В конце мая, на конференции IT & Security Forum в Казани, о котором я еще, возможно, напишу, и материалы которого уже выложили на сайт, я среди прочего модерировал секцию про импортозамещение. Да-да, после нашумевшей битвы на РусКрипто, меня стали активно приглашать на такого рода бои, выступать на стороне импортозамещаемых. Так было и в этот раз. Я не буду повторять доводы, звучавшие на РусКрипто, хотелось бы упомянуть и о других нюансах, о которых либо все забывают, либо, понимая, все равно идут по выбранному пути. Итак...
Так как по вполне понятным причинам критерии импортного или неимпортного разработать сложно (или просто все боятся выплеснуть из критериев что-то "свое" или что под критерии попадут "чужие"), то на протяжении уже года под влиянием кучи ранее торчавших в тени ассоциаций, возникла идея о списках. Нет, не Шиндлера. Шиндлер спасал людей, а авторы отечественных списков просто отсекают тех, кто по их мнению недостоин попасть в категорию разрешенных к применению в тех или иных организациях. И вот с этими списками (или списком) есть ряд засад, которые выявились в рамках круглого стола по импортозамещению на ITSF. Во-первых, мало кто из присутствующих в дискуссии верил в то, что в составлении списков отсутствует коррупционная составляющая. Ну не может в России и не быть коррупции при делении на тех, кого допустят к кормушке и тех, кого не допустят. Вся история показывает, что даже здравая идея часто превращается в нечто ужасное. А тут и здравой-то идею со списками не назовешь.
Во-вторых, попасть в списки способны только крупные компании "на слуху". Небольшие или только что зародившиеся стартапы в области ИТ или ИБ не способны попасть в этот список - они просто не знают, куда и к кому идти. Да и ресурсов на хождение по властным коридорам у них попросту нет. Иными словами, списки "доверенного" софта выбьют почву из под ног стартапов, заставляя их работать не на Россию, а на западные рынки. Это, безусловно, очень коррелирует с идеей министра связи и массовых коммуникаций о замене курса с импортозамещения на экспортопригодность и завоевании рынков БРИКС, Африки, Латинской Америки и СНГ. Только вот экспорт отечественных технологий не очень поможет ни национальной безопасности, ни росту российской экономики; в отличие от роста зависимости иностранных государств от отечественного софта (от того, чем так пугают в России в отношении США и Европы).
В-третьих, формирование списков, которые, как упоминалось, должны обновляться ежегодно, явно вступает в конфликт с инвестиционными программами, которые у многих крупных компаний (например, Роснефть, Газпром, РЖД и т.п.) формируются на 3-5 лет вперед. Такие игроки рынка обязаны будут выбирать из того, что есть сейчас, становясь заложниками тех, кто числится в списках (вероятность коррупции возрастает еще больше), и не имея возможность в будущем переиграть свои программы, когда в списках разрешенных появятся новые имена (программы-то уже сформированы).
Еще один звучавший на секции вопрос - безопасность. Кто сказал, что ПО из списка разрешенного более безопасно, чем отсутствующее в списке? Ведь если и ФСТЭК и ФСБ на различных мероприятиях заявляют о том, что им не так важна страна происхождения продукта, сколько оценка его соответствия требованиям по безопасности, то ассоциации разработчиков отечественного ПО по понятным причинам не могут поднять эту тему себе на флаг. Ведь они зачастую вообще не имеют никаких сертификатов соответствия требованиям по защите информации. А если вспомнить, что очень часто разработчики предпочитают не создавать свое, а взять готовые (как правило, зарубежные) библиотеки и компоненты и вставить их в свой код, то вопрос доверия к тому, что будет называться отечественным, встает очень остро. Достаточно вспомнить про уязвимости ShellShock, Heartbleed и POODLE. За день до ITSF, на PHD, начальник второго управления ФСТЭК, Виталий Лютиков, привел пример. Из 10 сертифицированных в ФСТЭК продуктов, использующих чужие библиотеки, в которых была найдена уязвимость Heartbleed, устранили ее только 5 компаний. Остальные отказались (!), сославшись на то, что у них нет денег и специалистов, которые могли бы разобраться в чужом коде. Но про очковтирательство при использовании open source решений я уже писал.
