Posted 11 января 2022,, 11:17

Published 11 января 2022,, 11:17

Modified 16 августа 2022,, 21:47

Updated 16 августа 2022,, 21:47

ИРТТЭК: Российская IT-отрасль пока не готова дать необходимых комплексных продуктов для КИИ

11 января 2022, 11:17
Институт развития технологий ТЭК (ИРТТЭК) провел экспертный опрос по теме возможного перехода объектов КИИ на российский «софт»

Правительство России озаботилось информационной безопасностью государства. 1 июля 2022 года оно планирует определить правила игры и сроки перевода объектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение (ПО). Объекты КИИ, пояснили в ИРТТЭК, — это госорганы, банки, объекты транспорта, связи, здравоохранения, предприятия оборонной, топливной и атомной промышленности и энергетики.

Значительные финансовые издержки — это только видимая часть айсберга. Существует целый ряд рисков от экологических до техногенных, которые неизбежно несет форсированная перестройка информационной структуры компаний. Впрочем, есть и положительная сторона — открывается окно возможностей для отечественных ИТ компаний.

Институт развития технологий ТЭК (ИРТТЭК) инициировал экспертный опрос о проблемах и возможностях российского ИТ рынка решить задачу обеспечения безопасности критической инфраструктуры страны.

В опросе приняли участие:

  • Александр Белокрылов, генеральный директор BellSoft;
  • Сергей Кудряшов, партнер АО «Делойт и Туш СНГ»;
  • Владимир Бобылев, главный редактор издания «Нефть и Капитал»;
  • Вадим Кузьмичев, руководитель департамента разработки прикладных решений ИТ-компании «Инфосистемы Джет»;
  • Олеся Мальцева, руководитель международных проектов АО «РТ-Техприемка»;
  • Станислав Митрахович, ведущий эксперт Фонда национальной энергетической безопасности;
  • Федор Музалевский, директор технического департамента RTM Group, кандидат физико-математических наук;
  • Борис Харас, председатель Союза разработчиков ПО и ИТ ТЭК.

Основные проблемы перехода нефтегазовой сектора на отечественный софт

Вадим Кузьмичев, руководитель департамента разработки прикладных решений ИТ-компании «Инфосистемы Джет», считает, что болевые точки ИТ-инфраструктуры России — кадры, культура производства, отсутствие аналогов базового программного обеспечения.

«Список недостающих базовых российских аналогов западных программных продуктов весьма широк — это операционные системы, офисное ПО, средства разработки, СУБД. Безусловно, у нас есть отличные примеры софта мирового класса — комплекс систем для бухгалтерии (1С), автоматизированные банковские системы — ЦФТ, Новая Афина, но все они решают локальные бизнес-задачи.

Следующая болевая точка — российское ПО намертво интегрировано в иностранные операционные системы. Подавляющее большинство российского софта полноценно работать может только на операционной системе MS Windows. В отличие от западного рынка, где культура производства программных продуктов развивалась десятилетиями, в России такая культура только формируется.

Учитывая высокую стоимость привлечения высококвалифицированных специалистов и небольшие бюджеты компаний-разработчиков отечественного ПО, перспектив улучшения качества ПО пока не видно. Отдельно стоит выделить кадровый вопрос и сложности внедрения отечественных разработок — это отсутствие специалистов и/или нежелание разработчиков и консультантов переучиваться на работу с российским ПО. Рынок российского ПО специфичен, ограничен Россией и несколькими странами СНГ. Навыки таких специалистов узкоспециализированы и ограничено востребованы», — отметил эксперт.

Сергей Кудряшов, партнер АО «Делойт и Туш СНГ»:

«В силу глобальности рынка ПО у нас не сформировались такие софтверные мегакорпорации как IBM, Microsoft, SAP или Oracle. Эти гиганты не только ведут собственную разработку, но и активно покупают готовые продукты и команды разработчиков.

