Еще в конце 2022 года на профильных конференциях то и дело звучал кулуарный шепоток: «Ну ничего, пересидим на триалах, протащим железо через третьи страны по параллельному импорту, а там, глядишь, геополитика отпустит». Не отпустило. И, что самое интересное с макроэкономической точки зрения, рынок осознал, что отпускать-то уже и не нужно.
Мы проскочили стадию отрицания, болезненно потолкались в торге (пытаясь сочетать несочетаемое) и вышли в жесткое, прагматичное принятие. Импортозамещение в информационной безопасности перестало быть истеричной заплаткой на пробитом днище корпоративной инфраструктуры. Сегодня это полноценная архитектурная и операционная модель. По данным аналитиков UserGate, 87% компаний уже не собираются откатываться к западным решениям, даже если завтра санкции отменят, а вендоры вроде Palo Alto, Cisco или Fortinet прибегут обратно с огромными скидками.
Почему? Потому что ИБ — это про процессы, архитектуру и экосистемы, а не просто железные коробы. А фарш невозможно провернуть назад. Разберем анатомию этого тектонического сдвига.
Мы живем в эпоху компромиссного гибрида
Никто не пытается нарисовать утопию, в которой российский софт по щелчку пальцев за два года преодолел отставание в десятилетие. Юлия Косова из UserGate приводит аналитику: средняя оценка зрелости отечественных решений сегодня болтается на уровне 2,8 из 5. И у этой цифры есть вполне рациональное техническое обоснование.
Базовый уровень мы закрываем сверхуверенно. Средний бизнес (SMB и Mid-market), а также региональный госсектор чувствуют себя отлично — их задачи не требуют космических мощностей и специфической аппаратной акселерации. Но как только дело доходит до «кровавого энтерпрайза», начинаются архитектурные боли, а именно:
Производительность на высоких нагрузках. Западные гиганты годами вкладывались в разработку собственных ASIC (специализированных микросхем) для сверхбыстрой обработки трафика. Наши вендоры пока вынуждены выжимать максимум из архитектуры x86. На скоростях 100 Гбит/с и выше начинаются просадки.
Управление большими кластерами (Management). Одно дело – настроить 10 межсетевых экранов, другое – управлять тысячами устройств в географически распределенной сети с микросегментацией. Централизованные консоли управления у отечественных игроков пока находятся в стадии активного допиливания.
В результате текущая реальность нашего рынка — это жесткий гибрид. «Критикал»-ядро (почта, базовый периметр, защита веб-приложений) уже переведено на российский стек. Но там, где нужны запредельная производительность тяжелого трафика, компании скрипят зубами, но держат импорт.
Примерно 74% компаний в той или иной мере все еще тянут иностранные решения по «серым» схемам. Но бизнес понимает, что это не новая норма, а технический долг. В ИБ нельзя использовать софт без вендорской поддержки. Без актуальных фидов Threat Intelligence, без патчей уязвимостей (zero-day), без сертификации ФСТЭК «серые» коробки превращаются из инструмента безопасности в огромную, всепоглащающую дыру в инфраструктуре. Покупка NGFW без обновлений — это покупка очень дорогого роутера с плацебо вместо защиты.
Новая валюта рынка — TCO, доверие и экосистемность
Выбор ИБ-решения в 2024–2026 годах радикально отличается от сытых нулевых и десятых. Раньше CISO брал красивый магический квадрант Gartner, сравнивал гигабиты в секунду, смотрел на количество галочек в чек-листах и покупал «бест-практис».
Сейчас правила игры диктует экономика уязвимостей и управления рисками (Risk-based approach). На первый план вышли три новых критерия:
1. Доверие как бизнес-метрика. Не абстрактная лирика, компании оценивают устойчивость самого вендора – «А не купит ли вас завтра конкурент и не закроет продукт? Хватит ли у вас R&D-бюджета, чтобы развивать платформу? А ваша техподдержка отвечает быстрее, чем падает наша сеть?». Опыт весны 2022 года вбил урок Vendor Lock-in в подкорку каждому безопаснику.
2. Совокупная стоимость владения (TCO). Бизнес не хочет покупать «ИБ ради ИБ» или ради бумажной безопасности для регулятора. Считаются затраты на внедрение, лицензирование, а главное — на поддержку и ФОТ (фонд оплаты труда) инженеров, которые будут это администрировать.
