На мой взгляд, одним из наиболее ярких на прошедшем в ноябре CNews Forum (см. PC Week/RE, № 46/2007) стало выступление депутата Госдумы РФ Виктора Алксниса, который, обрисовав на броских примерах текущую ситуацию в сфере обеспечения национальной информационной безопасности в нашей стране, призвал к созданию собственной российской операционной системы на базе Linux. Проведенное сразу после этого доклада электронное голосование показало уверенную поддержку данной идеи со стороны ИТ-аудитории: согласившись фактически единогласно с необходимостью реализации такого проекта, большинство (63%) главной целью этого решения назвало снижение зависимости от иностранных разработчиков.
Казалось бы, все ясно: вопрос заключается лишь в том, как технически реализовать проект. Обеспечить финансирование, выбрать исполнителей, закрепить необходимые положения на уровне законов и нормативных актов…
Однако нужно сказать, что аргументы депутата Алксниса являются совсем не бесспорными, а при внимательном рассмотрении, на мой взгляд, и вовсе неверными. Только, к сожалению, пока почему-то получается так, что соображения “contra” со стороны ИТ-сообщества не удостаиваются представления с официальных трибун, хотя довольно широко обсуждаются в кулуарах и интернет-блогах (см., например, http://itblogs.ru/blogs/cio_anatomy/archive/2007/12/04/23851.aspx).
Отметим, что г-н Алкснис выступает совсем не как “один в поле воин”. Тема создания российской национальной ОС витает уже несколько лет, и нынешней осенью она получила мощный всплеск на фоне дискуссий в нашей стране по поводу легализации используемого ПО. Но дело осложняется тем, что данная проблема имеет не только сугубо технические, но и социально-политические аспекты. А это, в свою очередь, являет собой отличную возможность для откровенных политических спекуляций, спрос на которые вполне естественно повышается в условиях предвыборных баталий. И в результате, например, дискуссия о преимуществах-недостатках проприетарного и свободного ПО как-то незаметно переводится в плоскость противопоставления зарубежных и российских разработчиков, а затем фактически ставится вопрос о контроле со стороны государства за деятельностью коммерческого сектора разработки ПО в целом.
Хотелось бы подчеркнуть: я не хочу обсуждать, какую модель ПО должно поддерживать (и должно ли поддерживать) государство и нужно ли нам создавать национальную ОС. Вопрос в другом: какого рода аргументы следует использовать при обсуждении этих проблем? Или более конкретно, что такое национальная информационная безопасность (НИБ) и как ее можно обеспечить в современных условиях глобального ИТ-рынка? И даже еще конкретнее: сможет ли реализация предлагаемого проекта по разработке национальной ОС повысить эту самую НИБ?
Доводы депутата
Из множества представленных в докладе примеров угроз НИБ я бы выделили две основные группы.
1. Зависимость России от зарубежных ИТ-поставщиков. Об этом было сказано: “не наши” микросхемы используются в стратегических боевых ракетах; чужая электроника находится в президентском самолете; американская ОС установлена на миллионах ПК, на которых не только играют дети, но и работают секретные российские ученые. А взлетят ли ракеты в час “Х”? А если взлетят, то в какую сторону направятся? И т. п.
2. Возможность постоянного несанкционированного контроля содержимого российских компьютеров через Интернет, который может осуществлять (не исключено, что и в самом деле осуществляет) та же Microsoft, например, через механизм обновления своей ОС. Ну, а через Microsoft это могут делать и разные спецслужбы вероятного противника.
Хотелось бы начать со второго пункта, абсурдность которого понятна любому человеку, знакомому с ИТ.
Защита от утечек
Вполне очевидно, что проблема тут не в Microsoft и не в Windows, а в Интернете, который на корню подорвал базовые подходы к обеспечению НИБ. Ведь раньше для передачи секретов нужно было уходить от слежки, использовать тайники, выводить сведения диппочтой и пр. А сейчас — зашел в любое интернет-кафе, и через пять минут секретный архив “воензавода” уже в базе данных противника. Так что правильнее было бы бороться не с Windows, а с Интернетом…
Если же говорить серьезно, то, конечно, компьютеры и Интернет как любые технические инновации помимо плюсов имеют и определенные минусы. Но баланс “плюсов-минусов” положительный, и, кроме того, существуют технические методы сведения последних к минимуму.
