Сегодня компания Аванпост — ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — подводит итоги 2017 года, одного из самых успешных за всё время её существования. Одновременно Аванпост, выполнив все намеченные задачи, завершает второй пятилетний период развития, ставший поворотным не только для самой компании, но и (в значительной степени благодаря её усилиям) для всего российского рынка IDM, PKI и SSO. Также компания Аванпост объявляет главные цели и направления своей деятельности в следующие пять лет.
Аванпост в 2017 году
За прошедший год оборот Аванпост вырос на 45% и превысил 300 млн руб. При этом численность персонала увеличилась на 27%.
Компания улучшила структуру клиентской базы, расширив охват отраслей и сделав их доли более выровненным. В ней представлены госсектор и коммерческие структуры: банки и страховые компании, ТЭК, ритейл, логистические предприятия, промышленность, телеком.
В 2016 году Avanpost IDM, флагманский продукт компании, по функциональности встал в один ряд с ведущими западными IDM-решениями, представленными на тот момент на российском рынке. В течение всего года продукты Avanpost IDM и Avanpost PKI активно развивались: вышло несколько крупных и множество небольших обновлений, которые еще расширили функциональность продуктов, повысили удобство их использования, существенно упростили внедрение и сопровождение. Кроме того, были реализованы многие функции, необходимые самым крупным территориально-распределенным организациям-заказчикам, причем это направление стало основным как для всего 2017 года, так и для дальнейшего развития. В итоге, по всей совокупности потребительских характеристик Avanpost IDM достиг уровня ведущих западных решений, а компания вновь подтвердила статус технологического лидера в сегментах IDM и PKI.
Все это повлияло на число активных лицензий на продукты Аванпост. Так, в марте 2017 года число активных пользователей Avanpost PKI достоверно превысило 1 млн, а к концу года достигло уровня в 1.5 млн. Общее же количество пользователей всех продуктов линейки Avanpost вплотную приблизилось к 3 млн.
Эти изменения, а особенно необходимость эффективной поддержки самых крупных предприятий, связаны с двумя новыми рыночными факторами: резким изменением конкурентной среды в сегменте IDM и с начавшейся переориентацией крупных заказчиков на российские решения. Так, в прошедшем году по разным причинам резко снизили активность все старые разработчики IDM-решений (российские и западные). И хотя появились новые российские разработки, их влияние на рынок пока неощутимо. Западные же IDM-решения, активно продвигаемые на нашем рынке, теперь представлены двумя системами: One Identity Identity Manager и SailPoint IdentityIQ. Оба эти решения, обладающие очень широкой функциональностью (выходящей за границы собственно IDM) и множеством упрощающих внедрение настроек, подняли планку ожиданий крупных заказчиков в отношении лидирующих IDM-решений. Эта ситуация потребовала значительных усилий именно от Аванпост, т.к. из российских разработчиков только она входит в группу лидеров и реально конкурирует с ведущими западными решениями.
Кроме того, сегодня к продуктам Аванпост присматриваются не только коммерческие предприятия, но и госкорпорации и крупные госструктуры, подпадающие под нормативную базу импортозамещения или попавшие в санкционные списки или стремящиеся обезопасить себя от них. Соответственно, от Аванпост как одного из ведущих российских ИБ-вендоров требуется ускоренное портирование своих продуктов на российские ОС на основе Linux. Для Avanpost IDM выход 6-й версии состоится в третьем квартале 2018. И эта версия будет работать как в Windows, так и в Linux. Отметим также, что Linux изначально является основной ОС для Avanpost Web SSO — нового программного продукта в линейке Avanpost, продвижение которого на российском рынке началось в марте 2017 года.
Avanpost Web SSO — это сиcтемообразующее ПО уровня предприятия, способное эффективно поддерживать ИС с миллионами пользователей и позволяющее реализовать в масштабах крупной территориально распределенной организации или сети взаимодействующих предприятий (деловой сети) полный комплекс функций обычной и многофакторной аутентификации пользователей ИС, а также их безопасного входа во все необходимые приложения после однократной аутентификации (Single Sign-On, или SSO). При этом единая система аутентификации и SSO, созданная с помощью Avanpost Web SSO, охватывает все механизмы взаимодействия пользователей с современными ИС: тонких клиентов, мобильные приложения, SaaS-сервисы, настольные приложения традиционного типа и сложно организованные Web-ресурсы, страницы которых открывают доступ к информационным системам одной или нескольких организаций.
