О том, какую угрозу IT-системам и национальной безопасности России несут западные санкции и ответные действия российских властей и как можно пытаться исправить ситуацию, в интервью “Ъ” рассказал председатель правления IBS Сергей Мацоцкий.
Фото: Александр Миридонов / Коммерсантъ
Как бы вы охарактеризовали последние тенденции на рынке ИТ-консалтинга?
— IT-консалтинг, как и весь рынок профессиональных услуг, крайне чувствителен к бизнес-климату в целом. А здесь у нас большие перемены. Предыдущие по меньшей мере 15 лет российский бизнес, несмотря на кризисы, жил идеей роста. Причем идеей роста количественных показателей — оборотов, прибыли, различного рода финансовых мультипликаторов. Это было время, в котором были определенные законы бизнеса и определенная логика бизнеса. Это был бизнес роста, бизнес, нацеленный на экспансию. Причем у всех независимо от того, кому и что реально удавалось. А сейчас мы попали в ситуацию не только отсутствия роста, но и отсутствия каких-либо идей роста. Недавно читал интересную статью, что пора менять идею количественного роста на идею роста качества бизнеса.
— Я тоже читал, причем давно. Что когда в свое время после фазы бурного роста население Земли стало стремительно вымирать от голода, люди вынуждены были перейти от кочевого образа жизни к земледелию…
— Ну да, и в переходе к ориентации на качество есть идея, я согласен — давайте находить новые ниши, пусть не столь большие, но яркие и качественные. Проблема, однако, в том, что ситуация с неопределенностью внешней среды как в бизнесе, так и в стране в целом нарастает настолько фантастическими темпами, что даже не успеваешь понять, что происходит, не то что подстраивать бизнес-модель под изменение обстановки.
— Тем не менее, если мы уходит от модели роста, мы переходим к модели стагнации или модели спада. Что в данном случае становится важным?
— То самое качество. Если раньше ты мог не обращать внимания на многие вещи, в которых можно было глубоко покопаться и из этого что-то извлечь, то теперь это чуть ли не единственная возможность для улучшения показателей бизнеса. И стоит заняться этим серьезно — существенно сократить затраты, заняться человеческой культурой… Например, с персоналом сейчас будет все сильно хуже.
— Что ни кризис, все начинают говорить об HR-решениях, в том числе для оптимизации управления персоналом. То есть для сокращений — не людей, так зарплат.
— Нет, сейчас другой этап. Раньше в HR-решениях основными были учетные функции: зарплата, кадровый учет, обучение, аттестация, компетенции и т. п.
Сейчас же большой интерес к неким трендам, эмпирике, корпоративной культуре, то есть к построению на основе уже собранных баз данных уникальных HR-стратегий.
— Не очень понятно, что имеется в виду.
— Приведу пример. Скажем, крупному банку требуется обеспечить постоянный набор операционистов, поставить эту систему на конвейер. Это значит, необходимо, в частности, заменить подавляющее большинство рекрутеров компьютерными тестами, поскольку рекрутеры дороги и не обеспечивают необходимый уровень объективности. Значит, необходимо на основе имеющихся эмпирических данных выстроить модель, учитывающую взаимосвязи между личными качествами соискателей, компетенциями, успешностью, потенциалом, другими сложно измеряемыми параметрами. Раньше это было невозможно просто в силу отсутствия достаточных объемов статистической информации. Сейчас такие решения стали возможными, на Западе на них просто бум. Равно как и на использование различных краудсорсинговых систем, гейминговых технологий при подборе персонала. Профили в соцсетях, френдленты — очень эффективные источники данных.
— Если отвлечься ненадолго от неопределенности и идей повышения эффективности, куда идет рынок IT-консалтинга в целом — с технологической, если можно так сказать, точки зрения?
