«Compliance, это не просто список требований, который нужно выполнить. Это ещё и поле, на котором играют по особым правилам. Правила эти устанавливают не только регуляторы, но и те, кто пришёл на поле первыми. Выполнять требования ФСТЭК или 152-ФЗ, это дорого и долго, но не это главное. Главное, что эти затраты можно превратить в непреодолимую стену, если ты уже построил свой замок на её вершине. Compliance становится не инструментом безопасности, а оружием конкурентной борьбы, которое используют не для защиты, а для блокировки. Новичок должен не только заплатить за вход, но и доказать, что его пускать стоит — а это уже политика, а не техника».
Что такое барьер входа в реальности, а не в учебниках
В экономических учебниках барьер входа описывают абстрактно: высокие стартовые затраты, патентная защита, эффект масштаба. На российском ИТ-рынке, особенно там, где работает с госсектором или критической инфраструктурой, барьер выглядит конкретнее: полка с толстыми папками требований ФСТЭК, ФСБ, 152-ФЗ и отраслевых стандартов. Стоимость, это только видимая часть. Невидимая — время. Полный цикл сертификации средств защиты информации или аттестации объекта может занять от полугода до двух лет. За это время у стартапа заканчиваются деньги, а у крупного игрока выходит следующая версия продукта, которая снова меняет правила аттестации.
Но настоящий барьер — не в папках и не во времени. Он в неформальных требованиях и трактовках. Стандарт может требовать «обеспечения доверенной загрузки». Для одного это будет TPM-модуль в сервере, для другого — проприетарное решение вендора, которое не документировано и поставляется только в составе его «защищённого комплекса». Новичок тратит месяцы, пытаясь понять, что именно удовлетворит экспертов аттестационного центра, в то время как постоянные клиенты этого центра получают консультации «в рабочем порядке».
Как compliance превращается из стоимости в оружие
Компания, которая давно на рынке, прошла все круги аттестации не один раз. Она не просто выполняет требования — она формирует вокруг них экосистему. Собственный отдел compliance, налаженные связи с аккредитованными центрами, шаблоны документов, которые принимают с первого раза, внутренние стандарты, уже выверенные регуляторами. Эти активы невозможно купить за деньги, их можно только накопить. И когда появляется новый игрок, эти накопления используются не для помощи, а для создания дополнительных сложностей.
Например, в тендерной документации появляются пункты, сформулированные под конкретные технические решения «лидера рынка». «Наличие сертификата ФСТЭК на СЗИ не ниже 6 уровня по определённому классу» — звучит нейтрально, но если таких сертификатов на рынке всего два, и оба у одного вендора, то это уже не требование безопасности, а фильтр конкурентов. Новый вендор вынужден либо вступать в долгий и дорогой процесс сертификации (который может быть искусственно затянут через отказы по формальным поводам), либо идти в партнёры к тому, у кого сертификат уже есть, отдавая значительную часть маржи.
Неписаные правила игры: сети доверия и экспертиза
Формально, чтобы получить положительное заключение по 152-ФЗ, нужно подготовить около 80 документов. Неформально — нужно, чтобы эти документы проверили «свои» люди. Экспертные сообщества, советы по стандартизации, рабочие группы при регуляторах — всё это закрытые или полузакрытые клубы. Попасть туда новичку крайне сложно. А без этого его документы будут рассматриваться дольше, вопросы к ним будут задавать чаще, а трактовки требований будут строже.
Это создаёт «сеть доверия», где риски ниже со знакомыми игроками. Заказчик из госсектора, выбирая между проверенным интегратором с историей и новичком, выберет первого — даже если решение новичка технически лучше и дешевле. Потому что в случае проверки с проверенным интегратором проще «договориться по вопросам», а с новичком могут возникнуть «непредвиденные сложности при аттестации». Compliance здесь выступает как оправдание для консервативного выбора, снимая с лица, принимающего решения, личную ответственность.
