О чем говорим?

Тема MSSP (Managed Security Service Provider) и SECaaS (Security as a Service) является безусловным трендом последних лет, в том числе в России. Вместе с тем, часто встречается путаница в терминах. MSS (Managed Security Services) – модель обслуживания, при которой поставщик услуг берет на себя обслуживание и эксплуатацию какой-либо системы, предоставляя клиентам конечный результат (функцию). При этом клиент избавляет себя от необходимости владеть компетенциями по замещаемой функции. В этой статье речь пойдет о SECaaS, что подразумевает частный случай модели SaaS (Software as a Service) – софта в аренду из облака. По этой модели клиент получает полностью обслуживаемый механизм, но его эксплуатацию производит самостоятельно. Например, вы можете воспользоваться каршерингом, при этом автомобиль получаете в аренду, а управлять им – ваша задача (SECaaS), а можете воспользоваться такси (MSS).

В условиях отсутствия явных лидеров рынка в этом сегменте в РФ, скептического отношения к сервисам из облака и отсутствия информации, необходимой для принятия верных решений, развитие данного направления становится крайне сложным, но, вместе с тем,позволило бы сегменту малых предпринимателей (SMB/SOHO) использовать технологии с достаточным для их стадии развития уровнем безопасности, повышая, тем самым, устойчивость бизнеса в РФ в целом.

Рынок безопасности из облака пытаются «греть» не первый год. Изменения, безусловно, есть, но переломный момент из года в год не наступает. Статья написана с целью привлечь внимание к теме, указать новым игрокам рынка на мели и подводные камни, которые пройдены компанией Angara Professional Assistance на пути развития сервисного направления MSS и SECaaS, и, возможно, приблизить момент, когда безопасные услуги из облака станут широко востребованы.

Чтобы избежать разнотолков относительно определений малого и среднего бизнеса, в статье будет использоваться определения согласно ФЗ №209-ФЗ, ПП РФ от 04.04.2016 N 265:

  • микропредприятия – до 15 человек (среднесписочная численность за год), до 120 млн. руб. выручки в год;
  • малые предприятия – до 100 человек, до 800 млн. руб. выручки в год;
  • средние предприятия – от 100 до 250 человек,до 2 млрд. руб. выручки в год.

 

Сегменты, объемы, технологии – как у них?

Как ни странно, необходимых для анализа данных достаточно в открытых источниках. Часть данных дорогостоящих отчетов IDC, Gartner, iKS-Consulting, Forrester и др. публикуют СМИ или сами аналитические агентства.

По данным Евростата, доля использующих облачные сервисы предприятий в странах Евросоюза в 2018 году составила в среднем 26% от общего числа предприятий, по ряду стран показатель выше 50%. При этом облачные сервисы, в основном (56%), используют крупные предприятия, лишь 25% малых и средних предприятий используют облачные сервисы. Малыми Евростат считает предприятия численностью 10-49 работников, средними – 50-249.

рис1.JPG

По тем же данным, ниже приводится распределение потребления облачных сервисов по их видам:

рис2.JPG

Мировой статистики подобного уровня в открытом доступе найти не удалось. В денежном выражении на долю SaaS приходится более 62% мирового облачного рынка ($121 млрд. по итогам 2018 г.) по данным IDC, опубликованным Tadviser, на долю SECaaS приходится 9-10% от SaaS и прогнозы роста составляют около 1,5-2% ежегодно, на основе данных Gartner. Оценки двух гигантов мировой аналитики относительно общего объема рынка сходятся, однако детальное распределение ощутимо разнится. Больше всего средств на облачные сервисы по итогам 2018 года израсходовали компании в США – примерно три четверти от общемирового показателя, на Европу приходится около 20%.

Крупнейшими потребителями в денежном выражении по-прежнему являются большие корпорации, однако малые предприятия показывают более высокие темпы роста потребления. Профиль потребления малых предприятий значительно смещен в сторону публичного SaaS. RIght Scale на основе ответов респондентов по всему миру полагает, что распределение использования приватного к публичному облаку составляет соответственно 35 к 43% для малых предприятий и 46 к 33% – для крупных.

Следует отметить, что, например, по данным 2016 года METIS files, 57% поставщиков SaaS стран Евросоюза не имели собственной инфраструктуры, используя партнерство с поставщиками IaaS (Infrastructure as a Service). Такая синергия имеет следствием взаимовлияние роста рынков SaaS и IaaS.

 

Сегменты, объемы, технологии – как у нас?

Российский облачный рынок по итогам 2018 г. IKS consulting оценивает в 68,4 млрд. руб. Из них более 70% (46,7 млрд. руб.) приходится на SaaS. Рост рынка оценивается в 28,4%. При этом с 2017 года Россия является экспортером облачных услуг: доля России на мировом рынке не превышает 0,9%, однако в совокупной выручке российских облачных провайдеров доля зарубежных клиентов составила более 5% в сегменте SaaS и около 2% в IaaS.

