«Если бизнес-модель строится на борьбе с симптомом, то искреннее устранение причины болезни угрожает самому существованию компании. Индустрия кибербезопасности находится в этой парадоксальной ситуации.»
Бизнес-модель как фундамент
Любая коммерческая компания существует для извлечения прибыли. Вендоры информационной безопасности не исключение — они продают продукты и услуги для защиты от угроз. Их финансовое благополучие напрямую связано с существованием этих угроз: без атак, уязвимостей и нарушений спрос на средства защиты резко снизился бы. Это создает фундаментальный конфликт интересов.
Представьте производителя лекарств от хронического заболевания. Его цель — создать эффективное средство, которое облегчит симптомы, но полное и окончательное исцеление всех пациентов разрушит его рынок сбыта. Поэтому экономически выгоднее разрабатывать поддерживающую терапию, а не разовое лекарство. Аналогично, бизнес-модель многих ИБ-решений основана на постоянной «подписке», обновлениях сигнатур, продлении лицензий и реагировании на новые угрозы. Конец угроз означал бы конец этого цикла доходов.
Инновации vs. стабильный доход
Вендоры, безусловно, заинтересованы в инновациях — но в инновациях внутри своей парадигмы. Разработка более совершенных систем обнаружения атак, более быстрых песочниц, более умных алгоритмов машинного обучения, это укрепляет их позиции на рынке. Однако радикальная инновация, которая могла бы кардинально снизить общий уровень угроз (например, прорывная архитектура безопасности на уровне ОС или протоколов), часто не укладывается в текущую продуктовую линейку. Ее внедрение потребовало бы перестройки всей экосистемы и могло бы сделать устаревшими существующие решения, что экономически рискованно.
Существует также «ловушка совместимости». Продукты должны работать в существующей ИТ-
Экономика обновлений и «нулевого дня»
Значительная часть выручки крупных вендоров поступает от технической поддержки и подписок на обновления. Эти обновления часто содержат патчи для новых уязвимостей. Цикл выглядит так: исследователи или злоумышленники находят «дыру» → вендор разрабатывает и выпускает патч → клиенты оплачивают поддержку, чтобы получить этот патч. Если бы уязвимости перестали появляться, одна из ключевых причин для регулярных платежей исчезла бы. Система экономически мотивирована на существование постоянного потока новых уязвимостей.
Особый случай — рынок информации об уязвимостях нулевого дня. Существуют коммерческие компании, которые покупают такие уязвимости у исследователей, чтобы затем продавать информацию о них государственным структурам или разрабатывать защиту. Полное прекращение обнаружения zero-day закрыло бы этот целый сегмент бизнеса.
Роль регуляторов и стандартов
Здесь вступает в игру внешний фактор — государственное регулирование, такое как 152-U3 и требования ФСТЭК. Регуляторы формально заинтересованы в снижении угроз для критической информационной инфраструктуры. Они создают обязательные к исполнению стандарты и меры защиты.
Однако парадокс в том, что эти стандарты часто закрепляют использование конкретных типов сертифицированных продуктов. Таким образом, регуляторная повестка косвенно формирует гарантированный спрос для вендоров, чьи решения прошли сертификацию. Фокус смещается с достижения абсолютной безопасности на соблюдение формальных требований. Вендору выгодно иметь продукт, который соответствует текущим регуляторным нормам, а не продукт, который делает угрозы неактуальными, так как последнее может сделать и сам регуляторный framework избыточным.
Перспективы: смена парадигмы?
Может ли эта модель измениться? Есть несколько возможных сценариев.
- Переход к managed
Альтернативные модели
Набирает популярность модель безопасности как сервиса (Security-as-a-Service или Managed Detection and Response — MDR). Здесь вендор (или специализированный провайдер) продает не коробочный продукт, а гарантированный результат — обнаружение и реагирование на инциденты. В такой модели экономический интерес смещается: провайдеру финансово выгоднее предотвратить инцидент или быстро его ликвидировать, так как это снижает его операционные издержки на реагирование. Его прибыль зависит от эффективности, а не от объема продаж лицензий. Однако полное исчезновение угроз по-прежнему лишило бы его предмета деятельности.
Другое направление — страхование киберрисков. Страховые компании напрямую заинтересованы в снижении вероятности наступления страхового случая (кибератаки). Их прибыль зависит от разницы между собранными премиями и выплатами. Поэтому у них есть стимул требовать от клиентов внедрения реально эффективных мер защиты и даже инвестировать в технологии, предупреждающие убытки. Это пример внешней экономической силы, которая может быть более заинтересована в искоренении угроз, чем вендоры ПО.
Что на самом деле думают инженеры?
Важно разделять коммерческие интересы компании и мотивацию конкретных сотрудников, особенно исследователей и инженеров. Многие из них искренне увлечены проблемой безопасности, видят в ней сложную техническую задачу и получают профессиональное удовлетворение от создания надежных систем и нахождения уязвимостей. Для них угроза, это вызов, а не источник дохода. Конфликт возникает, когда бизнес,
Итог: заинтересованы, но в рамках системы
Вендоры ИБ заинтересованы в снижении угроз, но только до того уровня, который сохраняет обоснованность их продуктов и услуг на рынке. Их цель — управляемая, а не побежденная угроза. Они стремятся сделать атаки достаточно сложными и дорогими для злоумышленника, но не настолько редкими, чтобы спрос на защиту исчез.
Полное исчезновение киберугроз в обозримом будущем — утопия, и не только из-за бизнес-
- Бизнес-модель большинства вендоров построена на постоянной борьбе с новыми угрозами, а не на их полном устранении.
- Регуляторные требования формируют стабильный спрос на сертифицированные решения, закрепляя текущую парадигму.
- Экономические стимулы могут сместиться в сторону моделей, где прибыль зависит от результата (MDR, страхование), а не от продажи лицензий.
- Технические специалисты внутри компаний часто более заинтересованы в решении фундаментальных проблем, чем корпоративная стратегия.
индустрия безопасности находится в состоянии динамического равновесия. Она реагирует на угрозы, извлекает из них экономическую выгоду, но при этом ее развитие — единственное, что сдерживает угрозы от полного доминирования. Это сложный симбиоз, а не простой заговор.