Проблема защиты от интернет-угроз действительно существует, но любой специалист по безопасности скажет, что на 99% она связана не с защитой от действий поставщиков, а от хакеров. И всем специалистам хорошо известно, как нужно обеспечивать информационную безопасность в условиях глобальных коммуникаций. Для неспециалистов же предлагаю подумать над такими вопросами: каким образом защищают свои персональные данные граждане США, которым также не хотелось бы, чтобы их сведения попадали в руки какой-то компании, не важно — американская она или нет? как обеспечивает сохранность коммерческих тайн, скажем, корпорация “Боинг”? как защищает свои секреты (от частной компании!) то же ЦРУ?
Что же до ситуации с информационной безопасностью в России, то тут проблемы и вправду есть. За примерами далеко ходить не надо: достаточно присмотреться к лоткам, с которых открыто продаются компакт-диски с конфиденциальными данными как частных, так и юридических лиц. Исчезнут ли эти диски автоматически, как только мы заменим американскую ОС на российскую или отключим все наши компьютеры от зловредного Интернета?
Защита от западной зависимости
Этот вопрос гораздо сложнее. Он напрямую связан с политикой и темой национальной безопасности (НБ) в целом.
Для начала отметим, что создание национальной ОС проблему “зависимости” не решит даже на один процент. Ведь кроме ОС есть и другой софт — MS Office, СУБД Oracle, SAP ERP, IBM WebSphere и т. д. и т. п. Не говоря уже о “железе” — процессорах Intel, мониторах NEC…
Вопрос тут нужно рассматривать принципиально. Зачастую мы воспринимаем нашу технологическую зависимость от Запада как следствие слабости экономики страны. Но давайте взглянем на проблему с другой стороны: а можно ли в принципе в современных условиях глобального взаимосвязанного мира создать экономику, полностью независимую от других стран. Ну, если не для всего народного хозяйства, то хотя бы для ВПК?
Может быть, в поисках ответа на этот вопрос нужно посмотреть на опыт других стран? Например, на довольно богатую и технологически развитую Японию. Как Страна восходящего солнца обеспечивает свою НИБ, не производя собственных самолетов, не имея стратегических ядерных ракет, не обладая запасами нефти и руды и, наконец, собственной национальной ОС? Или, может быть, Японию (как и многие другие небедные страны) вопрос безопасности просто не волнуе,т и она полностью полагается на благородство своих ближних и дальних соседей по планете?
Так, может, НИБ должна базироваться на каких-то совсем иных принципах? Например, на принципе взаимозависимости глобального мира, интеграции национальной экономики в мировое хозяйство? (Кстати, в этом случае даже сама попытка создания “независимой” экономики может рассматриваться остальным миром как потенциальная угроза для него со всеми вытекающими последствиями*.)
Если вернуться к ИТ, то обеспечение НИБ страны будет определяться не уровнем независимости национальной ИТ-отрасли от заграницы, а зависимостью мирового ИТ-рынка от данного государства. Тут стоит обратить внимание на то, что вес державы определяется ее статусом не только поставщика, но и потребителя ИТ (хотя на практике эти два статуса обычно находятся примерно на одинаковом уровне).
Понятно и то, что в данном случае НИБ может определяться и по несколько иному критерию — соотношением уровней развития ИТ-рынков, мирового и национального. А из этого можно сделать стратегический вывод: обеспечение (повышение) НИБ России связано не с созданием самодостаточной ИТ-отрасли (что является нереальной задачей для любой страны, в том числе и США), а с сокращением разрыва между российским и мировым ИТ-рынками.
Отлично понимая дискуссионность понятия “уровень развития рынка” (хотя на интуитивном уровне, думаю, ясно, о чем идет речь), считаю полезным провести анализ ИТ-позиционирования России в мире, скажем, за последние пять – восемь лет. Кстати, такая оценка прозвучала в том самом выступлении Виктора Алксниса: отставание нашей страны увеличивается (хотя и это довольно спорно).
Но вернемся к вопросу создания национальной ОС. Может быть, такой проект и нужен. Но только к обоснованию его необходимости нужно подходить не с точки зрения зависимости от зарубежных поставщиков, а совсем с другой стороны: будет ли его реализация способствовать развитию российского ИТ-рынка, нашей интеграции в мировое пространство, увеличению вклада России в ИТ-отрасль планеты? Лично я сильно в этом сомневаюсь, особенно если реализацией проекта займутся властные структуры.
