Импортозамещение и безопасность страны – понятия нераздельные. Но насколько реально достичь импортонезависимости в сфере информационной безопасности?
Импортозамещение и безопасность страны – понятия нераздельные. Но насколько реально достичь импортонезависимости в сфере информационной безопасности? На вопросы редакции мы попросили ответить ведущих игроков российского рынка ИБ.
Как вы оцениваете позицию и действия регуляторов по контролю над разработкой ИТ- и ИБ-продуктов с учетом курса на импортозамещение?
Андрей Конусов, генеральный директор компании Аванпост
Желание регуляторов контролировать процесс создания отечественных ИТ- и особенно ИБ-решений понятно и вполне объяснимо. Более того, я считаю, что чем на более ранней стадии регуляторы обозначат свои требования – тем лучше, поскольку команды, занимающиеся разработкой, могут учесть их на самых первых этапах создания продукта, так как очевидно, что реализация любых новых требований обходится тем дешевле, чем раньше о них знаешь. Главное – чтобы на этапе формирования своих рекомендаций регуляторы постарались избежать избыточности требований, оставив только те, которые оказывают РЕАЛЬНОЕ влияние на обеспечение правильного функционирования создаваемых систем. А для этого нужно вести работу по формированию требований в тесном контакте с профессиональным сообществом. Приятно отметить, что в последние годы процесс такого взаимодействия реализуется все чаще, и это, безусловно, является очень положительной тенденцией.
Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д."
Мы являемся разработчиками ИБ-продуктов, поэтому все ответы будут только по знакомому нам сегменту. Позиция регуляторов по продуктам ИБ вполне адекватная. Если бы еще сроки сертификации сократились, было бы счастье всему рынку. В целом нынешняя ситуация, как и любой кризис, в очередной раз оздоровляет рынок. Из импортных ИБ-продуктов останутся только те, которые пройдут сито всех необходимых процедур сертификации. Роль регуляторов при этом существенно возрастает. Наши регуляторы действуют в соответствии с законами. Все основные разработчики продуктов ИБ являются лицензиатами, так что контроль и общение налажены.
Рустэм Хайретдинов, руководитель проекта Appercut, заместитель генерального директора
ГК InfoWatch
Действия регуляторов не подразумевают контроля над разработкой. Если речь идет о сертификации, то формально любая компания, иностранная или нет, готовая предоставить необходимые для сертификации материалы, в том числе и исходные коды, может получить сертификат ФСТЭК. Если же речь идет о реестре российских продуктов, то он не предусматривает никакого контроля над разработкой, есть лишь предоставление определенных преимуществ российским разработчикам.
Григорий Сизоненко, генеральный директор
компании ИВК
Многие шаги, особенно предпринятые в последнее время, я оцениваю очень позитивно. Например, совершенно оправдан отказ от фатальной идеи инвестировать госсредства в компании-разработчики в обмен на долю собственности. Мысль взять за основу свободный софт совершенно здравая и очень перспективная. Верный и важный шаг – составление Реестра российского ПО и требование серьезно обосновывать любые попытки госзаказчиков приобретать не входящий в него софт. Разумеется, не все идеально. Скажем, конкретные параметры, по которым продукт считается отечественным, не бесспорны. Но их можно корректировать, это совершенно нормально. Главное, что складывается и налаживается механизм взаимодействия регулятора с участниками рынка через отраслевые ассоциации: Ассоциацию разработчиков программных продуктов (АРПП), Ассоциацию документальной электросвязи (АДЭ) и др.
В то же время, некоторых важных элементов пока не хватает. Ведь есть области, где необходимо ориентироваться не на открытый, а на проприетарный софт. Это информационная безопасность государственного уровня и те сферы, где информационные технологии прямо влияют на суверенитет и обороноспособность нашей страны. Здесь сохраняется риск того, что государство попытается пойти привычным путем – опереться на гигантские организации, умеющие получать финансирование, а не создавать информационные технологии и серьезное ПО. А опираться надо на тех, кто уже доказал свою способность решать такие задачи и располагает не только зрелыми линейками продуктов, но и полной инфраструктурой их разработки и развития. Это средний бизнес, и такие компании у нас есть. Нравится это или нет, но реальный опыт и реальные достижения находятся именно здесь. И надо суметь все это использовать, масштабировать и тиражировать.
Еще одна важная задача – освобождение системы образования от тотального влияния западных вендоров. Оно уже привело к тому, что эта система готовит пользователей и настройщиков западных решений, а не высококлассных специалистов, понимающих, как работают современные инфраструктурные технологии, и способных изобретать и реализовывать альтернативные подходы.
Насколько, на ваш взгляд, соответствует задачам импортозамещения существующая система организации разработки ИТ- и ИБ-продуктов, какие тактические вопросы необходимо решить в ближайшее время?
А.Сабанов. Система разработки основных ИБ-продуктов сертифицирована по требованиям ИСО. Это прозрачная система, которая реально способствует повышению качества конечных изделий. Тактические задачи сейчас для всех разработчиков, кто плотно не работал с так называемым СПО, одинаковы. В связи с актуализацией импортозамещения им приходится срочно переводить свои решения на эти платформы.
А.Конусов. Для начала давайте разделим все многообразие существующих ИТ- и ИБ-продуктов на три большие группы, что позволит точнее оценить возможности по импортозамещению в каждой из них: аппаратные средства (или просто "железо") – процессоры, сервера и т.д.; системное программное обеспечение (ПО) – операционные системы, базы данных и т.д.; прикладное ПО – ИТ-системы в наиболее привычном для нас смысле, выполняющие определенные бизнес-задачи, например, ERP, DLP, CRM или IDM.
Лучше всего ситуация обстоит с последним пунктом – с прикладным ПО. С одной стороны, уже существует значительное число российских программных продуктов, которые сразу или с небольшими доработками могут заменить западные решения. Достаточно вспомнить такие имена, как "Лаборатория Касперского", 1С, InfoWatch, "Аванпост". Более того, на рынке информационной безопасности уже сейчас доля российских продуктов составляет порядка 50%. С другой стороны, разработка какого-либо абсолютно нового продукта в узкоспециализированной отрасли является вполне посильной задачей для отдельных участников ИТ-рынка. Так что если будут созданы условия, демонстрирующие потребность и гарантированный спрос на определенные классы систем, то предложение не заставит себя ждать.
А вот с более глобальными задачами системного ПО (вторая группа) и аппаратных средств (первая группа) все, к сожалению, не так радужно. Во-первых, у нас практически полностью отсутствуют собственные разработки в этих областях, а даже те небольшие крохи отечественных продуктов, которые можно найти, напрочь отвергаются российским бизнесом, так как никто не хочет брать на себя риски замены стабильных промышленных иностранных систем на непроверенные в "боевых" условиях отечественные аналоги.
