Новая реальность: ИТ-рынок в условиях санкций

Новая реальность: ИТ-рынок в условиях санкций

Как эффективно перестроить всю систему информационной безопасности в компании с уходом иностранных вендоров?
Подробнее в интервью Руслана Рахметова, генерального директора Security Vision.

В каких ИТ-решениях наметилась самая острая необходимость, в связи с антироссийскими санкциями, взлетом курса валюты, и, самое главное, уходом множества зарубежных вендоров с российского рынка?

Все ИТ-решения можно условно разделить на несколько классов: системное ПО (операционные системы, драйверы, микропрограммы, системные утилиты, системы виртуализации и контейнеризации), прикладное ПО общего назначения (СУБД, офисные приложения, браузеры, мессенджеры, средства совместной работы и т.д.), прикладное ПО специального назначения (САПР, интегрированные среды разработки, ERP-системы, системы ДБО, биллинг, моделирование, автоматизация и т.д.), средства защиты информации (антивирусы, межсетевые экраны, системы обнаружения и предотвращения вторжений, системы предотвращения утечки данных, системы контроля за учетными записями пользователей и т.д.). С точки зрения системного ПО в России разработаны и уже длительное время успешно эксплуатируются ОС на базе Linux (такие как Astra Linux, ALT Linux, Роса, МСВС, РЕД ОС и ряд других) и системы виртуализации (РЕД Виртуализация, VeiL VDI, Скала^р, АЭРОДИСК АИСТ, Р-Виртуализация, zVirt, HOSTVM и т.д.). Отечественное прикладное ПО общего назначения представлено такими решениями, как СУБД (ЛИНТЕР, ODANT, Cronos, ClickHouse, Ред База Данных, Лира-Р), офисными приложениями (Мой Офис, Р7-Офис, AlterOffice), мессенджерами (CommuniGatePro, VK Teams, Dialog, Пачка, Яндекс.Мессенджер). В программных продуктах специального назначения, также как и в разработке средств защиты информации, отечественные решения успешно применялись даже до принятого курса на импортозамещение - достаточно вспомнить антивирус Касперского или 1С.

Рассматривая всё многообразие отечественных программных решений, многие из которых имеют уже многолетнюю историю успеха, невольно задаешь логичный вопрос: почему для массового перехода на российское ПО потребовались внешние стимулы, такие как санкции и уход зарубежных вендоров? Возможный ответ связан с тем, что исторически в РФ сложилась практика импорта большинства высокотехнологичных решений, начиная аппаратными компонентами (ПК, серверами, сетевыми устройствами, периферией) и заканчивая операционными системами и офисными пакетами. Западные вендоры, увидев в конце прошлого века в России широчайший голодный рынок сбыта, устремились сюда со своими огромными маркетинговыми бюджетами, торгуя зачастую с минимальной маржинальностью с целью лишь "застолбить поляну" за собой и не пустить сюда конкурентов. Бизнес в нашей стране рассуждал тоже отчасти прямолинейно: зачем вкладывать в разработку аппаратного и программного обеспечения денежные средства, людские ресурсы и время, когда на Западе всё уже давно придумано и отлажено, а вендоры и интеграторы предлагаю решения "под ключ", давно опробованные в мировых компаниях аналогичного сектора? И этот подход выходит далеко за рамки ИТ, достаточно вспомнить самолетостроение, автомобилестроение, да даже легкую промышленность.

Возвращаясь к ИТ-решениям, срочно требующимся в сложившихся условиях, можно ответить, что требуются не какие-то конкретные решения (они почти все уже существуют и успешно эксплуатируются), а нужна скорее единая экосистема удобных продуктов, совместимых между собой, а также с оборудованием и средствами защиты. Кроме того, с организационной точки зрения, вероятно, востребован немедленный процесс миграции с привычных работающих зарубежных решений на отечественные аналоги, однако сокращающиеся бюджеты и недостаток подготовленных к работе с российским ПО ИТ-специалистов могут существенно замедлить данный процесс.

Для каких отраслей уход западных вендоров может быть наиболее болезненным, а для каких - наименее?

В России многие отрасли были прочно "завязаны" на международные компании, которые в настоящий момент приняли решение о приостановке деятельности. Достаточно вспомнить отрасль добычи (нефтесервисные компании Schlumberger, Halliburton, Baker Hughes, Weatherford), аудит и консалтинг ("большая четверка" EY, Deloitte, PwC, KPMG), автомобилестроение (почти все производители). Уход западных компаний с рынка означает, что не просто прекращается деятельность той или иной фирмы, а уходят технологии, методики, отлаженные бизнес-процессы, а также люди и их экспертиза.