Детали относительно объема рынка малых и средних предприятий России можно найти в отчете HeadWork Analytics, опубликованном Tadviser. Согласно отчету, объем рынка составляет 35 млрд. руб., из них 94% – SaaS-сервисы. В сравнении с данными IKS consulting, можно сделать вывод, что крупные предприятия составляют меньшую долю рынка потребителей SaaS.

Статистику относительной востребованности облачных услуг публикует Росстат в ежегодных сборниках «Информационное общество в РФ». Согласно данным Росстат, по итогам 2017 года, в среднем по всем отраслям, 22,9% организаций РФ используют облачные сервисы, ежегодно спрос увеличивается на 2% (Россия, практически, не отстает от Евросоюза). Наиболее востребованы облачные сервисы в отраслях «Высшее образование» – 43%, «Деятельность в области информации и связи» – 32%, «Деятельность финансовая и страховая» – 30,1%, «Деятельность в области здравоохранения и предоставления социальных услуг» – 29.5% (указан % организаций, использующих облачные сервисы, от общего числа организаций в отрасли).

Согласно прочих исследований Росстата, малые предприятия РФ тратят на услуги сторонних организаций и специалистов 25,3% ИТ-бюджетов. Годовые ИТ-бюджеты, в свою очередь, составляют, в среднем, 1-2% от выручки, по результатам исследования Союза ИТ-Директоров России, GlobalCIO и Tadviser. Используя эту информацию и данные об общем годовом обороте предприятий согласно Росстат, включая востребованность, можем получить «грязную» оценку:

  • Среднегодовая выручка малого предприятия: 17,59 млн. руб.
  • Среднегодовой бюджет малого предприятия на ИТ-услуги (включая облачные): 89 тыс. руб.
  • Максимальный потенциал рынка малых предприятий при потреблении SaaS: 25,7 млрд. руб.
  • Максимальный потенциал рынка РФ при потреблении SaaS: 71,2 млрд. руб.

Это, в целом, соответствует данным аналитических отчетов. Однако не будем забывать, что затраты на SECaaS в мире не превышают 10% от затрат на SaaS, в результате этой поправки мы приходим к среднегодовым затратам на SECaaS в размере 9792 руб. для малых предприятий и около 15 000 руб. – для крупных.

Реальная «картина мира» в России еще более удручающая. По данным упомянутого аналитического отчета HeadWork Analytics, в структуре рынка облачных сервисов для малых предприятий доля SECaaS составляет менее 1%:

рис3.JPG

Сдерживающие факторы

Факторы, способствующие потреблению облачных сервисов, являются статичными: это скорость подключения и получения результата, отсутствие капитальных затрат и гибкость управления затратами. Малые предприятия являются во всем мире основным драйвером облачных сервисов и, несмотря на относительно малый средний чек, формируют значительную долю рынка за счет массовости и быстроты принятия решений: на старте бизнеса важнее всего скорость. Строить безопасное ИТ, которое, в конечном счете, является автоматизацией бизнеса «под себя» неоправданно дорого и долго. Развивающим факторам противостоят сдерживающие факторы, характерные для региона или страны.

По данным многочисленных опросов, проводимых различными организациями (например, SAP CIS (САП СНГ), Forrester Russia), факторами, оказывающими наибольшее сдерживающее воздействие для предприятий России, являются:

  • Риски утечки данных (не готовы передать контроль над данными и ПО) считают актуальными более 70% предприятий.
  • Ограничения или требования регуляторов не позволяют воспользоваться облаками 36% предприятий.
  • Трудности обоснования преимуществ облачных услуг испытывают более 40% предприятий.

Перечисленные сдерживающие факторы характерны для предприятий всех сегментов. Но, учитывая специфику России, в сегменте малых предприятий имеют влияние, но не отражаются в отчетах, такие прозаичные факторы:

  • Распространенность пиратства и пиратского ПО, в особенности, в регионах – стоимость приобретения пиратского ПО значительно ниже ежегодных трат на облачные сервисы.
  • Низкая осведомленность и компетенция бизнесменов в регионах об имеющихся предложениях поставщиков и облачных технологиях в целом.
  • Безусловная боязнь регуляторов и костная трактовка требований.
  • Теневые доходы и страх обнаружения нарушений налогового законодательства.
  • Отсутствие культуры информационной безопасности: если люди не могут защитить собственные средства на личных платежных картах, говорить о технологиях ИБ в бизнесе не приходится.

 

Показательные показатели

Несмотря на сдерживающие факторы и низкий «потолок» на Российском рынке, есть яркие примеры успешного облачного бизнеса. Намеренно исключим зарубежных поставщиков (таких как AWS, Azure и пр.) облачных сервисов и сконцентрируемся на российских поставщиках. По данным обзора TMТ консалтинг, опубликованного Tadviser, наиболее крупными игроками этого рынка являются интернет-провайдеры и владельцы ЦОД. Но все они находятся в тени гиганта СКБ «Контур», владеющего 35,6% рынка. Крупные компании могут позволить себе инвестировать в развитие новых направлений куда более нескромные суммы, чем молодые стартапы. Однако, именно молодые компании наиболее интересны с точки зрения выявления потребностей рынка. Проанализируем успешность поставщиков SaaS, не являющихся лидерами рынка. Возьмем за основу ежегодный рейтинг CNews Analytics: Крупнейшие поставщики SaaS в России и сравним с открытыми сведениями Росстата по данным бухгалтерской отчетности (для анализа будем использовать рейтинг по итогам 2017 г., в связи с отсутствием необходимых сведений Росстата за 2018г.)

