«За три года выручка от производства NGFW увеличилась в сто раз» — вице-президент Kraftway Максим Шумилов

За последние несколько лет в России появился целый ряд отечественных NGFW, в том числе от крупных ИБ вендоров. С учетом требований законодательства по локализации производства, многие компании выполняют сборку электроники в РФ. Насколько увеличился запрос по производству NGFW на вашей площадке, и кто именно их заказывает?

— Мы не можем разглашать вендоров, которые заказывают производство платформ NGFW и другой электроники на нашем предприятии из-за подписанного NDA. Однако можно отметить, что более половины всех российских ИБ вендоров в РФ заказывают у нас разработку NGFW-платформ и размещают заказы на их производство на нашем обнинском заводе. Что касается роста спроса – то за последние три года выручка от производства межсетевых экранов, коммутаторов, NGFW и др. на нашем предприятии увеличилась в сто раз. Но, стоит отметить, что несмотря на кажущуюся привлекательность растущего NGFW-рынка для новых игроков, реально до воплощения идеи в конкретный продукт доходят единицы.

По нашей информации, многие вендоры производят NGFW под конкретного заказчика, без складского запаса. Каковы объемы производства на вашем предприятии?

— За прошлый год мы отгрузили порядка 20 тыс. единиц межсетевых экранов, однако в своей практике с разработчиками NGFW-решений мы идем по пути заключения рамочных договоров. В этих документах на весь срок их действия фиксируются объемы производства и цена изделия. Модель работы, подразумевающая обязательство партнера выкупить определенный объем оборудования, с одной стороны, предъявляет к ИБ-вендору повышенные требования по более точному прогнозированию спроса на свою продукцию и позволяет нам заранее планировать загрузку производства и резервировать необходимые производственные мощности. С другой стороны, неоспоримым плюсом для нашего заказчика является фиксирование цены на весь объем аппаратных платформ NGFW, включенных в договор, в отличие, например, от поставок в рамках проектной деятельности. К тому же, при заключении договора мы можем заранее произвести некоторое количество не полностью укомплектованных платформ и гарантировать поставку готового оборудования уже через четыре недели. В случае работы под проект «с нуля» такие сроки реализации практически невозможны.

Выпускаемые вами NGFW в дальнейшем получают сертификацию ФСТЭК. Возникают ли трудности с получением сертификатов? Сколько времени это занимает?

— Нужно понимать, что NGFW — это решения наших заказчиков, ИБ-вендоров, которые и занимаются сертификацией. Мы, разумеется, сопровождаем все этапы лабораторной экспертизы: предоставляем схемотехнику аппаратной платформы, список используемых компонентов, описание печатных плат и т.п. В среднем на получение сертификата ФСТЭК уходит до полугода. Поскольку сертификации подлежит комплекс целиком, уже сертифицированная аппаратная платформа, используемая другим ИБ-вендором, все равно проходит повторную сертификацию в рамках другого ПАК. В целом сертификация — это рутинный и не очень сложный процесс, который, однако, требует большого количества времени и большого объема бюрократической работы.

Насколько нам известно, ФСТЭК выдает сертификат для NGFW на пять лет. Например, сертификация Check Point истекла в январе 2025 года. При этом аппаратная часть развивается постоянно. Правильно ли мы понимаем, что в связи с этим в критической инфраструктуре, где должно быть сертифицированное оборудование, не будет самых современных решений?

— Из-за сложности с сертификацией ОDM-производители аппаратной части NGFW вынуждены поддерживать сроки жизни печатных плат по 5 и более лет. Для сравнения  срок жизни, например, печатной платы коммерческого ноутбука находится на уровне двух лет. В КИИ важнее стабильность, а не новизна, стабильность в данном случае — это наличие сертификатов ФСТЭК и наличие продукции в реестрах Минцифры и Минпромторга. С другой стороны, установка новейших процессоров не всегда дает значительного повышения производительности NGFW-устройств по сравнению с ростом стоимости, но требует проведения новой сертификации и прохождения всех бюрократических процедур.

С какими основными сложностями, на ваш взгляд, сталкиваются ИБ-вендоры, желающие поставлять продукты для КИИ?

— Стоит начать с того, что компании, относящиеся к КИИ, все еще  пытаются до последнего момента оттянуть переход на отечественные решения, найти варианты и лазейки. Это связано тем, что требований со стороны регулятора к КИИ много, все они затратны и по времени, и по инвестициям, даже те преференции, которые дают этот статус, не покрывают неминуемых расходов. Со стороны производителей главной проблемой остается сертификация и слишком большое количество необходимых реестров и бумаг для выхода на госзаказ. Например, сначала необходимо подтвердить российское происхождение аппаратной платформы и ПО и включить их в реестры Минпромторга и Минцифры соответственно. Далее уже готовое изделие как ПАК должно войти в реестр Минцифры и пройти сертификацию во ФСТЭК.