Это, пожалуй, ключевые темы, которые звучали на секции по импортозамещению на ITSF. Разумеется, поднимались и другие вопросы. Например, необходимость дифференцированного подхода при выборе отраслей, где должно в первую очередь применяться импортозамещение. Но при этом должен быть определен переходный период, чтобы учесть уже сделанные многомиллиардные инвестиции. Также необходимо учитывать, что в ряде отраслей уже поставлены задачи с вполне конкретными сроками (начало шельфовой добычи нефти, выполнение оборонного заказа, строительство космодрома и т.п.), которые не могут быть не отменены, ни перенесены в связи с необходимостью импортозамещения. И в таких случаях также должно быть принято решение "как быть".
Пока же складывается впечатление, что никто не может ни взять на себя ответственность за принятие решений, ни разработать адекватную стратегию развития отечественной отрасли ИТ (с государственным финансированием, госзаказом, льготами и т.п.) с последующим постепенным переходом на произведенную ею продукцию. Пока же у нас все сосредоточены на формирования списков "своих", завоевании африканских и латиноамериканских рынков, забывая про то, ради чего все это изначально затевалось.
Так как по вполне понятным причинам критерии импортного или неимпортного разработать сложно (или просто все боятся выплеснуть из критериев что-то "свое" или что под критерии попадут "чужие"), то на протяжении уже года под влиянием кучи ранее торчавших в тени ассоциаций, возникла идея о списках. Нет, не Шиндлера. Шиндлер спасал людей, а авторы отечественных списков просто отсекают тех, кто по их мнению недостоин попасть в категорию разрешенных к применению в тех или иных организациях. И вот с этими списками (или списком) есть ряд засад, которые выявились в рамках круглого стола по импортозамещению на ITSF. Во-первых, мало кто из присутствующих в дискуссии верил в то, что в составлении списков отсутствует коррупционная составляющая. Ну не может в России и не быть коррупции при делении на тех, кого допустят к кормушке и тех, кого не допустят. Вся история показывает, что даже здравая идея часто превращается в нечто ужасное. А тут и здравой-то идею со списками не назовешь.
Во-вторых, попасть в списки способны только крупные компании "на слуху". Небольшие или только что зародившиеся стартапы в области ИТ или ИБ не способны попасть в этот список - они просто не знают, куда и к кому идти. Да и ресурсов на хождение по властным коридорам у них попросту нет. Иными словами, списки "доверенного" софта выбьют почву из под ног стартапов, заставляя их работать не на Россию, а на западные рынки. Это, безусловно, очень коррелирует с идеей министра связи и массовых коммуникаций о замене курса с импортозамещения на экспортопригодность и завоевании рынков БРИКС, Африки, Латинской Америки и СНГ. Только вот экспорт отечественных технологий не очень поможет ни национальной безопасности, ни росту российской экономики; в отличие от роста зависимости иностранных государств от отечественного софта (от того, чем так пугают в России в отношении США и Европы).
В-третьих, формирование списков, которые, как упоминалось, должны обновляться ежегодно, явно вступает в конфликт с инвестиционными программами, которые у многих крупных компаний (например, Роснефть, Газпром, РЖД и т.п.) формируются на 3-5 лет вперед. Такие игроки рынка обязаны будут выбирать из того, что есть сейчас, становясь заложниками тех, кто числится в списках (вероятность коррупции возрастает еще больше), и не имея возможность в будущем переиграть свои программы, когда в списках разрешенных появятся новые имена (программы-то уже сформированы).
