В медиа регулярно появляются сообщения об очередной сделке на рынке кибербезопасности в мире. В России как будто их и нет, но ведь это не так — как минимум три сделки могу вспомнить даже в первом приближении. 2012 г. — R-Style (одна из топовых IDM-практик на тот момент) была продана непрофильному инвестору (А. Клячин). 2015 г. — «Яндекс» приобрел Agnitum. 2015 г. — 25% Solar Security (spin-off части ИБ-бизнеса «Инфосистем Джет») получил ее менеджмент (CEO Solar Security). Проделаем упражнение — возьмем последний рейтинг CNews Security, добавим мои знания рынка и подход цикла противодействия угроз NIST CSF (пять стадий — Identify, Detect, Protect, Respond, Recover) и посмотрим, где среди российских игроков рынка кибербезопасности возможно найти синергию (отдельно отмечу, что в формате статьи это возможно сделать только в первом приближении, поэтому не претендую на полноту изложения — но самые крупные возможности планирую идентифицировать).

Сделка № 1. Слияние Kaspersky Lab и Acronis (горизонтальная диверсификация). Безопасность сама по себе никому не нужна — она всегда будет так или иначе привязана к тем местам, где хранятся, передаются и обрабатываются данные. Сочетание компетенций этих двух игроков перекроет фактически все пять стадий NIST CSF — обеспечит безопасность при хранении и обработке данных и позволит выгадать на эффекте масштаба (дата-центры, офисы, клиенты). Ключевой риск для сделки — ассоциации Kaspersky на Западе с «К Гб» — бизнесу Acronis такие ассоциации могут изрядно повредить.

Сделка № 2. Слияние «Кода безопасности» и «Инфотекс» (консолидация рынка ГОСТ-VPN и горизонтальная диверсификация). В последние несколько лет «Инфотекс» начала побеждать на рынке защиты каналов связи. Випнетизация нескольких федеральных ведомств (тысячи объектов информатизации) и монополия на подключение к СМЭВ (тысячи точек) дали вендору возможность спозиционировать себя как лидера на этом рынке. Но ситуация начинает меняться — Минкомсвязи уже лишило вендора монопольного статуса на рынке доступа к электронному правительству, а на горизонте угрожающе маячит волна SDN. При условии разумной степени податливости «Кода безопасности», «Инфотекс» может получить новых клиентов, снизить затраты на маркетинг, получить целый ряд команд разработчиков для новых продуктов, новые продукты (СЗИ от НСД) для увеличения выручки у лояльных клиентов, укрепить монополию и даже поднять цены. Ключевой риск — дела у «Кода безопасности» настолько хороши, что ее акционеры не ухватятся за возможность хотя бы частично «выйти в кэш».

Сделка № 3. Покупка Ростелекомом доли в Acronis\Veeam, Kaspersky\Dr.Web (горизонтальная диверсификация). Дата-центры Ростелекома плюс его каналы Европа-Азия вместе с технологиями по хранению и защите данных могут стать интересным оффером для крупных клиентов со всего мира. Россия сейчас — одна из топовых по развитию дешевой энергии стран (атом + гидро), а также географически удобно расположена для транзита трафика Европа-Азия, а Ростелеком — растущий в сегменте цифровых сервисов игрок, который активно инвестирует в сектор (Safedata, «Айкумен ИБС», РДП.РУ), в августе запустил услугу «Виртуальное хранилище данных». Ключевой риск — стратегия компании сфокусирована на развитии бизнеса в границах страны, для чего, по мнению менеджмента, будет достаточно существующих компетенций по защите информации и хранению данных.

Сделка № 4. Покупка доли в Solar Security\"Перспективном мониторинге" компанией «Позитив Технолоджис» (вертикальная интеграция). Отсутствие полноценного собственного SOC не даст «Позитиву» сформировать базу контента мирового класса — а ее амбиции распространяются и на мировой уровень. Все ключевые глобальные конкуренты компании на рынке SIEM (HP\Microfocus, IBM, RSA) имеют SOC и могут использовать их экспертизу при развитии базы контента SIEM. Альтернативой будет заключение партнерского соглашения с действующим SOC (если партнер не поймет, что его данные для «Позитива» на вес золота и не попросит обмен активами). Ключевой риск — у компании просто не хватит денег на запросы акционеров SOC — ведь в последние несколько лет она запустила целый ряд инвестиционных продуктов, что активно «палило» кэш.

