Импортозамещение ПО: теория / практика
С 2014 года Россия взяла курс на замещение зарубежного ПО отечественными аналогами. Процесс ускорился благодаря введению санкций и отказу многих иностранных поставщиков работать с российским рынком. О темпах и сложностях импортозамещения портал «Бизнес России» анонимно поговорил с профессионалом в сфере информационной безопасности, руководителем направления в крупной компании ТЭК, работающем в сфере IT уже более 20 лет. Также обсудили проблемы отрасли и нюансы, замедляющие развитие рынка.
Текст: Светлана Балакай
Иллюстрации: Юлия Сараева
Амбициозные планы
– По вашему мнению, насколько реален этот план?
– Показать хорошие числа легко. Достаточно взять специфические программные продукты и в этих узких сегментах определять некие проценты. Простая магия чисел. Сужаем выборку – повышается процент. По факту нужно говорить не о каких-то сегментах рынка ПО, а про всю сферу ПО, начиная с операционных систем. На данный момент описываемое больше похоже на изображение, а не на достижение результата, что не приближает РФ к достижению технологического суверенитета, зато позволяет генерировать нужную статистику.
– Получается, на практике нет никакого прогресса, только теоретические проценты? Конец десятилетия – сильно оптимистичный срок для импортозамещения?
– В отдельных сегментах можно показать определенный прогресс. Но суть проблемы сильно глубже. Что касается разработки ПО – мы сильно отстаем по всем фронтам, начиная от базовых системных решений. При максимально удачном раскладе, если на всех уровнях будет приложен максимум усилий, мы сможем достойно заменить отдельные инструменты, например, SAP, лет через 10–15. Но тут не стоит забывать о том, что зарубежные продукты тоже будут совершенствоваться. В таких условиях сокращать технологический разрыв крайне сложно.
Миллиардное финансирование
– Суммы инвестиций кажутся запредельными, однако нехватка финансирования не покидает список проблем отрасли. Действительно ли процесс импортозамещения замедляет дефицит средств, или проблема кроется в чем-то другом?
– На самом деле недостатка средств в индустрии нет, трудности с расходованием. Проблема в неэффективном использовании средств, в кадровом голоде, в постановке задач. Это комплексная проблема. Иногда смотришь на бюджеты некоторых компаний по непрофильным направлениям и понимаешь, что с такими ресурсами можно спутники в космос запускать, а по факту никаких технологических прорывов нет. Разумеется, существуют компании, которые тянут индустрию вперед, назовем их локомотивами. У них столько денег, что они могут тратить их по всем направлениям. К сожалению, успех получается фрагментарным. Здесь вопрос в разумности соотношения цены и качества, но для локомотивов это неважно.
– Если с финансированием все отлично – и есть лидеры, что замедляет развитие?
– Чтобы индустрия продвигалась, нужно лучше ею управлять. Локомотивов должны быть десятки, лучше – сотни, а не несколько компаний на страну. Крупный энтерпрайз должен осознавать и понимать важность вопроса и видеть миллионы профита. На Западе в какой-то момент примерно так и получилось. Гиганты увидели профит и стали инвестировать в разработку. И на этих вливаниях рынок взлетел.
– Отечественную разработку как раз часто упрекают в том, что она не делает ничего своего. Просто копирует зарубежный продукт, переименовывает его, слегка адаптирует и выпускает на рынок.
– Это спорное утверждение. Разрабатывать с нуля в текущей ситуации нецелесообразно. Копирование может быть разным. Вот китайцы раньше спортивные костюмы Abibas выпускали, а сейчас айфоны и макбуки делают. Начинали с примитивного копирования, а если бы стартовали с нуля – никогда бы такого технологического скачка не было. Еще вопрос в том, что именно брать за условный ноль. Если с нуля разрабатывать свою процессорную архитектуру, мы никогда никого не догоним. Только если идти каким-то совсем своим путем. В таком случае придется рассчитывать на нового Левшу, который будет молоточком квантовые процессоры делать. Крайне маловероятно. С другой стороны, страна у нас богатая на неожиданные таланты.
– Ранее вы сказали о том, что для развития индустрии необходимо лучше ставить задачи. В чьей зоне ответственности должен находиться этот процесс?
– В случае с энтерпрайзом – топ-менеджмент, если задача государственного уровня – регулятор, видимо. Минцифры у нас профильное министерство, еще есть ФСТЭК. Они с 2014 года занимаются импортозамещением, в результате имеем то, что имеем.
– Менеджеров у нас немало, регулятор есть. Проблема в отсутствии некой централизации или неактуальности принимаемых решений?
– Проблема в бюрократии. Нужны регламент по разработке регламента, положение о разработке политики и прочие бумаги, которые на деле малоэффективны.
– В результате процесс затягивается, пока другие работают?
– Бюрократам, как правило, нужен не продукт, а хороший отчет о нем. Компаниям интереснее получить очередное финансирование, чем годами трудиться для достижения реального результата, который покажет уровень на мировом рынке. В результате продукт интересует единичных коммерсантов.
