США обвинит китайских военных в краже промышленных секретов

США обвинит китайских военных в краже промышленных секретов

Кирилл Токарев
Министерство юстиции США хочет обвинить китайских военных во взломе систем американских организаций. Правительство страны считает, что китайцы взломали сети компаний для кражи производственных секретов и важной информации.

До определенного времени власти США пытались добиться справедливости дипломатическими методами. Согласно данным NBC, государство готовится обвинить китайское правительство в шпионаже за американскими компаниями. Представители государства не знают, какие организации были целями злоумышленников. Утверждается, что компании работают в секторах производства и энергетики.

«Китайское правительство довольно долго занималось открытым кибер-шпионажем, чтобы получить экономическое преимущество в промышленности», – заявил глава ФБР Джеймс Коми (James Comey) в интервью NBC News.

Журналисты The Wall Street Journal утверждают, что подозреваемые служат в Шанхае. Китай всегда отрицал подобные обвинения. Каждый раз представители Поднебесной отмечали, что она тоже жертва шпионажа.

Стратегическими партнерами АНБ являлись 80 крупнейших компаний

Стратегическими партнерами АНБ являлись 80 крупнейших компаний

«Стратегическими партнерами» Агентства национальной безопасности США являлись 80 технологических компаний и операторов связи. Об этом сообщается в книге британского журналиста Гленна Гринвальда «Спрятаться негде» («No Place to Hide»), опубликованной 13 мая нынешнего года.

В книге говорится, что американская спецслужба заключила договора с Cisco, Motorola, IBM, Oracle, Microsoft, Verizon, AT&T, Qualcomm, Qwest, Hewlett-Packard, EDS и Intel. Условия партнерства не раскрываются, однако сообщается, что у АНБ был прямой доступ к серверам Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube и Apple. В доказательство своих слов Гринвальд приводит директиву АНБ под названием «Collect it All».

Взаимоотношения АНБ с каждой из 80 крупных компаний были настолько тщательно скрыты, что даже бывший ее сотрудник Эдвард Сноуден, рассекретивший документы спецслужбы, не знал, какие именно операторы связи предоставляли правительству возможность собирать данные на территории США в рамках программы BLARNEY (как оказалось, одной из них являлась телекоммуникационная компания AT&T).

В книге также говорится, что в рамках партнерства «Пять глаз» («Five Eyes») всестороннюю помощь в шпионаже правительству США предоставляли Австралия, Канада, Новая Зеландия и Великобритания. Кроме того, партнерами Вашингтона являются Бельгия, Греция, Венгрия, Румыния, Израиль, Испания, ОАЭ, Индия, Южная Корея и множество других стран.

Треть хакерских атак против Китая совершена американцами

Треть хакерских атак против Китая совершена американцами

Александр Панасенко

Треть хакерских атак на китайские сайты и компьютеры в 2013 году была осуществлена из США, следует из отчета национального агентства интернет-безопасности Китая. Количество хакерских атак на китайские сайты и компьютеры, осуществленных из-за рубежа, за 2013 год выросло на 62%.

Около 11 миллионов компьютеров перешли под контроль зарубежных серверов, 61 тысяча web-сайтов были взломаны иностранными хакерами, сообщает агентство, сообщает digit.ru.

В основном атаки совершались злоумышленниками из США, Южной Кореи и Гонконга. В Китае регулярно подвергаются опасности важные информационные системы, а вся система безопасности страны находится под угрозой, заявляет агентство.

На прошлой неделе газета The New York Times опубликовала статью, основанную на информации Эдварда Сноудена, о ведущемся с 2007 года шпионаже американских служб против китайского производителя телекоммуникационного оборудования Huawei. В США отвергли обвинения в шпионаже.

Бывший сотрудник Microsoft арестован за раскрытие коммерческой тайны, связанной с Windows 8

Бывший сотрудник Microsoft арестован за раскрытие коммерческой тайны, связанной с Windows 8

В среду, 19 марта, был арестован бывший главный архитектор программного обеспечения Microsoft Алекс Кибкало (Alex Kibkalo), в последнее время занимавший пост директора по продакт-менеджменту в 5nine Software. Предположительно, причиной ареста стало раскрытие коммерческой тайны, связанной с Windows 8.

Согласно иску, поданному в Окружной суд США Западного Вашингтона, бывший сотрудник Microsoft (русский по национальности, проживающий в Ливане), проработавший в компании семь лет, передал секретную информацию о Windows неназванному блогеру из Франции.

По результатам расследования, проведенного технологическим гигантом, Кибкало «загрузил проприетарное программное обеспечение, включая еще не выпущенные обновления для устройств, работающих на базе Windows 8 RT и ARM, а также Microsoft Activation Server Software Development Kit (SDK) на компьютер в Редмонде, Вашингтон, а впоследствии в свою личную учетную запись в Windows Live SkyDrive», после чего предоставил французскому блогеру ссылку.

В иске сообщается, что ранее этот блогер уже был известен благодаря публикациям в Twitter и на своем личном сайте скриншотов еще не выпущенных версий Windows. Вполне вероятно, что причиной такого поступка Кибкало стало желание отомстить Microsoft. В 2012 году, еще до своего ухода из компании, он получил низкую оценку работы. Тогда эксперт пригрозил, что уволится, если в его характеристику не будут внесены изменения.

АНБ превратило Евросоюз в «базарную площадь»

АНБ превратило Евросоюз в «базарную площадь»

Американские спецслужбы во главе с АНБ США превратили Европейский Союз и их партнеров по НАТО в «базарную площадь», чтобы иметь широкие возможности по шпионажу за многими гражданами ЕС. С таким заявлением в пятницу выступил Эдвард Сноуден в Европейском Парламенте.