По некоторым данным, доля российских продуктов, используемых, например, в госкомпаниях, в среднем составляет 30–35%, а остальная часть — это зарубежные решения. Можно предположить, что в коммерческих компаниях доля российского ПО еще ниже. При этом ранее сообщалось, что в планах Минцифры России на первый квартал 2022 года был запуск центра тестирования отечественного оборудования и программных продуктов для осуществления проверки готовности использования в госорганах и госкомпаниях программного обеспечения, совместимого с российским оборудованием. Вероятно, в связи со сложившейся ситуацией данные работы будут интенсифицированы, а вопросы поиска замещаемых импортных продуктов станут не так остры как минимум для компаний с государственным участием и бюджетных учреждений.

С точки зрения коммерческих компаний, наиболее болезненно уход западных вендоров могут воспринять отечественные организации, зависимые от предоставляемых услуг (особенно в случае использования зарубежных облачных платформ и моделей SaaS, PaaS, IaaS), зависимые от технической поддержки, не обладающие компетенциями в работе с российскими аналогами привычных зарубежных продуктов. Следует также учесть, что постоянные лицензии, выпущенные на приобретенные ранее зарубежные решения, продолжают действовать, но с обновлением продуктов и расширением лицензий могут возникнуть сложности. При этом с зарубежными средствами защиты ситуация может оказаться критической: например, могут перестать обновляться базы сигнатур антивирусов, сигнатуры систем обнаружения/предотвращения вторжений, данные систем репутационного анализа, данные систем киберразведки (фиды Threat Intelligence).

Что делать пользователям зарубежных платформ, покинувших российский ИТ-рынок: искать экспертизу в России по западным продуктам или искать альтернативу среди российских продуктов?

Ответ зависит от типа лицензии (подписка или бессрочная), зависимости от продукта критичных бизнес-процессов, наличия внутренней экспертизы, а также от состояния бюджета компании. В общем случае можно предположить, что рано или поздно зарубежный продукт потребуется обновить или прибегнуть к технической поддержке вендора, а это, вероятно, будет невозможно. Поэтому можно рекомендовать такой план перехода: если до окончания срока действия лицензии остается существенное время, продукт работает стабильно и квалифицированно обслуживается внутренними специалистами, то следует запланировать постепенный процесс миграции на отечественный аналог после детального изучения рынка и пилотирования. Если же продут продавался по подписке, какие-либо его функции уже не работают, а внутренних ресурсов для его поддержки недостаточно, то следует оперативно мигрировать на наиболее подходящий отечественный аналог. Если при миграции будет затронута работоспособность критичного бизнес-процесса, то следует начать работать по имеющемуся плану обеспечения непрерывности деятельности и восстановлению работоспособности, рассматривая ситуацию как полный выход из строя ИТ-системы, поддерживающей критичный процесс. Отметим также, что государственные регуляторы учитывали подобные санкционные риски в нормативных документах: например, в Приказе ФСТЭК России от 25 декабря 2017 г. № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ, а в БДУ ФСТЭК России (Банке данных угроз безопасности информации) прописаны такие угрозы, как УБИ.040 (Угроза конфликта юрисдикций различных стран), УБИ.056 (Угроза некачественного переноса инфраструктуры в облако) или УБИ.134 (Угроза потери доверия к поставщику облачных услуг).

Для каких категорий продуктов реально найти альтернативу в России, а для каких - сложно, либо ее просто нет?

Можно отметить, что практически для всех категорий ПО в России есть отечественные альтернативы для импортозамещения. Вопрос скорее следует задавать с привязкой к конкретным бизнес-процессам, поддерживаемым тем или иным ПО. Например, в небольшой компании вполне можно заменить Salesforce на Битрикс24 в разумные сроки и с некритичными затратами. Однако, переход многотысячного холдинга с платформы SAP, например, на 1С:ERP будет весьма затруднительным. Такие процессы миграции как правило занимают многие месяцы и выполняются при технической поддержке обоих вендоров (старого и нового). Кроме того, для успешной миграции вспомогательной бизнес-системы (например, серверной ОС, СУБД или системы глобального каталога) требуется иметь актуальные инвентаризационные данные: какие бизнес-процессы и системы зависят от мигрируемого ПО, что может сломаться, как откатить изменения в случае неудачной попытки.

