Алексей Бадаев
Эра надежности:
новый критерий успеха на рынке ИТ и ИБ
Генеральный директор компании «Киберпротект»
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Три десятка лет российский рынок ИТ развивался в условиях интенсивной экспансии западных вендоров, которые прочно закрепились не только в инфраструктуре заказчиков, но и в сознании пользователей как стандарт надежности и доверия. Основным критерием выбора ИТ-решений была их функциональная полнота, стоимость внедрения и принадлежность к тем брендам, надежность которых не обсуждалась, а подразумевалась как само собой разумеющееся.
Заказчики стремились получить максимальное количество возможностей и сделать надежные инвестиции, как казалось, в будущее своей инфраструктуры. Это подход был характерен для периода активного импорта решений западных вендоров, когда доступ к международному рынку был практически беспрепятственным. Но после 2022 года ситуация существенно изменилась. Односторонний и одномоментный отказ от продаж и поддержки программного обеспечения со стороны вендоров, открытые политические заявления некоторых из них и последующие события в один момент подорвали доверие к незыблемой надежности зарубежных поставщиков, привели к необходимости пересмотра стратегии закупок и развития ИТ-инфраструктуры.
“
Потребовалось решать вопросы информационной безопасности в условиях, когда надежность уже не выглядит так естественно, а каждая новая уязвимость, обнаруженная в старых и новых версиях ПО, может стать фатальной для бизнеса.
В реальности эта проблема намного более серьезна, чем кажется. Например, наше исследование в 2024 году показало, что в сегменте резервного копирования, программного обеспечения, которое гарантирует сохранность данных 6 и делает вклад в отказоустойчивость систем, даже через два года после ухода западных вендоров с рынка, 90% российских компаний все еще использовали СРК их производства. При этом официальные продажи, действительно, прекратились, многие параллельно начали использовать или тестировать отечественные системы, но уровень зависимости от зарубежных решений оставался высоким. Возможности для использования западного ПО есть: можно продолжать пользоваться старыми версиями без прямой поддержки и обновлений, через параллельный импорт и поддержку третьих лиц и компаний, через облачные сервисы на зарубежных системах.
Что это значит для обеспечения информационной безопасности в новых условиях?
Высокую степень риска, которая растет с каждым днем, связанную с возможностью быстро реагировать на выявленные уязвимости
этих продуктов. В прежней реальности это не было большой проблемой — разработчики развивают свое ПО, оперативно выпускают патчи, которые закрывают дыры и мгновенно доходят до заказчика, но теперь прямые связи между зарубежным разработчиком и пользователем разорваны, техническая поддержка остановлена и надежных гарантий никто не даст, а в случае серьезного инцидента пользователю не с кем будет разделить ответственность — он останется с бедой один на один. То, что казалось безупречно надежным, теперь может сыграть с пользователями злую шутку.
этих продуктов. В прежней реальности это не было большой проблемой — разработчики развивают свое ПО, оперативно выпускают патчи, которые закрывают дыры и мгновенно доходят до заказчика, но теперь прямые связи между зарубежным разработчиком и пользователем разорваны, техническая поддержка остановлена и надежных гарантий никто не даст, а в случае серьезного инцидента пользователю не с кем будет разделить ответственность — он останется с бедой один на один. То, что казалось безупречно надежным, теперь может сыграть с пользователями злую шутку.
С 2022 года лидирующий западный разработчик систем резервного копирования, решениями которого до сих пор пользуется огромное количество российских компаний, выпустил несколько критических исправлений (critical issues) для своих продуктов, связанных с уязвимостями. Как минимум три из них были резонансными и открывали для злоумышленников большие возможности. В частности, позволяли при определенных условиях удаленно выполнить произвольный код без аутентификации. Можно предположить, что о многих подобных случаях мы просто не знаем, потому что они не достигли публичных источников или заказчиков, с которыми официальные отношения были прекращены. Что говорить о другом инфраструктурном ПО и системах, таких как, например, ERP, для которых ежегодно выпускаются десятки критических исправлений.