Напомним, что сейчас Сноуден находится в России, поэтому в Европарламенте  он присутствовал посредством связи. Ранее Европарламент пригласил Сноудена на слушания по вопросам массовой слежки со стороны США за европейцами.

В заявлении Сноудена говорится, что АНБ США работало с национальными агентствами безопасности стран ЕС, чтобы получить как можно более широкий доступ к данным европейцев. По его словам, слежка была часто объединена с партнерскими программами со странами ЕС и зачастую проводилась при их помощи, однако в АНБ активно пользовались ситуацией и получали как можно более широкий спектр данных, пишет cybersecurity.ru.

АНБ ранее настаивало на том, чтобы члены ЕС изменили их законы, открыв путь к массовому наблюдению за гражданами. Сама АНБ шпионила за Европой, через подразделение FAD (Foreign Affairs Division). Также он отметил, что американская и британская разведки целенаправленно занимались изучением европейских и американских законов, чтобы найти в них бреши, которые бы позволяли на более или менее легальных основах собирать данные о жителях ЕС. Отдельно Сноуден отметил, что иногда АНБ прикрывалось антитеррористическими операциями, чтобы собирать данные, которые выходили далеко за пределы антитеррористических операций.

«Усилия, направленные на интерпретацию новых полномочий из неочевидных законов и операций — это преднамеренная стратегия, чтобы избежать общественной критики и общественных организаций, требующих ограничения доступа к данным», — говорит Сноуден. По его словам, в последнее время международное подразделение АНБ активно развивало деятельность в Швеции и Нидерландах, а также в Новой Зеландии. «Ранее США оказывали давление на Германию, чтобы изменить закон о неприкосновенности почты и переписки»,- говорит Сноуден.

«Многие разведведомства каждой из стран получили инструкции от АНБ, иногда под видом Министерства обороны США и других органов, о том, как работать с целью расширения доступа к данным. В конечном итоге, разведка США планировала получить возможность ведения шпионажа за любым отдельно взятым гражданином без какой-либо законодательной подоплеки», — говорит Сноуден.

Он отметил, что АНБ старалось работать с каждым разведывательным ведомством в Европе по отдельности, дабы получить от каждой отдельной страны «недостающий кусок мозаики из данных». Иногда работа с разведывательными ведомствами велась напрямую в обход законодательных норм, заключил Сноуден. «Намеренно создавались условия, затрудняющие гражданам защиту их собственных данных и частной жизни. Спецслужбы конкретной страны зачастую добивались возможности мониторинга сетей, тогда как по ранее заключенным соглашениям доступ к этому получал и Вашингтон», — говорит Сноуден.

«В результате этого создавалась большая базарная площадь, где государство-член ЕС, такой как Дания, предоставляло АНБ доступ к своим секретным данным, тогда как у Дании и Германии есть ряд соглашений, которые технически позволяли слушать немцев через соглашения с датчанами», — говорит Сноуден. Вдобавок к этому, особое внимание АНБ США уделяло точкам обмена трафика и сетевого присоединения, чтобы получить возможность прослушивать данные всех пользователей, прикрываясь законами страны, в которой точки обмена трафиком располагались.

Сноуден, стремящийся получить убежище в ЕС, также высказал свое мнение относительно решения проблемы массовой слежки. «Достаточно легко развернуть системы шифрования на конечных точках, таким образом, массовая слежка станет неэффективной с экономической точки зрения. В результате этого, правительства вернутся к традиционной системе наблюдения, когда человек становится объектом наблюдения только после того, как попадает под достаточно серьезные подозрения. Традиционные методы более эффективны, нежели массовая слежка», — говорит он. «В любом случае, я верю в то, что шпионаж играет важную роль и должен продолжаться», — говорит он.

Напомним, что в среду на этой неделе Европарламент будет голосовать по законопроекту, который выведет данные европейцев из рамок торгового соглашения ЕС-США. Помимо этого, Евродепутаты будут рассматривать приостановку двух соглашений с США по обмене банковскими данными, а также о принципе Safe Harbor для американских компаний, владеющих европейскими данными.

Глава АНБ не смог отрицать наличие программ слежения за членами Конгресса США

Глава АНБ не смог отрицать наличие программ слежения за членами Конгресса США

В прошлую пятницу, 3 января, сенатор США Берни Сандерс (Bernie Sanders)  задал  главе Агентства национальной безопасности Киту Александеру (Keith Alexander) вопрос, на который тот не смог ответить отрицательно: «Следило ли АНБ раньше и следит ли в настоящее время за Конгрессом или другими официальными лицами Америки, избранными гражданами?».

В тот же день Директор Национальной разведки (Director of National Intelligence, DNI) Джеймс Клеппер (James Clapper) заявил, что Суд по контролю за внешней разведкой США (Foreign Intelligence Surveillance Court, FISC) одобрил программу сбора данных АНБ. Данная программа заключается в том, что, если член Конгресса звонит кому-нибудь за границу, или отвечает на звонок из-за рубежа, эти метаданные будут сохранены и, возможно, проанализированы.

По мнению Сандерса, проблема между АНБ и общественностью состоит в точности определения терминов – ведомство отличает «сбор данных» от «шпионажа». Сенатор задал вопрос, включает ли в себя понятие «шпионаж» сбор метаданных о телефонных звонках чиновников, совершенных с их частных телефонов, просмотренном контенте на web-сайтах, отправленных письмах электронной почты и другой информации о третьих лицах, недоступной широкой общественности? Если да, то не этим ли занимается АНБ? Вряд ли ведомство сможет отрицать это. До настоящего времени оно просто обходило этот вопрос.