Ну а с микроэлектроникой у нас и вовсе все печально. Долгие годы закупки всего железа за рубежом привели практически к полному исчезновению российских производственных мощностей и научных кадров в этой отрасли. Если вспомнить, какие интеллектуальные и материальные ресурсы вкладывались в свое время американскими грандами в создание собственных продуктов, становиться понятно, что решить эту задачу быстро и без масштабных инвестиций не получится. Причем нужно говорить не о некотором разовом проекте, который нужно профинансировать. Следует выстраивать комплексную долгосрочную систему взаимодействия между государством, наукой и бизнесом, в которой будут созданы условия для фундаментальной подготовки специалистов, научно-исследовательской деятельности, создания новых производств и формирования заказа на продукцию этих производств. При этом потенциальные заказчики этих систем и продуктов должны занимать не позицию стороннего наблюдателя ("вы сделайте и принесите, а мы посмотрим что получилось"), а принимать самое активное участие как в формировании первичных технических требований, так и в тестировании и выявлении ошибок в создаваемых опытных образцах. Только таким итерационным путем возможно обеспечить появление российских разработок в фундаментальных областях информационных технологий.
Р. Хайретдинов. Каждая компания сама определяет, каким образом организовывать разработку своих продуктов. Специфика продуктовой разработки сильно зависит от конкретного продукта, сегмента рынка, количества пользователей и других особенностей. Тем не менее, общей тенденцией является улучшение процессов разработки, внедрение принципов безопасной разработки на всех этапах жизненного цикла.
Г.Сизоненко. В России есть некоторое (небольшое) число компаний, которые без всякой господдержки и на фоне многолетнего доминирования западных информационных технологий и ориентированной на них инфраструктуры продвижения создали и длительное время развивают и совершенствуют отечественные ИТ-продукты. В ряде случаев эти разработки действительно на равных конкурируют с западными, а по многим параметрам их превосходят. Это не просто слова, без такого превосходства невозможно было бы применить их в реальных проектах, добиться признания рынком. Ведь маркетинговые, лоббистские и финансовые возможности российских компаний-разработчиков и крупных западных вендоров несопоставимы. Организация работы в этих российских компаниях соответствует задачам импортозамещения настолько, что в тех сегментах, о которых я сейчас говорю, на 50% решить задачу импортозамещения можно за два года, а к 2025 году полностью закрыть ее. При этом сделать это с самой минимальной нагрузкой на бюджет.
Одна проблема – провести необходимые разработки может средний бизнес, а государство привыкло поддерживать крупные структуры, которые отлично умеют получать и "осваивать" финансирование, но ничего не давать на выходе и при этом не только не попадать в реестр недобросовестных поставщиков, но и получать новые и новые средства. Влияние таких организаций огромно, а связи с госаппаратом – долгие и устойчивые. Поэтому риск этого сценария велик.
Если же от импортозамещения действительно нужен реальный результат и как можно быстрее, то самое главное (в области разработки отечественного ПО) – перефокусировать всю систему госуправления импортозамещением на результативные компактные компании-разработчики. Эта система должна создать условия для тиражирования опыта таких компаний, создания как можно более широкого, устойчивого и конкурентного рынка для готовых отечественных информационных технологий и ИТ-продуктов. Именно готовых, а не выдаваемых за таковые!
И еще: за эти разработки надо нормально платить – как за западные с сопоставимой функциональностью, – а не "выкручивать руки", добиваясь огромных скидок и бесплатных внедрений, замаскированных под пилотные проекты. Такая борьба за экономию фатальна для импортозамещения, ведь у российских компаний нет доступа к неограниченным финансовым ресурсам и дешевым кредитам. Если не платить, то откуда компании возьмут ресурсы на развитие? Ведь хорошие программисты, системные архитекторы, тестировщики, проектировщики, специалисты по usability – дорогой и очень дефицитный ресурс.
Также системе поддержки импортозамещения надо научиться направлять рынок через стандарты и требования к готовым продуктам. Требования разумные, оставляющие простор для конкуренции в каждой категории продуктов, а также стимулирующие объединение последних в целостные "кластеры" и "экосистемы".
Еще одна проблема – излишняя ориентация системы господдержки на инновационные продукты. Некоторые успехи там есть, но сопоставимы ли они с вложенными ресурсами? Может быть, стоит стимулировать инвестирование этих средств в более традиционные, но так необходимые сегодня разработки?
Евгений Акимов,
директор по развитию бизнеса Центра информационной безопасности компании "Инфосистемы Джет"
Практически все отечественные разработчики ориентируются на внутренний российский рынок, что существенно ограничивает их потенциальную выручку, а значит, и объем инвестиций в разработку. В этом смысле мировые производители остаются недосягаемыми и, скорее всего, конкурентоспособность отечественных решений будет исключением из правил – западные компании вкладывают десятки процентов выручки в research&development, что в абсолютном выражении на порядки больше, чем у локального игрока в России.
Сегодняшний успех немногих отечественных ИТ/ИБ-компаний на мировых рынках скорее феномен, который можно сравнительно просто объяснить, но повторить, скорее всего, практически нереально. Их опыт надо изучать, он, конечно, весьма и весьма полезен.
Выход – реальная поддержка со стороны государства в расширении продаж отечественных решений с внутрироссийского рынка на мировой. Задача сложная, не имеющего какого-то простого и тем более одного решения. Решать ее надо комплексно – от грантов для перспективных разработок до продвижения PR-лейба "made in Russia" на уровне государства на зарубежных рынках.
В каких сегментах рынка российские производители ИТ- и ИБ-продуктов занимают крепкие позиции, какие могут освоить в ближайшие годы, какие – безвозвратно упущены?
А.Сабанов. Вопрос с подсказкой. Разработчики ПО сейчас в более выигрышном положении, разработчикам программно-аппаратных комплексов сложнее, и уж совсем не позавидуешь тем, кто выпускал аппаратные СЗИ. К сожалению, российские чипы на современном уровне производительности, функциональности и качества (которые не стоят на месте) появятся нескоро. Надо принять это как данность и сделать все возможное для использования современных достижений с максимально возможной степенью проверки и повышения безопасности их применения. Информационная безопасность зиждется на анализе рисков. Когда участники рынка ИБ научатся виртуозно управлять рисками, многие вопросы, и в том числе применения аппаратных средств, будут решаться проще и быстрее.
Р.Хайретдинов. В большинстве прикладных систем общего пользования (системы управления, офисные продукты, системы документооборота, учетные и аналитические системы) и в некоторых специализированных системах (геология, платформы для видеоконференций, образовательные платформы, CAD/CAM) у российских разработчиков есть альтернатива зарубежным продуктам. Хуже обстоят дела в выборе операционных систем, СУБД и middleware. Хотя и в этих сегментах есть альтернативы среди свободного программного обеспечения, которые иногда уже применяются для замещения американских продуктов.
Г.Сизоненко. Если говорить об инфраструктурных продуктах и технологиях, то достаточно прочные позиции российские разработчики занимают в сфере информационной безопасности, в области middleware и программных платформ для создания высоконадежных территориально-распределенных автоматизированных информационных систем, а также программных платформ для создания бизнес-приложений и в некоторых категориях таких приложений (и традиционных, и предлагаемых по схеме SaaS). Во всех этих областях есть зрелые разработки, вполне функциональные и качественные, проверенные годами практического использования и многими внедрениями.
