ИРТТЭК: Российская IT-отрасль пока не готова дать необходимых комплексных продуктов для КИИ

Институт развития технологий ТЭК (ИРТТЭК) провел экспертный опрос по теме возможного перехода объектов КИИ на российский «софт»

Правительство России озаботилось информационной безопасностью государства. 1 июля 2022 года оно планирует определить правила игры и сроки перевода объектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение (ПО). Объекты КИИ, пояснили в ИРТТЭК, — это госорганы, банки, объекты транспорта, связи, здравоохранения, предприятия оборонной, топливной и атомной промышленности и энергетики.

Значительные финансовые издержки — это только видимая часть айсберга. Существует целый ряд рисков от экологических до техногенных, которые неизбежно несет форсированная перестройка информационной структуры компаний. Впрочем, есть и положительная сторона — открывается окно возможностей для отечественных ИТ компаний.

Институт развития технологий ТЭК (ИРТТЭК) инициировал экспертный опрос о проблемах и возможностях российского ИТ рынка решить задачу обеспечения безопасности критической инфраструктуры страны.

В опросе приняли участие:

• Александр Белокрылов, генеральный директор BellSoft;
• Сергей Кудряшов, партнер АО «Делойт и Туш СНГ»;
• Владимир Бобылев, главный редактор издания «Нефть и Капитал»;
• Вадим Кузьмичев, руководитель департамента разработки прикладных решений ИТ-компании «Инфосистемы Джет»;
• Олеся Мальцева, руководитель международных проектов АО «РТ-Техприемка»;
• Станислав Митрахович, ведущий эксперт Фонда национальной энергетической безопасности;
• Федор Музалевский, директор технического департамента RTM Group, кандидат физико-математических наук;
• Борис Харас, председатель Союза разработчиков ПО и ИТ решений в ТЭК.

Основные проблемы перехода нефтегазовой сектора на отечественный софт

Вадим Кузьмичев, руководитель департамента разработки прикладных решений ИТ-компании «Инфосистемы Джет», считает, что болевые точки ИТ-инфраструктуры России — кадры, культура производства, отсутствие аналогов базового программного обеспечения.

«Список недостающих базовых российских аналогов западных программных продуктов весьма широк — это операционные системы, офисное ПО, средства разработки, СУБД. Безусловно, у нас есть отличные примеры софта мирового класса — комплекс систем для бухгалтерии (1С), автоматизированные банковские системы — ЦФТ, Новая Афина, но все они решают локальные бизнес-задачи.

Следующая болевая точка — российское ПО намертво интегрировано в иностранные операционные системы. Подавляющее большинство российского софта полноценно работать может только на операционной системе MS Windows. В отличие от западного рынка, где культура производства программных продуктов развивалась десятилетиями, в России такая культура только формируется.

Учитывая высокую стоимость привлечения высококвалифицированных специалистов и небольшие бюджеты компаний-разработчиков отечественного ПО, перспектив улучшения качества ПО пока не видно. Отдельно стоит выделить кадровый вопрос и сложности внедрения отечественных разработок — это отсутствие специалистов и/или нежелание разработчиков и консультантов переучиваться на работу с российским ПО. Рынок российского ПО специфичен, ограничен Россией и несколькими странами СНГ. Навыки таких специалистов узкоспециализированы и ограничено востребованы», — отметил эксперт.

Сергей Кудряшов,партнер АО «Делойт и Туш СНГ»:

«В силу глобальности рынка ПО у нас не сформировались такие софтверные мегакорпорации как IBM, Microsoft, SAP или Oracle. Эти гиганты не только ведут собственную разработку, но и активно покупают готовые продукты и команды разработчиков.

Вот и получается, что российские производители могут конкурировать только в нишевых областях, где они зачастую создают продукты мирового уровня. Поэтому покрытие всего корпоративного ландшафта отечественными продуктами получается очень неравномерным. Области, которые оказываются не закрыты, как правило требуют серьезных капитальных вложений с довольно высокими экономическими рисками. Также следует учитывать, что создание продуктов enterprise-уровня — это не только миллионы строк кода, но и системы поддержки клиентов».

Александр Белокрылов, генеральный директор BellSoft, отметил, что требуется комплексная система, которая решает конкретные задачи государства и бизнеса: «Проблема и одновременно задача в том, что конечным госзаказчикам не очень нужны по отдельности российская операционная система, база данных или офисное приложение. Им требуется комплексная система, которая решает конкретные задачи государства и бизнеса, стабильно и безопасно функционирует, все ее компоненты протестированы на совместимость».

Олеся Мальцева,руководитель международных проектов АО «РТ-Техприемка», считает недопустимым, чтобы бюджет на закупку ПО в госкомпаниях уходил зарубежным разработчикам. Отвечая на вопросы ИРТТЭК, она заявила, что основная причина медленного перехода на отечественный софт — это недостаточный спрос, который в обязательном порядке должен быть инициирован со стороны государственных компаний.

Известны примеры закупки госкомпаниями зарубежного софта, это связано как с лучшими характеристиками зарубежного ПО, так и с необходимостью организации переобучения персонала для работы на новом ПО.

Владимир Бобылев, главный редактор издания «Нефть и Капитал», допускает, что внедрение «сырого» софта чревато рисками аварий:

«Основная причина — нежелание компаний покупать „сырой“ софт, на тестирование, адаптацию и доработку которого потребуются несколько лет. Его внедрение чревато технологическими рисками аварий и снижением конкурентных преимуществ».

Борис Харас, председатель Союза разработчиков ПО и ИТ решений в ТЭК, говорит о том, что 70% зарубежных технологий в ТЭК могут быть замещены уже сегодня, но интегрированных систем сегодня на рынке нет.

Зарубежные мегакорпорации предлагают интегрированные решения, российские компании — фрагментарные аналоги, адаптированные к отечественным условиям.

Федор Музалевский,директор технического департамента RTM Group, кандидат физико-математических наук, отмечает, что нужна массовость:

«Замена есть, но не всему. И вот это „не всё“ не специфицировано. По этой причине многие аналоги даже не разрабатываются — о них просто не думают. Основная проблема — в системных продуктах. Кластеризация серверов баз данных с высокой производительностью — нетривиальная задача, и она требует больших вложений. А писать свой софт ради того, чтобы ЦОДы (центры обработки данных) его поставили — нерентабельно. Нужна массовость, масштаб…»

Проблема безопасности КИИ. Угроза стабильности ее работы при форсированном переводе на российские программные продукты

Владимир Бобылев,главный редактор издания «Нефть и Капитал», отметил, что проблема безопасности КИИ абсолютно реальна:

«Причем не только в России — стоит вспомнить, например, хакерскую атаку на трубопровод Colonial Pipeline, а в российском случае — дистанционное отключение через спутник компрессорных станций «Газпрома», которое произошло в 2012 году. И в данном случае трудно сказать, что опаснее: использование зарубежных решений — качественных и отработанных, но имеющих риск контроля из-за рубежа, — или отечественных продуктов, лишенных «санкционного» контроля, но имеющих потенциальные технологические или программные уязвимости.

Видимо, поэтому в марте этого года глава «Газпрома» Алексей Миллер отправил премьеру Михаилу Мишустину письмо, в котором оценил суммарный объем затрат компании на мероприятия, предусмотренные проектом президентского указа о переходе на преимущественное использование российского программного обеспечения и радиоэлектронное и телекоммуникационное оборудование, в 180 млрд рублей.

В документе содержится просьба исключить из проекта указа «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» конкретные сроки перехода на российских софт и оборудование».

Сергей Кудряшов,партнер АО «Делойт и Туш СНГ», опасается, что ответ на вопрос, кто будет отвечать за сбои, которые будут вызваны такими изменениями, не решен: «С точки зрения управления рисками имеют место оба фактора. С одной стороны, риск внешнего управления/отключения/проникновения с использованием свойств продуктов иностранного происхождения. С другой стороны, риск снижения надежности эксплуатации информационных систем вследствие перехода на новые продукты отечественного производства. Но первый риск в зоне ответственности государства, а второй риск — полностью в зоне ответственности бизнеса.

Думаю, что многие слышали принцип: «Работает — не трогай». Вот и сейчас многие организации оказались один на один перед надвигающейся перспективой масштабных изменений в собственной ИТ-инфраструктуре.

При этом очевидно, что менять придется не единичные продукты, а целые комплексы, надежность которых формировалась годами».

Вадим Кузьмичев,руководитель департамента разработки прикладных решений ИТ-компании «Инфосистемы Джет»:

«Действительно, критические системы как на оборонных предприятиях, так в крупных банках могут не иметь выхода в интернет, тем самым снижая вероятность вмешательства из зарубежного ПО и утечку информации.

Но слишком быстрое внедрение российского ПО, отсутствие специалистов для его сопровождения, отсутствие наработанной базы знаний и необходимого объема тестирований очень опасны».

Федор Музалевский, директор технического департамента RTM Group, кандидат физико-математических наук:

«Вероятность вмешательства в работу КИИ — скорее, исключение. На массовость инцидентов рассчитывать не стоит.

Важно понимать, как поддерживать продукт, если на него введены санкции? Как его масштабировать? С этим возникают сложности. Надежность отечественных разработок пока ниже, чем у многомиллионных тиражей западных аналогов. Но она существенно выше, чем принято считать.

Другой вопрос, что и чем заменять. Если у прикладного ПО, АСУ ТП (автоматизированных систем управления технологическим процессом) есть аналоги, то сетевое оборудование, особенно магистральное — это почти всегда поделки из китайских комплектующих. Выходит, нельзя говорить о полноценном замещении. Может, гораздо лучше рискнуть санкциями и поставить западный аналог, чем непроверенную отечественную сборку?»

Станислав Митрахович, ведущий эксперт Фонда национальной энергетической безопасности:

«Пару лет назад был на конференции в Губкинском университете, где российские разработчики рассказывали о том, что нефтяные компании не рады переходу на отечественный «софт» несмотря на наличие отечественных аналогов. Банкиры тоже не хотят переходить, равно как и университеты.

Если люди привыкли к зарубежному ПО, то зачем им переходить на российские аналоги? Они идут на это только под влиянием обстоятельств, а обстоятельства сейчас складываются так, что придется менять свое отношение к отечественному производителю».

Олеся Мальцева,руководитель международных проектов АО «РТ-Техприемка», видит задачу руководства организовать внедрение ПО таким образом, чтобы обеспечить стабильность и непрерывность производства.

«Информационную безопасность можно обеспечить и на существующих российских решениях. Что касается стабильности прикладного ПО, обеспечивающего специфические бизнес-процессы производственного предприятия, то это задача высшего руководства предприятия — осуществить процесс закупки и внедрения ПО таким образом, чтобы обеспечить стабильность и непрерывность производства.

Очевидно, что бывают исключения, но это только значит, что государство должно обратить более пристальный взгляд на эту область и обеспечить появление недостающего ПО. И опять же, операционные системы, офисные приложения к таким исключениям точно не относятся».

Дублирование разработок ПО, ресурсы госкомпаний и распределение задач

Федор Музалевский, директор технического департамента RTM Group, кандидат физико-математических наук, считает, что банальное создание реестра оборудования и ПО — уже большой шаг: «Разумеется, консолидация опыта как государственных участников, так и коммерческих фирм — одна из главных задач, решение которой позволит увеличить темпы замещения.

Банальное создание реестра оборудования и ПО, которое подлежит замене с указанием требований и характеристик, — уже большой шаг в эту сторону. А если добавить к нему рассчитанный потенциальный объем внедрения (или ёмкость рынка), то это позволит заинтересовать отечественных разработчиков и конкретизировать их цели».