Все дело в кадрах
– Влияет ли кадровый голод на импортозамещение в промышленности? Действительно ли крупные предприятия буквально сражаются за опытных спецов? Стоит ли связываться с начинающими?
– Кадровый голод действительно есть. И не только в IT. Это глобальная проблема, спровоцированная демографической ямой 90-х годов. Промышленность не исключение: в ОПК и машиностроении заводы работают, я думаю, в три смены – и все равно не успевают. А кто там работает? Уж точно не молодые специалисты.
– Молодых не берут без опыта? Или их недостаточно? Ведь сейчас IT считается престижной сферой занятости среди молодежи.
– Понимаете, проблема нехватки специалистов касается любых квалифицированных кадров. Поколение 90-х выросло и выучилось, когда сфера толком не регулировалась. Актуальность и качество знаний, которые передавались молодым, не отслеживались. В результате на данный момент не с кем работать. Надо возрождать практику на предприятиях.
– На данный момент внедряется ряд подобных инициатив. По сообщениям Минобразования РФ, в рамках федерального проекта «Передовые инженерные школы» будет запущено 30 школ на базе IT-вузов, где студенты смогут осваивать промышленные направления.
– Они только начинают внедряться. Даже если предположить, что данные программы будут сразу работать на качество, мы получим следующее поколение лет через 10. А работать не с кем уже сейчас. Вот и возникает кадровая яма, пробел в целое поколение.
– Реально ли подготовить «универсального бойца» в университетских стенах, или нагрузка, связанная с адаптацией вчерашнего выпускника к реальным профильным задачам, все равно ляжет на плечи промышленных предприятий?
– Без возрождения практики никуда. Еще в университетах она должна внедряться не формально, а по-честному. Нужно расширить количество целевых мест, надо привлечь кураторов, например «Роснефть», «Росатом», «Газпром», «Ростех». Чтобы крупные компании, такие как Сбер, заключали стратегические партнерства с профильными вузами. У студентов должна быть реальная живая практика с задачами для НИР / НИОКР и т. п. Необходимо мотивировать молодежь, адаптировать после выпуска. Это решаемый вопрос, но все упирается в сроки и стоимость. Одномоментно и глобально решить проблему кадрового голода – это нереальная задача. Нужно время, и, я повторюсь, это не только про IT. В судостроительном производстве – аналогичная ситуация, недавно с авиаторами разговаривал – такая же картина.
– Получается, нехватка кадров — это глубоко системная проблема. А отток специалистов, вызванный событиями 2022 года, не оказал влияния на ситуацию?
– Я считаю, что проблема релокации преувеличена. Все, кто хотел работать в других странах и, главное, представлял там ценность, уехали уже давно. Число уехавших после 2022-го не сыграло особой роли. Основная масса разработчиков осталась дома.
Уход иностранных поставщиков
– Действительно ли уход иностранных поставщиков ПО настолько катастрофичен? Как обстоят дела в сфере разработки сложного промышленного софта?
– Да, уход иностранных вендоров сильно беспокоит. Вот всегда спрашивают про всяких «монстров», например Oracle, а у нас пробел даже в базовом ПО. И это куда большая проблема. Допустим, чем заменить Microsoft? Если на среднюю организацию нужно 1-2 сервера Oracle, то «виндов» там несколько тысяч. Даже заменить электронную почту – проблема. Разумеется, вопрос зависит от масштаба компании. Если это ООО «Рога и Копыта» с одним офисом, то ПО можно и из веточек собрать. А если речь идет об огромном бизнесе, у которого только в центральном аппарате свыше 1000 сотрудников? Сразу нужны и календари, и планировщики. А подобных российских решений, которые действительно можно использовать уже сейчас, на рынке нет. Дыры кругом, надо за все схватиться, но так не бывает.
– Получается, технологический суверенитет – не во всем выигрышная стратегия?
– Она не особо эффективная, но в текущей ситуации единственно верная. Это вопрос подхода. Нужно четко понимать, на что и как тратить ресурсы. Не «выдумывать велосипеды», использовать опыт и ресурсы дружественных юрисдикций, максимально реализовывать текущие наработки. Я думаю, Китай, Корея и Индия помогут России.
Залог успеха – в умении делиться
– Сможет ли отечественная разработка развиваться вне мировых open source?
– В open source главное – не платформа, а идея, концепция. Это заблуждение, что open source – это какое-то большинство из неких стран. Если упростить, это разработка силами сообщества энтузиастов, разных людей с разными политическими взглядами. Есть, конечно, единичные примеры попыток ограничения доступа, но это скорее исключения.
– Кажется, в РФ более актуальны авторские права и патенты, а не желание делиться наработками?
– Для использования концепции открытого кода нужна определенная степень зрелости. У нас есть компании, которые работают по этой схеме. Допустим, Arenadata – как по мне, очень достойные ребята. Но это единицы.