Следует также отметить, что основные широко применяемые в России средства высокотехнологичного производства, такие как САПР, системы моделирования и автоматизации, интегрированные среды разработки - зарубежные. Это означает, что наши специалисты уже привыкли работать с определенными зарубежными инструментами, фреймворками, сообществами и вендорами; соответственно, после технического импортозамещения (замены одного инструмента на другой) основной вопрос будет в возможности продолжать создавать продукты с той же эффективностью в новых реалиях. При этом, например, отключение доступа к GitHub для российских разработчиков можно будет назвать сокрушительным ударом: несмотря на существование отечественных (GitFlic) и китайских (Gitee) аналогов западных площадок, все основные проекты в мире развиваются именно на GitHub. Для внутренней разработки можно, разумеется, использовать локальный GitLab-репозиторий, но скачать обновленный и пропатченный от уязвимостей код какого-либо вспомогательного проекта с GitHub уже не получится. Отметим также, что уже планируется создать отечественный аналог GitHub - государственный национальный репозитории для свободной публикации и хранения исходных кодов программного обеспечения и дополнительных данных, в котором будет размещено ПО, созданное на бюджетные средства рядом государственных ведомств и компаний.

Насколько решения OpenSource могут помочь российским заказчикам преодолеть ограничения, связанные с санкциями и уходом западных вендоров?

Правила OpenSource прямо запрещают (https://opensource.org/osd) дискриминацию групп и отдельных пользователей проектов с открытым исходным кодом, а также дискриминацию по сфере использования OpenSource-программ, однако от таких этических принципов частные разработчики и в особенности компании могут отступить, внеся ограничения на право использования OpenSource лицензий и продуктов. За последнее время мы стали свидетелями того, что OpenSource-продукты выполняют требования санкционного законодательства (OpenSource-антивирус ClamAV, выпускающийся под GPL-лицензией и принадлежащий американской Cisco, стал недоступен для пользователей из России) и даже могут выполнить несанкционированные действия на устройствах отечественных пользователей (иностранный разработчик популярного Linux-пакета node-ipc выпустил обновление, намеренно удаляющее все файлы на устройствах с российскими IP-адресами). Таким образом, обновления пакетов, в том числе вспомогательных, потребуется тщательно контролировать на наличие "закладок", что не только повысит нагрузку на ИТ-специалистов и специализированные средства защиты (анализаторы кода, "песочницы"), но и снизит эффективность процессов CI/CD (непрерывная интеграция и доставка обновлений ПО).

Правила OpenSource допускают коммерческую деятельность разработчиков: продажу технической поддержки, доработки под нужды заказчиков, продажу подписки на сервис, а также двойное лицензирование (когда проприетарное ПО содержит OpenSource-компоненты). Все эти опции могут стать недоступны для клиентов из России, а компании-владельцы OpenSource-продуктов будут выполнять требования санкционного законодательства своей юрисдикции (например, тот же GitHub был куплен американской Microsoft еще в 2018 году). Кроме того, частные сообщества и отдельные разработчики ПО также могут начать ограничивать использование своих разработок в санкционных странах. Таким образом, отечественные компании, использующие OpenSource, могут столкнуться c невозможностью легального обновления и поддержки таких решений. Более того, несмотря на декларируемые этические принципы, российские специалисты, к сожалению, могут подвергнуться определенной дискриминации и не смогут эффективно взаимодействовать с международным сообществом OpenSource-разработчиков.

Как решить вопрос с аппаратной независимостью, поскольку российские процессоры выпускались на Тайване, а тамошний производитель также поддержал санкции?