Одним из крупнейших ИБ-проектов в настоящее время является проект в Почте России. Поставляются ли выпущенные вами NGFW туда?

— Мы не знаем и не узнаем у заказчиков — разработчиков ИБ-продукции и NGFW, кто является конечным пользователем. Весь дизайн аппаратной части, внешний вид и т. д. — всё это принадлежит нашему заказчику, т.е. ИБ-вендору. . В данном случае мы выступаем исключительно как ОDM- производитель. Поэтому мы не знаем, используется ли NGFW, произведенный на нашей фабрике, в проекте Почты России или в каком-либо еще.

Есть ли у вас планы замещения иностранных компонентов (например, процессоров Intel/AMD на «Эльбрусы» или Baikal)? Некоторые вендоры сообщали нам, что тестируют NGFW на российских чипах.

— У нас есть разработки изделий на «Эльбрусах» и «Байкалах», однако из-за слабой доступности этих процессоров данные проекты заморожены. Мы в целом готовы предложить заказчикам межсетевые экраны на российских процессорах, но пока заказов на подобные изделия мы не получали. Все разработчики пишут свой софт под процессорную архитектуру Intel (X86), российские процессоры используют либо архитектуру «Эльбрус», либо ARM. Адаптировать софт под другую архитектуру слишком затратно и не всегда экономически целесообразно.

Из каких компонентов вы производите NGFW и где именно? Есть ли сложности с поставками, как вы их решаете?

— Что касается электронной компонентной базы, то в настоящее время она в основном импортная. Процессоры в 99% случаях — это Intel. Как таковых проблем с поставками иностранных компонентов нет, сроки увеличены, но к ним все уже привыкли. Замечу, что процесс локализации идет полным ходом. Так, мы наладили сотрудничество с российскими компаниями по производству корпусов для своих изделий. Российская компания «Резонит» поставляет текстолит для печатных плат, а операции пайки и монтажа происходят на нашем предприятии в Обнинске. До конца года планируем интегрировать в нашу платформу контроллеры, произведенные на фабриках ГК «Элемент», в частности, на предприятиях «Прогресс» и «Микрон». С нетерпением ждем выхода новой микросхемы сетевого контроллера нашей разработки для использования его в составе аппаратной части NGFW-платформы.

Все ли ИБ-вендоры производят аппаратную часть NGFW в России?

— Я не верю в то, что рынок NGFW, не связанный с госрегулированием, большой, поэтому те вендоры, кто не локализует производство в РФ, либо сильно рискуют, либо рано или поздно будут вынуждены перенести сборку устройств в Россию. Мы видим свою задачу в том, чтобы производить платформы достаточного уровня качества по разумной цене.

Однако, несмотря на активное импортозамещение, российские компании по-прежнему используют иностранные Chek Point и др. Некоторые собеседники рассказывали нам, что израильская компания намерена вернуться в РФ посредством совместного предприятия с одним из российских вендоров. Как вы к этому относитесь?

— Потенциальное возвращение Check Point в РФ для части заказчиков новость хорошая, так как NGFW от этого вендора имеет свою большую аудиторию в России. Для российских производителей NGFW эта новость тревожная, так как израильтяне могут вернуть  большую часть российского рынка. И если крупные компании по типу «Лаборатории Касперского», «Солар», S-Terra или  Positive Technologies смогут составить конкуренцию Cheсk Point, то более мелкие участники рынка будут вынуждены покинуть этот сегмент отрасли. Стоит отметить, что Check Point был единственным иностранным вендором NGFW, который все это время поддерживал российских заказчиков и совершал свободные продажи своих устройств в РФ. Естественно это справедливо в том случае, если Check Point сможет локализовать ПО и оборудование в РФ. В другом случае большинство заказчиков для них будут недоступны.

Какие цели по NGFW вы для себя ставите на ближайшие пять лет? Заинтересованы ли в экспорте этих решений? В какие страны?

— В течение пяти лет у нас стоит цель стать самым крупным аппаратным разработчиком NGFW в РФ, заняв более 50% этого рынка. Это возможно, поскольку мы были одними из первых, кто начал производить эти изделия в РФ, поэтому мы наработали достаточно компетенций в этой области Большой потенциал подобных устройств мы видим на рынках стран ОДКБ, Ближнего Востока, возможно, Индии или африканского континента. И выход на экспорт для нас — это вопрос не такого уж и далекого будущего.