Вот и получается, что российские производители могут конкурировать только в нишевых областях, где они зачастую создают продукты мирового уровня. Поэтому покрытие всего корпоративного ландшафта отечественными продуктами получается очень неравномерным. Области, которые оказываются не закрыты, как правило требуют серьезных капитальных вложений с довольно высокими экономическими рисками. Также следует учитывать, что создание продуктов enterprise-уровня — это не только миллионы строк кода, но и системы поддержки клиентов».

Александр Белокрылов, генеральный директор BellSoft, отметил, что требуется комплексная система, которая решает конкретные задачи государства и бизнеса: «Проблема и одновременно задача в том, что конечным госзаказчикам не очень нужны по отдельности российская операционная система, база данных или офисное приложение. Им требуется комплексная система, которая решает конкретные задачи государства и бизнеса, стабильно и безопасно функционирует, все ее компоненты протестированы на совместимость».

Олеся Мальцева, руководитель международных проектов АО «РТ-Техприемка», считает недопустимым, чтобы бюджет на закупку ПО в госкомпаниях уходил зарубежным разработчикам. Отвечая на вопросы ИРТТЭК, она заявила, что основная причина медленного перехода на отечественный софт — это недостаточный спрос, который в обязательном порядке должен быть инициирован со стороны государственных компаний.

Известны примеры закупки госкомпаниями зарубежного софта, это связано как с лучшими характеристиками зарубежного ПО, так и с необходимостью организации переобучения персонала для работы на новом ПО.

Владимир Бобылев, главный редактор издания «Нефть и Капитал», допускает, что внедрение «сырого» софта чревато рисками аварий:

«Основная причина — нежелание компаний покупать „сырой“ софт, на тестирование, адаптацию и доработку которого потребуются несколько лет. Его внедрение чревато технологическими рисками аварий и снижением конкурентных преимуществ».

Борис Харас, председатель Союза разработчиков ПО и ИТ решений в ТЭК, говорит о том, что 70% зарубежных технологий в ТЭК могут быть замещены уже сегодня, но интегрированных систем сегодня на рынке нет.

Зарубежные мегакорпорации предлагают интегрированные решения, российские компании — фрагментарные аналоги, адаптированные к отечественным условиям.

Федор Музалевский, директор технического департамента RTM Group, кандидат физико-математических наук, отмечает, что нужна массовость:

«Замена есть, но не всему. И вот это „не всё“ не специфицировано. По этой причине многие аналоги даже не разрабатываются — о них просто не думают. Основная проблема — в системных продуктах. Кластеризация серверов баз данных с высокой производительностью — нетривиальная задача, и она требует больших вложений. А писать свой софт ради того, чтобы ЦОДы (центры обработки данных) его поставили — нерентабельно. Нужна массовость, масштаб…»

Проблема безопасности КИИ. Угроза стабильности ее работы при форсированном переводе на российские программные продукты

Владимир Бобылев, главный редактор издания «Нефть и Капитал», отметил, что проблема безопасности КИИ абсолютно реальна:

«Причем не только в России — стоит вспомнить, например, хакерскую атаку на трубопровод Colonial Pipeline, а в российском случае — дистанционное отключение через спутник компрессорных станций «Газпрома», которое произошло в 2012 году. И в данном случае трудно сказать, что опаснее: использование зарубежных решений — качественных и отработанных, но имеющих риск контроля из-за рубежа, — или отечественных продуктов, лишенных «санкционного» контроля, но имеющих потенциальные технологические или программные уязвимости.

Видимо, поэтому в марте этого года глава «Газпрома» Алексей Миллер отправил премьеру Михаилу Мишустину письмо, в котором оценил суммарный объем затрат компании на мероприятия, предусмотренные проектом президентского указа о переходе на преимущественное использование российского программного обеспечения и радиоэлектронное и телекоммуникационное оборудование, в 180 млрд рублей.

В документе содержится просьба исключить из проекта указа «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» конкретные сроки перехода на российских софт и оборудование».