— До сих пор классический консалтинг медленно, но верно умирал, интерес клиентов смещался в сторону конкретных продуктовых решений, связанных с потребностями конкретных бизнес-подразделений. У IT-интеграторов же, казалось, был совсем закат истории, их функции были не нужны, мы все больше уступали рынок разработчикам, которые просто знали, как готовый софт куда-нибудь прикрутить.
Но сейчас ситуация резко изменилась. IT-системы настолько усложняются и настолько фрагментируются, что технологическая интеграция, в первую очередь в области интеграции данных, снова выходит на первый план. И я считаю, что IT-консалтинг находится на пороге нового ренессанса. На Западе это явный тренд, у нас он тоже наблюдается. Мы в России пока еще катимся по инерции по пути, связанному со спросом на обычное экстенсивное внедрение приложений — опять-таки в рамках уходящей стратегии роста. Но сейчас это уже совсем неактуально.
— Хорошо, а что актуально в ситуации изоляции, международных санкций? Вот идут разговоры о необходимости импортозамещения, создания собственных IT-платформ, государство разрабатывает соответствующие планы…
— Да, сейчас как раз начинается реальный разговор на эту тему. Разумеется, есть опасения, что нам могут перекрыть поставки западного программного обеспечения, и есть желание создать свое.
Я даже допускаю, что экстренные решения уже подготовлены, выбраны достойные компании, будет нанято откуда-то несколько тысяч программистов, которые напишут отечественную операционную систему, а заодно еще и чип по дороге сделают.
Если серьезно, я считаю, что все это неплохо. То есть операционную систему быстро не напишут и чип не разработают. Но намерение развивать технологии внутри страны правильное.
Есть, конечно, вопрос, тех ли людей наймут и как организуют этот процесс, но я сейчас не хочу спекулировать на эту тему. Потому что на самом деле сегодня угроза безопасности гигантская. Мы не знаем, где и у кого находится та самая красная кнопка на IT-системах…
— То есть мы уже знаем, что она есть?
— Она наверняка есть. Причем не важно, есть ли она на уровне изначальной задумки. Просто к любому софту, который приходит откуда-то и регулярно обновляется извне, можно придумать такое обновление, которое само обеспечит любое вторжение. И даже если красной кнопки не было вчера, она легко может появиться завтра. Мне не хочется думать о совсем военных сценариях, но я понимаю, что концепция обороноспособности страны обязана каким-то образом эту ситуацию принимать во внимание. И хорошо, что мы начали этим заниматься.
Другое дело, что меня пугает некоторая торопливость и вульгаризация этого процесса. Условно говоря, мне кажется, что в наше время не получится создать некую шарашку и решить проблему теми же методами, которые использовал Берия при создании атомной бомбы. Надо более тщательно отбирать людей, мотивировать.
Так или иначе, если какой-то импульс развитию отечественных технологий будет дан, то это очень хорошо.
Мы просто последние 20 лет богато жили и сильно обленились. Например, я могу сказать, что в Европе есть большое количество больших компаний, государственных институтов, которые работают на 7-й версии баз данных Oracle (тогда как сейчас — уже 12-я). И понятно, что разработчик уже не поддерживает эту версию 20-летней давности, это делают сами пользователи — прежде всего исходя из соображений экономии средств.
Мы же заливали все проблемы деньгами: покупали самые лучшие серверы, самый современный софт и не думали об экономии.
— То есть на старом софте жить можно. И на сколько у нас имеется задел исходя из того, что уже закуплено? На пять лет, на десять?
— Основная проблема даже не в том, на чем жить и на какой период сформирован задел, а в том, есть ли соответствующая практика, наличие компетенций, позволяющих обойтись без поддержки западных вендоров.
— Сейчас такой практики, как следует из ваших слов, нет. А санкции уже есть. Что же делать?
— Если говорить, скажем, о защите от внешних влияний на IT-системы, для начала надо понять, как эти условные красные кнопки, факторы уязвимости раскиданы по бесконечному количеству наших IT-приложений.
