Алексей Лукацкий – менеджер по развитию бизнеса компании Cisco Systems.
Занимается информационной безопасностью с 1992 года, начав карьеру администратором и программистом средств шифрования. Автор нескольких книг и множества статей по информационной безопасности.
Представьте, что вы стоите перед задачей купить автомобиль. Вы заходите на сайт auto.ru и начинаете смотреть объявления, размещённые частными лицами и салонами, выбирая авто своей мечты. При принятии решения вы будете оперировать обычной рыночной статистикой – маркой и моделью автомобиля, его пробегом и возрастом. Для авто, у которых данные критерии совпадают, и цена будет среднестатистической, установленной рынком. И вот тут возникает парадокс – эта цена будет применена и для автомобилей в отличном состоянии и для автомобилей, чьи качества оставляют желать лучшего, но их владельцы стараются скрыть этот факт. К чему мы придём в итоге? Усреднённая цена, скорее всего, не устроит владельцев более качественных транспортных средств и они откажутся от продажи, что приведет к росту доли плохих авто. Ситуация будет аналогичной даже если плохие авто будут продаваться дешевле. Для покупателя все авто будут одинаковы, так как он не обладает всей полнотой информации о качестве и не согласится платить больше. Как следствие, хорошие авто, стоящие дороже, не будут продаваться. В любом случае, рынок оценит ситуацию, спрос снизится, снизится и средняя цена на данную категорию автомобилей. Снижение цены станет побудительным мотивом для других продавцов снять свои предложения с продажи и так далее по кругу. В итоге мы придем к тому, что на рынке останутся только некачественные автомобили, цена, спрос и предложение каковых устаканятся и придут в равновесие. Правда, места для качественного товара не останется.
Такой парадокс возможен из-за того, что покупатель и продавец обладают неодинаковым объёмом информации (это явление получило название "асимметрии информации") о качестве продукции. Покупатель оперирует только усреднённой информацией о марке, модели, возрасте и пробеге, а продавец обладает существенно большим объёмом сведений о продаваемых автомобилях. Были ли они в угоне? Участвовали ли они в ДТП, после чего их ремонтировали в автомастерской? Обладают ли они какими-либо скрытыми дефектами и т.п.? Не перебивали ли на ключевых деталях номера? Такая асимметрия информации приводит к блокированию продаж качественных продуктов. За те деньги, что предлагает покупатель, обладающий усреднённой информацией об автомобиле, продавцы хороших транспортных средств продавать их не хотят (в отличие от продавцов некачественных "железных коней"). А платить адекватные деньги не хочет покупатель, закономерно считая, что качество у всех одинаковое и превышать среднюю цену нет смысла. Всё потому, что покупатель не является столь же информированным, что и продавец. Отсюда, кстати вытекает интересный вывод – если бы и продавец не знал деталей о своих авто, то ему также было бы легче их продавать по рыночной цене. Поэтому на рынке появляется целый пласт посредников между покупателем и производителем машины.
Этот парадокс, завязанный на асимметрию информации, был впервые описан в 1970-м году Нобелевским лауреатом Джорджем Акерлофом в статье "Рынок лимонов". "Лимоном" в Америке сначала назывался именно подержанный автомобиль, а позднее этим термином стали называть любую вещь, в качестве которой нельзя быть уверенным. Именно эта статья, за которую Акерлоф получил в 2001-м году Нобелевскую премию, упоминается в послании Нобелевского комитета как "единственное самое важное исследование среди публикаций по экономике информации".
Аналогичная ситуация сейчас происходит на рынке банковских кредитов в России; только информационная асимметрия сместилась от кредиторов в сторону заёмщиков. Последние не всегда готовы делиться с банком информацией о своей платежеспособности. Кредитовать же в условиях неопределённости по тем же ставкам, что и в благополучные времена, будет только сумасшедший. Поэтому кредитные ставки и возросли в 1,5-2 раза по сравнению с докризисными временами. Это обычная рыночная модель, в которой банк компенсирует риск потенциального невозврата кредита в условиях асимметрии информации. К слову сказать, другой Нобелевский лауреат – Джозеф Стиглиц, совместно с Майклом Ротшильдом показал, что из этого тупика есть выход – достаточно квотировать льготные кредиты, чтобы внутри ограниченного круга заёмщиков-претендентов возникла конкуренция, которая позволит отобрать только тех, кто вернёт кредит гарантированно. Но давайте все-таки вернёмся к заголовку статьи и теме информационной безопасности.
Ещё одним примером рынка с асимметрией информации является рынок информационных технологий и информационной безопасности. Ситуация на нём повторяется с пугающей точностью как и на рынке поддержанных автомобилей. Покупатель не может знать всех деталей о выбираемых средствах защиты, а их производитель не всегда жаждет делиться истинной информацией о качестве своих изделий; как и о себе самом. Последний пример, с которым я столкнулся – компания, которая позиционирует себя на рынке решений по борьбе с утечками информации. Пообщавшись с её представителем я так и не получил ни одного ответа на свои вопросы. Сколько человек участвует в разработке DLP-решения? Имя хотя бы одного клиента? Страна происхождения компании? Стоимость решения? И т.п. На все вопросы был один ответ: "Это закрытая информация – не раскрываем".