Владимир Бобылев, главный редактор издания «Нефть и Капитал»:

«Для перехода на отечественное ПО и оборудование российским IT-компаниям нужны крупные заказы. В противном случае российская продукция просто не будет готова к тому моменту, когда потребуется.

Зачастую те разработки, которые отвечают требованиям бизнеса, безопасности и функциональности, не могут по объемам удовлетворить ни один госзаказ».

Сергей Кудряшов, партнер АО «Делойт и Туш СНГ», считает, что нужна сбалансированная модель:

«Для решения поставленной задачи в короткие сроки государству необходимо обеспечить совершенно другой уровень планирования, концентрации ресурсов разработчиков, а также формирования широких рынков сбыта для новых продуктов.

Я не уверен, что задачу смогут решить только государственные компании — здесь нужна сбалансированная комбинированная модель. Если посмотреть на рынок бывшего СССР, то очевидно, насколько много программистских ресурсов вовлечено в заказную разработку ПО для международного рынка или в создание нишевых продуктов на мировом рынке. Необходимо понять, как этот ресурс может быть вовлечен в решение стоящих задач».

Вадим Кузьмичев, руководитель департамента разработки прикладных решений ИТ-компании «Инфосистемы Джет»: «Есть разработки по цифровому профилю клиента в ЦБ, Минцифре, ФНС и прочих госорганах. При этом можно строить распределенные облачные решения на базе отечественного ПО. Но часто ИТ-департаменты крупных компаний (например, банков) принципиально не хотят внедрять „чужой“ софт по разным причинам».

Александр Белокрылов, генеральный директор BellSoft, полагает, что в целом идея правильная и эту бизнес-логику надо сообща разрабатывать: «Это приведет к тому, что родится система международного уровня. Базовые отечественные компоненты уже есть — ОС, СУБД, middleware — их не надо создавать. А приложение должно быть стандартным — сделали один раз и запустили во всех государственных компаниях».

Борис Харас, председатель Союза разработчиков ПО и ИТ решений в ТЭК, резюмируя, отметил, что «никто и никогда и ничего не покупает у конкурента»:

«На уровне государственного управления отсутствует механизм распространения и внедрения в компаниях ТЭК технологий, разработанных за бюджетные средства. Эта проблема становится особенно актуальной в случае достаточного массового субсидирования технологического развития по линиям Минпромторга и Минцифры через фонды развития.

Сейчас сложилась ситуация, при которой государство и ВИНК готовы одновременно выделять существенные бюджетные средства на параллельную разработку дублирующих друг друга востребованных технологий. При этом остальная часть отечественного ПО остается без должного финансирования.

При этом в России отсутствуют консолидированная потребность в технологиях: все крупнейшие корпорации конкурируют между собой, что вполне естественно. Раз нет консолидированной потребности, то и решения каждая госкомпания принимает свои, закрытым образом, обеспечивая через технологии конкурентное преимущество.

ВИНК не готовы договариваться между собой в части создания или развития информационных технологий. Они действуют в модели конкурирующих организаций, а не в партнерской модели. Тем более не в модели Заказчик-Исполнитель.

Это неуникальный опыт, подобная модель взаимоотношений подтверждается многими годами среди международных нефтегазовых компаний».

Заключение

Форсированное импортозамещение программного обеспечения обойдется нефтянке слишком дорого. И чем жестче будет позиция государства по срокам, тем дороже это будет стоить. Вместе с финансовой нагрузкой на отрасль растут и риски техногенных катастроф, имиджевых и конкурентных потерь на внутреннем и мировом уровне.

Современная российская IT-отрасль пока не готова дать необходимых комплексных продуктов. Российский рынок информационных технологий еще недостаточно мощный и локальный, поэтому без четкой государственной политики по стимулированию и администрированию импортозамещения быстрых результатов ждать не стоит.