Цена ошибки: асимметрия между большими и малыми
Для крупной компании штраф за нарушение 152-ФЗ, это неприятная, но решаемая финансовая проблема. Для стартапа такой же штраф может стать фатальным. Более того, сам факт проверки или даже слухи о «проблемах с compliance» могут уничтожить репутацию нового игрока, в то время как для крупной компании это будет просто рядовым инцидентом. Эта асимметрия в последствиях делает новичков сверхосторожными. Они вынуждены вкладывать в compliance непропорционально много ресурсов на ранней стадии, тормозя развитие продукта, в то время как их конкуренты могут позволить себе более гибкий подход, исправляя недочёты по факту.
Можно ли пройти сквозь стену? Тактика выживания для новых игроков
Полностью избежать compliance-барьера не получится, но его можно минимизировать и использовать в свою пользу. Первая тактика — не идти «в лоб». Вместо того чтобы сразу штурмовать сегмент госзаказа с его жёсткими требованиями, можно начать с коммерческого сектора, где требования к формальному compliance ниже, но спрос на безопасность данных есть. Это позволяет наработать историю, клиентские кейсы и капитал.
Вторая тактика — стратегическое партнёрство. Вместо конкуренции с мейджорами, можно стать их поставщиком или технологическим партнёром. Крупный игрок, имеющий все необходимые сертификаты, может выступать фасадом, а новичок — предоставлять ядро решения. Это болезненный для амбиций, но часто единственно рабочий путь на ранних этапах.
Третья, самая сложная тактика — работать на опережение и участвовать в формировании правил. Если продукт технологически опережает рынок, есть шанс попасть в технический комитет по стандартизации или предложить своё решение как эталонное для нового класса задач. Так некоторые российские вендоры защищённой виртуализации или постквантовой криптографии смогли не просто пройти compliance, а отчасти определить его для своей ниши.
Регулятор: страж или привратник?
Позиция регулятора здесь двоякая. С одной стороны, его задача — обеспечить безопасность, и высокие требования — естественный инструмент. С другой — регулятор неизбежно начинает ориентироваться на существующих, «понятных» игроков. Разработка новых стандартов и методик часто ведётся с их участием. Это создаёт системный перекос. Регулятор формально открыт для всех, но язык, на котором он говорит, и процедуры, которые он использует, отточены в диалоге с инсайдерами.
В последние годы появляются попытки изменить эту динамику. Упрощённые процедуры для малого бизнеса, sandbox-режимы для тестирования новых технологий, публичные разъяснения требований. Эффективность этих мер пока ограничена, потому что они борются с симптомами (сложностью), а не с причиной — использованием compliance как поля для конкурентной борьбы.
Что в итоге: барьер, фильтр или просто цена билета?
Compliance в российской ИТ-регуляторике, это не просто цена билета на рынок. Это многослойный фильтр. Первый слой — финансовый и временной, он отсекает совсем слабых. Второй слой — экспертный и сетевой, он отсекает «чужих». Третий слой — стратегический, где compliance становится элементом конкурентной стратегии лидеров.
Для нового игрока эта система выглядит как барьер. Для устоявшегося игрока — как оборонительный вал. Для регулятора — как гарантия минимального уровня качества. Истина, как всегда, в пересечении всех трёх взглядов. Compliance действительно является барьером для входа, но не потому, что он такой изначально задуманный, а потому, что существующие игроки научились использовать его в своих интересах, превратив инструмент безопасности в инструмент контроля над рынком. Побеждает в этой игре не тот, кто лучше всего следует правилам, а тот, кто лучше всех понимает, как эти правила пишутся и трактуются в неформальном общении между проверяющими и проверяемыми.
Поэтому вопрос «Используется ли compliance как барьер?» неверен. Правильный вопрос: «Как именно и насколько эффективно он используется в этом качестве?» Ответ на него показывает реальную карту сил на рынке, которую не найти в официальных реестрах аттестованных систем.