Безопасность и конкуренция
Однако нельзя тему НИБ сводить исключительно к противостоянию “мы и они”. Есть и другой важный аспект — поставщики и потребители. Как обеспечить независимость пользователей (в том числе и госструктур) от диктата коммерческих ИТ-компаний (не имеет значения — российских или зарубежных)? Это действительно важный вопрос, решение которого возложено на государство. И ответ на него в рыночных условиях известен: поддержка конкурентной ситуации на рынке, противодействие тенденциям монополизации. Что мы и видим на примере передовых ИТ-стран, но не очень-то наблюдаем в России.
Хотя, конечно, есть и другие методы управления развитием ИТ-отрасли. Они также получили огласку в выступлении депутата Госдумы: например, г-н Алкснис предложил обязать ведущих российских поставщиков ПО (были названы, в частности, “1С”, “Лаборатория Касперского” и ABBYY) адаптировать свои продукты под Linux. Любопытно — как будет выглядеть механизм реализации такой “обязаловки”?
*Тут можно привести пример из области энергетики. С одной стороны, Европа зависит от поставок энергоносителей из России. Но с другой -- и наша страна зависит от Старого Света как от покупателя.
Ссылка на статью: [URL=http://www.pcweek.ru/themes/detail.php?ID=105041]К вопросу об обеспечении национальной информационной безопасности[/URL]
Тут,наверное, срабатывает старая советская привычка всё валить в одну кучу.Не уверен, получится ли что-нибудь путное.Хочется одно, а умеют совсем другое.
Олег Г. Кильдюшов 13.12.2007 14:15:12
Андрей, п.2 отнюдь не абсурден. Есть разные уровни собираемой спецслужбами аналитики. Статистика использования в стране компьютерного парка, его состав, географическое размещение и динамика изменения -- хорошие аналитические показатели, например, при планировании операций подразделений информационных войск.
Эдуард Пройдаков 13.12.2007 16:00:50
Но самое главное - системная проблема упрощена до технической. Это допустимо, если доказано, что влияние нетехнических параметров ничтожно. Но пока это никто не доказал. Поскольку политика эффективной безопасности предполагает, что опасно все, если не доказано противное, то выводы могут получиться очень даже противоположные. Можно сколько угодно теоретизировать, но ни один вменяемый обыватель не купит автомобиль с наглухо закрытым капотом. Просто потому, что не понимает, зачем это нужно производителю. А непонятное опасно по определению. У производителя два варианта успокоить потребителя: 1. открыть капот. 2. аргументированно объяснить, почему он не может этого сделать. Применительно к проприетарному ПО мы не имеем ни того, ни другого - и не открывают, и не объясняют. Если это не опасно, то что же тогда опасность?
Сергей Голубев 13.12.2007 16:34:24
Не могу согласиться с автором по поводу отсутствия решений по национальной ИБ в Китае и Японии. Там есть и свои микропроцессоры, и свои компьютеры, и свой софт. Более того, Китай сделал и выпускает свои сетевые устройства. Меня высоко подпрыгнуть заставило следующее заявление Алксиниса: "По оценкам экспертов на создание национальной ОС требуется потратить 25 млрд. долл. и 10--15 лет". Этим его экспертам явно заплатили из Редмонда :). 1. Чтобы написать операционку много людей, как известно, не требуется. В той же Майкрософт этим занимается порядка 500 человек из их 5 тыс. разработчиков. Но нужно учесть тамошнее многотемье, поэтому реально над каждой ОС работает человек 150--200, а то и меньше. 2. Разработка ОС, даже если делается с нуля, обычно занимает 2--3 года. Вот и считаем, что даже при 100% накладных расходов, это 12--15 млн. долл. при средней зарплате программиста 2000 долл. в месяц. (Проблема в том, что здесь нужны достаточно рафинированные ребята.) Майкрософт, по словам Алксниса, потратила на Windows Vista около 6 млрд., но нужно учесть громадные расходы этой корпорации на маркетинг по всему миру. Поскольку для национальной ОС этого не требуется -- на неё есть политический заказ, то маркетинговые расходы могут быть вполне сопоставимы со стоимостью разработки. Далее следует учесть, что поддерживать и развивать систему нужно на всём протяжении её жизненного цикла -- около 10 лет, поэтому нужно закладывать в смету расходов ежегодно по 5--7 млн. долл. на сопровождение и модернизацию. Итого от 80 до 100 млн. долл. на 10--12 лет. Поскольку в реальности очень много кода уже написано, на базе того же самого Linux, то в российских условиях обычно такую ОС делает команда максимум из 25--30 человек. Соответственно общая цифра уменьшается до 30--35 млн, т.е. около 3 млн. в год -- цена вопроса в масштабах страны просто смешная. Конечно, это сумма не слишком перспективна с точки зрения откатов, а потому будет совершенно неинтересна чиновникам.