АНБ  заявило  изданию The Guardian, что «программы АНБ по сбору данных включают процедуры, защищающие приватность граждан США. Эта защита предусмотрена на протяжении всего процесса сбора информации. Члены Конгресса также подлежат защите конфиденциальности, как и остальные граждане США». Таким образом, АНБ не ответило на вопрос Сандерса, по крайней мере, не напрямую. Если члены Конгресса приравниваются ко всем остальным гражданам США, можно сделать вывод, что слежение за ними осуществляется. Только АНБ называет это «сбором данных», а сенатор – «шпионажем».

АНБ использует куки Google для идентификации пользователей

АНБ использует куки Google для идентификации пользователей

Газета The Washington Post опубликовала фрагменты нескольких секретных презентаций АНБ (pdf, зеркало). В них идет речь о разных методах аналитической работы АНБ. В частности, о технологии определения личностей граждан, которые сопровождают грузы на контейнеровозах, по данным с вышек сотовой связи. Упоминается об программе HAPPYFOOT, которая собирает и анализирует данные о координатах мобильных устройств.

Но самое интересное находится на странице, где говорится об эксплуатации для компьютерных сетей (CNE: computer-network exploitation). Там АНБ вкратце перечисляет методы взлома компьютерного оборудования.

АНБ признается в пассивном мониторинге интернет-трафика с автоматизацией, где это возможно. Элитное спецподразделение хакеров (TAO), которое осуществляет непосредственные взломы удаленных компьютеров, снабжается необходимой информацией для работы, в том числе идентификаторами WLLid и учетными данными для DSL-аккаунтов, куками, идентификаторами Google PREFID.

PREF — это следящие куки от компании Google. Они обычно не содержат имени пользователя, но содержат уникальные номера PREFID для идентификации пользователя на разных сайтах. Как видим, АНБ тоже извлекает пользу из идентификационных куков, чтобы проще фильтровать трафик конкретных людей в общем потоке. Аналитическая платформа Google Analytics и следящие куки Google используются на 60-65% популярных сайтов в интернете.

СОИБ: 30% офисных сотрудников за вознаграждение готовы стать инсайдерами

30% офисных сотрудников за вознаграждение готовы стать инсайдерами

Александр Панасенко

Компания LETA провела исследование с целью определения уровня осведомленности в области информационной безопасности среди сотрудников российских компаний. Результаты исследования позволили выявить низкий уровень знаний респондентов в области ИБ, несоблюдение простейших правил защиты информации, высокий риск проникновения в корпоративную сеть, утечки конфиденциальных данных и убытков, связанных с этим. Кроме того, каждый пятый респондент признался, что готов за вознаграждение передать третьим лицам конфиденциальную информацию, к которой он имеет доступ.

Специалистам, отвечающим за информационную безопасность в организациях, определенно есть о чем беспокоиться. Степень осведомленности в этой области сотрудников российских компаний оставляет желать много лучшего – половине опрошенных вообще никогда не сообщали о правилах защиты информации. Остальные были ознакомлены с соответствующими требованиями безопасности только однажды ­– при поступлении на работу, и лишь 14 процентов респондентов регулярно проходят инструктаж по информационной безопасности, сообщает cybersecurity.ru.

При этом степень риска достаточно велика: 2 из 3 участников опроса говорят, что посещают потенциально опасные сайты с рабочего компьютера.

Исследование показало, что большинство пользователей не осознает угрозы взлома корпоративной сети через электронную почту: 85% ответивших на вопросы исследования сообщили, что открывают письма от незнакомых отправителей. Также есть риск утечки данных – 60% респондентов пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома.

Некоторые результаты исследования не самым лучшим образом характеризуют работу не только специалистов по информационной безопасности, но и менеджеров по персоналу: 37% участников опроса рассказали, что используют рабочую почту для ведения личной переписки.

Зачастую работники не соблюдают и самых элементарных правил безопасности. Так, 25% пользователей никогда не блокируют свой компьютер, покидая рабочее место. Таким образом, каждый четвертый сотрудник оставляет открытым доступ к корпоративной информации кому угодно, в том числе и посторонним людям.

Треть сотрудников хранит пароли на листке бумаги или в файле на рабочем столе своего компьютера. Функцией «Запомнить пароль» пользуются 11% опрошенных. Причем речь идет не только о паролях для почты – в каждой компании есть системы или базы данных, доступ к которым имеет ограниченное количество сотрудников.

Каждый третий респондент использует один пароль для всех случаев жизни, что может сильно облегчить злоумышленникам задачу по проникновению в корпоративную сеть.

Более 60% респондентов не защищают свои смартфоны паролем. Ввиду того, что все больше сотрудников используют мобильные устройства в рабочих целях, смартфоны могут стать еще одним каналом утечки данных.

Результаты опроса показывают, что 8 из 10 пользователей не уничтожают носители, содержащие корпоративную информацию. При этом бумажные или электронные носители – один из самых распространенных каналов утечки данных. С завидной частотой конфиденциальная информация становится достоянием общественности или злоумышленников после того, как работники отправляют ее в мусорное ведро, а в США суды оправдывают компании, извлекающие промышленные секреты из мусора конкурентов: все, что выброшено сотрудниками, признается ненужным организации. В России тоже нередки случаи утечки персональных данных и конфиденциальной информации, особенно на бумажных носителях.

В исследовании приняли участие более 1100 офисных работников 25-50 лет из нескольких сотен российских компаний различных сфер деятельности. Анонимный опрос проводился среди сотрудников, в круг рабочих задач которых не входят вопросы, связанные с информационной безопасностью. Исследование было проведено в августе-сентябре 2013 года.

