Концентрация экономической и финансовой жизни вокруг административного центра страны незаслуженно экранирует события, происходящие в регионах. Это в полной мере относится и к области ИТ. Вместе с тем в регионах работают крупные компании, реализуются интересные значимые проекты. На прошедшем в Казани IT&Security Forum '2011 о некоторых региональных аспектах ИТ-бизнеса научному редактору PC Week/RE Валерию Васильеву довелось побеседовать с Виктором Дьячковым, генеральным директором компании “ICL-КПО ВС”, штаб-квартира которой расположена в Казани.
PC Week: Если судить по темам выступлений и даже по именам докладчиков, которых “ICL-КПО ВС” пригласила на форум, то складывается впечатление, что Татарстан в области ИТ интересуется теми же проблемами, что и Центр. А где же региональная специфика?
Виктор Дьячков: Информационные технологии и задачи информационной безопасности интернациональны и трансграничны. Думаю, поэтому у нашего мероприятия даже федеральной специфики мало, разве что в вопросах, связанных с особенностями законодательного регулирования ИТ и ИБ или с российскими требованиями к бухучету. Из актуальных особенностей национального регулирования информационной безопасности [ИТ], которые следовало бы обсуждать, отмечу недостаточное развитие законов для эффективного преследования кибер-преступников.
PC Week: Почему же тогда эта тема в программе форума представлена слабо?
В. Д.: Тут мы следуем классическому для бизнеса правилу: предложение следует за спросом. Наша компания работает на емких рынках, а направление, связанное с расследованием компьютерных преступлений, к таковым сегодня не относится. Зато тематика безопасности дистанционного банковского обслуживания [ДБО] на конференции обсуждается очень активно. Мы поговорим, в частности, о нежелании банков предавать гласности инциденты в этой области, что скрывает масштабы проблемы защищенности ДБО. Как следствие из этого — недостаточное внимание к этому направлению со стороны правоохранительных и законодательных органов, которым следовало бы усилить борьбу с преступлениями в сфере ДБО и изменить законы так, чтобы наказывать кибер-преступников адекватно наносимому ими ущербу.
PC Week: Как же предлагается разрешить это противоречие — с одной стороны, нежелание банков выносить сор из избы, а с другой, их явная потребность в защите со стороны правоохранительных органов, которые, кстати, без возбуждения дела не имеют оснований что-либо предпринимать против преступников даже в рамках уже действующих законов?
В. Д.: Не афишируя проблему с безопасностью ДБО, банки, тем не менее, уделяют ей огромное внимание внутри своего сообщества. По крайней мере нам, системным интеграторам, они как своим партнерам говорят об этом, и мы вместе работаем над задачами защищенности систем ДБО.
Нужно сказать, что ДБО — это как раз та самая область, которая явно обделена вниманием со стороны госрегуляторов. Обязать предавать инциденты в области ДБО гласности могут только они. Того, что сделано на сегодняшний день, недостаточно — нужно менять и уголовный, и гражданский кодекс так, чтобы ловить и сажать кибер-преступников было проще.
PC Week: Почему банки так чураются публичности инцидентов? Насколько актуальны репутационные риски для российских компаний? Складывается впечатление, что российские предприниматели запросто мирятся с ними.
В. Д.: Какие компании и каких предпринимателей вы имеете в виду? Если это авиаперевозчик или банк, то для них такие риски имеют значение.
PC Week: Вы намекаете на клиентскую ориентацию бизнеса? Почему же тогда данные о клиентах российских операторов мобильной связи не один раз оказывались украденными, но ни один из них не довел до суда расследование об утечках?
В. Д.: Не соглашусь с тем, что операторам все равно. Правильнее будет сказать, что общая культура граждан и корпоративная культура российских компаний такова, что допускает это. Ситуация усугубляется еще и тем, что недостаточно развиты законы, способствующие наказанию тех, кто занимается кражами в компьютерной сфере.
PC Week: А как в этой связи вы оцениваете ситуацию с законом “О персональных данных” — безусловно одним из самых сильных механизмов влияния регуляторов на ИТ и ИБ в нашей стране? Может, в него к 1 июля будут внесены изменения, обязывающие компании отвечать за утечки персональных данных, а не за то, какими средствами они организуют их защиту? Кстати, в нынешнем году на форуме этому закону уделено далеко не столько же внимания, сколько в прошлом.