Эдуард Пройдаков 13.12.2007 16:37:52
Не могу согласиться и со следующим высказыванием автора: "Так, может, НИБ должна базироваться на каких-то совсем иных принципах? Например, на принципе взаимозависимости глобального мира, интеграции национальной экономики в мировое хозяйство?" Этот вопрос можно было задавать в начале 1990-х годов, да и то с оглядкой. Сейчас же, когда в мире уже семь лет идёт гонка вооружений и война за ресурсы, когда просматривается очередной грядущий передел геополитического влияния... Всё это очень похоже на разговоры о прелестях конкурентного рынка, но только все забывают сказать, что такой рынок должен быть плоским, т. е. с равными условиями для участников. И где вы видите плоские рынки? :)
Эдуард Пройдаков 13.12.2007 17:28:43
Лично я к депутатской активности по поводу НИБ отношусь сугубо как к PR-акции, как к способу самопродвижения в предвыборный период. Поскольку коммунисты не решаются выступать с критикой внутренних врагов (как в свое время относительно Ельцина), то теперь занялись поиском внешних
Андрей Колесов 14.12.2007 09:38:49
1.Да, наверное, информация о компьютерах в сети представляет интерес для вероятного противника. Но при чем тут Microsoft и то, какая система установлена? Эти довольно успешно занимаются миллионых хакеров (любителей и бизнесменов). И они в технологическом плане составляют на порядок более серьезную угрозу, чем все спецслужбы мира вместе взятые.
2. Никто не ответил на вопрос: а как обеспечивают информационную безопасность, те же Япония и Германия, у которых компьютеров установлено поболе, чем в России? Надеются на лояльность ЦРУ? А как защититься от "советских" агентов, внедренных в западные компании? :)
3. Зачем ЦРУ собирать данные о автомобильном парке России, засылая своих агетнов в десятки компаний-производителей? Не проще ли пойти на Горбушку и купить там диск с выверенной базой данных за 100 долл?
При таких наших порядках, создав национальную ОС, которая будет производиться "сертифицированным" разработчиком, мы только сильно упростим возможность сбора данных о национальном компьютерном парке для того же потенциального противника.
Андрей Колесов 14.12.2007 10:03:39
"Никто не ответил на вопрос: а как обеспечивают информационную безопасность, те же Япония и Германия, у которых компьютеров установлено поболе, чем в России? Надеются на лояльность ЦРУ? А как защититься от "советских" агентов, внедренных в западные компании?" Могу (обоснованно) предположить - собственными разработками в области защиты информации, которую есть смысл защищать - ответить по существу могут лишь создатели соответствующих систем ИБ, люди профессионально скромные - риторично'с сформулирован вопрос. "обязать ведущих российских поставщиков ПО (были названы, в частности, “1С”, “Лаборатория Касперского” и ABBYY) адаптировать свои продукты под Linux. Любопытно — как будет выглядеть механизм реализации такой “обязаловки”
Нормальное и весьма желательное к реализации антимонопольное требование.
Евросоюз не обладает монополией на успешные антимомнопольные мероприятия в отношении MS.
Сегодня 1С бухгалтерия все еще не может по серьезному (без лепух) работать ни на чем кроме MS Windows и MS SQL. - Вы пришли покупать автомобильный прицеп, а его Вам согласны продать лишь в комплекте с Ладой - Калина и автомобильным холодильником... - это что, нормально?
Александр Куприянов 14.12.2007 11:20:35
Цитата
Вы пришли покупать автомобильный прицеп, а его Вам согласны продать лишь в комплекте с Ладой - Калина и автомобильным холодильником... - это что, нормально?
Нет. Но про это-то Алкснис почему-то молчит. А придумывает аргументы, которые окромя смеха ничего не вызывают. И приходится думать, что "его экспертам явно заплатили из Редмонда".