3. Консолидация и M&A. Покупать «зоопарк» из 15 разрозненных best-of-breed решений от разных стартапов больше никто не хочет. API не стыкуются, логи не бьются. Рынок движется в сторону экосистем (платформизация). Крупные игроки скупают нишевые проекты, чтобы предложить клиентам концепцию «всё из одного окна».
Кадровый кризис и Эволюция железа. NGFW как центр управления рисками
У российского рынка ИБ есть один фундаментальный ограничитель — дефицит кадров. Отрасли не хватает от 50 до 100 тысяч специалистов квалификации middle и выше. Операторы SOC (центров мониторинга уязвимостей) выгорают от шторма алертов.
Именно поэтому меняются сами технологии. Тот же NGFW (межсетевой экран нового поколения) больше не работает «вышибалой», который просто фильтрует трафик. В концепции Zero Trust Network Access (ZTNA) и SASE, проникающих на российский рынок, файрвол становится мозговым центром. Он интегрируется в общую экосистему (с XDR, SIEM, системами контроля доступа), управляет политиками, собирает телеметрию со всех конечных точек.
Безопасность перестала быть нахлобучкой сверху — она теперь встраивается на уровне ДНК архитектуры (DevSecOps). И те вендоры, которые делают ставку не на продажу отдельной железки, а на создание автоматизированной, самоуправляемой платформы, забирают себе рынок. Автоматизация (SOAR) — это единственный ответ на кадровый голод.
Экономика «невозвратных затрат» или почему назад дороги нет?
Представим фантастический сценарий: западные гиганты возвращаются. Открывают офисы, демпингуют, предлагают интеграции «из коробки». Бросится ли бизнес массово сносить российский софт?
Только 13% компаний всерьез допускают такой сценарий. Почему остальные останутся на российском стеке?
Регуляторная бетонная стена. Госсектору, КИИ (критической информационной инфраструктуре) и системообразующим отраслям (банки, телеком, транспорт, ТЭК, металлургия) путь назад заказан Указом № 250 и новыми требованиями ФСТЭК/ФСБ. Даже если санкции падут, внутренние законы суверенной ИБ никто не отменит.
Sunk Costs (Невозвратные затраты). Миграция стоит безумных денег. Пересобрать переплетенную API архитектуру, переписать сотни плейбуков и правил реагирования, переобучить штат, перенастроить процессы реагирования на инциденты стоило бизнесу литров крови и миллиардов рублей. Сделать это еще раз*? Ради чего? Чтобы повесить на шею риск повторного отключения?
ИБ-страхование и комплаенс. Российские заказчики выстроили прямые отношения с локальными вендорами. Появилась возможность напрямую влиять на roadmap (план разработки) продукта. Международным корпорациям до потребностей условного завода на Урале дела нет, а российский вендор напишет кастомный патч за месяц.
Что дальше? Взросление через боль
Раньше главным «пушером» ИБ-рынка в России было государство (штрафы 152-ФЗ, аттестации, проверки). Регулятор никуда не делся, но теперь у рынка появился второй, куда более мощный, рыночный двигатель: усложнение ландшафта и запредельный рост киберкриминала.
Данные стоят слишком дорого. Шифровальщики и целевые атаки (APT) уничтожают бизнесы целиком, атаки через подрядчиков (Supply Chain) стали нормой. Базовая ИТ-инфраструктура укрупняется, уходит в облака (где нужна своя облачная безопасность — CSPM), плодит контейнерную автоматизацию. Поверхность атаки растет экспоненциально.
В этих условиях бюджеты на ИБ больше не воспринимаются советами директоров как «налог на спокойствие» или статья для урезания. Это базовый CAPEX/OPEX для физического выживания бизнеса.
Российский ИБ-рынок заметно повзрослел, пройдя через период интенсивной вынужденной трансформации и став уникальной средой для развития технологий. Безусловно, процесс адаптации нельзя назвать полностью завершенным, отечественной аппаратной базе еще предстоит нарастить пиковые мощности, а пользовательский (UX) опыт в ряде продуктов требует серьезной доработки.
Однако сегодня эти решения развиваются в условиях непрерывного практического стресс-теста, отвечая на реальные вызовы инфраструктуры. Бизнес перешел к построению собственной независимой архитектуры, опираясь на здоровый цифровой прагматизм. Концепция слепого доверия внешним экосистемам осталась в прошлом — рынок переориентировался на долгосрочную предсказуемость, контроль над рисками и технологический суверенитет. И отступать от этой стратегии компании уже не планируют.
