08.06.2015

И вновь об импортозамещении: как Минкомсвязь может убить российские стартапы

В конце мая, на конференции IT & Security Forum в Казани, о котором я еще, возможно, напишу, и материалы которого уже выложили на сайт, я среди прочего модерировал секцию про импортозамещение. Да-да, после нашумевшей битвы на РусКрипто, меня стали активно приглашать на такого рода бои, выступать на стороне импортозамещаемых. Так было и в этот раз. Я не буду повторять доводы, звучавшие на РусКрипто, хотелось бы упомянуть и о других нюансах, о которых либо все забывают, либо, понимая, все равно идут по выбранному пути. Итак...

Так как по вполне понятным причинам критерии импортного или неимпортного разработать сложно (или просто все боятся выплеснуть из критериев что-то "свое" или что под критерии попадут "чужие"), то на протяжении уже года под влиянием кучи ранее торчавших в тени ассоциаций, возникла идея о списках. Нет, не Шиндлера. Шиндлер спасал людей, а авторы отечественных списков просто отсекают тех, кто по их мнению недостоин попасть в категорию разрешенных к применению в тех или иных организациях. И вот с этими списками (или списком) есть ряд засад, которые выявились в рамках круглого стола по импортозамещению на ITSF. Во-первых, мало кто из присутствующих в дискуссии верил в то, что в составлении списков отсутствует коррупционная составляющая. Ну не может в России и не быть коррупции при делении на тех, кого допустят к кормушке и тех, кого не допустят. Вся история показывает, что даже здравая идея часто превращается в нечто ужасное. А тут и здравой-то идею со списками не назовешь.

Во-вторых, попасть в списки способны только крупные компании "на слуху". Небольшие или только что зародившиеся стартапы в области ИТ или ИБ не способны попасть в этот список - они просто не знают, куда и к кому идти. Да и ресурсов на хождение по властным коридорам у них попросту нет. Иными словами, списки "доверенного" софта выбьют почву из под ног стартапов, заставляя их работать не на Россию, а на западные рынки. Это, безусловно, очень коррелирует с идеей министра связи и массовых коммуникаций о замене курса с импортозамещения на экспортопригодность и завоевании рынков БРИКС, Африки, Латинской Америки и СНГ. Только вот экспорт отечественных технологий не очень поможет ни национальной безопасности, ни росту российской экономики; в отличие от роста зависимости иностранных государств от отечественного софта (от того, чем так пугают в России в отношении США и Европы).

В-третьих, формирование списков, которые, как упоминалось, должны обновляться ежегодно, явно вступает в конфликт с инвестиционными программами, которые у многих крупных компаний (например, Роснефть, Газпром, РЖД и т.п.) формируются на 3-5 лет вперед. Такие игроки рынка обязаны будут выбирать из того, что есть сейчас, становясь заложниками тех, кто числится в списках (вероятность коррупции возрастает еще больше), и не имея возможность в будущем переиграть свои программы, когда в списках разрешенных появятся новые имена (программы-то уже сформированы).

Еще один звучавший на секции вопрос - безопасность. Кто сказал, что ПО из списка разрешенного более безопасно, чем отсутствующее в списке? Ведь если и ФСТЭК и ФСБ на различных мероприятиях заявляют о том, что им не так важна страна происхождения продукта, сколько оценка его соответствия требованиям по безопасности, то ассоциации разработчиков отечественного ПО по понятным причинам не могут поднять эту тему себе на флаг. Ведь они зачастую вообще не имеют никаких сертификатов соответствия требованиям по защите информации. А если вспомнить, что очень часто разработчики предпочитают не создавать свое, а взять готовые (как правило, зарубежные) библиотеки и компоненты и вставить их в свой код, то вопрос доверия к тому, что будет называться отечественным, встает очень остро. Достаточно вспомнить про уязвимости ShellShock, Heartbleed и POODLE. За день до ITSF, на PHD, начальник второго управления ФСТЭК, Виталий Лютиков, привел пример. Из 10 сертифицированных в ФСТЭК продуктов, использующих чужие библиотеки, в которых была найдена уязвимость Heartbleed, устранили ее только 5 компаний. Остальные отказались (!), сославшись на то, что у них нет денег и специалистов, которые могли бы разобраться в чужом коде. Но про очковтирательство при использовании open source решений я уже писал.

Это, пожалуй, ключевые темы, которые звучали на секции по импортозамещению на ITSF. Разумеется, поднимались и другие вопросы. Например, необходимость дифференцированного подхода при выборе отраслей, где должно в первую очередь применяться импортозамещение. Но при этом должен быть определен переходный период, чтобы учесть уже сделанные многомиллиардные инвестиции. Также необходимо учитывать, что в ряде отраслей уже поставлены задачи с вполне конкретными сроками (начало шельфовой добычи нефти, выполнение оборонного заказа, строительство космодрома и т.п.), которые не могут быть не отменены, ни перенесены в связи с необходимостью импортозамещения. И в таких случаях также должно быть принято решение "как быть".

