С начала осени разговоры среди IT-специалистов свелись к обсуждению — как прожить без западных технологий? Рецепты есть, надо лишь правильно формулировать задачи
Сергей Мацоцкий, председатель правления IBS
Последнее время мне часто приходится рассказывать коллегам, занимающимся IT в крупных организациях, одну историю из моей жизни. Когда я в начале 80-х пришел на работу в Центральную геофизическую экспедицию Миннефтегазпрома СССР, там стоял мейнфрейм IBM. Это было то самое время, когда после ввода советских войск в Афганистан в 1980 году США утвердили санкции против СССР, выразившиеся в том числе в существенном ограничении на сотрудничество в области информационных технологий. В общем, IBM-овская машина тогда оказалась без поддержки.
В машине стоял матричный процессор, который сбоил. И начальник поручил мне, молодому специалисту, «починить его как-нибудь». Естественно, не существовало никакой документации, кроме пользовательской инструкции. Не было ни справочников, ни интернета. Тем не менее мы его починили — это заняло несколько недель, пришлось повозиться, но разобрались, написали «заплатку», все заработало.
Сегодня большинство российских компаний и организаций находится в той же ситуации, в какой в начале 80-х находились совсем немногочисленные владельцы импортного IT-железа.
Если полгода или год назад мы обсуждали с клиентами новые технологии и продукты, то с начала осени большая часть разговоров свелась к обсуждению, каким образом будет осуществляться импортозамещение в IT. Даже те, кто пока не под санкциями, понимает, что новые ограничения могут появиться в любой момент — шаги с обеих сторон конфликта зачастую невозможно предсказать. Все хотят быть готовыми к любому развитию событий.
И таким клиентам я рассказываю эту историю из 80-х — ситуация для нас не новая, некоторые из нас с этим уже когда-то столкнулись. И жить с этим можно.
Нам перекрывали поставки технологий, мы искали способы их поддерживать, у нас был НИЦЭВТ, который разрабатывал замещающие технологии (в большинстве случаев просто копировал западные разработки)… За последние богатые десятилетия этот опыт был основательно забыт. Мы привыкли все проблемы решать, «заливая» их деньгами. Компании выбирали дорогие западные решения, переходили на самые новые версии ПО, покупали самую дорогую поддержку от производителей. В отличие, кстати, от клиентов в западных странах, которые умеют экономить и десятилетиями работают на исторических версиях ПО, самостоятельно занимаясь его поддержкой. В результате у нас под угрозой остановки IT-систем оказались очень многие — уровень нашей зависимости от западных технологий во много раз выше, чем в СССР 80-х годов.
Теперь, когда и денег стало меньше, и доступ к обновлениям могут перекрыть в любой момент, наверное, есть смысл вспомнить старый опыт и начать решать проблемы не с помощью денег, а с помощью знаний. Отличная отечественная инженерная школа и опыт прошлых десятилетий дают нам возможность выстроить систему IT-поддержки внутри страны.
Пока что в правительстве, говоря об импортозамещении, обсуждают политические вопросы — какое ПО считать российским и какой объем финансирования необходим, чтобы создать свою операционную систему. Клиентов же в большей степени волнует практический аспект проблемы — что делать, если завтра отключат (или уже отключили) поддержку того или иного критического компонента их информационной системы?
Что произойдет, если в банке начнет сбоить база данных, а у нефтяной компании выйдет из строя сетевое оборудование?
Центральный вопрос для IT-руководителей компаний и ведомств сегодня не столько в том, когда появится отечественная ОС, сколько в том, как сделать так, чтобы IT-инфраструктура компании и приложения работали бесперебойно и безопасно уже сегодня, завтра и в будущем. И пока вопросы о том, какие практические шаги необходимо предпринимать, что менять в IT-стратегиях, как это затронет IT-бюджеты, не очень-то обсуждаются. Пора говорить не об импортозамещении в общем, а о том, как защитить конкретные IT-системы (компании, организации, государства) от вмешательства извне, как их развивать и поддерживать.
Это непростая комплексная задача на стыке консалтинга, IT-интеграции, управления рисками. Сложность ее решения заключается прежде всего в том, что заказчики не всегда представляют, от каких технологий они зависят и где у них локализованы риски. Современные информационные системы — это сложно интегрированные комплексы, включающие аппаратное обеспечение со всем его встроенным софтом и прошивками, системное программное обеспечение, ПО промежуточного слоя, базы данных и хранилища, пользовательские приложения. В таких системах риски распределены по огромному количеству компонентов, устройств и программ, а одномоментный отказ от одного из продуктов не обязательно приведет к решению проблем. И наоборот, считающиеся безопасными системы могут критически зависеть от небезопасных компонентов (баз данных, систем резервного копирования, сетевых утилит и т. д.). В реальных IT-системах крупных заказчиков могут существовать сотни и тысячи компонентов и решений — зон уязвимости, источников рисков.
Поэтому первое, что необходимо сделать, это провести анализ – какие риски существуют для системы конкретной организации, — и ранжировать угрозы по степени критичности. После такого детального обследования систем и анализа рисков заказчики зачастую совсем иначе начинают видеть ситуацию с приоритетными угрозами.
Второй шаг, который необходимо предпринять, — на основе сделанного анализа разработать сценарии — что, на что и как можно заменять. У нас как само собой разумеющееся обсуждают один-единственный сценарий — снести все западное и поставить отечественное.
Но в реальности заказчики понимают, что этот сценарий фантастический по целому ряду причин — финансовых, организационных и т. д.
Вариантов реагирования на угрозы также может быть больше чем один — вместо полного отказа от использования можно отключиться от зарубежной поддержки, обновлений или найти безопасный аналог.
И наконец, с учетом всех факторов нужно разработать дорожную карту проектов, с помощью которых можно последовательно, за понятный срок и разумные деньги снизить критичные IT-риски, связанные с использованием зарубежных решений. Надо понимать, что избавление от всех этих рисков одномоментно невозможно — такой «волшебной таблетки» не существует. Поэтому начинать эту работу нужно уже завтра, чтобы постепенно и последовательно, в результате системной проектной работы добиться снижения зависимости в понятной обозримой перспективе.
Мне кажется, очень важно, чтобы с учетом сложившихся обстоятельств подобная работа по анализу IT-рисков была проведена повсеместно и в том числе поддержана регулятором. Инвестиции в развитие собственных продуктов — это отлично, но также важна работа над тем, насколько надежно работают уже внедренные системы и насколько эффективно будут использованы IT-бюджеты следующих лет.