“
Потеря надежности решений в современных условиях становится фактором изменения рынка, к которому нужно быть готовым, а при правильном подходе извлекать пользу для рынка и государства
Надежность в ИТ становится категорией, которая охватывает несколько ключевых аспектов: техническую устойчивость решения — способность работать стабильно и безопасно в течение длительного времени, а также масштабироваться, иметь прямую поддержку разработчика, юридическую и политическую независимость — отсутствие зависимости от стран, находящихся в состоянии конфликта или санкционного давления, в том числе потенциального, финансовая устойчивость разработчика, соответствие государственным и отраслевым стандартам и возможность адаптироваться к быстро меняющимся условиям и требованиям регулятора, прозрачность и контроль. И, наконец, место ИТ-решения и его эволюция в формирующейся экосистеме отечественного ПО. Именно сейчас мы видим зарождение и развитие тех кластеров, которые через несколько лет станут стандартом отрасли и принадлежность к которым будет одним из ключевых факторов надежности.
«Свой путь» и ИТ-суверенитет: реальность?
Понятие ИТ-суверенитета стало одним из ключевых в последние годы. Однако часто его воспринимают как попытку имитировать западные технологии или продукты, сделать «реплику», которая будет отвечать привычкам пользователей, сформированным за годы веры в надежность сложившейся системы. На самом деле, суверенный путь — это отнюдь не копирование продуктов и технологий, а создание собственного подхода к проектированию, разработке и эксплуатации ИТ-решений, учитывающего особенности страны, законодательства, уровня и темпов развития цифровизации и специфики бизнеса, положения в мире, внешней политики и экономики. Это непростая задача, в которую вовлечен как бизнес, так и государство.
Суверенитет без надежности — это решение текущих проблем без взгляда в будущее.
Мы видим множество примеров, когда «локализованные» решения или кастомизированный в недрах ИТ-подразделений open source, заменивший проприетарное западное ПО, оказывались не готовы к масштабному внедрению, не имели необходимой функциональности и шансов на развитие или просто оставались без поддержки и связи с разработчиком. На них были потрачены значительные средства и силы. При этом понесенные затраты не дали ожидаемого эффекта. Путь к суверенному ИТ должен быть построен как минимум на принципах конструктивного диалога между разработчиками, заказчиками и государством, полного контроля решений отечественными разработчиками — от исходного кода до физического оборудования, развития гарантированной поддержки в долгосрочной перспективе — с четкими планами развития продукта, адаптивности к реальным условиям рынка с учетом развития законодательства, уровней цифровой зрелости и культуры управления от малого до крупного бизнеса, интегрируемости в растущую экосистему отечественного ПО и открытости к технологическим партнерствам между участниками рынка.
“
Важно понимать, что суверенитет — это не замена Microsoft на российскую ОС, а переход к модели, где ИТ-инфраструктура не зависит от внешних факторов, развивается в конкурентной среде внутри страны и отвечает требованиям надежности.
Если говорить о прогнозах, то, к сожалению, в ближайшие несколько лет потеря надежности западных решений, которые все еще находятся в инфраструктуре заказчиков, приведет к росту уязвимости и киберинцидентов. Мы еще столкнемся с драматическими событиями, которых можно было бы избежать при должной культуре управления. Но одновременно с этим в ближайшие пять лет мы увидим консолидацию рынка, выделение ключевых отечественных игроков, которые шаг за шагом возвращают доверие заказчиков, и глубокую взаимную технологическую интеграцию их решений.
Ожидается появление государственных механизмов учета, тестирования и сертификации продуктов с элементами ИИ, учитывающих проверенные доверенные фреймворки, модели и базы данных. Государство проявляет осторожность к использованию новых технологий, поэтому далеко не каждое решение коммерческого сектора сможет применяться без дополнительного контроля над вопросами информационной безопасности и доверия.