Сергей Кудряшов, партнер АО «Делойт и Туш СНГ», опасается, что ответ на вопрос, кто будет отвечать за сбои, которые будут вызваны такими изменениями, не решен: «С точки зрения управления рисками имеют место оба фактора. С одной стороны, риск внешнего управления/отключения/проникновения с использованием свойств продуктов иностранного происхождения. С другой стороны, риск снижения надежности эксплуатации информационных систем вследствие перехода на новые продукты отечественного производства. Но первый риск в зоне ответственности государства, а второй риск — полностью в зоне ответственности бизнеса.

Думаю, что многие слышали принцип: «Работает — не трогай». Вот и сейчас многие организации оказались один на один перед надвигающейся перспективой масштабных изменений в собственной ИТ-инфраструктуре.

При этом очевидно, что менять придется не единичные продукты, а целые комплексы, надежность которых формировалась годами».

Вадим Кузьмичев, руководитель департамента разработки прикладных решений ИТ-компании «Инфосистемы Джет»:

«Действительно, критические системы как на оборонных предприятиях, так в крупных банках могут не иметь выхода в интернет, тем самым снижая вероятность вмешательства из зарубежного ПО и утечку информации.

Но слишком быстрое внедрение российского ПО, отсутствие специалистов для его сопровождения, отсутствие наработанной базы знаний и необходимого объема тестирований очень опасны».

Федор Музалевский, директор технического департамента RTM Group, кандидат физико-математических наук:

«Вероятность вмешательства в работу КИИ — скорее, исключение. На массовость инцидентов рассчитывать не стоит.

Важно понимать, как поддерживать продукт, если на него введены санкции? Как его масштабировать? С этим возникают сложности. Надежность отечественных разработок пока ниже, чем у многомиллионных тиражей западных аналогов. Но она существенно выше, чем принято считать.

Другой вопрос, что и чем заменять. Если у прикладного ПО, АСУ ТП (автоматизированных систем управления технологическим процессом) есть аналоги, то сетевое оборудование, особенно магистральное — это почти всегда поделки из китайских комплектующих. Выходит, нельзя говорить о полноценном замещении. Может, гораздо лучше рискнуть санкциями и поставить западный аналог, чем непроверенную отечественную сборку?»

Станислав Митрахович, ведущий эксперт Фонда национальной энергетической безопасности:

«Пару лет назад был на конференции в Губкинском университете, где российские разработчики рассказывали о том, что нефтяные компании не рады переходу на отечественный «софт» несмотря на наличие отечественных аналогов. Банкиры тоже не хотят переходить, равно как и университеты.

Если люди привыкли к зарубежному ПО, то зачем им переходить на российские аналоги? Они идут на это только под влиянием обстоятельств, а обстоятельства сейчас складываются так, что придется менять свое отношение к отечественному производителю».

Олеся Мальцева, руководитель международных проектов АО «РТ-Техприемка», видит задачу руководства организовать внедрение ПО таким образом, чтобы обеспечить стабильность и непрерывность производства.

«Информационную безопасность можно обеспечить и на существующих российских решениях. Что касается стабильности прикладного ПО, обеспечивающего специфические бизнес-процессы производственного предприятия, то это задача высшего руководства предприятия — осуществить процесс закупки и внедрения ПО таким образом, чтобы обеспечить стабильность и непрерывность производства.

Очевидно, что бывают исключения, но это только значит, что государство должно обратить более пристальный взгляд на эту область и обеспечить появление недостающего ПО. И опять же, операционные системы, офисные приложения к таким исключениям точно не относятся».

Дублирование разработок ПО, ресурсы госкомпаний и распределение задач

Федор Музалевский, директор технического департамента RTM Group, кандидат физико-математических наук, считает, что банальное создание реестра оборудования и ПО — уже большой шаг: «Разумеется, консолидация опыта как государственных участников, так и коммерческих фирм — одна из главных задач, решение которой позволит увеличить темпы замещения.