Но проблема в том, что даже в этих сегментах каждая категория продуктов представлена одной, иногда двумя-тремя компаниями. Проблему масштабирования не так сложно решить, причем без вливания огромных объемов госсредств. Главное в этой системе мер – обязать госсектор строить системы только на базе готовых российских технологий и продуктов в сочетании с решениями Open Source. Хорошо платить за эти решения, а продавцов воздуха и других жуликов – серьезно наказывать, невзирая на лица и статус проштрафившейся организации. А также четко сформулировать требования к продуктам разных категорий (на уровне стандартов) и гарантировать, что эта ситуация не изменится хотя бы 5–10 лет. Это привлечет частных инвесторов, и дальше бизнес все сделает сам.
Не думаю, что в области софта есть области, где отставание может быть принципиально неустранимым, если речь идет о задаче государственной важности. Вспомним многие оборонные и наукоемкие проекты времен СССР, когда в разоренной войной стране создавались прорывные технологии. Но такие проекты можно нацеливать только на жизненно-важные задачи, для них нужны политическая воля, воодушевление населения, ресурсы и менеджмент. Сейчас у нас все это только начинает возрождаться. Вряд ли нам надо концентрировать силы на создании офисного пакета или, например, графического редактора. Вот возвращение в Арктику – это масштабно и действительно необходимо в долгосрочной перспективе. Если искать подобные задачи в области ИТ, то это – не разработка каких-то конкретных видов ПО, а превращение России в крупного экспортера системообразующих информационных технологий для тех стран, которые на нашем примере увидели, к чему приводит тотальная зависимость от американской отрасли ИТ. Вторая цель того же масштаба и важности – превращение страны в крупнейшего донора Open Source (не только и не столько в плане грантов, сколько в плане интеллектуального вклада в разработки, позволяющего влиять на них). И, разумеется, полный технологический суверенитет в тех сферах, где от этого зависит наше будущее.
Эти три цели, если двигаться к ним серьезно и системно, вытянут и все остальные частные задачи в области импортозамещения, позволят правильно распределить усилия. Главное, эти цели (при правильной подаче) способны воодушевить и молодежь, и многих зрелых специалистов. Вспомним, что "идея становится всепобеждающей силой как только овладевает массами". Это действительно так, как бы мы ни относились к автору этих слов.
Е.Акимов. Крепкие позиции были и будут у производителей в тех сегментах, где деятельность нормативно ограничена только отечественными игроками – для нероссийской компании, например, нереально получить лицензию на разработку криптографических средств защиты. Специфика европейского законодательства обуславливает ограниченность функционала мировых производителей DLP – отечественные вендоры закладывают востребованный и легитимный на российском рынке функционал, которого у мировых производителей просто нет. За счет чего и занимают под 90% этого рынка.
Также к упомянутым феноменам относится и успех антивирусных компаний и производителя сканеров безопасности. В остальных сегментах российские вендоры – скорее нишевые игроки из сегмента low-cost. Конечно, импортозамещение им на руку, объем их продаж вырастет, за счет этого вырастет и качество продуктов. Но быть на уровне мировых аналогов смогут единицы, причем скорее в сегментах, где предполагается высокая кастомизация, например IdM, SIEM и уже упомянутый DLP.
А.Конусов. Говорить о крепких позициях российских производителей можно только в сегментах прикладного ПО. Перечислять сегменты рынка, в которых отечественные продукты занимают достойные места, думаю, не стоит, так как список получится достаточно длинным, да и я абсолютно уверен, что на уровне прикладного ПО любой программный продукт может быть разработан в течение нескольких лет. А вот системное ПО и железо сейчас можно отнести к упущенным сегментам, но это не значит, что не нужно начинать долгую и трудную работу по их возвращению. Дорогу осилит идущий.
СКЗИ российского производства: что нужно сделать для их продвижения в условиях заполнения рынка импортными продуктами?
А.Сабанов. Российские СКЗИ пользуются заслуженным спросом в нашей стране, и, несомненно, интересны многим за рубежом. Если современные тенденции тотального контроля будут развиваться, наши СКЗИ могут начать теснить импортные решения на их рынках.
Р.Хайретдинов. Заполненность именно рынка (то есть платных продуктов) сильно преувеличена. Действительно, сегодня много бесплатных продуктов для частных лиц, встроенных криптосистем. Однако в корпоративном (и соответственно – платном) сегменте регуляторы давно, настойчиво и успешно насаждают требования пользоваться только отечественным шифрованием. Достаточно не ослаблять их и требовать от иностранных производителей поддержки российских алгоритмов шифрования.
Г.Сизоненко. Для продвижения на российском рынке нужно провести в жизнь комплекс мер, о котором я говорил выше. Это создание устойчивого и широкого рынка для российских разработок, создание привлекательных для частных инвесторов условий, четкая установка на приоритетное применение готовых российских разработок, тщательное формулирование требований к решениям и экспертиза того, чтобы в них не закладывались интересы западных вендоров, серьезная ответственность за нарушения.
Для развития экспортной линии нужна мощная поддержка государства. Из первоочередных мер: связанные кредиты, серьезная помощь разработчикам в международном маркетинге – локализация софта на языки целевых регионов и финансирование участия в региональных выставках, продвижение отечественных разработок на высоком международном уровне, организация доступного для нашего предпринимательского и инвестиционного сообщества потока достоверной и актуальной информации о целевых странах. Почему этим должно заниматься государство? Дело в том, что без продвижения на государственном уровне наши компании не смогут эффективно работать на большом числе очень специфических рынков, для бизнеса это неприемлемый риск. Кроме того, в долгосрочной перспективе результаты сильно связаны с геополитикой.
Согласны ли вы с утверждением, что открытый код должен стать "проводником" на пути к разработке технологически независимых ИТ-продуктов?
Павел Рыцев,
ИТ-директор
ALP Group
Согласен. Именно открытый код должен стать таким "проводником", прежде всего потому, что другие варианты, которые сейчас рассматривает общество (например, разработка технологически независимых ИТ-продуктов на базе проприетарного российского ПО) таят в себе большую опасность самоизоляции российского ИТ от лучших мировых практик, от наработанного и проверенного временем опыта. Последствия выбора таких "альтернатив" скажутся не сразу, лет через пять-семь, но окажутся глобальными и необратимыми. Так мы потеряем не только остатки хорошей научной школы, корни которой лежат еще в СССР, но и любые будущие возможности стать полноправными участниками высококонкурентного ИТ-рынка, причем в мировом масштабе. Разработка же технологически независимых ИТ-продуктов на базе открытого кода – это путь, который намного легче, выгоднее и перспективнее.
Во-первых, потому что позволяет стартовать не с нуля, а использовать массу уже готовых наработок, практик, инструментов, и собрать нужный продукт из изначально качественных и хорошо изученных "кубиков". Разработчики могут начать с уже имеющейся кодовой базы, доработать ее под свои – практически любые – требования и получить результат в течение одного-двух лет, а не через десятилетие упорного, но никому не нужного труда. Ведь через 10 лет созданное окажется безнадежно отсталым технологически, а значит, не просто неконкурентным, а ненужным даже заказчикам!
Во-вторых, использование открытого кода – это само по себе обучение, причем качественное. Благодаря ему российские разработчики на практике и в сжатые сроки могут получить те знания и опыт, которых у них не хватает здесь и сейчас. Так, наши разработчики могут взять готовый код и выяснить, насколько он безопасен, где и как они могут его модернизировать, если он их чем-то не устраивает. А чтобы правильно модернизировать, сначала придется изучить все тонкости его работы. То есть сам этот процесс – изучение уже работающих решений на базе открытого кода – будет иметь мощнейший образовательный эффект для российских разработчиков, которых у нас немного и уровень которых в массе своей пока оставляет желать лучшего.