Опубликованы документы АНБ о попытках взять под контроль сеть Tor

Опубликованы документы АНБ о попытках взять под контроль сеть Tor

Газета The Guardian опубликовала новую подборку документов Агентства национальной безопасности от Эдварда Сноудена. Они раскрывают свет на попытки АНБ взять под контроль сеть анонимайзеров Tor. Несмотря на многомиллиардные бюджеты, эта задача оказалась им не по зубам.

Одна из презентаций имеет красноречивое название “Tor Stinks” («Отвратительный Tor», pdf). Презентация от июня 2012 года. Ее авторы сразу констатируют печальную истину: «Мы никогда не сможем деанонимизировать всех пользователей Tor в каждый момент времени. Выполнив вручную анализ, можно деанонимизировать только очень малую часть пользователей Tor, однако безуспешны попытки деанонимизировать какого-то конкретного пользователя по запросу TOPI».

Проблема в том, пишут авторы отчета, что у АНБ есть доступ только к очень немногим узлам, в то время как соединение каждого пользователя шифруется на трех случайных узлах. Таким образом, очень мала вероятность, что все три эти узла окажутся доступны. Руководство агентства поставило цель увеличить количество подконтрольных узлов.

Другой подход — использовать куки для идентификации пользователей Tor в то время, когда они выходят за пределы защищенной сети. Агенты тщательно изучали механизм установки «вечных» куков (Evercookie), которые практически невозможно полностью удалить.

АНБ активно отслеживает трафик Tor и способно определять HTTP-запросы от узлов Tor к отдельным серверам по «отпечаткам», которые помещаются в базы данных вроде XKeyscore.

Агентство затем пытается использовать внутренние ресурсы, чтобы попытаться инфицировать конкретных пользователей с помощью перехвата трафика от узла Tor к контролируемому АНБ серверу и применения эксплойтов для Firefox (система АНБ под кодовым названием FoxAcid). Подобнее об этой технике атаки см. в отдельной презентации (pdf) и в статье Брюса Шнайера. В презентации указано, что АНБ использовало эксплойты для Firefox 10.0 ESR и уверено, что найдет ключики для Firefox 17.0 ESR. В одном из слайдов указано, что АНБ перехватывало запросы от узлов Tor к серверам Google.

Перехват трафика пользователей осуществляется с помощью секретных серверов АНБ под кодовым названием Quantum, которые устанавливаются на магистральных каналах связи у крупнейших интернет-провайдеров США. Таким образом, если поступает запрос от узла Tor к какому-нибудь американскому сайту, то АНБ может ответить раньше, чем тот сайт.

Эксплойт-пак FoxAcid от АНБ регулярно обновляется, и в одном из мануалов был указан номер версии 8.2.1.1.

Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2011-2013

Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2011-2013

Илья Шабанов

Доли рынка основных участников DLP-рынка в России за 2012 год

Информационно-аналитический центр Anti-Malware.ru представляет очередной анализ рынка средств защиты от утечек конфиденциальных данных в России. В отчете приводятся данные объемов продаж и долей рынка основных игроков в 2011-2012 годах, а также делается прогноз развития рынка на текущий 2013 год.

 1. Введение

Отчет представляет собой ежегодное независимое исследование состояния рынка систем защиты от утечек конфиденциальной информации (DLP – Data Leak Prevention, или ILD&P — Information Leak Detection & Prevention) в России по итогам 2011-2012 годов.

Это четвертое по счету подобное исследование, проведенное информационно-аналитическим центром Anti-Malware.ru (предыдущее было опубликовано в сентябре 2012 года — Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2010-2012).

В исследовании освещается текущая ситуация на рынке DLP в России, положение основных игроков-производителей, их объемы продаж и занимаемые доли рынка, а также делается прогноз развития на текущий 2013 год.

Приведенные в исследовании данные за 2011-2012 годы могут не совпадать с официальными данными участников рынка DLP в России, так как являются экспертной оценкой авторов исследования.

При проведении анализа эксперты не ставили своей целью каким-либо образом повлиять на общественное мнение, изменить расстановку сил на рынке, принизить или, наоборот, приукрасить чьи-то достижения или каким-либо другим способом исказить реальное положение дел на рынке.

 2. Методология

Прежде, чем приступить непосредственно к анализу, необходимо конкретизировать суть термина «средства защиты от утечек конфиденциальной информации» (DLP-продуктами). Это очень важно, так как в настоящее время в России множество различных компаний пытается под видом данного термина продвигать свои решения, которые, иной раз, кардинально отличаются по своему функциональному наполнению и, как следствие, своему назначению.

Существует множество определений данного рынка, большинство из которых либо носит расплывчатый характер, либо сводится к набору присущих для «настоящего DLP-продукта» функций в угоду рыночной стратегии отдельных производителей, что, с нашей точки зрения, неверно.

В данном исследовании традиционно под DLP-решениями мы будем понимать такие продукты, которые позволяют в режиме реально времени обнаружить и/или блокировать несанкционированную передачу (утечку) конфиденциальной информации по какому-либо каналу коммуникации, используя информационную инфраструктуру предприятия.

Технически контролируемыми DLP-продуктом каналами могут выступать: 

  • Электронная почта (трафик SMTP, POP3, IMAP4).
  • Веб-ресурсы – публичные почтовые сервисы, социальные сети, форумы, блоги, чаты и т.п. (трафик по протоколам HTTP, HTTPS и FTP).
  • Программы для обмена мгновенными сообщениями и пиринговые клиенты (ICQ, Jabber, MSN, Skype, многочисленные клиенты для сетей P2P и т.п.).
  • Сетевая печать (SMB Printing, NCP Printing, LPD, IPP и т.д.)
  • Внешние устройства, подключенные к рабочим станциям или серверам (USB-диски, CD/DVD, локальные принтеры, несанкционированные передатчики WiFi, Bluetooth, IrDa, модемы и т.п.).