Table.gif

Что примечательно в этой статистике:

  • Компании, показывающие высокую выручку в первый год после основания, скорее всего, приходят на готовый рынок или создаются под клиента.
  • Компании участвуют в рейтингах, намеренно завышая собственные доходы, организаторы рейтинга не имеют возможности проверить предоставляемые сведения.
  • Средние темпы роста по выручке составляют 60% в год (для оценки исключены организации, демонстрирующие эффект низкой базы).
  • Средняя выручка первого года составляет 2,1 млн. руб., второго – 8,7 млн. руб., третьего – 18,4 млн. руб.

Выводы достаточно прозаичны: в России рынок облачных сервисов формируют 5-7 гигантов, приблизиться к которым не под силу пока никому. При этом SECaaS в чистом виде не является востребованным ни в среднем, ни в малом предпринимательстве. Отдельные организации, специализирующиеся на безопасности из облака, ориентированы на крупный бизнес. Полки массмаркета безопасности пусты и на горизонте нет поставщиков, желающих их занять. Существенные темпы роста облачного бизнеса не порождают амбициозные стартапы, а целевой потребитель не знаком с предложением.

Мы обречены?

Разбавим пессимистическую гамму выводов обнадеживающим видением возможного будущего. По правилам игры в современном мире там, где слабый видит проблемы, сильный видит возможности. Качества российского потребителя из целевого сегмента и сдерживающие факторы отличаются от мировых, а российские поставщики сервисов просто не достигли нужной гибкости.

Уже сейчас возможно создавать комбинированные предложения, удовлетворяя основные бизнес-потребности, при этом безопасность приложений может быть конкурентным преимуществом. Сервис защиты мобильных устройств, DRM, DLP малый предприниматель вряд ли приобретет, но уже сейчас он приобретает сервис электронной почты. Так почему бы не предложить рынку удобный сервис безопасной электронной почты. Защищать от спама и вирусов электронную почту научились уже все поставщики, необходимо продолжить развитие, повысив уровень защиты наиболее востребованными технологиями: используйте DRM и виртуальные комнаты данных, если не хотите, чтобы ваша электронная корреспонденция стала доступна третьим лицам по неосторожности или злому умыслу. Используйте «песочницу», если опасаетесь повторения эпидемий ransomeware (вирусов-вымогателей).

Требования регуляторов не являются невыполнимыми, сейчас облачной инфраструктурой, защищенной по 152-ФЗ или соответствующей требованиям стандарта PCIDSS, никого не удивить.

Целевой потребитель не знает своих возможностей, не верит голословным утверждениям. Скепсис тем сильнее, чем дальше от мегаполисов вы попытаетесь развивать свой облачный бизнес. Ликвидировать этот сдерживающий фактор – основное, на чем должны сосредоточить свои усилия облачные провайдеры в России. Обычная история для регионов – используя современный смартфон, опасаться привязывать карту к аккаунту и уж тем более использовать возможности бесконтактной оплаты. Причина: некорректно оцененный риск перевешивает выгоду. Малыми шагами, фокусируясь на нюансах потребностей отдельных отраслей в регионах, поставщики облачных сервисов должны доказывать целевому потребителю получаемые выгоды и отсутствие рисков, тем энергичнее, чем быстрее они хотят, чтобы рынок безопасных облачных сервисов «созрел» окончательно. 

Кривошеин Сергей, директор центра управления сервисами Angara Professional Assistance.

    Автор: Кривошеин Сергей
    Директор центра управления сервисами  
    Angara Professional Assistance

    Статья опубликована на сайте www.ib-bank.ru 


__________

В нашем офисе открыта демонстрационная зона Центра киберустойчивости ACRC. Записаться на презентацию и познакомиться с набором предоставляемых услуг можно на сайте www.angarapro.ru

Angara Professional Assistance — это высокотехнологичный сервис-провайдер широкого набора тиражируемых услуг кибербезопасности (MSSP). В фокусе компании: сервисы по модели Security as a service, аутсорсинг информационной безопасности, услуги по сопровождению и поддержке работоспособности ИТ- и ИБ-систем клиентов, повышению эффективности их работы и обеспечению непрерывности выполняемых функций.

Центр киберустойчивости Angara Cyber Resilience Center (ACRC) — коммерческий Security Operations Center (SOC), в основе которого лежит собственная платформа мониторинга и аналитики киберугроз. ACRC помогает решать задачи кибербезопасности для средних и крупных компаний, включая оценку защищенности организации, выявление и расследование кибератак, экспертную поддержку ИБ-процессов, мониторинг и контроль киберрисков и предиктивную аналитику киберугроз.