По универсальности, набору функций, масштабируемости, простоте администрирования и разнообразию поддерживаемых видов ПО и информационных ресурсов новая разработка Аванпост не имеет аналогов на отечественном ИТ-рынке, превосходя как конкурирующие западные проприетарные продукты от ведущих мировых ИТ-компаний, так и разработки международного сообщества Open Source.
Несмотря на свою новизну, продукт Avanpost Web SSO востребован российским рынком. Он уже отвечает за аутентификацию на одном из крупнейших городских интернет-ресурсов. Его приобрело одна из ведущих российских промышленных компаний и еще три крупные коммерческие организации. Еще несколько контрактов находятся на разных стадиях согласования с заказчиками.
К началу 2018 года относительная важность элементов продуктовой линейки Avanpost распределилась так: IDM (40%), PKI (30%), Web SSO (20%) и классический SSO — 10%. При этом основными генераторами прибыли сегодня являются IDM и PKI, а наиболее перспективными точками роста — IDM и Web SSO.
Второй пятилетний период развития Аванпост: крутой поворот в судьбе компании
Пять лет назад Аванпост была зрелой компанией-разработчиком, нашедшей перспективную незанятую рыночную нишу (комплекс функций IDM, PKI и SSO для банковского сектора), создавшей для неё линейку продуктов и занимавшейся их долгими единичными внедрениями.
Качественно новый этап развития компании начался в 2012 году, когда её крупнейшим акционером стала инвестиционная группа LETA Group, а генеральным директором — Андрей Конусов, ранее возглавлявший успешного ИБ-интегратора Leta IT-company. Новое руководство Аванпост увидело как большой рыночный потенциал идей и технологий, заложенных в программный комплекс Avanpost, так и высокий профессионализм команды разработчиков, сумевшей создать первую в России качественную реализацию сложного комплекса функций (IDM, PKI, SSO и ряд других) и успешно внедрить его в нескольких российских банках.
Однако ни сама компания, ориентированная на продвижение своих продуктов через единственного партнёра и на небольшое число внедрений в одной отрасли экономики, ни её продукты, требовавшие значительной доработки при каждом внедрении, не подходили для реализации планов LETA Group. Эти планы были нацелены на максимальное расширение потенциального рынка для продуктов Avanpost, которые должны были стать одинаково пригодными для всех отраслей экономики и госуправления, а также охватить широкий диапазон масштабов организаций — от средних до крупных. Требовалось так переработать продукты, чтобы их можно было достаточно быстро внедрять через партнерский канал, без существенных переработок продукта и связанного с этим усложнения сопровождения. Наконец, надо было создать мощный канал продвижения продуктов Аванпост через множество крупных и средних интеграторов. При этом сама компания Аванпост должна была стать одним из ведущих российских ИБ-вендоров, способным сделать темы IDM, PKI и SSO интересными для множества новых целевых групп, а также устранить препятствия для продвижения в новые сегменты. Основой согласованного решения всех этих задач стала комплексная программа развития, представленная в октябре 2012 года.
На начальном этапе её реализации главной задачей стало создание эффективной партнерской программы, в которой были бы предусмотрены не только такие стандартные услуги вендора, как обучение и сертификация специалистов партнёра, передача ему разработанных в Аванпост эффективных методик внедрения и сопровождения, а также реализация совместных маркетинговых программ и действий в информационном пространстве, но и целый ряд оригинальных механизмов защиты прибыли партнёра и закрепления за ним клиентов, с которыми он эффективно работает.
Однако, несмотря на продуманность партнерской программы, для «раскачки» поначалу инертного партнерского канала, в Аванпост пришлось создать мощный отдел пресейла, приносивший партнерам практически готовые к подписанию контракты, а также технологию совместного участия во внедрениях, построенную по принципам наставничества. Кроме того, положительную роль сыграли совместные семинары для потенциальных клиентов и большая разъяснительная работа, показавшая рынку, что сочетание функций IDM, PKI и SSO является наиболее эффективной формулой комплексного управления доступом, действительно способной эффективно противостоять наиболее существенным угрозам, включая и такие, против которых ИБ-инструменты оказываются бессильными, т.к. злоумышленник не идет напролом, а маскируясь под легитимного пользователя ИС с нужными полномочиями, становится невидимым даже для самых дорогих ИБ-решений. Одновременно с решением этих задач Аванпост совершенствовала свою продуктовую линейку сразу по нескольким направлениям.
Во-первых, целостный программный комплекс Avanpost был разделён на отдельные продукты (IDM, PKI и SSO), способные работать как по отдельности, так и в любых сочетаниях, давая в последнем случае значительный синергический эффект. Это расширило варианты продвижения продуктов Аванпост, ускорило их развитие, позволило комбинировать их с конкурирующими продуктами, если они уже были внедрены у заказчика.
