Проблемы в области импортозамещения программного обеспечения обсуждали на круглом столе «Цифровой суверенитет: готова ли Россия работать на собственном ПО», который прошел в Москве в рамках Cyber Security Forum 2016.
Единый реестр. Согласно принятому в июне прошлого года закону «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статью 14 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» в стране создан и действует с начала года Единый реестр российского ПО.
Участники круглого стола отметили, что изменения в правилах госзакупок вынуждают госзаказчиков обратиться лицом к российскому ПО, прежде всего включенному в Реестр. Теперь, когда заказчикам приходится обосновывать причину отказа от российских продуктов, выясняется, что причины для этого находятся не всегда.
Как напомнил ведущий круглого стола, президент Фонда развития информационной демократии Илья Массух, одним из поручений президента РФ по итогам работы форума «Интернет Экономика 2015» было распространение действия этого реестра на госкорпорации. Тем не менее, по его наблюдениям, последние продолжают тратить огромные суммы на закупки иностранного ПО. Объяснить это, по мнению президента компании Koodoo Technologies Анны Мещеряковой, можно в том числе тем, что в стране критически не хватает положительных примеров внедрения отечественных продуктов.
Более оптимистично оценивает состояние дел с Реестром ведущий эксперт по ИБ компании InfoWatch Мария Воронова. По ее данным, заявок в Реестр уже подано много, поэтому их рассмотрение и замедлилось.
Со своей стороны генеральный директор DZ Systems Дмитрий Завалишин заметил, что по-настоящему промышленных, тиражных российских программных продуктов, тем более таких, которые можно по формальным признакам разместить в Реестре, все-таки реально мало. К тому же у нас в стране распространена еще и заказная разработка ПО, которая к Реестру отношения не имеет, а доля такого рода ПО среди лотов госзакупок немалая. Для такого рода ПО критерии импортозамещения еще предстоит сформулировать.
Подходы к разработке. По мнению г-жи Вороновой, подход к разработке ПО нужно менять начиная со стадии финансирования. Приоритеты в разработке должны задавать заказчики, т. е. формироваться они должны рыночными механизмами. Заказчик, с одной стороны, должен четко формулировать свои бизнес-требования к будущему продукту, контролировать их выполнение по ходу разработки, но при этом гарантировать покупку продукта после завершения разработки. Разработчик, имя такие гарантии, получает стимул выполнить предъявленные заказчиком бизнес-требования.
Как отметил г-н Завалишин, понимать, под какие бизнес-задачи разрабатывать ПО, действительно важно, но непросто. Продажа ПО, по его мнению, это прежде всего продажа консалтинга, компетенций. ПО сильно зависит от конкретных бизнес-задач, поэтому универсальность программных продуктов, считает он, трудно реализуема.
Во взаимодействии заказчиков с разработчиками, по мнению эксперта Координационного центра доменов RU и РФ Михаила Анисимова, должны помочь центры компетенции, о создании которых говорится в поручениях президента РФ. Эти центры могут взять на себя роль коллектора запросов заказчиков и оценщика предложений разработчиков. Г-н Массух сообщил о том, что есть договоренность с главой Минкомсвязи создать такой центр компетенции к апрелю.
В условиях глобализации всех процессов, отметил г-н Завалишин, разработчики ПО реально могут находиться в разных местах земного шара и взаимодействовать дистанционно. Поэтому нашей стране резоннее озаботиться не столько разработкой, сколько менеджментом разработки ПО.
Свободное ПО. Отвечая на вопрос, разработку какого ПО государство хочет поддерживать — софта, написанного с нуля; написанного с использованием открытого кода (СПО), права на который принадлежат российским компаниям; или иностранную программную разработку, доработанную российскими компаниями, которым в результате принадлежат права на разработку, г-н Массух сказал, что цель состоит все-таки в развитии собственной индустрии разработки ПО, а не в увеличении количества специалистов по «переклеиванию» лейблов на продуктах.
По его мнению, СПО позволяет развивать национальную базу инженеров-программистов, квалификация которых скорее относится к настройке клонов продуктов и платформ СПО, которые не являются по происхождению российскими, поскольку открытые лицензии на них не дают разработчику конечного продукта прав на код или его доработку, в чем, как он считает, собственно и заключается суть бизнеса разработки ПО.
К тому же использование СПО, как отметил г-н Завалишин, требует реальных компетенций в программировании. Без них поднять СПО до уровня продукта не получается, а их в стране пока недостает.
Г-н Массух полагает, что в Реестр СПО должно попадать не в первую очередь, за исключением, разве что, такого, вокруг которого сложилось большое сообщество российских разработчиков. В качестве примера он назвал СУБД PostgreSQL.
