IBS разработала методику оценки рисков при использовании иностранного ПО

В ходе выступлений на CNews FORUM 2014 представители IBS рассказали о разработанных подходах к определению рисков использования иностранного программного обеспечения.

Выступая на CNews FORUM 2014, председатель правления IBS Сергей Мацоцкий представил свое видение ситуации на отечественном IT-рынке. В его понимании, экономический рост в России давно в прошлом, а на смену стагнации в экономике, судя по всему, уже пришло падение. Возникшее явление санкций, по мнению Мацоцкого, наиболее неприятно тем, что действия обеих конфликтующих сторон носят непредсказуемый, эмоциональный и не всегда логичный характер, что дополнительно усиливает неопределенность.

На фоне этих явлений Россия обращается к идеям всеобщей мобилизации, развития самодостаточного внутреннего рынка и собственных разработок, а также пытается найти новых международных партнеров в Азии и Южной Америке.

В отношении последних Мацоцкий достаточно скептичен. «Я бы не преувеличивал роль азиатских компаний. Конечно, можно вчера покупать Cisco, а сегодня Huawei. Но это решает не все», — говорит он. По его убеждению, азиатское оборудование — тоже иностранное, в нем тоже могут быть закладки и бэкдоры, и от него тоже может возникнуть импортозависимость при очередной смене политического курса.

«Прежде всего, важно даже не просто покупать отечественное, а точно понимать, что именно ты покупаешь и как осуществляешь контроль этого», — отмечает Мацоцкий. В данном контексте он считает важным отдавать себе отчет в том, какие используются средства информационной безопасности и как контролируются обновления ПО. «Это то, на что мы много лет позволяли себе не обращать пристального внимания, а сегодня вынуждены это делать», — заключает он.

Не испытывает Мацоцкий иллюзий и относительно того, что можно сейчас найти группу отечественных программистов, которая оперативно напишет все необходимое ПО с нуля, или что можно «навалиться всем миром» и создать все продукты на базе существующего свободного ПО. В его понимании, идея сделать что-то свое — неплохая, и какие-то вещи уже сейчас делаются, но нужно понимать, что советскими мобилизационными методами ничего сделать не получится. И главное, что это не отвечает на вопрос, что делать клиентам прямо сейчас, когда еще ничего не готово.

Как говорит Мацоцкий, если посмотреть на некую обобщенную картину крупных корпоративных систем заказчиков, то выяснится, что риски у них распределены по всем сегментам («сверху вниз и слева направо»), причем они не локализованы только в прикладном ПО или только в железе. «У вас может быть отличная отечественная 1С-система, работающая, например, на Microsoft SQL Server, а бэкапом для нее может использоваться, например, Symantec, а хранилище может быть EMC или Hitachi, или что-то другое, — отмечает руководитель IBS. — Для реальных крупных заказчиков в этой схеме могут быть сотни и тысячи систем и решений — зон уязвимости, источников рисков».

Позже, на секции форума, посвященной государственной информатизации, заместитель генерального директора IBS Игорь Ведёхин в своей презентации продемонстрировал слайд со сводной оценкой его компанией степени уязвимости нескольких конкретных государственных систем.

Заместитель генерального директора IBS Игорь Ведёхин (Фото: Cnews)

В своем докладе «Трезвый взгляд на импортозамещение» Ведёхин рассказал о методике IBS, которая позволяет в понятных цифрах оценить степень зависимости IT-систем от зарубежных поставщиков. По этой методике владелец IT-инфраструктуры отвечает на вопросы об имеющихся IT-системах и с помощью специальной расчетной модели получает оценку рисков по каждой из них. В результате всей инфраструктуре присваивается некий сводный индекс опасности. «Этот индекс показывает, где мы находимся на текущий момент. После этого появляется возможность измерять его достаточно регулярно и понимать, куда мы движемся с точки зрения минимизации рисков», – говорит Ведёхин.

Мацоцкий уверен, что к решению проблемы нужно подходить системно. «Вопрос импортозамещения — это вопрос классической системной интеграции: анализа рисков, того, каким образом с ними бороться, как их систематизировать, как разработать дорожную карту, которая позволит с помощью целого ряда IT-проектов уменьшить эти риски и привести IT-систему к более устойчивому, стационарному и обслуживаемому состоянию», — говорит он.

Рассуждая о перспективах отечественного IT-рынка в новых условиях, Мацоцкий склоняется к мысли, что всех ждет смена самой парадигмы бизнеса. «Мы жили в парадигме роста — оборотов, прибыли, числа людей», — говорит он. А сейчас, по его мнению, новой идеей должен стать рост качества. Он считает, что за предыдущие годы участники рынка сильно избаловались и изленились, привыкли недостаток компетенций заменять избытком денег.

«У нас всегда было самое свежее ПО и самая дорогая поддержка вендоров. Между тем, даже в Европе и США существует множество компаний, которые пользуются версиями, например, Oracle 10-15-летней давности, и занимаются их поддержкой самостоятельно из соображений экономии», — отмечает глава IBS.

Председатель правления IBS Сергей Мацоцкий (Фото: Cnews)

По мнению Мацоцкого, может быть именно сейчас, когда финансовых ресурсов стало значительно меньше, настал момент для того, чтобы вспомнить, что есть другие варианты решений — более тяжелые, но во многих случаях более дешевые, а иногда и более эффективные.

«Единственный шанс для реального бизнеса, для конкурентной IT-системы, которая у нас всегда была, — это поиск каких-то новых рыночных ниш, в которых можно чувствовать себя достаточно стабильно и смотреть в завтрашний день уверенно», — заверяет Мацоцкий. По его убеждению, одной из таких больших новых ниш может стать техобслуживание и поддержка ПО. «Это огромная область, в которой для нас всех есть место. И санкции в этом плане — это хороший шанс для того, чтобы это место занять, чтобы устойчиво и долго зарабатывать деньги», — говорит он.

Также руководитель IBS уверен, что большой простор для деятельности для отечественных IT-компаний возникает в связи с будущей необходимостью для всех операторов обрабатывать персональные данные россиян исключительно на территории России. «Многие наши клиенты должны будут существенно поменять свои IT-системы, перенести их с Запада в Россию, — говорит Мацоцкий. — Им потребуется создать и отделить целые сегменты, которые будут осуществлять хранение и защиту персданных. Это хорошая, очень профессиональная и сложная работа».