Во-вторых, задолго до объявления политики импортозамещения в ИТ самое пристальное внимание было уделено модулям сопряжения (коннекторам) продуктов Avanpost IDM и Avanpost PKI с максимально широким спектром ПО, применяющегося в российских организациях. Увеличилось число точек сопряжения продуктов Avanpost с другими элементами ИС. Кроме того, была значительно упрощены специфические части коннекторов, созданы удобные интерфейсы прикладного программирования (API), качественная документация и комплекты разработчика (SDK). Всё это привело к тому, что трудоемкость разработки коннекторов резко снизилась и создавать их теперь могли не только программисты Аванпост, но и сотрудники компании-интегратора или даже организации-заказчика. Сегодня Аванпост располагает не только самой простой технологией создания модулей сопряжения, но и самым широким набором готовых коннекторов, значительно превосходя по этим параметрам конкурентов. Это преимущество исключительно важно, т.к. какой бы совершенной ни была система IDM, взаимодействующая лишь с небольшим набором ПО, она практически не защищает организацию. Кроме того, при переходе на отечественное ПО в рамках проектов импортозамещения преимущества в технологии создания коннекторов будет иметь решающее значение для сохранения полноты и эффективности управления доступом.
В-третьих, для Avanpost PKI была обеспечена совместимость со всеми ключевыми носителями (токенами), широко применяемыми на территории РФ.
В-четвертых, Аванпост сначала догнала ведущие зарубежные решение в области IDM, PKI и SSO по их основной функциональности. А затем постепенно достигла паритета с ними и в плане удобства применения (в частности, по возможностям адаптации универсального решения для работы в конкретной организации лишь с помощью настроек, т. е. без программирования).
При этом по ряду существенных функций продукты Avanpost превзошли разработки ведущих мировых ИТ-компаний. Например, это касается способов создания ролевых моделей и поддержания их в актуальном состоянии. Здесь компания Аванпост разработала оригинальные технологии ускоренного (за счет автоматизации) решения этих задач. Эти технологии достаточно сложны, например, они содержат механизмы полуавтоматической оптимизации множества ролей за счет анализа их сходства. В 2017 году к ним добавились средства, предотвращающие нарушение принятых в организации ограничений на назначение ролей (например, запретов на совмещение полномочий на выполнения какой-либо задачи и контроля по ней). Более того, компания Аванпост встроила все эти инструменты в Avanpost IDM, не увеличив стоимость продукта. Всё это впервые открыло российским организациям возможность методически корректного внедрения систем IDM.
В-пятых, Аванпост переводит свои продукты на Web-архитектуру, совершенствует их пользовательские интерфейсы и другие аспекты удобства для пользователя (usability). Так, например, системы IDM и PKI содержат полную реализацию служебного документооборота, интегрирующего технологическую и организационную составляющую целостного решения масштаба предприятия. Используя эти механизмы, пользователи могут оформлять заявки, например, на получение определенных ролей или на изменение параметров и информационного наполнения своего токена. Документооборот проводит заявку по предписанному регламенту обработки, справляясь с множеством нюансов (например, с длительным отсутствием нужных должностных лиц, делегированием их полномочий и мн.др.).
Отметим, что это лишь главные направления развития продуктов линейки Avanpost за прошедшие пять лет. Целый ряд разработок (например, поддержка управления доступом в облачных сервисах или средства многофакторной аутентификации и интеграции Avanpost IDM с системами СКУД) оказались менее востребованными, чем ожидалось. Тем не менее, они доведены до работающих решений, готовых к выводу на рынок.
Подчеркнем, что все вышеперечисленные проекты Аванпост выполнила за свой счёт, не используя гранты и не привлекая сторонних инвесторов. Причем в 2017 году компания завершила возврат средств, полученных от LETA Group для реализации своей пятилетней программы развития.
Развитие российского рынка IDM, PKI и SSO и цели компании Аванпост на очередной период
На российском рынке компания Аванпост планирует сохранить и укрепить лидерские позиции как в госсекторе, так и в коммерческих организациях.
При этом в своих планах компания исходит из того, что отечественный ИТ-рынок перестал быть «калькой со сдвигом», снятой с западных рынков; у нашего рынка появляются и углубляются отличия, связанные с предстоящим переходом на импортонезависимые ИТ-решения, состоянием рынка труда, появлением новых тенденций в управлении предприятиями, отраслями, региональными межотраслевыми проектами и экономикой в целом. В то же время, на этом фоне действуют и многие глобальные тенденции, например, усиление и углубление зависимости организаций от ИТ, начавшаяся цифровая трансформация предприятий, отраслей и экономики в целом.