Еще один звучавший на секции вопрос - безопасность. Кто сказал, что ПО из списка разрешенного более безопасно, чем отсутствующее в списке? Ведь если и ФСТЭК и ФСБ на различных мероприятиях заявляют о том, что им не так важна страна происхождения продукта, сколько оценка его соответствия требованиям по безопасности, то ассоциации разработчиков отечественного ПО по понятным причинам не могут поднять эту тему себе на флаг. Ведь они зачастую вообще не имеют никаких сертификатов соответствия требованиям по защите информации. А если вспомнить, что очень часто разработчики предпочитают не создавать свое, а взять готовые (как правило, зарубежные) библиотеки и компоненты и вставить их в свой код, то вопрос доверия к тому, что будет называться отечественным, встает очень остро. Достаточно вспомнить про уязвимости ShellShock, Heartbleed и POODLE. За день до ITSF, на PHD, начальник второго управления ФСТЭК, Виталий Лютиков, привел пример. Из 10 сертифицированных в ФСТЭК продуктов, использующих чужие библиотеки, в которых была найдена уязвимость Heartbleed, устранили ее только 5 компаний. Остальные отказались (!), сославшись на то, что у них нет денег и специалистов, которые могли бы разобраться в чужом коде. Но про очковтирательство при использовании open source решений я уже писал.
Это, пожалуй, ключевые темы, которые звучали на секции по импортозамещению на ITSF. Разумеется, поднимались и другие вопросы. Например, необходимость дифференцированного подхода при выборе отраслей, где должно в первую очередь применяться импортозамещение. Но при этом должен быть определен переходный период, чтобы учесть уже сделанные многомиллиардные инвестиции. Также необходимо учитывать, что в ряде отраслей уже поставлены задачи с вполне конкретными сроками (начало шельфовой добычи нефти, выполнение оборонного заказа, строительство космодрома и т.п.), которые не могут быть не отменены, ни перенесены в связи с необходимостью импортозамещения. И в таких случаях также должно быть принято решение "как быть".
Пока же складывается впечатление, что никто не может ни взять на себя ответственность за принятие решений, ни разработать адекватную стратегию развития отечественной отрасли ИТ (с государственным финансированием, госзаказом, льготами и т.п.) с последующим постепенным переходом на произведенную ею продукцию. Пока же у нас все сосредоточены на формирования списков "своих", завоевании африканских и латиноамериканских рынков, забывая про то, ради чего все это изначально затевалось.
10 коммент.:
Про чужие библиотеки, это сильно!
Отличная аргументация, возьму на вооружение, спасибо!
Алексей, там еще говорилось о проблемах компетенций, как со стороны разработчиков систем, так и со стороны лиц, эксплуатирующих данные системы. :)
Чего на рынке сейчас днем с огнем не сыщешь.
Паша, а компетенции сложнее формализуются при обсуждении ;-(
R1j1k: пожалуйста ;-)
А кто именно отказался?
Так ли это важно? Может у них более важные дела образовались? Как сказал Рустем Хайретдинов, может они мешки ворочают
2mike
имелись ввиду продукты, которые и есть OpenSource без привнесения собственной интеллектуальной составляющей (BolgeonOS :) ), а так - использование Open Source компонент это более, чем норма. И уж Cisco этим еще как "грешит" (особенно мне в свое время понравился их NAC Appliance под управлением линукса Fedora Core - даже не CentOS :) ).
Миша, если бы ты был более внимательным, а не занимался говнополивом, то понял бы, что open source вполне ложится как минимум в 2 из трех моделей.
А что касается ФСБ, то ты за своими взаимоотношениями с этим регулятором (а также с ФСТЭК) следи. А то слухи нехорошие ходят..,
Все как всегда, вместо того чтоб не мешать, начинают дуркой страдать.
Миша, у тебя замечательная манера вести дискуссию. Я ее вести в таком тоне не готов. Всех благ тебе и твоему бизнесу
Отправить комментарий