CNews: Как вы можете охарактеризовать прошедший год? Каким он был для «Астерос ИБ»?

Александр Чижов: Если коротко – это был год становления на ноги, выстраивания фактически новой компании. Основные управленческие усилия были направлены на оздоравливающие меры буквально по всем уровням: от стратегического до операционного. Была изменена структура компании, модель компетенций, мы отказались от ряда изживших себя направлений и создали тесно взаимосвязанные между собой, но финансово автономные практики. Прежде чем снова поднимать флаг и выходить на рынок, акционеры группы «Астерос» дали нам возможность заново отстроить фундамент бизнеса, перекроить внутренние процессы, сформировать команду. Это была необходимая мера, чтобы набрать нужную форму и выйти к имеющимся клиентам с новыми предложениями, а также постепенно начинать работать на совсем другом уровне по новым предпродажным предложениям.

В уходящем году был выполнен ряд крупных проектов для госструктур, включая силовые органы и госкорпорации, а также ведущих телеком-операторов, предприятий ТЭК, организаций банковской сферы и крупных торговых компаний. В частности, из публичных проектов могу назвать банк «Петрокоммерц», «Авиадвигатель», компанию «МегаФон», ее филиалы и дочерние компании: MegaLabs, «Нэт Бай Нэт Холдинг».

CNews: В чем заключается стратегия «Астерос ИБ» в текущих экономических условиях?

Александр Чижов: Стратегия – это не однажды написанный документ, определяющий, как жить компании сейчас, через год или через 5 лет. На мой взгляд, в любых экономических условиях, независимо от градуса падения рынка, стратегия должна иметь ответ на любой вопрос со стороны бизнеса. То есть это достаточно пластичная и гибкая вещь, корректировать которую необходимо не только исходя из внешних рыночных или макрореалий, но и, в том числе, опираясь на задачи и потребности клиентского пула. А в условиях замедления темпов экономического роста или стагнации экономики на первый план для компаний, оказывающих ИБ-услуги, выходят как раз потребности клиента. И сейчас ровно такой момент.

CNews: Каков фокус «Астерос ИБ» сегодня?

Александр Чижов: Сегодня мы больше думаем о продуктах, которые позволяют информационной безопасности внутри организации восприниматься в качестве бизнес-подразделения, которое хорошо представляет себе общую рыночную стратегию, специфику бизнеса и работы соседних отделов. Прежде всего, того же ИТ. Я уверен, что специалисты ИБ- и ИТ-подразделений в обязательном порядке должны работать на общую цель, создавать эффективные и безопасные продукты для внутренних и для внешних нужд. Наша цель – на практике показать, насколько глубоко информационная безопасность завязана на бизнесе и почему они неотделимы.

CNews: А что происходит по факту?

Александр Чижов: А по факту в подавляющем большинстве российских компаний ИТ-департамент и ИБ-служба очерчивают свой ареал, не пересекаясь друг с другом, если на то нет воли топ-менеджмента. Нужно защитить переписку – специалисты по безопасности обеспечивают ее защиту. А как это в принципе коррелирует с задачами бизнеса, с оптимизацией издержек, с ростом выручки?

Этот закостенелый подход – «защитил и забыл» – изжил себя. Рынок информационной безопасности нужно встряхнуть, заставить его мыслить категориями бизнеса и перестать вариться в своем узкоспециализированом прикладном котле.

CNews: Считаете ли вы, что руководство российских компаний осознает важность инвестирования в информационную безопасность и ее связь с бизнес-потребностями?

Александр Чижов: В целом ситуация неоднородна. Как именно увязать бизнес-цели компании с задачами, которые решает информационная безопасность, – это вопрос, который я задал себе, более года назад заняв кресло главы «Астерос Информационная безопасность». И я задаю его до сих пор. Вы не поверите, но не так много руководителей ИБ-подразделений крупных и крупнейших клиентов (СМБ, в данном случае, я бы оставил за скобками) могут внятно ответить на этот вопрос. Наш плюс в том, что мы не ориентируемся на всех. Мы сфокусированы на своем клиентском пуле, в котором подобные мысли находят отклик. Наиболее прогрессивные компании, традиционно это телеком и банки, понимают эту связь, что позволяет нам взаимодействовать в одной системе координат.

CNews: В чем заключается ваш подход к информационной безопасности, если мы говорим о клиентах уровня Enterprise?