В этих условиях компания отобрала ряд долгосрочных тенденций, на поддержку которых планирует направить основные усилия, считая это гарантией сохранения и укрепления лидирующих позиций в своих сегментах рынка.
Первая тенденция, связанная с политикой импортозамещения в ИТ, — поворот очень крупных организаций к российскому ПО и, в частности, к продуктовой линейке Аванпост. От компании это требует решения сразу нескольких задач. Первая и самая сложная — продолжение развития продуктов и методик, позволяющее удовлетворить потребности таких заказчиков. Это поле прямой конкуренции с лучшими зарубежными решениями из верхнего правого угла «магического квадранта» Gartner. Для этого все продукты Аванпост должны расширить свою функциональность в пограничные области.
В области IDM главная задача Аванпост: уверенно и успешно конкурировать — теперь уже с самыми лучшими западными решениями и по всему набору параметров, не уступив свои позиции и постепенно ликвидируя разрыв в функциональности. В продукте Avanpost IDM будет появляться всё больше функций решений категории IGA (Identity Governance and Administration). Часть этих функций (проверка SOD-конфликтов, контроль соответствия и формирование отчетов) уже реализована. Более сложные функции (реализация сложных правил доступа, не обязательно на основе ролевых моделей; анализ данных не только из своей, но и из других систем; управление рисками) пока не востребованы на нашем рынке, но будут очень важны при выходе Аванпост на рынки дальнего зарубежья (см. ниже).
Продукт Web SSO будет постепенно замещать классическую систему SSO. Практически все функции Web SSO уже реализованы (например, поддержка «из коробки» четырёх наиболее востребованных сценариев аутентификации, включая федеративную (характерную для кластеров и деловых сетей) и централизованную (характерную для холдингов). Остается увеличивать количество поддерживаемых протоколов и способов аутентификации, а также добавить поддержку систем, использующих нестандартные протоколы.
Наконец, Avanpost PKI будет обрастать функциями Compliance. Например: учет токенов, выпущенных в других системах; тонкое управление конфигурацией токенов; выпуск не только сертификатов, но и других объектов (например, профилей доступа); реализация парольных политик, контролируемых PKI; контроль среды функционирования; переход от проверки к реагированию.
Предстоящий переход организаций разного масштаба на российское ПО и на международное СПО требуют создания множества коннекторов для новых видов ПО. Аванпост давно отработала соответствующие технологии, инструменты и методики, теперь необходимо привлечь к созданию коннекторов разработчиков этого ПО и/или заказчиков проектов импортозамещения, разъяснив тем и другим выгоды применения IDM-системы в процессе перехода на импортонезависимые ИТ-решения. Если компания уже применяет IDM-систему, имеющую коннекторы к старому и новому ПО, или внедрила её в перед запуском процесса миграции, она получает мощное средство переноса учетной информации, а также механизм централизованного управления правами доступа и проведения соответствующих аудитов, действующий несмотря на постоянные изменения в информационной системе и постепенное перераспределение долей замещаемого и замещающего ПО.
Необходимо учитывать, что дальновидные организации (доля которых в первой волне импортозамещения выше) используют переход на новое ПО как возможность исправить множество ошибок «лоскутной информатизации». Это вторая тенденция. «Исправленные» информационные системы будут иметь иную архитектуру, станут более отказоустойчивыми и более приспособленными к постоянным изменениям. Кроме того, сколько-нибудь сложное ПО невозможно заместить по схеме «один в один», а значит, на смену отдельным программным продуктам придут комплексы. В области управления доступом это потребует переработки ролевых моделей. Это сложно, но решить эту задачу с помощью встроенного в Avanpost IDM мощного инструментария намного проще, чем не имея таких средств аудита, анализа и оптимизации ролевых моделей.
Третья тенденция состоит в постоянном усилении зависимости любых организаций от ИТ, что требует соответствующего усиления поддержки непрерывности бизнеса. Нужны доступные способы повышения отказоустойчивости систем, например, таких, когда в частном или публичном облаке (IaaS) создается теплый резерв важнейших приложений, работающих в архитектуре традиционной. Линейка Avanpost уже сейчас может и сама работать в таком режиме, и контролировать инфраструктурное и прикладное ПО, функционирующее как в нормальном, так и в аварийном режиме работы. Кроме того, неуклонно повышается доля ПО, работающего в режиме критически важных приложений. Web SSO работает так в каждом внедрении, а Avanpost IDM — примерно в 30% внедрений.