Тренд на импортозамещение последних лет коснулся не только программного обеспечения, поскольку специалисты открыто говорили об угрозах использования недоверенного импортного аппаратного обеспечения. Потенциальные недекларированные возможности, закладки, "полицейский режим", выводящий из строя оборудование в критический момент - история знает немало примеров использования аппаратного обеспечения против потребителя. Однако, сконцентрировавшись на fabless-подходе и отечественной архитектуре некоторых компонент современных микропроцессоров, микроконтроллеров, модулей памяти и периферийных устройств, фактическое производство российских устройств гражданского применения действительно выполнялось на тайваньской фабрике TSMC. Кроме тайваньского TSMC, современным микроэлектронным производством обладают корейская Samsung, американские Intel и GlobalFoundries, тайваньская UMC, а также китайский производитель SMIC, который, однако, еще не освоил самые современные технологические процессы производства и пользуется рядом технологий американских компаний Lam Research, Entegris, Qualcomm, Applied Materials. Таким образом, для китайской компании есть риски санкционного воздействия, что может снизить усилия по переводу на неё производства отечественных микроэлектронных устройств. Ситуацию усугубляет продолжающийся полупроводниковый дефицит, означающий, что, скорее всего, заказы на фабрике SMIC уже размещены на несколько месяцев вперед. Отметим также, что САПР для проектирования микросхем также по большей части американский - например, платформы Cadence, Mentor Graphics, Synopsys. Отечественные микропроцессоры (Байкал, Эльбрус) были спроектированы с учетом требований и нормативов именно TSMC, а переход на иные фабрики займет, вероятно, весьма продолжительное время. При этом российская фабрика компании "Микрон" работает по технологии 65 нм, что было актуально 15 лет назад, а сейчас значительно уступает современным нормам в 10 или 7 нм. Соответственно, для специализированного производства устройств оборонного назначения, в которых не требуется высокая производительность, компактность и энергоэффективность, данная технология вполне подойдет, а для потребительского сектора придется искать альтернативы - возможно, путем переговоров с китайскими партнерами.

Как российским заказчикам подготовиться к миграции с зарубежных программных платформ на российские? Что нужно для того, чтобы эта миграция была быстрой и безболезненной?

Для любых изменений, в том числе и таких глобальных, следует подготовить тщательно проработанный план миграции, который может быть неким приложением к регламенту обеспечения непрерывности деятельности и восстановлению работоспособности компании, поскольку внезапный отзыв лицензии на облачную платформу или отключение функционала ПО подпадает под действие данного регламента. Для эффективной миграции следует иметь детальные и актуальные инвентаризационные данные об ИТ-активах компании, их критичности и взаимозависимости, типу используемых лицензий, зависимости критичных бизнес-процессов от ИТ-сервисов. Разумеется, если компания еще не накопила компетенций по российскому софту, то следует обратиться к компаниям-интеграторам или непосредственно к вендорам. Некоторые производители сейчас могут пойти на встречу и предложить временную лицензию на свой продукт в целях ускорения пилотирования или миграции. Более того, не лишним будет отправить сотрудников на обучение технологиям и платформам, которые будут внедряться - такое обучение часто проводится самими вендорами или авторизованными учебными центрами. Также можно порекомендовать обращаться с вопросами использования популярных продуктов к сообществу на форумах или тематических группах в мессенджерах. При этом, как всегда, нужно быть готовым пробовать новые технологии, преодолевать трудности и непрерывно повышать квалификацию.

Насколько российские ИТ-специалисты готовы и способны и имеют достаточно времени в условиях нынешнего ажиотажа, чтобы помогать в миграции заказчикам?

Не секрет, что Россия подарила миру множество гениальных разработчиков и бизнесменов, основавших успешные высокотехнологичные компании. Высокие стандарты технического образования отечественных ВУЗов позволяют российским ИТ-специалистам браться за самые амбициозные проекты и внедрения. При этом дефицит кадров, ставший уже хроническим для ИТ-сектора последних лет, может в ближайшее время сойти на нет в связи с уходом с российского рынка ряда крупных западных вендоров, интеграторов, консультантов. Высвободившиеся ресурсы, вероятно, привнесут в отечественные компании свой международный опыт, экспертизу и методологию, что усилит российские ИТ-команды. Таким образом, думаю, что острых вопросов с готовностью, компетенциями и возможностями кадров не будет.

Военная операция рано или поздно закончится. Некоторые вендоры (если не все) обязательно вернутся. Как лучше построить стратегию миграции с их продуктов: как временную замену на несколько месяцев или как постоянную, то есть навсегда?

Внедряя какое-либо решение как "временное", есть риск провести его некачественно, с расчетом на скорый откат изменений. Я бы рекомендовал проводить процессы миграции основательно, без оглядки назад, а также с оптимизмом смотреть в будущее и надеяться на лучшее. Выполненные качественно проекты останутся надолго, принося пользу бизнесу и помогая сотрудникам. В конце концов, приобретенные компетенции никуда не исчезнут, а в случае возвращения западных вендоров ваш расширившийся технический кругозор позволит более критично взглянуть на импортные продукты. Вендоры же в текущей ситуации имеют уникальную возможность кардинально улучшить позиции на рынке, внедрить свои продукты в самых разнообразных отраслях, получить обратную связь от большого количества новых пользователей, захантить опытных экспертов, а также воспользоваться беспрецедентной поддержкой ИТ-компаний правительством.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться