25.3.15

Впечатления от РусКрипто

В последнее время меня все чаще стали приглашать не столько выступать, сколько вести какие-либо мероприятия по ИБ. Понемногу превращаюсь в шоумена, а это интересный опыт. Он позволяет немного по-другому взглянуть на то, во что обычно превращаются мероприятия по информационной безопасности. В роли ведущего удается реализовать многие вещи, которые сложно сделать будучи обычным спикером. Тут и возможность высказаться, и задать правильные вопросы участникам и в зал, и возможность подвести итоги, а не просто сказать спасибо и разойтись. В общем интересная роль при правильном ее применении :-)

И вот, аккурат на следующий день после ведения двух круглых столов на IDC IT Security Roadshow, я выбрался на РусКрипто 2015, где мне досталась непростая тема - формирование отечественной отрасли ИБ, которую мы начали с набившей всем оскомину темы про импортозамещение.

Битва начинается. Остаться должен только один!

Кто следил в Twitter или Facebook за тегом #РусКрипто2015, тот помнит многочисленные "жабы" и демотиваторы, которым сопровождалась прелюдия к основной битве, которая должна была состояться 19-го марта. Вот только один из них :-)


Разогрев аудитории прошел нормально и на время баталии зал был полон. Сама же баталия и ее итог (на мой взгляд) были предсказуемы. На сегодняшний день импортозаместителям нечего сказать конкретного по теме импортозамещения. Законодательных требований нет (пока нет), государство не помогает, конкурировать нормально с иностранными решениями невозможно, элементной базы своей нет, но локальные разработчики либо нагнетают ("а вдруг отключат?.."), либо выдавливают патриотическую слезу (ездя по прежнему на иностранных авто, пользуясь иностранной бытовой техникой, питаясь преимущественно иностранными продуктами и отдыхая за пределами РФ).

Тема плавно перетекла в Facebook, где набрала еще 200 с лишним комментариев, а также продолжилась еще в двух тредах, связанных с ней. На мой непросвещенный взгляд у нас слишком активно все погрузились в тему полного импортозамещения, забыв про несколько моментов:
  • При отсутствии своей элементной базы, говорить о национальной безопасности, импортозамещении, суверенитете бессмысленно.
  • Говорить об экспортопригодности (а этот термин тоже звучал на РусКрипто) в условиях запрета применения в России иностранного софта вообще затея странная. Ответ иностранцев будет симметричный и ни о какой экспортопригодности и говорить не придется. Достаточно посмотреть, что уже началось, чтобы понять, что иностранцы (преимущественно из Нового Света) молчать не будут. "Банный скандал" с Касперским - это только первая ласточка. И куда тогда продавать свою экспортопригодную ИТ-продукцию? В Китай? Там своего добра навалом. В Белоруссию, Казахстан, Таджикистан?.. Вполне возможно.
  • Импортозамещение - это не замена американского или европейского на китайское или корейское. Импорт - это все, что за пределами РФ производится. Что, в китайской продукции нет закладок? Что, РФ уверена, что Китай не "кинет" или не начнет извлекать выгоду в свою, а не российскую пользу?
  • У нас отсутствует полный спектр замещаемого ПО и железа. Вот если бы он был, тогда разговоры о замене имели бы смысл. Но что делать, когда альтернативы нет, а требование не использовать (если вдруг оно появится) есть? В одной из крупных огосударствленных компаний я видел список того, что может быть заменено отечественными аналогами и что не может. Соотношение 12% против 88% не в пользу отечественного.
  • Упоминать "а что если отключат" можно (и даже правильно), но лично я верю в это с трудом. На то есть одна банальная причина. Если посмотреть на действия США по установлению мирового господства, то они следуют обычно одной из трех стратегий - завоевать, купить и "мягкая сила". Первые две в отношении России не работают и остается только подсаживать Россию на иглу - культуры, технологий, автомобилей, продуктов питания и т.п. Это и есть "мягкая сила". Ну и кто в такой ситуации будет отключать страну, потеряв последнюю возможность установления мало-мальски значимого контроля? Не логично это.
  • Если мы говорим о цифровом суверенитете, т.е. полном импортозамещении, то в условиях, когда свое нельзя продавать на Запад, нельзя использовать западное тут, своих аналогов нет, развивать локальный рынок можно только серьезными государственными вливаниями. Их нет, как и намеков на них. Пока одни разговоры... но не о помощи для своих, а о запрете для чужих. И как тогда развиваться отечественному?
  • Да много чего еще можно привести в качестве доводов не совсем правильно выбранной и звучащей политики импортозамещения. Но повторять 200+ комментариев из Facebook не хочется :-)
На мой взгляд, если уж и говорить о полном импортозамещении, то стоило взглянуть на китайский опыт (хотя многие эксперты говорят, что мы уже опоздали) - сначала создать аналоги, а потом уже замещать импортное. Можно было бы использовать и американский опыт, который заключается не в запрете применения чужого, а в оценке его соответствия определенным требованиям, в т.ч. и требованиям безопасности. У нас же, однако, почему-то все импортозаместители отметают напрочь такую форму обеспечения доверия, как оценка соответствия в форме сертификации по требованиям ФСТЭК/ФСБ. Регуляторов она не смущает, а вот импортозаместителей, которые сами далеко не всегда способны ее пройти, она не устраивает.