Но можно и нужно пойти дальше: нашим разработчикам стоит не только изучать уже имеющиеся решения и модифицировать их под конкретные задачи, но и возвращать свои наработки в сообщество, встраиваться в технологическую цепочку развития этих продуктов и двигаться по ней от простых участков к сложным, а потом и к системообразующим. Это – вполне реальный путь, ведущий от приобщения к современным технологиям к влиянию на их развитие: русские программисты входят в число ключевых разработчиков нескольких крупных и исключительно сложных в технологическом плане проектов, например, PostgreSQL и Zabbix.
Нет, замыкаться за "железным занавесом", производя свои ИТ-продукты с нуля, не обмениваясь опытом с остальным миром и не принося в глобальный мир ничего своего, категорически нельзя. Открытость – вариант безальтернативный. Причем, по большинству продуктов – от операционных систем (ОС) и драйверов к ним до СУБД, офисных пакетов и т.д. У нас просто нет сил, возможностей, ресурсов, чтобы в разумные сроки создать широкую номенклатуру своего качественного конкурентоспособного программного обеспечения (за исключением определенных категорий ПО, от которых зависят безопасность и обороноспособность страны). Или даже, скажем, на то, чтобы вести постоянную планомерную работу с производителями – например, с вендорами тех же ОС, убеждая их обязательно разрабатывать к ОС определенные драйверы, нужные для того, чтобы система работала. Все это в комплексе – длительный, тяжелый и никому не нужный "процесс ради процесса". Его результатом станет лишь "примерно то же самое, что нам давал Запад", но совсем не эквивалентное при замене и оттого порождающее массу проблем или веток "дополнительных компенсирующих внедрений", хуже поддерживаемое и совместимое с гораздо меньшим количеством оборудования. Тут открытый код – тот самый проводник свободы и независимости. И в технологическом, и в социальном плане.
Р.Хайретдинов. Открытый код – это код, написанный кем-то другим, а на дописывании чужого кода трудно вырастить программистов, способных создавать прорывные продукты. Поэтому, на мой взгляд, решения на базе открытого кода временные – пока в стране не подросли компании, способные создавать проприетарные продукты.
А.Сабанов. Открытый код имеет свои достоинства и недостатки. При его использовании в промышленных масштабах кто-то должен отвечать за надежность и безопасность его работы. Другими словами, у ПО должен быть хозяин, кто содержит код в порядке и отвечает за это – например, несет финансовую ответственность. Особенно если код сертифицирован и должна сохраняться его целостность. Другая важная вещь: оптимизация кода под конкретные задачи. Тот, кто пробовал, знает, что для открытого кода эта задача зачастую нетривиальна. И, наконец, что называть технологически независимыми продуктами? Замкнутые системы практически уходят в прошлое, технологии развиваются бешеными темпами, без взаимодействия с информационными системами и технологиями компьютер станет неинтересен и не сможет решать многие задачи. Другое дело, что вопросы ИБ надо решать на современном уровне. И уметь управлять рисками. И последнее. Нелишне напомнить: ИТ – это аббревиатура понятия "информационные технологии".
А.Конусов. Я воспринимаю ПО с открытым кодом как возможность быстрого создания временного решения, которым можно воспользоваться на то время, пока не будут созданы собственные ИТ-продукты. Как промышленное решение надолго, ПО с открытым кодом вызывает слишком много вопросов начиная с контроля версионности, лицензионной чистоты, возможности обеспечить непрерывный процесс поддержки и развития и заканчивая вопросами безопасности подобного софта. Ведь не стоит забывать, что большинство ПО с открытым кодом разрабатывается в тех же западных странах, обострение отношений с которыми и привело нас к нынешней ситуации. Соответственно, нет никаких гарантий, что в случае дальнейшего роста напряженности вдруг не выяснится, что в том или ином программном блоке существуют заранее оставленные на черный день закладки или уязвимости, которыми в нужный момент можно воспользоваться. Именно поэтому наши регуляторы так не любят этот вид программного обеспечения. А это, в свою очередь, тоже значительно усложняет его применение для государственных структур и крупного бизнеса.
Г.Сизоненко. Я считаю, что в развитии проприетарного и свободного софта нужен выверенный баланс. Как я уже говорил, в определенных (и очень важных для безопасности и развития страны!) областях без своего проприетарного софта (особенно инфраструктурного!) не обойтись. Но есть области, где применение свободного софта вполне оправдано и перспективно. Поэтому вопрос вполне корректен, однако здесь требуется уточнение.
Если мы станем лишь квалифицированными потребителями открытого ПО, то и это даст определенный положительный эффект: снижение санкционных рисков, расширение кругозора поставщиков и заказчиков решений. Но путь к разработке требует большего: мы должны стать донорами движения Open Source. Форм донорства – три: финансы, репутация и интеллектуальный вклад. Первая возможность – самая простая и быстрая, она позволит в некоторой степени влиять на развитие важных для нас продуктов, но действовать нужно крайне осторожно, соблюдая все неписаные правила жизни сообщества Open Source. Однако со временем эту форму должны догнать и перевесить две другие.
Какой вклад мы можем внести в репутацию СПО? На первом этапе – умно популяризировать этот вид софта и всю эту субкультуру в нашей стране (среди молодежи, в бизнес-среде, среди рядовых пользователей ИТ). Для этого нужны умные, профессионально сделанные книги и фильмы, интернет-радиостанции, учебные программы. И не беда, что здесь мы будем говорить в основном о зарубежных достижениях. Лучшие информационные материалы мы можем качественно перевести на английский и другие языки и безвозмездно передать сообществу Open Source. Еще лучше, если эти проекты продолжат развиваться, чтобы информация оставалась актуальной. А когда у нас пойдут свои масштабные внедрения свободного ПО, мы сможем встроить в этот поток и популяризировать наш опыт. Причем вновь сделать это не только у нас в стране, но и за рубежом. У нас будут кейсы, а они нужны сообществу Open Source. Таким образом мы значительно усилим весь локальный и международный маркетинг решений Open Source.
Наконец, третья форма – самая весомая, но к ней нам идти и идти. Дорога будет намного быстрее и прямее, если государство сможет мотивировать отдельных программистов и целые предприятия к постепенному повышению своей роли как доноров СПО. На мой взгляд, только когда мы достигнем этой ступени, когда наш интеллектуальный вклад станет весомым, когда наши специалисты войдут в число лидеров многих системообразующих проектов в мире свободного ПО, мы сможем сказать, что открытый код действительно стал проводником на пути к разработке отечественных технологически независимых ИТ-продуктов.
Е.Акимов. Использование открытого кода – мировая тенденция, очень многие зарубежные вендоры именно так и делают. Это значительно сокращает и время, и деньги, необходимые для вывода продуктов на рынок. Конечно, российские компании тоже идут таким путем. Насколько это делает нас "независимыми" – большой вопрос, так как развитие этого кода идет своим путем, устранением ошибок сообщество разработчиков занимается на свое усмотрение, без каких либо SLA. Но, по крайней мере, рисков нелегитимного использования и связанных с этим проблем функционирования (технологии защиты софта в таких случаях могут быть применены) в случае санкционных ограничений наступить не должно.