В. Д.: К интегратору обращаться с таким вопросом некорректно. Если закон “О персональных данных” останется по-прежнему жестким, то для того чтобы выполнять эти жесткие требования, рынок будет вынужден активно взаимодействовать с поставщиками решений, т. е. и с нами в числе прочих ИТ-интеграторов. Это практически увеличивает возможности нашей компании на рынке — благодаря данному закону мы больше зарабатываем.
PC Week: А ваши заказчики что говорят на этот счет?
В. Д.: Заказчикам хотелось бы очередного переноса сроков. Ведь в массе своей финансирование ИТ- и тем более ИБ-проектов все еще идет по остаточному принципу. Вначале предприятиям нужно обеспечить основной бизнес, например, купить нужный станок, поставить технологическую линию, а уж потом они смотрят, как обстоят дела с ИТ-системой, обеспечивающей управление этим хозяйством, и с ее защищенностью. Денег не хватает всегда, а система кредитования в стране стала более жесткой. Отсюда стремление отложить выполнение требований регуляторов на потом — никак не сегодня, лучше всего в следующем году.
PC Week: То есть в принципе, пусть погодя, они согласны выполнять закон “О персональных данных” в той редакции, в которой он существует сейчас?
В. Д.: У разных заказчиков и подходы разные. Одна ситуация на заводе, где персональные данные сосредоточены в бухгалтерии и отделе кадров. И совершенно другая, скажем, в медицинских учреждениях. Мы внимательно изучали там ситуацию с защитой персональных данных и решили взяться (кстати, добровольно и почти на бесплатной основе) за адаптацию международных стандартов в этой области для внутрироссийского применения. На разных уровнях мы обсуждали эти свои намерения в Минздраве. Сейчас я подбираю под данную задачу соответствующего специалиста. Это должен быть человек, хорошо знакомый как с техническими, так и с социальными аспектами проблемы.
Хотелось бы через освоение международных стандартов помочь решить проблему в отрасли на системообразующем уровне. Согласитесь, что задачу защиты персональных данных в здравоохранении нельзя решить одним законом, одним постановлением. В нее вовлечено множество юридических и физических лиц, и невозможно их всех посадить в тюрьму за невыполнение закона или всем запретить работать. Так или и иначе люди будут пользоваться информационными системами, несмотря на их несоответствие множеству требований регуляторов. К выходу из сложившейся ситуации нужно подходить как к сложному многоаспектному процессу.
PC Week: Вроде бы Минздрав возглавил этот процесс и ведет его в направлении разработки и внедрения отраслевого стандарта по организации защиты персональных данных. Вы в своей работе по адаптации международных стандартов как-то взаимодействуете с министерством?
В. Д.: Взаимодействуем на уровне обсуждения.
PC Week: Вас там слышат?
В. Д.: Конечно, слышат. Но нужно понимать (и мы понимаем), что у государства сегодня масса проблем. Средства сейчас направляются в основном на модернизацию медицинской технической базы. У меня много друзей в системе здравоохранения. Они рассказывают, что если в США в каждой клинике масштаба нашей районной больницы есть два аппарата для проведения малоинвазивных хирургических операций, то в России таких аппаратов всего несколько штук на всю страну. В техническом оснащении наша медицина отстает колоссально, поэтому основные средства идут на преодоление этого отставания. Задачи защиты персональных данных в медицине будут решаться не как первоочередные — медленнее, чем на это рассчитывали авторы первых редакций закона “О персональных данных”.
PC Week: Вот тут-то, наверное, и проявляются региональные аспекты в бизнесе вашей компании: то, что трудно решать сверху, вы делаете на местах?
В. Д.: Примерно так и обстоят дела. Например, двенадцать лет назад мы внедрили в Казани АСУ скорой помощи. В ней требования к защите персональных данных со стороны действующего законодательства выполняются за счет обезличивания и шифрования. Сегодня эта система действует в семидесяти с лишним городах России, а это уже более чем региональный масштаб.