Кадровые проблемы. По мнению г-на Завалишина, в стране нет достаточных ресурсов разработчиков для того, чтобы быстро заменить все используемое иностранное ПО. Качество и технологии разработки, которые используют российские производители ПО, как он считает, не соответствуют международным критериям.
Эти проблемы, как отметил г-н Массух, напрямую относятся к области образования. Нужно менять программы подготовки программистов, приближая их к требованиям импортозамещения, т. е. учитывая присутствующие на рынке и успешно используемые отечественные программные продукты, включая облачные разработки, считает он.
Практически все крупные софтверные российские компании имеют в вузах, прежде всего тех, которые в свое время закончили их руководители, свои базовые кафедры. Они становятся плацдармами подготовки специалистов, в том числе и для этих же компаний. Однако даже эти крупные (по российским меркам) компании не могут взаимодействовать с вузами с тем же размахом, с каким взаимодействуют крупные (по западным меркам) иностранные компании. Последние нередко предоставляют вузам свои продукты бесплатно. Российские разработчики такими возможностями обладают не всегда.
Директор по продуктам компании «Новые облачные технологии» Евгений Фенюшин считает, что просто передавать лицензии на ПО в учебные учреждения нецелесообразно — нужны программы по обучению работы с ним, и у российских разработчиков ПО такие специальные программы для школ и вузов есть. Эти программы знакомят аудиторию пользователей с альтернативными зарубежным продуктами, расширяют для них свободу выбора.
Упомянутым центрам компетенции важно также выстроить взаимодействие с образовательными учреждениями в части разработки образовательных программ как для студентов, так и для преподавателей.
Подавляющее большинство нынешних ИТ-директоров, отметили участники круглого стола, учились на зарубежных программных продуктах, и придя на работу, естественно, потянули их за собой. Переходить на отечественные продукты, по наблюдениям г-на Массуха, они зачастую не хотят, поэтому хотя бы в госструктурах ИТ-руководителей нужно (и можно) заставлять это делать.
ИБ и ПО. Поскольку, как подчеркнул г-н Анисимов, политика импортозамещения во многом обусловлена необходимостью обеспечения национальной безопасности, важно определить приоритеты в разработке отечественного ПО и с этой позиции: ПО какого класса и для каких отраслей следует создавать в первую очередь.
По мнению г-на Массуха, расставить такие приоритеты, выделить ПО, уязвимости в котором наиболее опасны, трудно. Так, отметил он, офисное ПО, на первый взгляд к категории критичного в смысле ИБ относить, вроде бы, нелогично. Однако используется оно огромным количеством пользователей, что изначально повышает критичность уязвимостей в нем. Не следует также забывать, что результаты работы самых критичных и хорошо защищаемых программ (например, конструкторских) в итоге ложатся на стол руководству в виде текстовых файлов, электронных таблиц, презентаций и т. п.
Офисное ПО сегодня, как отметил г-н Фенюшин, тяготеет к облачной модели функционирования (по меньшей мере для получения обновлений в облаке вендора). Технически это предоставляет возможность изменения программных кодов у конкретного заказчика, т. е. возможность проведения целевых атак. Мировые тенденции свидетельствуют о том, что не только Россия, но и другие страны (например, Германия, Китай, Франция) стремятся пока ограничить использование публичных облаков госструктурами.
Участники круглого стола напомнили, что ПО, которое обеспечивает в стране функционирование сложного оборудования — энергетического, медицинского, производственного и т. д. (а оно у нас — оборудование и ПО, в том числе и на критически важных объектах — по большей части импортное), по требованиям вендоров должно обеспечивать удаленное подключение разработчиков для технической поддержки и обслуживания. И нет гарантий, что по каналам таких подключений не пройдет заражение ПО или не осуществится диверсия.
Трудно не согласиться с г-ном Завалишином, который считает, что вытеснить с национального рынка всех иностранных разработчиков ПО не получится, в том числе из-за конкуренции, которая российских разработчиков многому учит, да и не все ПО можно в одночасье заменить на отечественное. К тому же у нас нет задачи обособиться от мира, считает он. Технологии развиваются глобально, глубоко интегрируются во все страны и регионы. Нам нужно развиваться с учетом именно этих тенденций, при этом аккуратно и вменяемо защищая себя.
Отечественная разработка ПО, резюмировал г-н Массух, не стартует с места — ей приходится прыгать в набравший скорость поезд. И потому ей нужна государственная помощь. Понимание этого у многих представителей руководства страны есть. Однако ожидать новых льгот трудно — не лишиться бы действующих. Остается надеяться, что наметившееся (поступательное) движение происходит в нужном направлении.