DLP-продукт должен обеспечивать возможности обнаружения случайного или умышленного несанкционированного использования информации сотрудниками компании, а не перекрывать все каналы полностью. Кроме того, важнейшим критерием причисления решения к классу DLP, с нашей точки зрения, является наличие возможностей автоматического или ручного анализа произошедших событий и передаваемой информации (в режиме реального времени или т.н. пост-анализа архива накопленной информации).

Важно отметить, что в данном исследовании мы не учитывали компании, в чьих продуктах DLP-составляющая не является основным элементом и фактором его покупки. Например, это относится к UTM-устройствам или иным комплексным средствам сетевой безопасности.

Приведенные в исследовании данные за 2011-2012 календарные годы были получены из различных источников, среди которых: официальные данные участников рынка, информация из открытых источников, а также экспертные оценки аналитиков портала Anti-Malware.ru.

Все данные объемов продаж указаны в пересчете по среднегодовому курсу в долларах США в ценах для конечных пользователей. Это дает суммы, значительно превышающие реальные доходы компаний-производителей или их дистрибьюторов на территории России (то есть цифры объема продаж в ценах для конечного пользователя и данные реальных доходов производителей различаются на величину наценки каналов продаж).

В силу специфики рынка из объемов продаж не вычитались сопровождающие проекты услуги (предпродажный консалтинг, внедрение, послепродажное обслуживание), а также включенное в состав конечного продукта программное и аппаратное обеспечение третьих сторон (например, базы данных Oracle, операционные системы Oracle Solaris, серверное оборудование и т.п.).

 

3. Объемы продаж в 2011-2012 годах

Ниже приведены данные по объемам продаж различных производителей на рынке систем защиты от утечек в России (в ценах для конечных пользователей).

 

Таблица 1: Объемы продаж основных игроков DLP-рынка в России за 2011-2012 годы

Производитель Объем продаж млн.
долл., 2011
Объем продаж млн.
долл., 2012
Рост
2011-2012
InfoWatch 10,5 20,4 94,3%
Инфосистемы Джет 8,1 11,8 45,7%
Zecurion 6,5 9,5 46,0%
Websense 3,4 5,2 52,9%
Symantec 1,8 2,6 44,4%
McAfee 0,4 0,6 50,0%
GTB Technologies - 0,3 -
Другие 1,3 2,1 61,5%
Весь рынок 32,0 52,5 64,0%

 

Рисунок 1: Объемы продаж основных игроков DLP-рынка в России за 2011-2012 годы (млн. $)

Объемы продаж основных игроков DLP-рынка в России за 2011-2012 годы (млн. $)

 

2012 год оказался рекордным по темпам роста для российского DLP -рынка. Суммарный рост рынка составил 64%, что превосходит прогнозируемые нами годом ранее значения. В абсолютных цифрах объем рынка увеличился с $32 до $52,5 млн.

Начиная с 2011 года российский DLP-рынок находится в фазе быстрого роста, которая, по нашему мнению, связана с принципиальным выходом DLP на широкий рынок клиентов, т.е. за рамки нишевого решения для узкого числа крупных и богатых компаний-инноваторов. Именно с этим в первую очередь связано увеличение темпов роста рынка, которое мы наблюдаем уже второй год подряд.

Другим драйвером рынка стало фактическое принятие DLP-решений в качестве неотъемлемого элемента практически любой системы безопасности крупнейших российских компаний, где интерес к ним за прошедший год также значительно вырос.

Как и годом ранее, лидируют по объему продаж российские компании InfoWatch ($20,4 млн.), «Инфосистемы Джет» ($11,8 млн.) и Zecurion ($9,5 млн.). За ними следуют зарубежные производители Websense (5,2 млн.) и Symantec ($2,6 млн.).

Тройка лидеров в 2012 году показала очень уверенный рост объемов продаж. Так компания  InfoWatch увеличила свой объем продаж на рекордные 94%. Продажи идущих следом за ней компаний «Инфосистемы Джет» и Zecurion выросли на 45,7% и 46% соответственно. По сравнению с прошлыми годами увеличился рост продаж зарубежных производителей. Компании Websense и Symantec увеличили объем продаж на 52,9% и 44,4% соответственно.

Важно отметить, что, согласно методологии исследования, оценка объема продаж компаний InfoWatch и «Инфосистемы Джет», проводилась с учетом не только разрабатываемого ими программного обеспечения, но и наличием сопутствующих услуг, а также стоимости лицензий на необходимые сторонние продукты (базы данных Oracle, серверное оборудование и т.д.). Естественно, объем продаж только самих программных продуктов InfoWatch (в основном это TrafficMonitor) и «Дозор-Джет» от «Инфосистемы Джет» существенно меньше приведенных в таблице 1 данных (на десятки процентов).

Также важно отметить, что объем продаж компании Zecurion складывается из продаж трех продуктов – Zlock, Zgate и Zdiscovery, которые часто могут поставляться в рамках одного проекта. Разделять их продажи не имеет смысла, и было бы несправедливо, так как у конкурентов решения, имеющие аналогичное функциональное наполнение, продаются в рамках набора модулей одного и тоже решения.

В категории «Другие» учитывались продажи таких компаний как Falcongaze, «МФИ Софт», RSA, Trend Micro и Verdasys и других.