Пока же складывается впечатление, что никто не может ни взять на себя ответственность за принятие решений, ни разработать адекватную стратегию развития отечественной отрасли ИТ (с государственным финансированием, госзаказом, льготами и т.п.) с последующим постепенным переходом на произведенную ею продукцию. Пока же у нас все сосредоточены на формирования списков "своих", завоевании африканских и латиноамериканских рынков, забывая про то, ради чего все это изначально затевалось.


14 коммент.:

r1j1k комментирует...

Про чужие библиотеки, это сильно!
Отличная аргументация, возьму на вооружение, спасибо!

p.a.kulikov комментирует...

Алексей, там еще говорилось о проблемах компетенций, как со стороны разработчиков систем, так и со стороны лиц, эксплуатирующих данные системы. :)
Чего на рынке сейчас днем с огнем не сыщешь.

Алексей Лукацкий комментирует...

Паша, а компетенции сложнее формализуются при обсуждении ;-(

Алексей Лукацкий комментирует...

R1j1k: пожалуйста ;-)

(_DeV1L_) комментирует...

А кто именно отказался?

Алексей Лукацкий комментирует...

Так ли это важно? Может у них более важные дела образовались? Как сказал Рустем Хайретдинов, может они мешки ворочают

mike комментирует...

ХМ Алексей, а можно подробнее где у нас в России 10 СЕРТИФИЦИРОВАННЫХ продуктов подверженные атаке Heartbleed?
просто интересно - не важно кто отказался а список 10 продуктов можешь озвучить?

Как мне кажется врядли?

А потом я помню про уязвимости: если находится уязавимость в какой то библиотеке то всякие там секунии с удовольствием печатают как можно больший набор продуктов уязвимых, не проверяя их в реальности.
в общем то известно почему это делается....

mike комментирует...

"Но про очковтирательство при использовании open source решений я уже писал." - имелось ввиду что Циско не использует опенсорс решений ?
упс ....
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed
или что то другое ?

doom комментирует...

2mike

имелись ввиду продукты, которые и есть OpenSource без привнесения собственной интеллектуальной составляющей (BolgeonOS :) ), а так - использование Open Source компонент это более, чем норма. И уж Cisco этим еще как "грешит" (особенно мне в свое время понравился их NAC Appliance под управлением линукса Fedora Core - даже не CentOS :) ).

mike комментирует...

Да мы все знаем что грешит и так же сильно как и остальные.
Я про то, что статьи Леха пишет все более тенденциозные заметки, ссылаясь на свой же пост про opensource, где говорит что циско панимаешь вообще использует только три модели где опенсорсу он места как то не нашел ( скромно умолчал).
А выход "наших продуктов" сразу клеймит, крича что это не "наши" продукты ....
При этом не устает например вешать лапшу как циско имеет сертификаты ФСБ :) ...
надо единообразно как то все освещать (профессиональнее ) ....

Алексей Лукацкий комментирует...

Миша, если бы ты был более внимательным, а не занимался говнополивом, то понял бы, что open source вполне ложится как минимум в 2 из трех моделей.

А что касается ФСБ, то ты за своими взаимоотношениями с этим регулятором (а также с ФСТЭК) следи. А то слухи нехорошие ходят..,

Александр Хен комментирует...

Все как всегда, вместо того чтоб не мешать, начинают дуркой страдать.

mike комментирует...


Леша.
Во первых не меняй тему если нечего сказать. Просто скажи, что циско использует Оперсорс и очень активно. ВО вторых можно показать много западных продуктов где целиком ОЕМ и от этого он не американским не становится.
Во вторых ты не заметил, что ты всегда начинаешь юлить и рассказывать что ты имел ввиду другое нежели написал в статье ? :) Не ? если уж рекламируешь циску и пытаешься всем внушить, что отличное от циски (а в данном случае что то российское) в своем "независимом" блоге так не надо чушь пороть и говорить что вот мы все тут мол между твоих строк не смогли прочитать ...
Чего стесняешься ?
А насчет слухов, ну ты сам же их распространяешь ( мне народ об этом говорит). Не думал что ты опустишься до такого, и будешь как базарная бабка слухи повторять .... :)
Не вяжется с образом солидного "эксперта" .... Стареешь ?
А потом, ты очень много прогнозов про меня уже делал и практически везде обделался.
Разговоры про неполучение сертификатов ФСБ никогда и прочее, не забыл?
Хочешь и на других своих заверениях обделаться ? :)

Алексей Лукацкий комментирует...

Миша, у тебя замечательная манера вести дискуссию. Я ее вести в таком тоне не готов. Всех благ тебе и твоему бизнесу