Как вы оцениваете позицию и действия регуляторов по контролю над разработкой ИТ- и ИБ-продуктов с учетом курса на импортозамещение?
Андрей Конусов, генеральный директор компании Аванпост
Желание регуляторов контролировать процесс создания отечественных ИТ- и особенно ИБ-решений понятно и вполне объяснимо. Более того, я считаю, что чем на более ранней стадии регуляторы обозначат свои требования – тем лучше, поскольку команды, занимающиеся разработкой, могут учесть их на самых первых этапах создания продукта, так как очевидно, что реализация любых новых требований обходится тем дешевле, чем раньше о них знаешь. Главное – чтобы на этапе формирования своих рекомендаций регуляторы постарались избежать избыточности требований, оставив только те, которые оказывают РЕАЛЬНОЕ влияние на обеспечение правильного функционирования создаваемых систем. А для этого нужно вести работу по формированию требований в тесном контакте с профессиональным сообществом. Приятно отметить, что в последние годы процесс такого взаимодействия реализуется все чаще, и это, безусловно, является очень положительной тенденцией.
Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д."
Мы являемся разработчиками ИБ-продуктов, поэтому все ответы будут только по знакомому нам сегменту. Позиция регуляторов по продуктам ИБ вполне адекватная. Если бы еще сроки сертификации сократились, было бы счастье всему рынку. В целом нынешняя ситуация, как и любой кризис, в очередной раз оздоровляет рынок. Из импортных ИБ-продуктов останутся только те, которые пройдут сито всех необходимых процедур сертификации. Роль регуляторов при этом существенно возрастает. Наши регуляторы действуют в соответствии с законами. Все основные разработчики продуктов ИБ являются лицензиатами, так что контроль и общение налажены.
Рустэм Хайретдинов, руководитель проекта Appercut, заместитель генерального директора
ГК InfoWatch
Действия регуляторов не подразумевают контроля над разработкой. Если речь идет о сертификации, то формально любая компания, иностранная или нет, готовая предоставить необходимые для сертификации материалы, в том числе и исходные коды, может получить сертификат ФСТЭК. Если же речь идет о реестре российских продуктов, то он не предусматривает никакого контроля над разработкой, есть лишь предоставление определенных преимуществ российским разработчикам.
Григорий Сизоненко, генеральный директор
компании ИВК
Многие шаги, особенно предпринятые в последнее время, я оцениваю очень позитивно. Например, совершенно оправдан отказ от фатальной идеи инвестировать госсредства в компании-разработчики в обмен на долю собственности. Мысль взять за основу свободный софт совершенно здравая и очень перспективная. Верный и важный шаг – составление Реестра российского ПО и требование серьезно обосновывать любые попытки госзаказчиков приобретать не входящий в него софт. Разумеется, не все идеально. Скажем, конкретные параметры, по которым продукт считается отечественным, не бесспорны. Но их можно корректировать, это совершенно нормально. Главное, что складывается и налаживается механизм взаимодействия регулятора с участниками рынка через отраслевые ассоциации: Ассоциацию разработчиков программных продуктов (АРПП), Ассоциацию документальной электросвязи (АДЭ) и др.
В то же время, некоторых важных элементов пока не хватает. Ведь есть области, где необходимо ориентироваться не на открытый, а на проприетарный софт. Это информационная безопасность государственного уровня и те сферы, где информационные технологии прямо влияют на суверенитет и обороноспособность нашей страны. Здесь сохраняется риск того, что государство попытается пойти привычным путем – опереться на гигантские организации, умеющие получать финансирование, а не создавать информационные технологии и серьезное ПО. А опираться надо на тех, кто уже доказал свою способность решать такие задачи и располагает не только зрелыми линейками продуктов, но и полной инфраструктурой их разработки и развития. Это средний бизнес, и такие компании у нас есть. Нравится это или нет, но реальный опыт и реальные достижения находятся именно здесь. И надо суметь все это использовать, масштабировать и тиражировать.
Еще одна важная задача – освобождение системы образования от тотального влияния западных вендоров. Оно уже привело к тому, что эта система готовит пользователей и настройщиков западных решений, а не высококлассных специалистов, понимающих, как работают современные инфраструктурные технологии, и способных изобретать и реализовывать альтернативные подходы.
Насколько, на ваш взгляд, соответствует задачам импортозамещения существующая система организации разработки ИТ- и ИБ-продуктов, какие тактические вопросы необходимо решить в ближайшее время?
А.Сабанов. Система разработки основных ИБ-продуктов сертифицирована по требованиям ИСО. Это прозрачная система, которая реально способствует повышению качества конечных изделий. Тактические задачи сейчас для всех разработчиков, кто плотно не работал с так называемым СПО, одинаковы. В связи с актуализацией импортозамещения им приходится срочно переводить свои решения на эти платформы.
А.Конусов. Для начала давайте разделим все многообразие существующих ИТ- и ИБ-продуктов на три большие группы, что позволит точнее оценить возможности по импортозамещению в каждой из них: аппаратные средства (или просто "железо") – процессоры, сервера и т.д.; системное программное обеспечение (ПО) – операционные системы, базы данных и т.д.; прикладное ПО – ИТ-системы в наиболее привычном для нас смысле, выполняющие определенные бизнес-задачи, например, ERP, DLP, CRM или IDM.
Лучше всего ситуация обстоит с последним пунктом – с прикладным ПО. С одной стороны, уже существует значительное число российских программных продуктов, которые сразу или с небольшими доработками могут заменить западные решения. Достаточно вспомнить такие имена, как "Лаборатория Касперского", 1С, InfoWatch, "Аванпост". Более того, на рынке информационной безопасности уже сейчас доля российских продуктов составляет порядка 50%. С другой стороны, разработка какого-либо абсолютно нового продукта в узкоспециализированной отрасли является вполне посильной задачей для отдельных участников ИТ-рынка. Так что если будут созданы условия, демонстрирующие потребность и гарантированный спрос на определенные классы систем, то предложение не заставит себя ждать.
А вот с более глобальными задачами системного ПО (вторая группа) и аппаратных средств (первая группа) все, к сожалению, не так радужно. Во-первых, у нас практически полностью отсутствуют собственные разработки в этих областях, а даже те небольшие крохи отечественных продуктов, которые можно найти, напрочь отвергаются российским бизнесом, так как никто не хочет брать на себя риски замены стабильных промышленных иностранных систем на непроверенные в "боевых" условиях отечественные аналоги.
Ну а с микроэлектроникой у нас и вовсе все печально. Долгие годы закупки всего железа за рубежом привели практически к полному исчезновению российских производственных мощностей и научных кадров в этой отрасли. Если вспомнить, какие интеллектуальные и материальные ресурсы вкладывались в свое время американскими грандами в создание собственных продуктов, становиться понятно, что решить эту задачу быстро и без масштабных инвестиций не получится. Причем нужно говорить не о некотором разовом проекте, который нужно профинансировать. Следует выстраивать комплексную долгосрочную систему взаимодействия между государством, наукой и бизнесом, в которой будут созданы условия для фундаментальной подготовки специалистов, научно-исследовательской деятельности, создания новых производств и формирования заказа на продукцию этих производств. При этом потенциальные заказчики этих систем и продуктов должны занимать не позицию стороннего наблюдателя ("вы сделайте и принесите, а мы посмотрим что получилось"), а принимать самое активное участие как в формировании первичных технических требований, так и в тестировании и выявлении ошибок в создаваемых опытных образцах. Только таким итерационным путем возможно обеспечить появление российских разработок в фундаментальных областях информационных технологий.