 

4. Доли рынка в 2011-2012 годах

Для лучшего понимания ситуации на рынке удобнее оперировать долями рынка основных игроков, и их изменениями по сравнению с предыдущим периодом. Для этого данные из таблицы 1 были пересчитаны в проценты от общего объема рынка. Результаты представлены в таблице 2 и рисунках 2-3.

 

Таблица 2: Доли рынка основных игроков DLP-рынка в России за 2011-2012 годы

Производитель Доля рынка 2011 Доля рынка 2012 Изм. доли рынка 2011-2012
InfoWatch 32,8% 38,9% 6,1%
Инфосистемы Джет 25,3% 22,5% -2,8%
Zecurion 20,3% 18,1% -2,2%
Websense 10,6% 9,9% -0,7%
Symantec 5,6% 5,0% -0,6%
McAfee 1,3% 1,1% -0,2%
GTB Technologies - 0,6% 0,6%
Другие 4,1% 4,0% -0,1%

 

Рисунок 2: Доли рынка основных участников DLP-рынка в России за 2011 год

Доли рынка основных участников DLP-рынка в России за 2011 год

 

Рисунок 3: Доли рынка основных участников DLP-рынка в России за 2012 год

Доли рынка основных участников DLP-рынка в России за 2012 год

 

Рисунок 4: Изменение долей рынка участников DLP-рынка в России за 2011-2012 годы

Изменение долей рынка участников DLP-рынка в России за 2011-2012 годы

 

В 2012 году изменений позиций игроков не произошло, но на фоне высоких темпов роста рынка изменилось качество позиции в первой тройке. Так компания InfoWatch, лидер российского рынка, заметно упрочила свои позиции, в то время как компании «Инфосистемы Джет» и Zecurion, напротив, потеряли часть своей доли рынка. В общей сложности трио лидеров укрепило свои позиции, контролируя в сумме 79% рынка. Напомним, что годом ранее аналогичный показатель составлял 78%.

Таким образом, наметившееся в 2011 году укрепление позиций отечественных компаний продолжилось и в 2012 году. Несмотря на тот факт, что западные производители, Websense и Symantec, также продемонстрировали высокие темпы роста, их оказалось недостаточно для завоевания дополнительной доли рынка.

Так доля рынка компании InfoWatch в 2012 году за счет беспрецедентного роста существенно увеличилась на 6,1% и составила 38,9%. Доли рынка идущих следом компаний «Инфосистемы Джет» и Zecurion, напротив, уменьшились на 2,8% и 2,2% и составили 22,5% и 18,1% соответственно.

Компании Websense и Symantec ослабили свои позиции, потеряв по 0,6-0,7% рынка каждая. Websense теперь контролирует 9,9%, а корпорация Symantec — 5% российского DLP-рынка.

В 2012 году в России стал заметен новый игрок, компания GTB Technologies, которой за год удалось провести несколько внедрений и завоевать 0,6% рынка, что является весьма неплохим результатом для первого года работы.

 

5. Объем продаж в 2010-2011 годах по сегментам рынка

Так как подавляющаю часть DLP-рынка в России в денежном выражении по-прежнему приходится на сегмент крупного бизнеса (в российской классификации от 1000 рабочих станций выше) и государственных ведомств, то проведение сегментации в таком ключе теряет смысл. Однако весьма интересно сделать оценку средней стоимости проекта по внедрению DLP-систем для основных игроков.

По оценке Anti-Malware.ru средняя стоимость проекта по внедрению и сопровождению DLP-решения от компании InfoWatch по итогам 2012 года составляет около $300-400 тыс. По сравнению с прошлым годом средняя цена проекта заметно снизилась, что связано с появлением большего количества новых клиентов и проектов с невысокими бюджетами. Но большую часть оборота InfoWatch по-прежнему формируют проекты в крупнейших российских компаниях и государственных ведомствах, например, таких как «Газпромбанк», «Мегафон», РЖД, ФНС РФ,  ФТС РФ, Министерство обороны РФ и другие. Более 60% проектов InfoWatch приходится на компании с количеством рабочих станций более 1000.

Аналогичная ситуация с компанией «Инфосистемы Джет». По оценке Anti-Malware.ru средняя стоимость DLP от этого производителя составляет $230-280 тыс., т.е. также приходится на сегмент крупных компаний, среди которых «Росгосстрах» «Уралвагонзавод», «Норильский никель», «Русал», «Евросеть», «МДМ-Банк» и другие.

Исключительно в этом же сегменте крупного бизнеса находятся основные продажи решений от Websense и Symantec. Средняя стоимость внедрения и сопровождения проекта для них составляет от $200-400 тыс. Для средних компаний их продукты также являются слишком дорогостоящими.

Несколько иначе обстоят дела в компании Zecurion, а также рядом игроков, входящих в категорию «Другие» (Falcongaze, «МФИ Софт» и т.д.). Здесь средняя стоимость проекта значительно меньше. По оценке Anti-Malware.ru она составляет $50-150 тыс. Поэтому становится понятным, что значительная часть доходов этих компаний приходится на сегмент среднего бизнеса, так как это позволяет средняя стоимость проекта и относительная простота внедрения и сопровождения.

Однако, например, у Zecurion есть достаточно много и крупных заказчиков, среди которых «Сбербанк», «Аэрофлот», «Ростелеком», «Роснефть», Allianz, МКБ и другие. Поэтому говорить о фокусе этого производителя на сегменте среднего бизнеса было бы некорректно.

 

6. Прогноз развития рынка на 2013 год

Тенденция быстрого роста российского DLP-рынка сохраняется и в текущем 2013 году. По нашей оценке в 2013 году рынок должен продемонстрировать рост на уровне 45-50%, таким образом, достигнув объема в $76-78 млн.