Сделка № 5. Покупка ERPScan компанией Kaspersky (горизонтальная диверсификация). Несколько лет назад Kaspersky взяла курс на формирование широкой линейки Enterprise Security, хорошим дополнением к которой будет комплекс по безопасности SAP ERPScan (поможет увеличить выручку с лояльных аккаунтов). Комплекс вызывает интерес у многих крупнейших российских и глобальных заказчиков, но в силу его нишевости имеет долгий цикл продаж и нуждается в доступе к «телу» крупнейших заказчиков — и то, и то хорошо смогут поддержать финансовые и sales-ресурсы Kaspersky. Ключевой риск — компания может сместить стратегический фокус от инвестиций в R&D продуктов в инвестиции в их продвижение (продать бы то, что уже сами сделали).

Сделка № 6. Формирование полувоенного киберхолдинга Ростехом на пару с Росатомом (горизонтальная диверсификация). Стратегия Ростеха предусматривает к 2025 г. выход на масштаб ведущих глобальных промышленных конкурентов, и среди приоритетных рынков менеджмент рассматривает в том числе рынки телекома, ИТ и кибербезопасности. На данный момент в составе Ростеха существует ряд продуктов по кибербезопасности (в рамках Обьединенной приборостроительной корпорации), но их спектр можно увеличить без существенных по мерках глобальных компаний вложений. Приобретение активов по кибербезопасности разумно осуществлять, хеджируя риски — с одной стороны расширяя портфель продуктов, с другой закрывая существующие потребности Ростеха в сертифицированных продуктах (а так же возможного партнера — Росатома, и ключевого заказчика — Министерства обороны РФ). Среди таких активов могут быть НПО «Эшелон» (SIEM, VM, application security, услуги по аттестации и сертификации), «Алтэкс-Софт» (VM и сертифицированные продукты), частично «Газинформсервис» (GRC, SAP Security), частично НИИ СОКБ (MDM). Совокупная выручка двух госкорпораций за прошедший год — почти 2 трлн. руб. (что гораздо больше, например, ВВП Эстонии). Учитывая длительный цикл развития корпоративных программ кибербезопасности (3-5 лет — один значимый этап) совокупная выручка за период достигает 6-10 трлн. руб. (не включая традиционного и очень богатого заказчика Ростеха — Минобороны) — на таком внутреннем рынке возможно взрастить конкурентные в России, а со временем и в мире решения по ИБ. Ключевой риск — сложность структурирования сделки, неспособность всех сторон договориться о создании холдинга значимого масштаба (пожалуй, выручка меньше миллиарда рублей инвестиционных менеджеров Ростеха не устроит), однако как минимум Росатом и Ростех уже продемонстрировали способность договориться, подписав целый ряд соглашений — о совместном развитии месторождений Забайкальского края (2016), о сотрудничестве в сфере разработки высокотехнологичной конкурентоспособной инновационной продукции (2013) и соглашение для координации своих действий по созданию импортонезависимых решений (2015).

Сделка № 7. Консолидация интеграторских практик по ИБ (консолидация рынка). Интеграторский бизнес последние несколько лет штормит, на данный момент несколько интеграторов были закрыты своими акционерами или обанкротились. Проверенным путем спасения бизнеса всегда было создание организаций «too big to fail» — таких, банкротство или продажу стороннему инвестору которых не допустит государство. Первая ласточка в виде продажи Л. Васадзе компании AT Consulting уже полетела, на очереди другие интеграторы, некоторые из которых имеют на борту практики ИБ с десятками и даже сотнями задействованных в проектах специалистов. Ключевой риск — реализация эффекта масштаба потребует времени, стоимость денег за это время (средневзвешенная ставка кредитования интеграторов) может сделать такой проект чересчур рискованным для акционеров.