Р. Хайретдинов. Каждая компания сама определяет, каким образом организовывать разработку своих продуктов. Специфика продуктовой разработки сильно зависит от конкретного продукта, сегмента рынка, количества пользователей и других особенностей. Тем не менее, общей тенденцией является улучшение процессов разработки, внедрение принципов безопасной разработки на всех этапах жизненного цикла.
Г.Сизоненко. В России есть некоторое (небольшое) число компаний, которые без всякой господдержки и на фоне многолетнего доминирования западных информационных технологий и ориентированной на них инфраструктуры продвижения создали и длительное время развивают и совершенствуют отечественные ИТ-продукты. В ряде случаев эти разработки действительно на равных конкурируют с западными, а по многим параметрам их превосходят. Это не просто слова, без такого превосходства невозможно было бы применить их в реальных проектах, добиться признания рынком. Ведь маркетинговые, лоббистские и финансовые возможности российских компаний-разработчиков и крупных западных вендоров несопоставимы. Организация работы в этих российских компаниях соответствует задачам импортозамещения настолько, что в тех сегментах, о которых я сейчас говорю, на 50% решить задачу импортозамещения можно за два года, а к 2025 году полностью закрыть ее. При этом сделать это с самой минимальной нагрузкой на бюджет.
Одна проблема – провести необходимые разработки может средний бизнес, а государство привыкло поддерживать крупные структуры, которые отлично умеют получать и "осваивать" финансирование, но ничего не давать на выходе и при этом не только не попадать в реестр недобросовестных поставщиков, но и получать новые и новые средства. Влияние таких организаций огромно, а связи с госаппаратом – долгие и устойчивые. Поэтому риск этого сценария велик.
Если же от импортозамещения действительно нужен реальный результат и как можно быстрее, то самое главное (в области разработки отечественного ПО) – перефокусировать всю систему госуправления импортозамещением на результативные компактные компании-разработчики. Эта система должна создать условия для тиражирования опыта таких компаний, создания как можно более широкого, устойчивого и конкурентного рынка для готовых отечественных информационных технологий и ИТ-продуктов. Именно готовых, а не выдаваемых за таковые!
И еще: за эти разработки надо нормально платить – как за западные с сопоставимой функциональностью, – а не "выкручивать руки", добиваясь огромных скидок и бесплатных внедрений, замаскированных под пилотные проекты. Такая борьба за экономию фатальна для импортозамещения, ведь у российских компаний нет доступа к неограниченным финансовым ресурсам и дешевым кредитам. Если не платить, то откуда компании возьмут ресурсы на развитие? Ведь хорошие программисты, системные архитекторы, тестировщики, проектировщики, специалисты по usability – дорогой и очень дефицитный ресурс.
Также системе поддержки импортозамещения надо научиться направлять рынок через стандарты и требования к готовым продуктам. Требования разумные, оставляющие простор для конкуренции в каждой категории продуктов, а также стимулирующие объединение последних в целостные "кластеры" и "экосистемы".
Еще одна проблема – излишняя ориентация системы господдержки на инновационные продукты. Некоторые успехи там есть, но сопоставимы ли они с вложенными ресурсами? Может быть, стоит стимулировать инвестирование этих средств в более традиционные, но так необходимые сегодня разработки?
Евгений Акимов,
директор по развитию бизнеса Центра информационной безопасности компании "Инфосистемы Джет"
Практически все отечественные разработчики ориентируются на внутренний российский рынок, что существенно ограничивает их потенциальную выручку, а значит, и объем инвестиций в разработку. В этом смысле мировые производители остаются недосягаемыми и, скорее всего, конкурентоспособность отечественных решений будет исключением из правил – западные компании вкладывают десятки процентов выручки в research&development, что в абсолютном выражении на порядки больше, чем у локального игрока в России.
Сегодняшний успех немногих отечественных ИТ/ИБ-компаний на мировых рынках скорее феномен, который можно сравнительно просто объяснить, но повторить, скорее всего, практически нереально. Их опыт надо изучать, он, конечно, весьма и весьма полезен.
Выход – реальная поддержка со стороны государства в расширении продаж отечественных решений с внутрироссийского рынка на мировой. Задача сложная, не имеющего какого-то простого и тем более одного решения. Решать ее надо комплексно – от грантов для перспективных разработок до продвижения PR-лейба "made in Russia" на уровне государства на зарубежных рынках.
В каких сегментах рынка российские производители ИТ- и ИБ-продуктов занимают крепкие позиции, какие могут освоить в ближайшие годы, какие – безвозвратно упущены?
А.Сабанов. Вопрос с подсказкой. Разработчики ПО сейчас в более выигрышном положении, разработчикам программно-аппаратных комплексов сложнее, и уж совсем не позавидуешь тем, кто выпускал аппаратные СЗИ. К сожалению, российские чипы на современном уровне производительности, функциональности и качества (которые не стоят на месте) появятся нескоро. Надо принять это как данность и сделать все возможное для использования современных достижений с максимально возможной степенью проверки и повышения безопасности их применения. Информационная безопасность зиждется на анализе рисков. Когда участники рынка ИБ научатся виртуозно управлять рисками, многие вопросы, и в том числе применения аппаратных средств, будут решаться проще и быстрее.
Р.Хайретдинов. В большинстве прикладных систем общего пользования (системы управления, офисные продукты, системы документооборота, учетные и аналитические системы) и в некоторых специализированных системах (геология, платформы для видеоконференций, образовательные платформы, CAD/CAM) у российских разработчиков есть альтернатива зарубежным продуктам. Хуже обстоят дела в выборе операционных систем, СУБД и middleware. Хотя и в этих сегментах есть альтернативы среди свободного программного обеспечения, которые иногда уже применяются для замещения американских продуктов.
Г.Сизоненко. Если говорить об инфраструктурных продуктах и технологиях, то достаточно прочные позиции российские разработчики занимают в сфере информационной безопасности, в области middleware и программных платформ для создания высоконадежных территориально-распределенных автоматизированных информационных систем, а также программных платформ для создания бизнес-приложений и в некоторых категориях таких приложений (и традиционных, и предлагаемых по схеме SaaS). Во всех этих областях есть зрелые разработки, вполне функциональные и качественные, проверенные годами практического использования и многими внедрениями.
Но проблема в том, что даже в этих сегментах каждая категория продуктов представлена одной, иногда двумя-тремя компаниями. Проблему масштабирования не так сложно решить, причем без вливания огромных объемов госсредств. Главное в этой системе мер – обязать госсектор строить системы только на базе готовых российских технологий и продуктов в сочетании с решениями Open Source. Хорошо платить за эти решения, а продавцов воздуха и других жуликов – серьезно наказывать, невзирая на лица и статус проштрафившейся организации. А также четко сформулировать требования к продуктам разных категорий (на уровне стандартов) и гарантировать, что эта ситуация не изменится хотя бы 5–10 лет. Это привлечет частных инвесторов, и дальше бизнес все сделает сам.