Мы проскочили стадию отрицания, болезненно потолкались в торге (пытаясь сочетать несочетаемое) и вышли в жесткое, прагматичное принятие. Импортозамещение в информационной безопасности перестало быть истеричной заплаткой на пробитом днище корпоративной инфраструктуры. Сегодня это полноценная архитектурная и операционная модель. По данным аналитиков UserGate, 87% компаний уже не собираются откатываться к западным решениям, даже если завтра санкции отменят, а вендоры вроде Palo Alto, Cisco или Fortinet прибегут обратно с огромными скидками.
Почему? Потому что ИБ — это про процессы, архитектуру и экосистемы, а не просто железные коробы. А фарш невозможно провернуть назад. Разберем анатомию этого тектонического сдвига.
Мы живем в эпоху компромиссного гибрида
Никто не пытается нарисовать утопию, в которой российский софт по щелчку пальцев за два года преодолел отставание в десятилетие. Юлия Косова из UserGate приводит аналитику: средняя оценка зрелости отечественных решений сегодня болтается на уровне 2,8 из 5. И у этой цифры есть вполне рациональное техническое обоснование.
Базовый уровень мы закрываем сверхуверенно. Средний бизнес (SMB и Mid-market), а также региональный госсектор чувствуют себя отлично — их задачи не требуют космических мощностей и специфической аппаратной акселерации. Но как только дело доходит до «кровавого энтерпрайза», начинаются архитектурные боли, а именно:
Производительность на высоких нагрузках. Западные гиганты годами вкладывались в разработку собственных ASIC (специализированных микросхем) для сверхбыстрой обработки трафика. Наши вендоры пока вынуждены выжимать максимум из архитектуры x86. На скоростях 100 Гбит/с и выше начинаются просадки.
Управление большими кластерами (Management). Одно дело – настроить 10 межсетевых экранов, другое – управлять тысячами устройств в географически распределенной сети с микросегментацией. Централизованные консоли управления у отечественных игроков пока находятся в стадии активного допиливания.
В результате текущая реальность нашего рынка — это жесткий гибрид. «Критикал»-ядро (почта, базовый периметр, защита веб-приложений) уже переведено на российский стек. Но там, где нужны запредельная производительность тяжелого трафика, компании скрипят зубами, но держат импорт.
Примерно 74% компаний в той или иной мере все еще тянут иностранные решения по «серым» схемам. Но бизнес понимает, что это не новая норма, а технический долг. В ИБ нельзя использовать софт без вендорской поддержки. Без актуальных фидов Threat Intelligence, без патчей уязвимостей (zero-day), без сертификации ФСТЭК «серые» коробки превращаются из инструмента безопасности в огромную, всепоглащающую дыру в инфраструктуре. Покупка NGFW без обновлений — это покупка очень дорогого роутера с плацебо вместо защиты.
Новая валюта рынка — TCO, доверие и экосистемность
Выбор ИБ-решения в 2024–2026 годах радикально отличается от сытых нулевых и десятых. Раньше CISO брал красивый магический квадрант Gartner, сравнивал гигабиты в секунду, смотрел на количество галочек в чек-листах и покупал «бест-практис».
Сейчас правила игры диктует экономика уязвимостей и управления рисками (Risk-based approach). На первый план вышли три новых критерия:
1. Доверие как бизнес-метрика. Не абстрактная лирика, компании оценивают устойчивость самого вендора – «А не купит ли вас завтра конкурент и не закроет продукт? Хватит ли у вас R&D-бюджета, чтобы развивать платформу? А ваша техподдержка отвечает быстрее, чем падает наша сеть?». Опыт весны 2022 года вбил урок Vendor Lock-in в подкорку каждому безопаснику.
2. Совокупная стоимость владения (TCO). Бизнес не хочет покупать «ИБ ради ИБ» или ради бумажной безопасности для регулятора. Считаются затраты на внедрение, лицензирование, а главное — на поддержку и ФОТ (фонд оплаты труда) инженеров, которые будут это администрировать.
3. Консолидация и M&A. Покупать «зоопарк» из 15 разрозненных best-of-breed решений от разных стартапов больше никто не хочет. API не стыкуются, логи не бьются. Рынок движется в сторону экосистем (платформизация). Крупные игроки скупают нишевые проекты, чтобы предложить клиентам концепцию «всё из одного окна».
Кадровый кризис и Эволюция железа. NGFW как центр управления рисками
У российского рынка ИБ есть один фундаментальный ограничитель — дефицит кадров. Отрасли не хватает от 50 до 100 тысяч специалистов квалификации middle и выше. Операторы SOC (центров мониторинга уязвимостей) выгорают от шторма алертов.
Именно поэтому меняются сами технологии. Тот же NGFW (межсетевой экран нового поколения) больше не работает «вышибалой», который просто фильтрует трафик. В концепции Zero Trust Network Access (ZTNA) и SASE, проникающих на российский рынок, файрвол становится мозговым центром. Он интегрируется в общую экосистему (с XDR, SIEM, системами контроля доступа), управляет политиками, собирает телеметрию со всех конечных точек.
Безопасность перестала быть нахлобучкой сверху — она теперь встраивается на уровне ДНК архитектуры (DevSecOps). И те вендоры, которые делают ставку не на продажу отдельной железки, а на создание автоматизированной, самоуправляемой платформы, забирают себе рынок. Автоматизация (SOAR) — это единственный ответ на кадровый голод.
Экономика «невозвратных затрат» или почему назад дороги нет?
Представим фантастический сценарий: западные гиганты возвращаются. Открывают офисы, демпингуют, предлагают интеграции «из коробки». Бросится ли бизнес массово сносить российский софт?
Только 13% компаний всерьез допускают такой сценарий. Почему остальные останутся на российском стеке?
Регуляторная бетонная стена. Госсектору, КИИ (критической информационной инфраструктуре) и системообразующим отраслям (банки, телеком, транспорт, ТЭК, металлургия) путь назад заказан Указом № 250 и новыми требованиями ФСТЭК/ФСБ. Даже если санкции падут, внутренние законы суверенной ИБ никто не отменит.
Sunk Costs (Невозвратные затраты). Миграция стоит безумных денег. Пересобрать переплетенную API архитектуру, переписать сотни плейбуков и правил реагирования, переобучить штат, перенастроить процессы реагирования на инциденты стоило бизнесу литров крови и миллиардов рублей. Сделать это еще раз*? Ради чего? Чтобы повесить на шею риск повторного отключения?
ИБ-страхование и комплаенс. Российские заказчики выстроили прямые отношения с локальными вендорами. Появилась возможность напрямую влиять на roadmap (план разработки) продукта. Международным корпорациям до потребностей условного завода на Урале дела нет, а российский вендор напишет кастомный патч за месяц.
Что дальше? Взросление через боль
Раньше главным «пушером» ИБ-рынка в России было государство (штрафы 152-ФЗ, аттестации, проверки). Регулятор никуда не делся, но теперь у рынка появился второй, куда более мощный, рыночный двигатель: усложнение ландшафта и запредельный рост киберкриминала.
Данные стоят слишком дорого. Шифровальщики и целевые атаки (APT) уничтожают бизнесы целиком, атаки через подрядчиков (Supply Chain) стали нормой. Базовая ИТ-инфраструктура укрупняется, уходит в облака (где нужна своя облачная безопасность — CSPM), плодит контейнерную автоматизацию. Поверхность атаки растет экспоненциально.
В этих условиях бюджеты на ИБ больше не воспринимаются советами директоров как «налог на спокойствие» или статья для урезания. Это базовый CAPEX/OPEX для физического выживания бизнеса.
Российский ИБ-рынок заметно повзрослел, пройдя через период интенсивной вынужденной трансформации и став уникальной средой для развития технологий. Безусловно, процесс адаптации нельзя назвать полностью завершенным, отечественной аппаратной базе еще предстоит нарастить пиковые мощности, а пользовательский (UX) опыт в ряде продуктов требует серьезной доработки.
Однако сегодня эти решения развиваются в условиях непрерывного практического стресс-теста, отвечая на реальные вызовы инфраструктуры. Бизнес перешел к построению собственной независимой архитектуры, опираясь на здоровый цифровой прагматизм. Концепция слепого доверия внешним экосистемам осталась в прошлом — рынок переориентировался на долгосрочную предсказуемость, контроль над рисками и технологический суверенитет. И отступать от этой стратегии компании уже не планируют.