И если говорить о консалтинговом подходе, который, может быть, раньше в этом вопросе никто не пытался применить, надо все систематизировать, структурировать, надо понять все и про железо, и про софт, причем не только про приложения, но и про все, что касается баз данных, операционных систем и так далее. Стоит понять, что быстро систему перестроить все равно не удастся — это просто технологически невозможно.
Поэтому не надо сразу бросаться разрабатывать решения. Прежде всего нужен структурный подход. Осознать, какая модель угроз, если говорить терминами информационной безопасности. Понять, какие существуют риски, какие могут быть наиболее вероятные сценарии, где может произойти шок из-за тех же санкций, какие будут последствия. И принять некую стратегию постепенного избавления от этих рисков, составить «дорожную карту». Нужно понять, что санкции — это надолго, соответствующие риски — навсегда, что их минимизация — долгосрочная задача, нужен системный подход.
— То есть нужен, условно говоря, некий план эвакуации?
— План эвакуации — это то, что нужно иметь до пожара, до санкций. Сейчас, мне кажется, это уже, условно говоря, военный сценарий. Уже есть огромное количество текущих проблем, связанных, например, с тем, что некоторое количество компаний просто закроет свои бизнесы в России. Особенно те, для которых наш рынок дает небольшой процент оборота. SAP, скажем, будет пытаться остаться здесь всеми силами, потому что для них Россия — очень крупный рынок в мире. А для какого-нибудь Symantec, Adobe мы небольшой рынок — они могут решить не устраивать споры с западными властями. А на системах backup от Symantec, между прочим, работают почти все основные системы в огромном количестве корпораций — в банках, на производстве. Резервные копии — это безопасность в чистом виде, причем ежедневная. И думать, чем такие системы можно заменить, пора уже сейчас.
— А кто в зоне основного риска с точки зрения групп российских пользователей?
— Одна из проблем в том, что это абсолютно непонятно. Почему одна нефтяная компания подпала под санкции, а другая — нет? Кто будет следующим? Мы этого не знаем. Логика Запада не очень понятна. Равно как и логика ответных действий российских властей. Есть новый закон о хранении персональных данных в России. А где физически расположены серверы супермаркетов? Или, скажем, систем бронирования авиабилетов? Не говоря уже о соцсетях… Это тоже риски для этих компаний, к которым нужно быть готовым.
Совершенно точно проблема западных санкций и вопросы информационной безопасности приобретают особое значение для органов государственной власти, государственных информационных систем — это Казначейство, Миграционная служба, Налоговая служба, МВД и т. д. Ну и военные, разумеется.
— А что, на нашей военной технике стоят западные IT-системы? Я слышал об обратном…
— На технике, скорее всего, все системы отечественные. А в центрах управления? А в системах проектирования? А при расчете зарплаты? Да, боевые системы отделены от всех прочих чисто физически — воздушным зазором. Но риски тем не менее есть.
Уровень проникновения и взаимной связанности IT-систем намного увеличился по сравнению с тем, что было раньше. И требуется серьезная технологическая экспертиза, чтобы во всем этом разобраться.
— Если говорить о российских бизнес-потребителях не с точки зрения рисков, а с точки зрения сегодняшнего спроса, кто в первую очередь озаботился проблемами санкций с точки зрения информационной безопасности?
— Едва ли не первыми — банки. Были истории с MasterCard, Visa, Swift, ясно показавшие, что все, что происходит, не шутки или апокалиптические прогнозы, а реальные угрозы, которые могут реализоваться хоть завтра. Для банков это, считайте, уже реальность, они очень серьезно этим занимаются. Страховые компании, сотовые операторы, нефтяники, оборонно-промышленный комплекс…
Знаете, даже сложно сказать, кого эти проблемы не коснулись. Правда, я не могу сказать именно о росте спроса на соответствующие услуги IT-консалтинга, он еще, видимо, не сформировался окончательно, люди разбираются в ситуации. Но с точки зрения разговоров, интереса активность очень большая.