Кстати, системы, подобные такой АСУ, позволяют отказаться от слабо аргументированных решений. Откладывая на потом приобретение АСУ и покупая вместо нее специализированные автомобили скорой помощи, учреждения здравоохранения лишают себя возможности собирать, структурировать и анализировать информацию о работе службы скорой помощи. Между тем такая информация, накопленная на протяжении длительного времени, позволяет принимать не сиюминутные, плохо обоснованные, а выверенные и проанализированные решения о приобретении реально необходимой техники.
Подходы, реализованные в этой АСУ, взяты нами из практики США. В других странах в системе здравоохранения используют другие технологии. В Англии, например, пациентам выдаются специальные индивидуальные браслеты, служащие накопителями обезличенной врачебной информации, которую пациенты сами транспортируют туда, куда им нужно.
PC Week: А не рано ли говорить о конкретных технологиях, пока не выработаны те самые упомянутые вами стандарты?
В. Д.: Мы — технологическая компания, и мы обязаны заниматься технологиями, на практике отбирая лучшие технологические подходы. К тому же как компания крупная, международная, мы оцениваем проблемы не только в зависимости от выделяемых из центра бюджетов. Работаем мы в основном с крупными заказчиками и к каждому из них подходим индивидуально. Например, плотно работаем с Газпромом. У этого предприятия в рамках форума проходит отдельная закрытая секция. Мы сумели организовать форум так, что газпромовцы приезжают общаться между собой к нам в Казань, в том числе и их высшие руководители.
PC Week: Выходит, вы неплохо освоили работу организатора конференций. Насколько такая диверсификация бизнеса важна для вас?
В. Д.: Справедливости ради отмечу, что для проведения IT&Security Forum мы не все делаем сами — нам помогает местная специализированная компания. Кроме этого форума мы ежегодно проводим конференцию по ERP-системам. Microsoft считает нас интегратором номер один в области внедрения ИС для машиностроения. Это началось еще со времен КамАЗа. К нам приезжают представители разных машиностроительных заводов страны. В нынешнем году на эту конференцию, которая пройдет в сентябре, приедут наши партнеры из Чехии, что не случайно: в советские времена Чехословакия была самым большим потребителем экспорта Казанского производственного объединения вычислительных систем. Сегодня мы активно работаем с подразделением Fujitsu в Чехии. Я у них учусь тому, как получать заказы на европейском рынке, сравниваю нашу и их выработку на человека, — они умеют зарабатывать намного больше, чем мы.
PC Week: А вам не кажется, что это в первую очередь последствия низкой квалификации наших командиров бизнеса, а не низкой производительности труда исполнителей?
В. Д.: Тут я с вами скорее соглашусь. Производительность наших людей на исполнительском уровне, может быть, и ниже, но никак не в разы. Что же касается российских руководителей, то им не хватает опыта, чтобы понимать, сколько людей может требовать тот или иной проект. Поэтому мы пытаемся использовать чужой опыт, чтобы оптимизировать расходы своих ресурсов.
PC Week: По результатам прошлогоднего форума один из участников посетовал на нехватку информации о недорогих ИТ-продуктах. Реально ли ожидать от вас как организаторов мероприятия расширения спектра информации о технологиях и продуктах в этом направлении, чтобы можно было выбирать не только между предложениями ведущих вендоров мира?
В. Д.: Когда заказчик не может позволить себе приобрести решение именно по причине высокой цены, мы предлагаем свою помощь в разработке приемлемой замены. И здесь могу попенять на себя как главу компании за то, что свои наработки мы не успеваем превращать в промышленные продукты — они так и остаются и сопровождаются нами у наших клиентов как частные разработки. Мы сейчас быстро развиваемся, а в этой фазе сложно отслеживать все аспекты ведения бизнеса. Когда мы будем в состоянии доводить частные разработки до тиражируемых продуктов, на рынке появятся недорогие ИТ-решения. Хотя, конечно, конкурировать с такими гигантами, как Microsoft или Symantec, мы не сможем.
PC Week: Вы доводите до этих ИТ-гигантов из числа ваших партнеров ценовые пожелания своих заказчиков?
В. Д.: Постоянно.
PC Week: А отклик есть?
В. Д.: Не было бы откликов, не было бы и партнерства.
PC Week: Благодарю за беседу.