Интерес к защите от утечек конфиденциальных данных постепенно становится массовым в сегменте крупного бизнеса и государственных ведомств. DLP перестает быть экзотической игрушкой и развлечением офицеров безопасности. Спрос на такие решения вышел за рамки компаний-инноваторов и становится стандартным элементом защиты для крупных организаций.

Возрастающая конкуренция на рынке вынуждает производителей активнее идти в сегмент среднего бизнеса, адаптировать свои продукты специально для него за счет упрощения и типизации установки и настройки, а также снижения стоимости владения. Эксперты Anti-Malware.ru рассматривают средний бизнес как основу для будущего роста рынка в ближайшие 3 года. Вопрос лишь в том, кто первый из крупных игроков сможет предложить на рынке действительно функциональный, но, в тоже время, простой, надежный и адекватный по цене продукт.

Рассмотрим как могут измениться позиции игроков на рынке к концу 2013 года. Для начала обратимся к таблице 3, в которой для каждого производителя указано значение потенциала роста на 2013 год.

Градация потенциала роста осуществляется по следующим степеням:
- отрицательный – снижение объема продаж, уменьшение доли производителя на рынке;
стагнация - сохранение текущего объема продаж, уменьшение доли производителя на рынке (при условии роста рынка в целом);
низкий – рост объема продаж от 0 до 30%;
высокий – рост объема продаж от 30 до 50%;
очень высокий – рост объема продаж свыше 50%.

 

Таблица 3: Потенциал роста и позиции основных игроков на 2013 год (прогноз)

Производитель Потенциал роста Позиция на рынке по итогам 2013 года
InfoWatch Очень высокий 1
Инфосистемы Джет Высокий 2
Zecurion Высокий 3
Websense Высокий 4
Symantec Высокий 5
McAfee Низкий 6-8
GTB Technologies Очень высокий 6-8
Falcongaze Очень высокий 6-8

 

Так как рынок в целом остается достаточно закрытым, то делать точные прогнозы достаточно сложно, поскольку приобретение или потеря нескольких крупных проектов может существенным образом сказаться на положении игроков. Поэтому, в некоторых случаях в таблице 3 указаны диапазоны мест, которые может занимать компания по окончании 2013 года.

Компания InfoWatch в 2013 году сохранит свое лидерство на рынке. Темпы роста объема продаж этой компании ожидаются очень высокими, что не позволит конкурентам приблизиться к ней по итогам года. Компания продолжает активно развивать свои продукты для крупных клиентов, в первую очередь флагманского InfoWatch Traffic Monitor, который в начале года обновился до версии 4.0 и уже ожидает обновления до следующей версии. В сегменте среднего бизнеса компания рассчитывает на InfoWatch Traffic Monitor Enterprise Appliance и версию InfoWatch Traffic Monitor Standard.

Компания «Инфосистемы Джет» способна показать значительные темпы роста в 2013 году. Компания активно развивает свой продукт «Дозор-Джет» версии 5.0, который значительно усилился новыми функциями контроля сетевых протоколов, получил своего агента для рабочих станций и удобную систему пост-анализа. Ожидается, что темпы роста продаж этого производителя будут как минимум высокими.

Компания Zecurion активно развивает и интегрирую свою линейку продуктов, как для контроля трафика на уровне интернет-шлюза, так и для контроля внешних устройств на рабочих станциях, а также шифрования. В конце прошлого года компания выпустила новинки Zecurion Zlock 5.0, Zgate 4.0 и Zdiscovery 2.0, которые получили серьезное технологическое развитие. С другой стороны относительная простота и невысокая стоимость продуктов позволяет им находить клиентов из числа среднего бизнеса. Ожидается, что темпы роста Zecurion в 2013 будут высокими, но едва ли превысят 40%.

Большой рыночный потенциал имеется у зарубежных компаний Websense и Symantec. Однако шансов всерьез бороться за лидерство на российском рынке у представительств этих известных в мире компаний пока не предвидится. Проблема заключаются в ограниченных возможностях локальных представительств этих компаний, которым не хватает ресурсов для более динамичного роста.  Таким образом, для этих производителей на 2013 год прогнозируется высокий потенциал роста на уровне 30-40%.

McAfee, RSA и Trend Micro сильные продукты по своему функциональному наполнению, международный опыт внедрений, также значительные корпоративные ресурсы. Однако, ни для одного из этих производителей продажи DLP-решений в России по-прежнему не являются значимыми, и, как показывает опыт, для них будет сложно концентрироваться на DLP- рынке, инвестировать в него и учитывать местную специфику. Потенциал роста для этих компаний – Низкий.

Активным игроками на российском DLP-рынке в 2013 году являются Falcongaze, «МФИ Софт» и GTB Technologies. Решения этих компаний имеют ряд интересных функциональных возможностей и, соответственно, преимуществ по отношению к более известным конкурентам. Поэтому они имеют все шансы занять свою нишу на рынке и их потенциал роста оценивается как очень высокий.

Илья Шабанов, управляющий партнер Anti-Malware.ru, так прокомментировал результаты исследования:

«Российский DLP-рынок продолжает активный рост, превосходящий наши самые смелые ожидания. Третий год подряд рынок растет на десятки процентов, увеличившись в объеме с $22 млн. в 2010 году до $52 млн. в 2012 году. Еще недавно такой размер рынка выглядел фантастикой, но за несколько лет стал реальностью и уже не за горами рубеж в $100 млн.