При этом цена у некачественных средств защиты сопоставима с лучшими образцами рынка ИБ, а иногда и выше, но с о-о-очень гибким подходом к формированию финальной стоимости. В итоге мы приходим к той же ситуации, что и с классическими "лимонами" описанными у Акерлофа – некачественные СЗИ заполоняют рынок, вытесняя высококлассные средства защиты, в разработку и тестирование качества которых вложены огромные средства.
На западном рынке ИБ, где акции многих компаний котируются на бирже, замечена и ещё одна неприятная тенденция. Инсайдеры (в терминологии участников рынка ценных бумаг, а не ИБ), обладающие большей информацией о ИБ/ИТ-компаниях, чем остальные участники рынка, начинают завышать оценку акций малоизвестных предприятий, чья истинная доходность ниже средней и уступает лидерам рынка, информация о которых открыта всем желающим. На волне спекуляций и ажиотажа эти никому неизвестные компании начинают разбавлять свой капитал, выпуская дополнительные акции, что приводит к более скоростному росту, чем у высокодоходных компаний, чьи акции либо недооценены, либо котируются ниже, чем у компаний со сфальсифицированным спросом. В итоге фондовый рынок опять заполоняют "лимоны". Обнаружив свою ошибку, плохо информированные инвесторы, начинают сбрасывать акции, цена на них падает и "пузырь" лопается. Достаточно вспомнить крах доткомов, чтобы убедиться в верности теории Акерлофа, разработанной за 30 лет до начала 2000-х годов.
Вывод из работы Акерлофа достаточно простой, но при этом нелицеприятный, асимметричная информация либо приводит рынок к ступору, либо заставляет производить всё менее качественные товары. И хотя "лимоны" есть на всех рынках, неверно думать, что всем рынкам присуща информационная асимметрия. Возьмём, к примеру, рынок компакт-дисков. И продавцы, и покупатели обладают одинаковой информацией о CD. Технология производства "болванок" такова, что они могут получиться неоднородными по качеству и предсказать, что получится, заранее не может даже производитель. В итоге информация о товаре симметрична для всех сторон и поэтому этот рынок достаточно стабилен и не подразумевает вытеснение качественных компакт-дисков некачественными (хотя Китай вносит сумятицу и в этот, считавшийся ранее стабильным рынок). Сегмент ИБ, к сожалению, к таковым не относится и ему присущи все описанные Акерлофом почти 40 лет назад особенности.
Второй вывод, сделанный Акерлофом и его последователями: делать бизнес в слаборазвитых и развивающихся странах – задача не из лёгких. Учитывая, что Россия относится именно к таковым государствам, работать на нём очень нелегко (хуже, наверное, только в Китае, где уровень неопределённости в отношении высокотехнологичных продуктов ещё выше, чем у нас).
Можно ли все-таки бороться с последствиями асимметрии информации? Акерлоф выделил несколько методов решения этой проблемы. Одни из главных – гарантии и репутация. Гарантия на товар перекладывает часть рисков с покупателя на продавца и при этом показывает первому, что качество товара второго соответствует некоторому нормальному и ожидаемому уровню. Правда, в области ИБ, понятие "уровень" не до конца определено. Весь мир живет по "Общим критериям" и другим международным стандартам ISO, а Россия изобретает велосипед в виде руководящих документов ФСТЭК и иных регуляторов в области информационной безопасности. В итоге общий знаменатель найти сложно.
Репутация или бренд также снижает неопределенность информации, присутствующей в ситуации с её асимметрией. При этом компания, которая дорожит своей репутацией, не будет выпускать некачественный товар на рынок. А допустив это по ошибке, постарается сообщить обо этом всем пострадавшим сторонам.
Ещё одним методом борьбы с асимметрией информации является вмешательство государства. Например, через контроль качества, которое в области ИБ выполняется в виде лицензирования, сертификации и аттестации. Однако непрозрачность данного процесса в нашем Отечестве приводит к тому, что сертификация и лицензирование стали скорее барьером для многих, чем стимулом для развития. А уж про уровень коррупционности этих процессов и говорить не приходится.
Последним методом борьбы с информационной асимметрией можно назвать франчайзинг, но в области ИБ он пока не нашёл своего применения.
В качестве резюме могу в очередной раз отметить, что Акерлоф в очередной раз доказал (пусть и 40 лет назад), что экономика и все рынки подчиняются определённым законам и информационная безопасность в России - не исключение из правила. Чтобы развиваться, российскому рынку ИБ нужно "немногое":
-
Исключить вмешательство государства в вопросы регулирования ИБ для широкого спектра приложений (исключая критичные для национальной безопасности области – гостайна, особо важные объекты и т.п.).
-
Принять международные стандарты в области ИБ или гармонизировать с ними отечественные требования ("Общие критерии" подходят для этого как нельзя лучше).
-
Превратить сертификацию средств защиты из обязательной в добровольную, сделав её реальным дифференциатором и ключевым отличием от конкурентов.
-
Запустить процесс появления саморегулируемых организаций, самостоятельно вырабатывающих требования по ИБ для отдельных отраслей, исключив из процесса орган исполнительной власти, одновременно вырабатывающий требования и проверяющий их исполнение, а также проводящий лицензирование участников рынка.
-
Повышать уровень реальных гарантий, которые производители средств защиты дают на свои продукты.
© 2006, Издательский дом «КОМПЬЮТЕРРА» | http://www.computerra.ru/
Журнал «Компьютерра» | http://www.computerra.ru/