Четвертая тенденция состоит в неуклонном расширении сферы юридически значимых применений ИС. Поддержка этой тенденции связана с применением квалифицированной ЭП и уже реализованных возможностей Avanpost PKI: поддержки обновленных российских стандартов криптографии, работы с сервером КриптоПро DSS и интеграции продукта Avanpost PKI со СМЭВ и ЕСИА.
Пятая тенденция — изменение моделей управления предприятиями, отраслями, крупными проектами федерального и регионального масштаба. Происходит формирование кластеров разного типа: вокруг предприятия, отраслевых, территориальных и проектных. В пределах кластеров замыкаются основные производственные цепочки и цепочки поставок, осуществляется передача функций на аутсорсинг, происходит перекрестное использование информационных ресурсов и прикладного ПО (обычно в виде SaaS или терминального доступа). При большом числе пользователей для этого требуется т.н. федеративная аутентификация, которую «из коробки» поддерживает Avanpost Web SSO.
Реализация экспортного потенциала разработок Аванпост
Аванпост уже несколько лет внедряет свои решения в Республике Беларусь и в Казахстане. Компания и дальше продолжит работать на постсоветском пространстве. Однако на ближайшие пять лет главной её целью в плане расширения географии и реализации экспортного потенциала продуктов и технологий становится дальнее зарубежье.
При этом Аванпост начнет работать сразу в двух существенно различных регионах. Один из них (арабские страны) уже определён, другим будет Юго-Восточная Азия или Латинская Америка. Конкретные государства будут выбраны к концу года, соответствующая аналитическая работа уже ведется. На выбор страны будет существенно влиять выбранная модель бизнеса: во всех странах присутствия Аванпост не будет создавать собственных представительств. Вся деятельность пойдёт через стратегических партнеров, располагающих сильной технологической экспертизой и имеющих хороший портфель успешных внедрений и сопровождения сложных ИТ-решений в крупных местных организациях. От стратегических партнеров Аванпост требуются не только хорошие рыночные позиции в целевых сегментах и наличие всех необходимых лицензий и сертификатов, но и достаточный штат квалифицированных технических специалистов, чтобы можно было организовать качественную техническую поддержку, а также быстро наладить выпуск коннекторов к популярному в данной стране программному обеспечению. Кроме того, партнеры должны уметь адаптировать методики внедрения и сопровождения и неукоснительно соблюдать их.
В страны дальнего зарубежья продукты Аванпост будут поставляться под иными торговыми марками. При этом экспортная версия Web SSO практически не будет отличаться от продукта для российского рынка. Продукт же PKI будет существенно переработан за счет отбрасывания множества функций, отражающих специфику именно российского рынка. При этом центр тяжести экспортного продукта перенесется на упрощение и автоматизацию администрирования, а также на передачу многих функций администратора пользователям, работающим по схеме самообслуживания.
Экспортный вариант системы IDM, вероятно, предстоит несколько усилить, поскольку в рассматриваемых регионах вероятна интенсивная конкуренция с местными и ведущими международными IDM-системами, поставщики которых не ограничены санкционной политикой и действуют на местном рынке давно и в полную силу. Направление доработок будет, скорее всего, одинаковым или очень близким для экспортной и российской версий. При этом важным конкурентным преимуществом экспортной версии Avanpost IDM является простота разработки коннекторов и множество готовых модулей сопряжения для проприетарного западного и российского ПО, а также свободного ПО, развиваемого международными сообществами. Причем число коннекторов для двух последних классов ПО будут прирастать и на российском рынке в связи с импортозамещением.
В целом же уровень зрелости продуктов Аванпост уже достаточен для демонстрации и реализации их экспортного потенциала, для проведения переговоров с потенциальными партнерами и для выполнения первых крупных проектов. Функциональность же даже избыточна.
График реализации международной деятельности Аванпост таков: в 2018 году состоится выбор второго региона и стран присутствия, будет определена функциональность экспортных версий ПО Аванпост, ёмкость рынка, а также технологическая и конкурентная среда для экспортных версий ПО, начнутся интенсивные контакты с кандидатами в стратегические партнеры. Второй год пойдет на формирование инфраструктуры продвижения и сопровождения, уточнение параметров партнерской программы, тестирование воронки продаж и определение обоснованных планов сбыта, на локализацию продуктов, моделей бизнеса и программ продвижения. В 2020 году должны стартовать первые пилотные и коммерческие проекты. Цель следующих двух лет — занять прочное место на ИТ-рынках в первых двух регионах, постепенно закрепить этих позиции и запустить вышеописанный процесс в третьем регионе (не обязательно из числа рассматриваемых сейчас).