Не думаю, что в области софта есть области, где отставание может быть принципиально неустранимым, если речь идет о задаче государственной важности. Вспомним многие оборонные и наукоемкие проекты времен СССР, когда в разоренной войной стране создавались прорывные технологии. Но такие проекты можно нацеливать только на жизненно-важные задачи, для них нужны политическая воля, воодушевление населения, ресурсы и менеджмент. Сейчас у нас все это только начинает возрождаться. Вряд ли нам надо концентрировать силы на создании офисного пакета или, например, графического редактора. Вот возвращение в Арктику – это масштабно и действительно необходимо в долгосрочной перспективе. Если искать подобные задачи в области ИТ, то это – не разработка каких-то конкретных видов ПО, а превращение России в крупного экспортера системообразующих информационных технологий для тех стран, которые на нашем примере увидели, к чему приводит тотальная зависимость от американской отрасли ИТ. Вторая цель того же масштаба и важности – превращение страны в крупнейшего донора Open Source (не только и не столько в плане грантов, сколько в плане интеллектуального вклада в разработки, позволяющего влиять на них). И, разумеется, полный технологический суверенитет в тех сферах, где от этого зависит наше будущее.
Эти три цели, если двигаться к ним серьезно и системно, вытянут и все остальные частные задачи в области импортозамещения, позволят правильно распределить усилия. Главное, эти цели (при правильной подаче) способны воодушевить и молодежь, и многих зрелых специалистов. Вспомним, что "идея становится всепобеждающей силой как только овладевает массами". Это действительно так, как бы мы ни относились к автору этих слов.
Е.Акимов. Крепкие позиции были и будут у производителей в тех сегментах, где деятельность нормативно ограничена только отечественными игроками – для нероссийской компании, например, нереально получить лицензию на разработку криптографических средств защиты. Специфика европейского законодательства обуславливает ограниченность функционала мировых производителей DLP – отечественные вендоры закладывают востребованный и легитимный на российском рынке функционал, которого у мировых производителей просто нет. За счет чего и занимают под 90% этого рынка.
Также к упомянутым феноменам относится и успех антивирусных компаний и производителя сканеров безопасности. В остальных сегментах российские вендоры – скорее нишевые игроки из сегмента low-cost. Конечно, импортозамещение им на руку, объем их продаж вырастет, за счет этого вырастет и качество продуктов. Но быть на уровне мировых аналогов смогут единицы, причем скорее в сегментах, где предполагается высокая кастомизация, например IdM, SIEM и уже упомянутый DLP.
А.Конусов. Говорить о крепких позициях российских производителей можно только в сегментах прикладного ПО. Перечислять сегменты рынка, в которых отечественные продукты занимают достойные места, думаю, не стоит, так как список получится достаточно длинным, да и я абсолютно уверен, что на уровне прикладного ПО любой программный продукт может быть разработан в течение нескольких лет. А вот системное ПО и железо сейчас можно отнести к упущенным сегментам, но это не значит, что не нужно начинать долгую и трудную работу по их возвращению. Дорогу осилит идущий.
СКЗИ российского производства: что нужно сделать для их продвижения в условиях заполнения рынка импортными продуктами?
А.Сабанов. Российские СКЗИ пользуются заслуженным спросом в нашей стране, и, несомненно, интересны многим за рубежом. Если современные тенденции тотального контроля будут развиваться, наши СКЗИ могут начать теснить импортные решения на их рынках.
Р.Хайретдинов. Заполненность именно рынка (то есть платных продуктов) сильно преувеличена. Действительно, сегодня много бесплатных продуктов для частных лиц, встроенных криптосистем. Однако в корпоративном (и соответственно – платном) сегменте регуляторы давно, настойчиво и успешно насаждают требования пользоваться только отечественным шифрованием. Достаточно не ослаблять их и требовать от иностранных производителей поддержки российских алгоритмов шифрования.
Г.Сизоненко. Для продвижения на российском рынке нужно провести в жизнь комплекс мер, о котором я говорил выше. Это создание устойчивого и широкого рынка для российских разработок, создание привлекательных для частных инвесторов условий, четкая установка на приоритетное применение готовых российских разработок, тщательное формулирование требований к решениям и экспертиза того, чтобы в них не закладывались интересы западных вендоров, серьезная ответственность за нарушения.
Для развития экспортной линии нужна мощная поддержка государства. Из первоочередных мер: связанные кредиты, серьезная помощь разработчикам в международном маркетинге – локализация софта на языки целевых регионов и финансирование участия в региональных выставках, продвижение отечественных разработок на высоком международном уровне, организация доступного для нашего предпринимательского и инвестиционного сообщества потока достоверной и актуальной информации о целевых странах. Почему этим должно заниматься государство? Дело в том, что без продвижения на государственном уровне наши компании не смогут эффективно работать на большом числе очень специфических рынков, для бизнеса это неприемлемый риск. Кроме того, в долгосрочной перспективе результаты сильно связаны с геополитикой.
Согласны ли вы с утверждением, что открытый код должен стать "проводником" на пути к разработке технологически независимых ИТ-продуктов?
Павел Рыцев,
ИТ-директор
ALP Group
Согласен. Именно открытый код должен стать таким "проводником", прежде всего потому, что другие варианты, которые сейчас рассматривает общество (например, разработка технологически независимых ИТ-продуктов на базе проприетарного российского ПО) таят в себе большую опасность самоизоляции российского ИТ от лучших мировых практик, от наработанного и проверенного временем опыта. Последствия выбора таких "альтернатив" скажутся не сразу, лет через пять-семь, но окажутся глобальными и необратимыми. Так мы потеряем не только остатки хорошей научной школы, корни которой лежат еще в СССР, но и любые будущие возможности стать полноправными участниками высококонкурентного ИТ-рынка, причем в мировом масштабе. Разработка же технологически независимых ИТ-продуктов на базе открытого кода – это путь, который намного легче, выгоднее и перспективнее.
Во-первых, потому что позволяет стартовать не с нуля, а использовать массу уже готовых наработок, практик, инструментов, и собрать нужный продукт из изначально качественных и хорошо изученных "кубиков". Разработчики могут начать с уже имеющейся кодовой базы, доработать ее под свои – практически любые – требования и получить результат в течение одного-двух лет, а не через десятилетие упорного, но никому не нужного труда. Ведь через 10 лет созданное окажется безнадежно отсталым технологически, а значит, не просто неконкурентным, а ненужным даже заказчикам!
Во-вторых, использование открытого кода – это само по себе обучение, причем качественное. Благодаря ему российские разработчики на практике и в сжатые сроки могут получить те знания и опыт, которых у них не хватает здесь и сейчас. Так, наши разработчики могут взять готовый код и выяснить, насколько он безопасен, где и как они могут его модернизировать, если он их чем-то не устраивает. А чтобы правильно модернизировать, сначала придется изучить все тонкости его работы. То есть сам этот процесс – изучение уже работающих решений на базе открытого кода – будет иметь мощнейший образовательный эффект для российских разработчиков, которых у нас немного и уровень которых в массе своей пока оставляет желать лучшего.