– Получается, нужно делиться, иначе никак?
– Да, это ключевая мысль, делиться хотя бы в пределах страны. Это сильно ускорит реальный прогресс. Сейчас половина наших вендоров берет ПО с open source, адаптирует его, записывает быстренько в реестр и срочно продает как свой проприетарный продукт. Кто-то, например «ИнфоТеКС», делает свой, очень закрытый продукт, но пользуется поддержкой регулятора, поэтому хорошо продвигается. Получается тот же вендор-лок, но только с отечественным разработчиком. Яркий пример – один российский поставщик межсетевых экранов, у которого ценник в три раза выше, чем у покинувшего рынок иностранного конкурента. А ведь этот продукт должен стоять на каждой площадке.
– В итоге возникает монополия? Один поставщик создал ПО, и все будут покупать у него, потому что другого выхода просто нет?
– Да, это так, хотя в такой ситуации гигантам проще вложиться в собственную разработку. Но, как правило, это им почему-то неинтересно. «Не наше дело» – вот все, что услышишь, если придешь к ним с чем-то подобным, и никакие показатели не помогут. Обидно другое: качество ПО у таких «монополистов» оставляет желать лучшего.
Инфобезопасность: бесконечный цикл совершенствования
– Действительно ли российские инструменты могут противостоять сложным атакам, например, с использованием шифровальщиков?
– Да, в ИБ все относительно неплохо, так как отрасль более-менее регулируется уже 10 лет. Но уровень клиентского сервиса остается недостаточным.
– Все же – почему слабый результат? Финансирование есть, разработчики есть, что не так?
– Проблема в уровне ответственности. Когда у тебя своя разработка, ты не можешь переложить ответственность на третью сторону. Разработчик должен отвечать за совершенствование продукта, за постпродажную поддержку. Сейчас же все быстро должно быть, все озадачены сокращением time to market. Поэтому применяются методики, позволяющие на ходу корректировать задачи и объемы, чтобы получить быстрый результат, пусть и фрагментарный. Таким образом, проект превращается в процесс, бесконечный цикл совершенствования через микрозадачи.
– Поэтому процесс настолько дорогой?
– Это не дорого – это другая модель затрат. Здесь не разовая история, как с проектом, когда ты вложил конкретную сумму и получил через определенное время готовый продукт. Здесь идут постоянные периодические вливания. Единственное – экономишь на лицензиях и поддержке, точнее, обеспечиваешь своими силами из других бюджетов.
– В ИБ у России есть реально эффективные инструменты?
– Да, но это не повод расслабляться, отставание есть, нужно дорабатывать и совершенствоваться. Построить систему защиты в самом скромном варианте – это десятки миллионов.
Хакерские атаки и штрафы за утечку данных
– Считаете ли вы справедливыми подобные решения?
– По моему мнению, оборотные штрафы – это правильно. Возможно, они заставят бизнес серьезнее относиться к проблеме безопасности.
– Хакерская активность действительно увеличилась? Оказала ли реальное влияние ситуация 2022 года?
– Да, атак много, это правда. 2022 год тоже повлиял: число инцидентов выросло в несколько раз. Феномен хактивизма – это вообще новинка.
– Эксперты утверждают, что навыки хакеров улучшаются, плюс ко всему увеличивается число теневых сервисов, с помощью которых запустить атаку может условно любой пользователь сети.
– По поводу атак as a service – есть такая тенденция. Зарубежные источники говорят о применении нейросетей для поддержки зловредов. Тут «бизнес» идет в ногу со временем, все прогнозируемо и предсказуемо. Говоря о хакерах, необходимо понимать, что атакующие имеют разные цели. Хактивисты – это массовые атаки, чаще всего DDoS. Задача – нарушение доступности, удар по репутации. Инструменты соответствующие: чем громче, тем лучше, давят массой. Нарушители с высоким потенциалом используют более изощренные и сложные техники. Здесь цель – кража данных, промышленный шпионаж, нарушение техпроцесса. Такие хакеры – профессионалы, они могут следить за жертвой годами и оставаться незаметными.
– Возможно, подобные группировки получают поддержку от правительств, в чьих интересах они действуют?
– Чаще всего да, эти группировки имеют отношение к государственным структурам и обладают соответствующими техническими возможностями. У хактивистов таких бюджетов, разумеется, нет. С идейными и нищими все намного проще: они идут на тот же GitHub, качают определенные инструменты и запускают их. С этого момента устройство начинает по списку ресурсов рассылать множество запросов через разные прокси с синхронизацией по времени. Профессионалы тоже работают с ПО с открытым исходным кодом, однако подход у них другой. Они производят «инъекцию»: к коду ПО добавляется, грубо говоря, несколько строк, и в результате у атакующего появляются недокументированные возможности. Конечно же, за рядовыми пользователями так не следят, здесь объекты намного масштабнее.