Сергей Голубев 14.12.2007 11:29:54
Интересно было бы посмотреть на механизм принуждения коммерческих компаний, который заставит их выпускать продукты для Linux. То есть компания должна потратить время своих специалистов - а значит и деньги - на продукт коммерческая окупаемость весьма сомнительна. Кончится это тем, что софтверные компании будут регистрироваться в других странах, чтобы обойти это требование. Так, например, происходит в Канаде, откуда компании убегают в США, спасаясь от налогового бремени. И еще один интересный аспект - а будет ли требование для компаний разрабатывающих софт для Linux делать его в обязательном порядке и для Windows ;-)
Игнатов Андрей 17.12.2007 10:41:49
1. Я бы относился к ссылкам на опыт Китая очень и очень осторожно. Во-первых, по большу счету, мы не так хорошо знаем, как там обстоят дела. Во-вторых, не знаю в какой мере их исторический опыт годится для нас. Другая культура, другой социальный строй...
2. В нашем обсуждении мы очень четко вышли на связь НИБ и вопросов монополизма. И тут не случайно сплыла "1С". Уровень ее мономолизма в ряде сфер уже сегодня превосходит MS. Причем это относится не юзеровской сфере, а к бизнесу. Вот там-то данные точно "критически важные". Безопасность заказчика в мире ИТ обеспечиваться только за счет свободы выбора технологий, т.е. наличия реальной конкуренции.
3. Принудить кого-то к использованию Linux - дело абсолютно безнадежное. Создать какие-то льготные условия для пользователей-разработчиков Linux - это уже реальнее. Правда, как это можно реализовать в условиях нашей страны?
Андрей Колесов 17.12.2007 11:52:21
Цитата
Игнатов Андрей пишет: Интересно было бы посмотреть на механизм принуждения коммерческих компаний, который заставит их выпускать продукты для Linux.
А при чем тут Linux? Или даже GPL? Например, Министерство экономики Нидерландов объявило апрель 2008 года как обязательный срок для начала использования программного обеспечения с открытым кодом в государственных ведомствах. Вот [URL=http://ap.google.com/article/ALeqM5gK-eb7SFzG8QLvOOlfdt_cPMnFmwD8TGNLJ80]тут[/URL] оригинальный текст новости. Обратите внимание - про Linux ни слова. Речь идет только об открытом исходном коде. И монополизм тут тоже никаким боком. Безопасно ли тотальное использование АКМ другими странами? Безусловно. Если даже Россия откажется их поставлять, они быстренько разберут автомат на детали, сделают нужные чертежи и наладят собственное производство. Совершенно неважно, кто производит ПО - Microsoft, 1С или черт лысый. Главное - доступность исходного текста.
Сергей Голубев 18.12.2007 10:36:02
Сергей, открытость исходного текста необходимое условие, но недостаточное. Майкрософт по известной программе работы с госорганами открыла под определёнными условиями исходные тексты своих продуктов. Ну и что? От чего это вас гарантирует? Во-первых, в 40 млн. строк кода одной только ОС можно спрятать что угодно. А при сговоре с разработчиками процессоров это вообще как два пальца. В таком случае не зная кода запуска, найти закладку практически невозможно. Во-вторых, после любого патча либо очередного релиза ПО сертификацию нужно проводить заново, поскольку закладки могут быть "спящими" и патч может активировать одну из них. Другое дело, что решение вопросов ИБ нужно было завершить лет 10--12 назад, а не сейчас, когда на это нужно в 10--12 раз больше усилий.
Эдуард Пройдаков 02.01.2008 19:20:20
www.modems-radio.ru Статья очень нужная от главного редактора. Только вот что Эдуард, Найдите время и изучите лично как изъять латиницу из Информатики pf 200 секунд, чтобы воин не было и краж. Я Вам сударь много раз писал лично. Пройдите на сайт и ознакомьтесь. Фантастика уже рядом, если появились первый вирус в загрузочном секторе BIOS с без буквенной моделью ASCII. Все саме простое всегда гениально, когда планета поймет, чем является восьмой бит в 128 знакоместах основной ASCII тогда и ни одна ракета в другое государство для взрыва не прилет и не улетит. С уважением академик РФ Батухтин В.А. www_modems-radio_ru
БатухтинВА 14.01.2008 09:39:26
Только зарегистрированные пользователи могут оставлять комментарий.