Но можно и нужно пойти дальше: нашим разработчикам стоит не только изучать уже имеющиеся решения и модифицировать их под конкретные задачи, но и возвращать свои наработки в сообщество, встраиваться в технологическую цепочку развития этих продуктов и двигаться по ней от простых участков к сложным, а потом и к системообразующим. Это – вполне реальный путь, ведущий от приобщения к современным технологиям к влиянию на их развитие: русские программисты входят в число ключевых разработчиков нескольких крупных и исключительно сложных в технологическом плане проектов, например, PostgreSQL и Zabbix.
Нет, замыкаться за "железным занавесом", производя свои ИТ-продукты с нуля, не обмениваясь опытом с остальным миром и не принося в глобальный мир ничего своего, категорически нельзя. Открытость – вариант безальтернативный. Причем, по большинству продуктов – от операционных систем (ОС) и драйверов к ним до СУБД, офисных пакетов и т.д. У нас просто нет сил, возможностей, ресурсов, чтобы в разумные сроки создать широкую номенклатуру своего качественного конкурентоспособного программного обеспечения (за исключением определенных категорий ПО, от которых зависят безопасность и обороноспособность страны). Или даже, скажем, на то, чтобы вести постоянную планомерную работу с производителями – например, с вендорами тех же ОС, убеждая их обязательно разрабатывать к ОС определенные драйверы, нужные для того, чтобы система работала. Все это в комплексе – длительный, тяжелый и никому не нужный "процесс ради процесса". Его результатом станет лишь "примерно то же самое, что нам давал Запад", но совсем не эквивалентное при замене и оттого порождающее массу проблем или веток "дополнительных компенсирующих внедрений", хуже поддерживаемое и совместимое с гораздо меньшим количеством оборудования. Тут открытый код – тот самый проводник свободы и независимости. И в технологическом, и в социальном плане.
Р.Хайретдинов. Открытый код – это код, написанный кем-то другим, а на дописывании чужого кода трудно вырастить программистов, способных создавать прорывные продукты. Поэтому, на мой взгляд, решения на базе открытого кода временные – пока в стране не подросли компании, способные создавать проприетарные продукты.
А.Сабанов. Открытый код имеет свои достоинства и недостатки. При его использовании в промышленных масштабах кто-то должен отвечать за надежность и безопасность его работы. Другими словами, у ПО должен быть хозяин, кто содержит код в порядке и отвечает за это – например, несет финансовую ответственность. Особенно если код сертифицирован и должна сохраняться его целостность. Другая важная вещь: оптимизация кода под конкретные задачи. Тот, кто пробовал, знает, что для открытого кода эта задача зачастую нетривиальна. И, наконец, что называть технологически независимыми продуктами? Замкнутые системы практически уходят в прошлое, технологии развиваются бешеными темпами, без взаимодействия с информационными системами и технологиями компьютер станет неинтересен и не сможет решать многие задачи. Другое дело, что вопросы ИБ надо решать на современном уровне. И уметь управлять рисками. И последнее. Нелишне напомнить: ИТ – это аббревиатура понятия "информационные технологии".
А.Конусов. Я воспринимаю ПО с открытым кодом как возможность быстрого создания временного решения, которым можно воспользоваться на то время, пока не будут созданы собственные ИТ-продукты. Как промышленное решение надолго, ПО с открытым кодом вызывает слишком много вопросов начиная с контроля версионности, лицензионной чистоты, возможности обеспечить непрерывный процесс поддержки и развития и заканчивая вопросами безопасности подобного софта. Ведь не стоит забывать, что большинство ПО с открытым кодом разрабатывается в тех же западных странах, обострение отношений с которыми и привело нас к нынешней ситуации. Соответственно, нет никаких гарантий, что в случае дальнейшего роста напряженности вдруг не выяснится, что в том или ином программном блоке существуют заранее оставленные на черный день закладки или уязвимости, которыми в нужный момент можно воспользоваться. Именно поэтому наши регуляторы так не любят этот вид программного обеспечения. А это, в свою очередь, тоже значительно усложняет его применение для государственных структур и крупного бизнеса.
Г.Сизоненко. Я считаю, что в развитии проприетарного и свободного софта нужен выверенный баланс. Как я уже говорил, в определенных (и очень важных для безопасности и развития страны!) областях без своего проприетарного софта (особенно инфраструктурного!) не обойтись. Но есть области, где применение свободного софта вполне оправдано и перспективно. Поэтому вопрос вполне корректен, однако здесь требуется уточнение.
Если мы станем лишь квалифицированными потребителями открытого ПО, то и это даст определенный положительный эффект: снижение санкционных рисков, расширение кругозора поставщиков и заказчиков решений. Но путь к разработке требует большего: мы должны стать донорами движения Open Source. Форм донорства – три: финансы, репутация и интеллектуальный вклад. Первая возможность – самая простая и быстрая, она позволит в некоторой степени влиять на развитие важных для нас продуктов, но действовать нужно крайне осторожно, соблюдая все неписаные правила жизни сообщества Open Source. Однако со временем эту форму должны догнать и перевесить две другие.
Какой вклад мы можем внести в репутацию СПО? На первом этапе – умно популяризировать этот вид софта и всю эту субкультуру в нашей стране (среди молодежи, в бизнес-среде, среди рядовых пользователей ИТ). Для этого нужны умные, профессионально сделанные книги и фильмы, интернет-радиостанции, учебные программы. И не беда, что здесь мы будем говорить в основном о зарубежных достижениях. Лучшие информационные материалы мы можем качественно перевести на английский и другие языки и безвозмездно передать сообществу Open Source. Еще лучше, если эти проекты продолжат развиваться, чтобы информация оставалась актуальной. А когда у нас пойдут свои масштабные внедрения свободного ПО, мы сможем встроить в этот поток и популяризировать наш опыт. Причем вновь сделать это не только у нас в стране, но и за рубежом. У нас будут кейсы, а они нужны сообществу Open Source. Таким образом мы значительно усилим весь локальный и международный маркетинг решений Open Source.
Наконец, третья форма – самая весомая, но к ней нам идти и идти. Дорога будет намного быстрее и прямее, если государство сможет мотивировать отдельных программистов и целые предприятия к постепенному повышению своей роли как доноров СПО. На мой взгляд, только когда мы достигнем этой ступени, когда наш интеллектуальный вклад станет весомым, когда наши специалисты войдут в число лидеров многих системообразующих проектов в мире свободного ПО, мы сможем сказать, что открытый код действительно стал проводником на пути к разработке отечественных технологически независимых ИТ-продуктов.
Е.Акимов. Использование открытого кода – мировая тенденция, очень многие зарубежные вендоры именно так и делают. Это значительно сокращает и время, и деньги, необходимые для вывода продуктов на рынок. Конечно, российские компании тоже идут таким путем. Насколько это делает нас "независимыми" – большой вопрос, так как развитие этого кода идет своим путем, устранением ошибок сообщество разработчиков занимается на свое усмотрение, без каких либо SLA. Но, по крайней мере, рисков нелегитимного использования и связанных с этим проблем функционирования (технологии защиты софта в таких случаях могут быть применены) в случае санкционных ограничений наступить не должно.
Отзывы читателей