как риск-менеджмент. Правда, аутсорсер может принести методологию, но не может принять решение за тебя.
Тут, возможно, играет важную роль кадровый вопрос. Настроить антивирус или сетевой экран смогут специалисты компании, но чтобы оперативно разобраться, как работает SIEM, IRP, нужно привлекать узких специалистов.
С. Ш.: Здесь важен еще уровень влияния и полномочия у подразделений ИБ. Сейчас этот уровень повышается. Многие владельцы бизнеса стали понимать, что от этого многое зависит и игнорировать вопросы ИБ нельзя. Раньше для ИБ было свойственно находиться в тени других функций, это была более защищенная позиция. Мы в своей песочнице выполняем свои обязанности, а идти к бизнесу, собирать потребности, потом это накладывать, где-то вносить изменения в бизнес-процессы — это могло быть даже опасно. Восприятие и понимание вопросов качественно изменилось.
Сейчас 187-ФЗ и защита КИИ — это основной драйвер рынка. Как его принятие повлияло на рынок аутсорсинга?
С. Ш.: Меня смущают слова «основной драйвер».
Все стали суетиться, видно по общему фону.
С. Ш.: Есть оптимисты и есть реалисты. Оптимист считает, что меняется качественное состояние с точки зрения зрелости. Вопрос, что первично — желание к саморазвитию или регуляторное давление? Я точно сказать не могу. Конечно, чувствуется внимание государства к вопросам к ИБ. И 187-ФЗ сильный, но не доминирующий драйвер. В этот ряд можно поставить и развитие нормативной базы в финсекторе, и международные нормы, и импортозамещение. Важно отметить, что сейчас компании перестают бояться сообщать об инцидентах. А если я информирую сообщество, оно становится более подготовленным к разрешению подобных ситуаций.
Эти инициативы не окажутся еще одним витком «бумажной» безопасности?
С. Ш.: Относительно «бумажной» безопасности — такой риск исключить нельзя, но тут все зависит от позиции регулятора. Здесь бы я провел аналогию со 152-ФЗ. Когда это стало неотвратимо, то каждая организация начала принимать меры по защите персональных данных. Если регуляторы будут последовательны, то эта инициатива превратится в процессную составляющую. Если же контроля не будет, то это может превратиться в очередной информационный шум. Но я не вижу предпосылок, чтобы ситуация двигалась по второму пути.
Что касается защиты КИИ, то телекомы и банки всегда уделяли этому много внимания. А если мы говорим о сегментах, которые раньше не были охвачены теми же требованиями, то сработает эффект новой базы, и в любом случае станет лучше. Средняя температура по больнице повысится.
Закон 187-ФЗ пылился около пяти лет. По идее его могли принять намного раньше. С ним опоздали или пять лет назад рынок был не готов?
С. Ш.: История не знает сослагательного наклонения. Когда я работал в другой сильной и профессиональной компании, мы в 2007 году подготовились к запуску своего Security Operations Center, потому что на Западе такие услуги уже были востребованы. Тогда мы были пионерами российского рынка. Как думаете, сколько продаж случилось?
Ноль?
С. Ш.: Да, ноль. Но сейчас этот рынок созрел. Так и закон лег на подготовленную почву. Это лучше, чем отличные и правильные законы, но оторванные от жизни.
Кто на 187-ФЗ больше заработает? Думаю, что именно интеграторы. Они могут продать и средства защиты, и консалтинг, и аутсорсинг.
С. Ш.: Мы занимаем активную позицию, и я надеюсь, что сможем найти свой кусочек пирога. Но нужно отметить, что здесь структура спроса и предложения не сильно отличается от классической интеграции. Заработает тот, кто будет активен на этапе продажи и надежен на этапе реализации. Нахватать (и лопнуть) можно, но это одноразовая история. А вот тот, кто сможет обеспечить производительность с определенным уровнем качества, снимет сливки.
Если говорить о нефинансовой составляющей, здесь в выигрыше будет клиент. Выигрывает и общество в целом благодаря более высокому уровню защищенности.
Через несколько лет мы сможем наблюдать другой технологический ландшафт решений. Сейчас на рынке появляются продукты, которых раньше не было — например, для защиты АСУ ТП. Если все сложится хорошо, то, возможно, Россия станет родиной множества интересных продуктов и решений, которые могут впоследствии выйти на мировой рынок.
Вернемся к теме коммерческих SOC. У вас появились первые клиенты, и вы, наверно, собираете от них какой-то фидбек. Какие требования они предъявляют к провайдерам услуг?
С. Ш.: Мы этот фидбек можем взять с двух сторон. Во-первых, у нас есть коммерческий SOC. Во-вторых, у нас есть интеграторская практика, когда мы помогаем строить SOC у наших клиентов. И те, и другие сейчас хотят видеть конкретную ценность от предоставляемой услуги.
Они считают ее в деньгах или в обнаруженных и предотвращенных атаках?
С. Ш.: На текущем этапе достаточно качественной оценки. Они раньше жили, и у них с виду было все хорошо. Тут приходит подрядчик и говорит, что у вас там-то зловред, там-то админ творит, что хочет, и так далее. Как только наводится порядок, для многих клиентов это становится главным триггером. Они понимают, что пришли люди, которые не повторяют мантру «у вас все хорошо», а способны честно и открыто говорить на одном языке. И здесь возникает доверие. С другой — для них важен баланс. Немногие клиенты готовы перегружать системы дополнительными датчиками и агентами. Можно настроить бетонных стен вокруг, но это не будет работать. Надо выстроить баланс между работой и безопасностью, и умение его находить приходит только с реальным опытом.
Как вы оцениваете уровень конкуренции на рынке коммерческих SOC? Ощущается ли она на настоящий момент, ведь емкость рынка и потенциал большие?
С. Ш.: Конкуренция есть. Мы чувствуем дыхание соседей. Другое дело, что спрос пока небольшой, и острых лобовых столкновений пока не происходит. Ситуация с закупкой антивирусного средства или закупкой услуг по аттестации — принципиально другая. Я недавно посмотрел статистику о том, сколько сейчас стоит аттестация информационных систем на соответствие требованиям, и увидел, что это превратилось в commodity: понятные границы, одинаковые средства и предложения. Часто более выигрышную позицию занимают региональные компании, у которых просто издержки намного ниже. В нашем случае о такой зрелости рынка говорить не приходится — границы нечеткие, не всегда понятен набор требований клиента. Тем не менее конкурентов мы видим, но не очень страдаем от их наличия.
Если вернуться к теме тенденций на рынке коммерческих SOC, как будет меняться этот рынок в ближайшие год-два?
С. Ш.: Портфель услуг будет меняться, и у нас тоже есть идеи, каким образом его модернизировать. Здесь многое зависит от того, какую роль займет государство в этом вопросе. У рынка по всем косвенным признакам большое и светлое будущее. На несколько лет вперед динамика будет положительная, компании, предоставляющие услуги для SOC, будут расширять свой портфель и находить новых клиентов.
Сегодня активных компаний — не более пяти. Но в целом спрос может оказаться больше, чем эти компании смогут переварить.
Благодарим за интервью и желаем успехов!