«Почему на рынке систем безопасности существует разрыв между обещаниями и реальной прочностью? Это не ошибка вендоров, а следствие фундаментальной установки: продавать надо то, что можно продать сегодня. Иногда завтрашняя безопасность приносит убыток сегодняшнему бизнесу.»
Безопасность как бизнес, а не идеал
Вендор защитных систем работает на рынке, где ценность продукта для покупателя часто измеряется не в абсолютной стойкости, а в двух вещах: формальном соответствии регуляторным требованиям и снижении персональной ответственности за инцидент. Это ключевое несоответствие.
Абсолютно стойкое решение в теории создать можно, но на практике оно окажется слишком дорогим, неудобным и будет замедлять бизнес-процессы. Оно не будет продаваться. Поэтому все коммерческие решения, это компромисс. Граница этого компромисса проходит там, где клиент готов платить, а не там, где взлом становится теоретически невозможным.
Скорость рынка против скорости угроз
Цикл разработки и вывода на рынок нового аппаратного или программного продукта занимает месяцы, а иногда и годы. За это время ландшафт угроз может измениться несколько раз. Новые техники атак, уязвимости в используемых компонентах, изменения в законодательстве.
Вендор, запуская продукт, не может гарантировать его безопасность на годы вперёд. Он гарантирует её на момент выпуска и, возможно, в течение периода активной поддержки. Продавая решение, он продаёт текущее состояние защиты, а не вечный иммунитет.
Это особенно заметно на рынке средств криптографической защиты информации. Сегодняшний стойкий алгоритм завтра может быть ослаблен прогрессом в вычислительной технике или математике. Вендор продаёт сертифицированное сегодня решение, зная, что через пять-десять лет его придётся менять.
Роль регуляторных сертификатов
В России требования ФСТЭК и ФСБ, а также 152-ФЗ, задают минимальный порог безопасности. Получение сертификата соответствия, это пропуск на рынок, особенно для госсектора и критической информационной инфраструктуры.
Для многих заказчиков наличие сертификата — главный и зачастую единственный критерий выбора. Они покупают не столько технологию, сколько бумагу, которая снимает с них часть ответственности в случае проверки или инцидента: «Мы купили сертифицированное решение». Это создаёт у вендоров стимул оптимизировать продукт под прохождение сертификации, а не под достижение максимальной практической безопасности.
Сертификационная методика устаревает медленнее, чем появляются новые атаки. Продукт может полностью соответствовать устаревшим, но всё ещё действующим требованиям, при этом имея архитектурные уязвимости, известные специалистам.
Экономика обновлений и патчей
Для вендора жизненный цикл продукта, это источник дохода. Первая продажа, это разовая сделка. Но последующие продажи обновлений, новых версий, подписок на техподдержку и базы сигнатур, это регулярный доход.
Если бы продукт был идеален и неуязвим с первого дня, этот поток доходов иссяк бы. В некотором смысле, существование уязвимостей и необходимость их закрывать — часть бизнес-модели. Это не означает, что вендоры намеренно создают дыры. Но сама архитектура рынка, где безопасность, это услуга, а не товар, подразумевает постоянную работу над устранением вновь обнаруженных проблем.
Выпуская патч, вендор не признаёт ошибку, а демонстрирует заботу о клиентах и активную поддержку продукта.
Сложность реального тестирования
Заказчики редко проводят глубокий аудит безопасности купленного решения перед внедрением. Чаще всего они ограничиваются проверкой сертификатов и, возможно, поверхностным тестированием в своей среде. Полноценный анализ исходного кода или аппаратной логики стоит очень дорого и требует высокой квалификации.
Вендор это знает. Поэтому уровень защищённости продукта на рынке определяется не столько реальной стойкостью, сколько доверием к бренду, маркетингом и наличием «галочек» в требованиях закупки.
Если никто не может или не хочет проверить защиту по-настоящему, продавать можно решение, чья безопасность существует больше на бумаге и в презентациях.
Разделение ответственности
Вендор продаёт инструмент. Но за его корректное применение, настройку и интеграцию в общую архитектуру безопасности отвечает заказчик. В контрактах всегда есть пункты, ограничивающие ответственность вендора случаями, когда продукт используется строго по документации в определённых условиях.
В случае взлома всегда можно сослаться на неправильную настройку, неучтённую интеграцию с другим ПО или действия злоумышленника, которые не были предусмотрены на момент создания продукта. Эта серая зона позволяет вендору продавать решения, изначально зная, что в реальных, неидеальных условиях они могут быть обойдены.
Ответственность распыляется между производителем, интегратором, сисадмином и конечным пользователем.
Имитационная безопасность
Часть решений на рынке построена по принципу «безопасности для галочки». Их цель — создать видимость защиты, чтобы удовлетворить аудитора или регулятора, а не реально остановить целевого злоумышленника. Например, СКЗИ, которое технически соответствует требованиям ФСБ, но ключи от которого хранятся на том же сервере в незашифрованном виде.
Такие решения продаются хорошо, потому что они дешёвые в внедрении и эксплуатации, а формально требования закрывают. Вендор, продающий такой продукт, понимает его ограничения, но также понимает, что его клиент покупает именно формальное соответствие, а не глубину защиты.
Это расчёт на то, что проверять будут наличие сертификата, а не пытаться взломать систему в ходе аудита.
Что делать заказчику?
Понимая эти механизмы, можно выстроить более осмысленную стратегию.
- Смещать фокус с сертификата на экспертизу. Требовать от вендора не просто бумагу, а отчёт о независимом пентесте, проведённом по современным методикам.
- Интересоваться жизненным циклом. Спрашивать не только о текущих возможностях, но и о политике обновлений, среднем времени выпуска патчей, планах по снятию с поддержки.
- Учитывать общую стоимость владения. Дешёвое решение, требующее постоянных доработок и несущее риски, в долгосрочной перспективе обходится дороже.
- Развивать внутреннюю экспертизу. Иметь в штате или на аутсорсе специалистов, способных оценить не только формальные характеристики продукта, но и его архитектуру и интеграционные риски.
Рынок средств защиты будет продолжать продавать компромиссы, потому что на них есть спрос. Задача разумного заказчика — понимать природу этого компромисса и осознанно выбирать, на какой риск он идёт, покупая не абсолютную безопасность, а инструмент для управления рисками в конкретный момент времени.