На этой волне роста выиграет тот, кто сумеет застолбить за собой как можно большую территорию, особенно в сегменте среднего бизнеса. К концу 2013 года объем DLP-рынка в России должен достигнуть отметки $76-78 млн. Мы ожидаем, что большая часть этого роста придется на российское трио лидеров, а также новых перспективных игроков».

 

7. Комментарии партнеров Anti-Malware.ru

 

Константин Левин, директор по продажам компании InfoWatch:

«Как видно из отчета, рынок DLP продолжает демонстрировать стабильный рост. Можно заметить, что мы несколько расходимся с Anti-Malware.ru в оценке объемов и роста рынка. Это кажущееся противоречие объясняется тем, что InfoWatch работает преимущественно в сегменте Enterprise и, как следствие, мы даем экспертную оценку именно ему, но в определении общего объема рынка вполне полагаемся на аналитиков Anti-Malware.ru. Дельта расхождения в наших оценках очень мала, это говорит о том, что рынок Enterprise активно развивается, а SMB пока находится в зачаточном состоянии.

По нашим оценкам, в сегменте Enterprise компании InfoWatch уже принадлежит половина рынка, и мы планируем дальше увеличивать долю присутствия. В то же время, мы начали активное движение в сектор SMB. Небольшие компании предъявляют особые требования к DLP-решениям, поэтому мы разрабатываем продукты, которые будут легкими в управлении и интеграции».

 

Ляпунов Игорь, Директор Центра информационной безопасности «Инфосистемы Джет»:

«DLP-решение становится неотъемлемым элементом практически любой системы корпоративной безопасности и интерес к ним за прошедший год значительно вырос. Мы отмечаем заметное повышение зрелости и требовательности заказчиков. У них сформировалось четкое понимание, того что им нужно от DLP-решений. Возникла даже некоторая стандартизация требований к DLP-решениям. Кроме того, рынок стал более прозрачным – игроки, продукты, их сильные и слабые сторон, ценовая политика.

Как следствие на лицо все более возрастающая конкуренция, некоторое снижение стоимости инсталляций и небольшое падение маржинальности. Но все это идет исключительно на пользу и рынку, и решениям в частности: производители уделяют значительное внимание качеству своих решений, новому функционалу, новым технологиям. Оценка последних полутора лет показывает, что рынок и решения за этот период преодолели дистанцию примерно равную той, которую раньше проходили за 5-7 лет».

 

Александр Ковалёв, заместитель генерального директора Zecurion:

«Росту продаж Zecurion способствовали глубокие эволюционные изменения в линейке основных продуктов, Zecurion Zgate и Zecurion Zlock. Сохранив преемственность с предыдущим версиями продуктов, унаследовав их лучшие стороны, такие как простота внедрения и удобство эксплуатации, наши DLP-системы повысили точность распознавания конфиденциальных данных. Кроме того, были существенно расширены возможности модуля отчётности. Особое внимание разработчики уделили технологичности продуктов. В результате наши решения выигрывают у конкурентов по всем ключевым критериями в рамках открытых тендеров.

Мы также отмечаем повышение спроса со стороны заказчиков на продукты для поиска и классификации корпоративных информационных ресурсов. Так, объёмы продаж Zecurion Zdiscovery в несколько раз превзошли наши собственные прогнозы, поэтому мы планируем активно развивать данное направление в дальнейшем.

Профиль заказчиков не претерпел существенных изменений. По-прежнему наибольший спрос на Zecurion DLP исходит со стороны крупного бизнеса (от нескольких тысяч рабочих мест). Это не удивительно, ведь потребителям Enterprise-сегмента нужен действительно стабильный продукт от вендора с хорошей репутацией. Это позволяет выстраивать долгосрочные отношения с нашими заказчиками. К примеру, один из крупнейших в мире финансово-страховых концернов Allianz уже около 5 лет использует Zecurion DLP».

 

Евгений Тетенькин, руководитель направления «Информационная безопасность» компании «МФИ Софт»:

«Планомерный рост рынку DLP-систем обеспечен еще как минимум на протяжении нескольких лет, так как он по-прежнему остается ненасыщенным даже в сегменте крупного бизнеса. Будет увеличиваться и доля сегмента СМБ, поэтому на разработку решений для этого рынка направлены силы крупнейших игроков. В частности, рост позиций отдельных вендоров может объясняться именно экспансией в сторону сегмента малого и среднего бизнеса.

По внутренним оценкам нашего аналитического центра, DLP-решения компании «МФИ Софт» уже сейчас входят в пятерку наиболее популярных систем российского рынка, а в сегменте крупного бизнеса стабильно входит в ТОП-3.

Система «Гарда Предприятие» изначально способна к обработке в режиме реального времени постоянно увеличивающихся объемов информации, поэтому для крупных предприятий наше решение остается одним из приоритетных. Сейчас в задачи наших разработчиков входит углубленная проработка аналитического функционала системы, который позволит сделать мощный инструмент для глубинной аналитической работы по совершенствованию политики безопасности».

 

Владимир Емышев, Business Development Manager, NGS Distribution:

«Российский рынок DLP представляет собой стабильно развивающий сегмент рынка, с довольно высокой конкурентной составляющей. На рынке присутствует большое количество как отечественных игроков, так и иностранных производителей. В данном случае заказчик может подобрать нужную систему, отталкиваясь от своих личных потребностей и задач.

Как и на любом конкурентном рынке, решающую роль играет уровень сервиса, который может обеспечить для заказчика канал того или иного вендора.

За короткий срок (компания GTB Technologies в России с 05.2012) компания сумела успешно реализовать первые проекты и получить лестные отзывы как от заказчиков так и от интеграторов реализовывавших проект. Компания не собирается останавливаться на достигнутом и планирует усиливать свое влияние на рынке стран СНГ».