Обсуждение того, под чьи интересы на самом деле пишутся некоторые требования регуляторики в IT,, это не про заговор, а про естественный анализ эффектов от норм. Требования по защите информации часто создают победителей и проигравших на рынке — иногда предсказуемо, иногда неожиданно.
От целей государства к выгодам конкретных игроков
Когда говорят о национальной безопасности в IT, в первую очередь вспоминают защиту информации от внешних угроз, кибербезопасность и технологический суверенитет. Эти цели декларируются в стратегических документах и нормативных актах. Однако внедрение конкретных требований всегда имеет побочные экономические и рыночные эффекты. Часто получается, что нормы, формально созданные для защиты государства, по факту формируют рыночную среду, которая выгодна определённым группам.
Например, требование о размещении информационных систем на территории страны формально решает задачу юрисдикции данных и защиты от иностранного наблюдения. Но реальный эффект, это резкое ограничение конкуренции для глобальных облачных провайдеров и искусственный рост спроса на услуги локальных дата-центров и операторов. Кто выигрывает? Крупные российские игроки, уже имеющие развитую инфраструктуру. Для них сертификация по требованиям ФСТЭК становится не просто обязательством, а конкурентным барьером, который мелким и новым компаниям сложно преодолеть.
Индустрия «бюрократической безопасности»
Само существование жёстких регламентов по аттестации и сертификации порождает целую экосистему.
- Аттестующие организации. Лицензированные компании, проводящие оценку соответствия систем защиты информации. Их бизнес-модель напрямую зависит от сложности и постоянства требований.
- Производители «сертифицированного» ПО и оборудования. Ряд российских вендоров строит своё позиционирование исключительно на соответствии требованиям ФСТЭК и ФСБ. Их продукт может проигрывать по функционалу или удобству, но выигрывать на госзакупках и в проектах с госсектором, где соответствие — обязательный критерий допуска.
- Консалтинговые и юридические компании. Помощь в прохождении аттестации, оформлении документов, консультации по 152-ФЗ стали отдельной отраслью с устойчивым спросом.
любое ужесточение или усложнение регуляторики напрямую увеличивает оборот в этой экосистеме. Вопрос не в том, нужны ли эти услуги — они необходимы. Вопрос в том, не становится ли поддержание сложности системы самоцелью для её участников.
Барьеры для входа и инноваций
Сложный и долгий процесс аттестации ИСПДн (информационных систем персональных данных) или ГИС (государственных информационных систем) создаёт высокий порог входа. Стартап или небольшая IT-компания с инновационным продуктом может просто не потянуть ни временные, ни финансовые затраты на получение всех необходимых допусков. В результате рынок решений для госсектора и крупного бизнеса, попадающего под регулирование, остаётся за крупными, давно работающими игроками.
Это консервирует технологии. Если для соответствия требованию достаточно использовать «проверенное» (читай — устаревшее) решение, заложенное в типовые проекты защиты, у заказчика и интегратора пропадает мотивация внедрять что-то новое. Риск провалить аттестацию перевешивает потенциальные преимущества новой технологии.
Лоббизм под видом защиты
Некоторые нормы выглядят так, словно они написаны под конкретный продукт или технологию.
- Требования к использованию определённых криптографических алгоритмов или средств электронной подписи.
- Жёсткая привязка к определённым операционным системам или типам СУБД в типовых моделях угроз.
- Сертификация не функциональности, а конкретных версий ПО и железа.
Такая специфичность может быть следствием естественного развития технологий, но может быть и результатом успешного лоббирования со стороны компаний, которые успели первыми сертифицировать свои решения и теперь заинтересованы в сохранении статус-кво. Новым игрокам приходится не просто создавать продукт, но и «подгонять» его под уже сформированную регулятором парадигму, что часто означает копирование архитектурных решений лидеров рынка.