Александр Чижов: Вы помните матрицу Джона Захмана? Он предложил некую модель, которая позволяет спроектировать ИТ-архитектуру предприятия. Ее основной плюс в том, что она позволяет последовательно описать каждый отдельный элемент системы в координации со всеми остальными. Понятно, что рассмотреть все элементы системы с их связями, правилами и политиками фактически невозможно. Но и рассмотрение каждого элемента в отдельности некорректно, так как отсутствуют связи между ними, что может привести к неоптимальным решениям.

Александр Чижов: Специалистов по ИБ надо заставить мыслить категориями бизнеса

В нашем понимании информационная безопасность уровня корпорации должна быть построена на основе архитектуры, состоящей из взаимоувязанных и логически распределенных элементов, в которые «зашиты» бизнес-цели компании. Например, такие, как повышение рентабельности бизнеса, снижение ОРЕХ и САРЕХ, рост прибыли. Эти цели детализируются на каждом уровне нашей архитектуры, и каждый из них предусматривает свои группы процессов. Именно в процесс должна быть встроена информационная безопасность. Возьмем телеком оператора: драйвером роста его бизнеса, очевидно, является разработка новых услуг, подразделяемая на ряд процессов. Все сегодняшние мобильные сервисы customer face должны быть защищенными: смартфон – это целая подарочная коробка персональных данных. Ни один абонент не захочет, чтобы его номер паспорта или данные счетов гуляли по интернету в какой-нибудь базе, выставленной на продажу известными сайтами. Таким образом, цель бизнеса, а именно вывод на рынок новых услуг и рост прибыли, при одновременном снижении риска в виде санкций регулятора, не может быть достигнута, если задача информационной безопасности, в данном случае, соответствие ФЗ-152, не будет корректно решена. И это лишь один довольно грубый пример из телекоммуникационной практики, которая всегда была одной из приоритетных для нас.

Именно так, исходя из этой процессной архитектуры, можно представить стратегию в целом, ведь вы видите каждую ячейку, ее взаимосвязи, что оказывает на нее влияние, что – нет, каким образом этим всем управлять. Благодаря архитектуре мы выстраиваем интерфейс общения ИБ с бизнесом, ИБ с ИТ, ИБ с регуляторами, ИБ с акционерами и так далее.

CNews: Как компания, несколько лет подряд занимающая ведущие позиции на рынке услуг ИБ в России (версия IDC), планирует расти в будущем году?

Александр Чижов: Лучше расти на падающем рынке – это всем известно. Что заставляет рынок расти? Конкурентная борьба, в качестве одного из инструментов которой выступают новые продукты. Если мы посмотрим на большинство средств информационной безопасности через призму Hype Circle, то увидим, что большинство из них уже вышло на плато стабильности, некоторые перешли в стадию коммодитизации, на взлете – не так много игроков. Возьмем DLP. Конечно, хорошо смотреть интернет, почту и другие традиционные каналы утечки, а как насчет других каналов – тех же смартфонов? На это у большинства вендоров пока ответа нет. Рынок продуктов информационной безопасности для Mobility – очень молод. Большинство производителей по-прежнему находятся в поиске своих собственных формулировок и понимания того, как нужно защищать мобильные платформы. Со своей стороны мы понимаем, что это новая перспективная ниша и готовы заниматься обеспечением ее защиты, но для этого нужен продукт, с которым мы пойдем к клиенту.

Аналогичная ситуация с еще одним интересным и важным направлением – это защита АСУ ТП КВО. При очевидной потребности, при явном спросе – на рынке нет адекватного предложения. Мы ведем переговоры по этому поводу с несколькими разработчиками, при этом отдавая себе отчет, что любой продукт для обеспечения информационной безопасности автоматизированных систем управления технологическими процессами критически важных объектов должен быть кастомизирован под конкретный объект, его специфику, его стандарты и др. Двух одинаковых систем в этом случае быть не может – это «штучный товар», кастомная разработка под клиента с большой долей интеллектуальной составляющей. И я уверен, что в перспективе, мы сможем ее предложить.

CNews: По-прежнему немногие на российском рынке ИБ верят в аутсорсинг, тогда как вы заявляли, что это – перспективный бизнес. Каково его состояние сейчас?

Александр Чижов: Я бы это назвал периодом аккуратного роста интереса к аутсорсинговой модели предоставления услуг ИБ. Поскольку задачи, связанные с безопасностью, становятся все сложнее, их количество постоянно растет, компании начинают передавать на аутсорсинг как отдельные функции, например, комплексный аудит или тестирование систем, так и целые направления работ.