Однако здравые идеи рождаются и во коридорах власти. За день до круглого стола по импортозамещению на РусКрипто вице-премьер России Дмитрий Рогозин заявил: "Представьте себе, что перед нами поставлена задача полностью заменить электронно-компонентную базу для всей промышленности. Коллеги, это несерьезно. Это даже американцы не могут себе позволить, при том, что их экономика в десять раз больше нашей". Далее он заметил, что нужна кооперация. Вот за кооперацию ратую и я.

На мой взгляд государство должно четко разграничить сферы, где нужно применять только отечественные технологии, а где можно применять (после соответствующей проверки) и те, которые разработаны за пределами РФ. Я об этом даже писал недавно. А российским разработчикам, которые дальше форков или использования open source под своей торговой маркой пойти пока не могут, я бы посоветовал найти себе нишу, в которой можно очень неплохо паразитировать существовать. С ходу могу придумать три:
  • Оценка соответствия, а точнее автоматизация непростой задачи оценки соответствия объекта защиты требованиям по безопасности. В текущих условиях такие решения могут быть очень и очень востребованными не только регуляторами, но и корпоративными заказчиками, которые хотели бы удостовериться в надежности приобретаемого решения.
  • Средства контроля доступа к настройкам импортных средств защиты или объектов инфраструктуры. Такие решения уже создаются в России, например, SafeRoute или ЭФРОС.
  • Средства профилирования и нормализации сетевого трафика, которые могут быть установлены в прозрачном режиме перед средством защиты или сетевым устройством и контролировать сетевой трафик на предмет "команд на отключение".
Все упомянутые решения позволят не только сосуществовать отечественным и иностранным решениям на рынке, но и реально дополнять друг друга с точки зрения повышения защищенности отечественных корпоративных и ведомственных сетей. Более того, мне кажется, что данные решения будут востребованы сами по себе, без их государственной поддержки и серьезных денежных вливаний (не это ли основная причина шумихи вокруг импортозамещения).

Ну а что касается итогов дискуссии на РусКрипто, то тут судить об итогах не мне. Хотя мне показалось, что участникам со стороны импортозаместителей стоило чуть лучше подготовиться :-) Экспромт он хорошо, когда заранее подготовлен :-) Но шоу удалось, хотя ни к какому финальному решению мы так и не пришли. 




Как и в случае с IDC, я не был на других докладах (в первый день я был у IDC, а во второй с утра готовился к панельной дискуссии, а после нее почти ничего и не осталось "на послушать") и сказать о них мне нечего. Но аудитории, судя по отзывам, все понравилось - и научная часть, и "бизнесовая". Организация, регистрация, заселение, проживание, питание, спортивная и культурная программа... все на уровне. Коллегам из АИС респект. Родилась даже аналогия: "Проведение мероприятий сродни организации ИБ - пока не случится сбоя, не заметишь". Я никаких сбоев не заметил за все 4 дня, что был на РусКрипто. Поэтому гадостей писать не буду (их не было), а колоссальная закулисная работа, которая была проделана организаторами, осталась незамеченной, как и все, что хорошо организовано и идет "как по маслу".

ЗЫ. Предвосхищая вопрос, почему в этом заголовке я пишу про "впечатления", а в заметке про IDC упомянул "follow-up", сразу отвечаю - на иностранной мове правильнее follow-up, а на импортозаместительной - "впечатления" :-)

ЗЗЫ. Да, кстати, тема импортозамещения может получить новое развитие. Под нее можно замечательно списывать любой косяк и раздолбайство. Вот, например, импортные станки за Уралом вдруг стали нули печатать на мониторе и выпускать брак. Аж сама ФСБ занялась вопросом. Теперь можно срыв сроков сдачи космодрома Восточный списать на иностранное оборудование, которое вдруг начало сбоить. Кража миллиардов при строительстве керченского моста тоже можно списать на иностранное оборудование. Да мало ли, что можно теперь будет списать на происки врагов, действующих не своими руками, а через завезенное в Россию многие десятилетия назад оборудование.