Местные vs глобальные интересы
Тренд на импортозамещение в IT-инфраструктуре напрямую связан с логикой национальной безопасности. Однако на практике под этим трендом могут продвигаться интересы не столько «отечественных производителей» как класса, сколько конкретных корпораций с хорошими связями. История показывает, что компании, сумевшие первыми получить статус «отечественного ПО» или войти в реестр Минцифры, получают колоссальное конкурентное преимущество, иногда не связанное с качеством их продуктов.
При этом малые и средние разработчики, которые не входят в «пул» основных лоббистов, сталкиваются с теми же барьерами, что и иностранные конкуренты: сложные процедуры оценки, требования к открытию исходного кода, необходимость глубокой интеграции с уже утверждёнными платформами.
Защита данных или контроль?
Часть требований, формально направленных на защиту персональных данных граждан (152-ФЗ), на практике усиливает контрольные функции государства и уполномоченных органов над операторами данных. Например, обязанность предоставлять информацию по запросам Роскомнадзора, требования к хранилищам данных и протоколированию. Это создаёт инфраструктуру, которую при желании можно использовать не только для защиты, но и для мониторинга.
Кто выигрывает от такой инфраструктуры? В первую очередь, силовые структуры и органы надзора, получающие расширенные инструменты. Во вторую — компании, которые поставляют технологии для такого мониторинга и контроля (системы DLP, SIEM, средства криптографии с закрытыми ключами).
Экономика неопределённости
Расплывчатые формулировки в нормативных актах («надлежащий уровень защиты», «принятие всех необходимых мер») создают поле для интерпретации. Это благо для консультантов и аттестующих центров, чья экспертиза становится ключевым активом. Для бизнеса же это источник риска и дополнительных издержек. Невозможно быть на 100% уверенным в прохождении проверки, всегда остаётся «человеческий фактор» проверяющего. Эта неопределённость вынуждает компании перестраховываться, покупая более дорогие, «гарантированно проходящие» решения и услуги.
Баланс интересов: есть ли он?
Неверно утверждать, что вся регуляторика в IT создана исключительно для лоббирования чьих-то интересов. Реальные угрозы информационной безопасности существуют, и регулирование необходимо. Однако важно различать:
- Требования, решающие реальные проблемы безопасности (например, шифрование каналов связи, разграничение прав доступа, регулярное обновление ПО). Они защищают и государство, и бизнес, и пользователей.
- Требования, создающие искусственные рыночные преимущества (например, обязательное использование конкретного сертифицированного продукта, географические ограничения без технического обоснования, избыточные бюрократические процедуры). Они часто служат чьим-то коммерческим или административным интересам.
Идеальный баланс — когда меры безопасности эффективны и при этом технологически нейтральны, то есть задают цель (уровень защищённости), а не средство (конкретный продукт). Но достичь такого баланска сложно, так как участники рынка, уже вложившиеся в соответствие текущим специфичным требованиям, будут сопротивляться изменениям.
Что делать бизнесу и разработчикам?
Понимание скрытых интересов за нормативами не означает, что от них можно отказаться. Это инструмент для более эффективного взаимодействия с системой.
- Смотреть на долгосрочные тренды. Вместо точечного закрытия каждого нового требования пытаться строить архитектуру, гибкую к изменениям в регуляторике.
- Выбирать «нейтральные» технологии. Там, где есть выбор, отдавать предпочтение решениям с открытыми стандартами и протоколами, которые легче адаптировать под новые правила.
- Участвовать в обсуждении. Бизнес-ассоциации и отраслевые сообщества иногда имеют возможность давать обратную связь на проекты нормативных актов. Это шанс озвучить позицию, ориентированную на реальную безопасность, а не на бюрократические барьеры.
- Фактор соответствия — часть продукта. Для компаний, работающих с госсектором или критической инфраструктурой, затраты на сертификацию и соответствие нужно закладывать в бизнес-модель изначально, как и любые другие издержки.
В конечном счёте, критический анализ того, чьи интересы на самом деле обслуживает тот или иной регуляторный норматив,, это не подрыв авторитета государства, а способ сделать систему защиты информации более прозрачной, эффективной и действительно направленной на национальную безопасность, а не на перераспределение рыночных долей.