Банальное создание реестра оборудования и ПО, которое подлежит замене с указанием требований и характеристик, — уже большой шаг в эту сторону. А если добавить к нему рассчитанный потенциальный объем внедрения (или ёмкость рынка), то это позволит заинтересовать отечественных разработчиков и конкретизировать их цели».

Владимир Бобылев, главный редактор издания «Нефть и Капитал»:

«Для перехода на отечественное ПО и оборудование российским IT-компаниям нужны крупные заказы. В противном случае российская продукция просто не будет готова к тому моменту, когда потребуется.

Зачастую те разработки, которые отвечают требованиям бизнеса, безопасности и функциональности, не могут по объемам удовлетворить ни один госзаказ».

Сергей Кудряшов, партнер АО «Делойт и Туш СНГ», считает, что нужна сбалансированная модель:

«Для решения поставленной задачи в короткие сроки государству необходимо обеспечить совершенно другой уровень планирования, концентрации ресурсов разработчиков, а также формирования широких рынков сбыта для новых продуктов.

Я не уверен, что задачу смогут решить только государственные компании — здесь нужна сбалансированная комбинированная модель. Если посмотреть на рынок бывшего СССР, то очевидно, насколько много программистских ресурсов вовлечено в заказную разработку ПО для международного рынка или в создание нишевых продуктов на мировом рынке. Необходимо понять, как этот ресурс может быть вовлечен в решение стоящих задач».

Вадим Кузьмичев, руководитель департамента разработки прикладных решений ИТ-компании «Инфосистемы Джет»: «Есть разработки по цифровому профилю клиента в ЦБ, Минцифре, ФНС и прочих госорганах. При этом можно строить распределенные облачные решения на базе отечественного ПО. Но часто ИТ-департаменты крупных компаний (например, банков) принципиально не хотят внедрять „чужой“ софт по разным причинам».

Александр Белокрылов, генеральный директор BellSoft, полагает, что в целом идея правильная и эту бизнес-логику надо сообща разрабатывать: «Это приведет к тому, что родится система международного уровня. Базовые отечественные компоненты уже есть — ОС, СУБД, middleware — их не надо создавать. А приложение должно быть стандартным — сделали один раз и запустили во всех государственных компаниях».

Борис Харас, председатель Союза разработчиков ПО и ИТ ТЭК, резюмируя, отметил, что «никто и никогда и ничего не покупает у конкурента»:

«На уровне государственного управления отсутствует механизм распространения и внедрения в компаниях ТЭК технологий, разработанных за бюджетные средства. Эта проблема становится особенно актуальной в случае достаточного массового субсидирования технологического развития по линиям Минпромторга и Минцифры через фонды развития.

Сейчас сложилась ситуация, при которой государство и ВИНК готовы одновременно выделять существенные бюджетные средства на параллельную разработку дублирующих друг друга востребованных технологий. При этом остальная часть отечественного ПО остается без должного финансирования.

При этом в России отсутствуют консолидированная потребность в технологиях: все крупнейшие корпорации конкурируют между собой, что вполне естественно. Раз нет консолидированной потребности, то и решения каждая госкомпания принимает свои, закрытым образом, обеспечивая через технологии конкурентное преимущество.

ВИНК не готовы договариваться между собой в части создания или развития информационных технологий. Они действуют в модели конкурирующих организаций, а не в партнерской модели. Тем более не в модели Заказчик-Исполнитель.

Это неуникальный опыт, подобная модель взаимоотношений подтверждается многими годами среди международных нефтегазовых компаний».

Заключение

Форсированное импортозамещение программного обеспечения обойдется нефтянке слишком дорого. И чем жестче будет позиция государства по срокам, тем дороже это будет стоить. Вместе с финансовой нагрузкой на отрасль растут и риски техногенных катастроф, имиджевых и конкурентных потерь на внутреннем и мировом уровне.

Современная российская IT-отрасль пока не готова дать необходимых комплексных продуктов. Российский рынок информационных технологий еще недостаточно мощный и локальный, поэтому без четкой государственной политики по стимулированию и администрированию импортозамещения быстрых результатов ждать не стоит.

"