Сделка № 8. Покупка Ростелекомом небольшого WAF-вендора — Wallarm\SolidLab (вертикальная интеграция). Стратегия Ростелекома предполагает рост посещаемости и нагрузки портальных активов (медиабизнес, личные кабинеты, SaaS). Покупка небольшого управляемого локального WAF-вендора (команда + наработки + клиенты) поможет снизить себестоимость услуг Ростелекома в сегментах B2B, B2C и даже добавит новый продукт и расширит клиентскую базу B2B- и B2G-блоков. Ключевой риск — менеджмент компании не захочет заниматься сделкой, которая в краткосрочной перспективе даст эффект всего в несколько десятков миллионов рублей, как минимум до окончания программы повышения операционной эффективности Ростелекома (2018).

Сделка № 9. Покупка Security Vision компанией «Позитив Технолоджис» (вертикальная интеграция). В решениях «Позитив Технолоджис» традиционно не развивались способности по визуализации происходящего в контролируемой инфраструктуре. Эту задачу закрывали вендором QlikView, решения которого в последние несколько лет а) подорожали из-за роста курса доллара и б) оказались в зоне риска из-за присутствия целого ряда клиентов «Позитива» в санкционных списка ЕС и США. Параллельно за пять лет из внутреннего проекта интегратора «Корпорация IT» вырос вендор Security Vision, который не только автоматизирует процессы по управлению ИБ, но и умеет считать показатели ИБ в реальном времени (подтверждено в одном из крупнейших банков страны) — что как раз будет дополнять инфраструктурные средства ИБ «Позитива» и даст компании возможность закрепиться в этом банке (одном из крупнейших заказчиков решений по ИБ страны) — несмотря на активное движение банка в сторону облаков и настроя менеджмента банка на применение лучших мировых решений. Мировые конкуренты «Позитива» на рынке SIEM (HP\Microfocus, IBM, RSA) имеют решения класса GRC в своих портфелях и могут их предоставить в больших сделках. Ключевой риск — SIEM для «Позитива» может быть не столь приоритетным продуктом, как может показаться внешнему наблюдателю.

Сделка № 10. Покупка Ростелекомом вендоров фильтрации трафика — antiDDoS QRator\IPPIER или веб-фильтрации Entensys\Ideco — (вертикальная интеграция). Фильтрация трафика для Ростелекома сродни Revenue Assurance — чем больше отфильтрует, тем меньше придется тратить на поддержку и развитие сетей связи. Затраты на текущие системы фильтрации (Arbor) исчисляются минимум десятками миллионов рублей в год, а значит покупка и развитие небольшого кэптивного вендора antiDDoS окупится максимум за пару лет. Ключевой риск — менеджмент Ростелекома не захочет заниматься сделкой, которая в краткосрочной перспективе даст эффект всего в несколько десятков миллионов рублей, как минимум до окончания программы повышения операционной эффективности Ростелекома (2018).

***

Среди участников указанных возможных сделок нет нескольких крайне активных в плане привлечения инвестиций и маркетинга вендоров по кибербезопасности. Их нет не случайно — по моему мнению и согласно моим источникам в их деятельности присутствуют существенные репутационные и правовые риски, большие кассовые разрывы, случаются серьезные убытки, а их первые лица своими инициативами и комментариями чересчур часто привлекают неоднозначное внимание в медиа. Это не позволяет мне внести их в ТОП-10, хотя эти игроки как раз рассматривают инвестиционную деятельность как один из способов масштабирования и развития бизнеса (тот случай, когда execution топит неплохой vision). В серьезном западном инвестбанке инвестиции либо подготовку сделки с участием таких компаний весьма вероятно потопит корпоративный compliance.

Автор статьи — сертифицированный специалист по управлению информационной безопасностью корпоративных и облачных ландшафтов, член международных ассоциаций ISACA, ASIS, ACFE.