«Индустрия кибербезопасности не продаёт решения, а продаёт страх. Этот страх — универсальная валюта, а сертификаты и аттестаты — её законные бланки. Внутри этой системы и рождается особая форма сговора, которую формально картельным не назовёшь, но результат — тот же.»
Коллективная работа над повышением уровня защиты или согласованное давление на рынок? Когда вендоры систем безопасности начинают говорить на одном языке угроз, продвигать схожие архитектуры и опираться на одни и те же нормативные акты, возникает закономерный вопрос.
Речь не о тайных встречах с разделом клиентов. Картельный сговор в его классическом понимании в IT-индустрии редок и юридически рискован. Но существует более сложный и легализованный механизм координации. Он строится вокруг двух осей: государственного регулирования и консалтинговых практик.
Регулятор, например ФСТЭК России, задаёт не просто требования, а целые парадигмы защиты. Когда выходит новый приказ или методический документ, он не просто описывает меры. Он создаёт спрос на определённый класс продуктов. «Средства доверенной загрузки», «межсетевые экраны третьего поколения», «системы обнаружения вторжений» — эти формулировки из нормативов становятся названиями товарных категорий в каталогах вендоров. Регулятор не выбирает победителя, но определяет правила игры, которые выгодны тем, кто успел подготовить «соответствующие» решения. Итог — негласная унификация ассортимента основных игроков.
Следующее звено — аудиторские и консалтинговые компании. Они выступают переводчиками с языка регуляторики на язык бизнес-требований. Их отчёты и рекомендации часто предсказуемы: для соответствия такому-то пункту 152-ФЗ или приказа ФСТЭК нужен продукт X или архитектура Y. Консультанты, прошедшие аттестацию у тех же вендоров, закономерно рекомендуют их стек технологий. Это создаёт замкнутый круг: регулятор задаёт направление, консультант интерпретирует его в пользу знакомых решений, заказчик покупает, что укрепляет позиции вендора, который затем активнее участвует в разработке следующих версий нормативных документов через экспертные советы.
Цена входа на этот рынок искусственно завышена. Не столько технологическими барьерами, сколько бюрократическими. Чтобы продукт попал в реестр отечественного ПО, прошёл сертификацию ФСТЭК или был допущен к госзакупкам, требуется время, ресурсы и связи. Крупные игроки годами выстраивали эти процессы. Для нового вендора с инновационной идеей этот путь часто неподъёмен. Он либо продаётся крупному игроку, либо пытается интегрировать свою технологию в их экосистему на невыгодных условиях. Конкуренция смещается с плоскости «чей продукт технически лучше» в плоскость «чей продукт быстрее пройдёт все согласования». Это подавляет радикальные инновации, поощряя постепенное улучшение существующих, уже одобренных решений.
Наблюдается и феномен синхронизации маркетинговых нарративов. В один год все говорят про «киберустойчивость», в следующий — про «безопасность цепочек поставок». Угрозы подаются не как конкретные технические проблемы, а как масштабные тренды, требующие комплексных, а значит, дорогих решений от ограниченного круга поставщиков. Формируется общий язык страха, на котором выгодно говорить всем участникам рынка, кроме конечного заказчика.
Признаки этой скоординированной среды видны на отраслевых конференциях и в рабочих группах. Вендоры, конкурирующие за контракты, совместно участвуют в разработке отраслевых стандартов и профилей защиты. С одной стороны, это необходимо для совместимости. С другой — позволяет легально согласовывать будущие направления развития рынка, оставляя за бортом тех, кто не был приглашён к столу переговоров.
Что это даёт заказчику? Ограничение реального выбора. На бумаге десятки вендоров, но по сути предлагаются вариации одной концепции, обёрнутые в разный интерфейс и подкреплённые разными пакетами услуг. Техническая конкуренция затухает, уступая место конкуренции по критериям «соответствия» и наличию нужных бумаг. Цены при этом остаются высокими, так как стоимость включает не только разработку, но и накладные расходы на поддержание статуса «одобренного» игрока.
Противостоять этой системе сложно, но возможно. Осознание её механизмов — первый шаг. Заказчик может сместить фокус с бездумного выполнения формальных требований на оценку реальной эффективности. Развитие компетенций внутри собственного SOC, инвестиции в подготовку своих специалистов, а не только в покупку «коробок», снижают зависимость от навязанных решений. Интерес к открытым стандартам и поддержка небольших, но технологичных вендоров, которые предлагают иной подход, могут постепенно расшатывать сложившуюся конструкцию.
Формального картельного сговора нет. Есть высокоструктурированная экосистема с взаимовыгодными связями между регулятором, крупными вендорами и консалтинговым сообществом. Она действует в рамках закона, но её результат для рынка инноваций и для кармана заказчика часто неотличим от последствий классического сговора. Понимание этих правил не отменяет необходимости соответствовать требованиям, но позволяет делать это осознанно, сохраняя пространство для манёвра и реального повышения уровня безопасности.