Для западного рынка подобная практика не нова, там существует отдельная рыночная ниша компаний, которые специализируются исключительно на предоставлении услуг по аутсорсингу ИБ. Если хотите – пример из телекома. Все мы знаем, что операторы – владельцы инфраструктуры, владельцы сетей, на которых можно заработать, сдавая их в лизинг или в аренду крупным коммерческим и госкорпорациям. А, значит, в первом случае инфраструктура должна соответствовать отраслевым стандартам, а во втором – она должна быть еще и защищенной по требованиям, предъявляемым к ней локальными регуляторами. При этом уровень информационной безопасности арендуемой сети или мощностей оператора должен регулярно проходить проверку внешним аудитором. Такие контракты сейчас только начинают появляться на российском рынке, тогда как на западе – это ran rate бизнес компаний, которые оказывают, допустим, ежеквартальную проверку защищенности того или иного объекта – сети, инфраструктуры, систем ЦОД и др.

CNews: В связи с геополитической ситуацией использование отечественных ИТ-разработок и решений в госсекторе может смениться с рекомендательного на принудительное. Пойдут ли подобные изменения на пользу рынку, клиентам?

Александр Чижов: Подобные тенденции не являются особенностью ситуации в России. Например, Китай поддерживает отечественных производителей программно-аппаратных средств ИТ и ИБ. Там существует и успешно реализуется соответствующая государственная программа. В России, с одной стороны, давно пора перейти к принудительным мерам по ИБ в государственно значимых системах. С другой – нужно трезво оценивать степень готовности к импортозмещению. В настоящий момент программно-аппаратные средства отечественных производителей не способны полностью покрыть потребности современного рынка ИТ и ИБ. Хотя, безусловно, в нашей стране уже создан широкий спектр продуктов мирового уровня. Такие изменения пойдут на пользу отечественному рынку в среднесрочной перспективе только при условии наличия государственной программы по их развитию, созданию доверительной среды и соответствующей поддержке государства.

CNews: Как законодательные инициативы, на ваш взгляд, повлияют в ближайшие два-три года на использование/изменение элементной базы? Отразятся ли эти изменения на вашей деятельности?

Александр Чижов: Если имеется ввиду радиоэлектронная элементная база, то никак. Простые комплектующие давно вытеснены производителями из Китая, как за счет ценовой составляющей, так и за счет растущего качества. По наукоемкой продукции мы отстали от Европы и США на десятки лет. Ввиду отсутствия спроса и низкой производительности труда в нашей стране создание конкурентоспособной продукции в данной отрасли за 3 года представляется маловероятным. Но локальные успехи в производстве нескольких типов радиоэлементов, безусловно, возможны.

CNews: Считаете ли вы, что заказчик вновь консервативно отнесется к выделению бюджетов на ИБ, учитывая текущую экономическую ситуацию? Все ли игроки рынка ИБ выживут к концу 2015 года?

Александр Чижов: Безусловно, информационная безопасность, как и ИТ – функция обслуживающая. Конечно, она не будет полностью исключена из бюджетов, но и фокуса на нее в кризис ожидать не стоит. В результате, среди игроков рынка информационной безопасности часть не пройдет сито 2015 года. Выживут те, у кого действительно есть интересные заделы на будущее с точки зрения проектного подхода, продуктов, новых услуг. У таких компаний есть свой клиентский портфель из 5–10 основных потребителей, которым они и будут предлагать свои свежие идеи, взрощенные с учетом глубокого знания бизнеса этих «якорных» клиентов. Второй вариант – упор на качество. К качеству всегда есть претензии, а значит всегда есть куда расти. Если тебе в кризис не дали денег на развитие, но ты смог сам перегруппироваться, оптимизировать процессы, не растерять, а, наоборот, нарастить компетенции, то твой сервис может оказаться лучшим. Выдавая более высокий уровень разработки, интеграции, консалтинга, ты можешь забрать бизнес у игроков, позиции которых казались прочнее прочного.

В целом же, я считаю, рынок должен принадлежать компаниям, которые умеют делать уникальные продукты с большой долей интеллекта. Эта та самая ситуация, когда клиент не сможет пойти и заказать аналог у другой компании. Потому что аналога просто не будет. Идеальная картина мира на рынке ИБ для меня выглядит именно так.