Проблемы импортозамещения, или Постсанкционная ситуация на рынке специализированного оборудования и ПО

Одним из наиболее значимых событий для России в области информационных технологий последнего месяца и, вероятно, последних 10 лет стал массовый уход с российского рынка западных высокотехнологичных компаний, в том числе тех, которые обсуживают существенную часть структур финансового сектора и КИИ. Покинули рынок или приостановили свою деятельность более 400 иностранных компаний, из которых около 50 являются поставщиками ИТ и ИБ оборудования и ПО. Обстоятельства сложились таким образом, что потенциальное сокращение доли специализированного оборудования и ПО иностранного происхождения стало для участников российского рынка не только вынужденной, но и стратегически обоснованной мерой. В этой статье мы рассмотрим позитивные и негативные факторы, влияющие на процессы импортозамещения, а также постараемся обозначить краткосрочный и долгосрочный планы действий для решения экстренных задач и создания условий для планового развития.

Исход иностранных поставщиков

На данный момент наиболее ощутимым для пользователей программного обеспечения (далее — ПО) представляется уход следующих компаний:

1. Microsoft — приостановила продажи. Российские компании не смогут приобрести операционные системы для рабочих станций и серверов [автор статьи не ставит целью привести полный список всех версий и релизов программных продуктов западных компаний, а указывает лишь названия соответствующих линеек], СУБД Microsoft SQL Server и Microsoft Access, офисный пакет Microsoft Office, а разработчикам придется задуматься о замене Visual Studio. Представители Microsoft утверждают, что компания будет продолжать поддержку российских пользователей, а уже проданные программные продукты сохранят работоспособность до истечения срока действия имеющихся лицензий.
2. Cisco — приостановила деятельность. Это одна из самых серьезных угроз для российского бизнеса. Пока узкий круг маркетологов обсуждал отключение сервиса вебинаров Webex, Cisco объявила об отключении всего российского оборудования для сетевой безопасности и телефонии, работающего по подписке. Существует также угроза массового дистанционного отключения всего оборудования Cisco на территории России.
3. SAP — приостановила работу и продажи продуктов. Под угрозой крупные российские компании, установившие себе продукты для комплексной автоматизации бизнеса.
4. Oracle — приостановила работу. Стоит задуматься о замене продуктов для комплексной автоматизации бизнеса типа Enterprise Resource Planning или Human Capital Management, а также средств виртуализации, в том числе облачных, и СУБД.
5. Adobe — приостановила новые продажи продуктов и услуг. Не получится приобрести графические пакеты типа Adobe Photoshop и Adobe Illustrator с многочисленными утилитами, целую экосистему продуктов для маркетинга и коммерции типа Adobe Analytics или Adobe Commerce, а также утилиты для работы с PDF-файлами.
6. VMware — приостановила поддержку. Могут возникнуть сложности у большинства пользователей систем серверной и сетевой виртуализации, в особенности VMware vSphere и VMware NSX, в меньшей степени настольных продуктов типа VMware Workstation. Представители VMware утверждают, что уже проданные программные продукты сохранят работоспособность до истечения срока действия имеющихся лицензий.
7. Autodesk — приостановила работу. Пострадают пользователи систем автоматизированного проектирования семейства AutoCAD, а также продуктов для анимации, работы с графикой и виртуальной реальностью типа 3ds Max, Inferno и HumanIK.
8. Компании DigiCert, GeoTrust, Thawte и другие поставщики сертификатов — приостановили работу. Эти компании прекратили выдавать сертификаты российским сайтам, что сделает затруднительным доступ посетителей к этим сайтам. Сейчас большинство браузеров либо вообще отказываются открывать сайты, не имеющие сертификатов для защищенного соединения по протоколу https, либо существенно затрудняют к ним доступ.

Также ушли с российского рынка разработчики некоторых нишевых продуктов, типа Sabre, EPAM Systems или Depositphotos, но существенного ущерба экономике это не нанесет именно в силу незначительного распространения ПО этих компаний.

Не следует забывать, что с российского рынка ушли и компании-поставщики аппаратного обеспечения — Apple, Dell, Intel, AMD, Siemens, HP, Panasonic, Canon, IBM. Образовавшиеся лакуны на рынке будут быстро заполнены поставками из Китая, а также собственными российскими разработками. Такие компании, как Huawei, готовы выйти на российский рынок со своими продуктами, которые, в частности, имеют запрет на поставку в США.В России и Белоруссии производятся процессоры «Эльбрус» и «Байкал». После присоединения тайваньской компании TSMC к санкционной блокаде местные производства могут быть существенно расширены и модернизированы. Исходя из этого можно предположить, что серьезный дефицит компьютеров в обозримом будущем России не угрожает. Создаваемые компьютеры будут по умолчанию готовы к работе с российскими операционными системами на основе Linux, так что нового переоснащения российских компаний в ближайшее время также не потребуется.

Срочное решение (!)

В первую очередь необходимо заблокировать любые обновления программных продуктов в информационной системе компании. Об этом свидетельствуют и последние рекомендации Национального координационного центра по компьютерным инцидентам (НКЦКИ). Решение о блокировке тех или иных программных продуктов пока отложено, но вполне может быть реализовано со следующими пакетами. Критическое обновление может не только остановить работу соответствующего пакета, но даже вывести из строя и само устройство, на котором этот пакет работал [именно по такому сценарию сильно пострадал, например, интернет-холдинг VK — существенно сократился функционал почтового сервиса mail.ru].

Переходный этап

Принудительное лицензирование

В условиях нарастающего внешнего санкционного давления организации сложно выбрать наиболее качественное решение вместо наиболее финансово выгодного. Из этого возникают кратковременные рискованные меры, которые сегодня закрывают возникающую брешь, а завтра уже сами по себе становятся проблемой, которую нужно решать.Существует, например, сценарий, при котором российские пользователи будут освобождены от ответственности за использование нелицензионного ПО — такая практика называется принудительным лицензированием. Маловероятно, чтобы этот сценарий коснулся и облачных программных решений — весь код в этих решениях находится в облаке, а пользователи получают только лишь доступ по подписке. Но, например, операционные системы семейства Windows и пакеты типа Microsoft Office вполне могут функционировать без поддержки издателя.Использование нелицензионного ПО даже в условиях усиления санкций может рассматриваться только как временная мера, которая позволит выиграть время для плавного перехода на российские аналоги. Существуют обстоятельства, в связи с которыми полный переход на такое ПО нецелесообразен и может иметь очевидные негативные последствия:

• угроза обнаружения в импортных продуктах критической уязвимости или «логической бомбы», эксплуатация которых не может быть предотвращена ни антивирусной системой, ни межсетевым экранированием;
• появление новых программных продуктов, несовместимых с западными операционными системами;
• изменение стандартов разработки ПО;
• изменение архитектуры глобальной сети с возможным переходом на новые протоколы;
• появление новых компьютеров с иной архитектурой, несовместимых с западными операционными системами.

Поддерживать работу ПО, отключенного от официальных обновлений, российские компании смогут не более 3–4 лет. Главным условием безопасности использования подобных продуктов будет надежная изоляция корпоративной информационной системы от любого воздействия извне с помощью антивирусов и межсетевого экрана российского производства [на данный момент таких систем всего три – антивирусы Касперского, DrWeb и NANO].

Freeware

Еще одно промежуточное решение — Freeware, или «свободное программное обеспечение». Ни в коем случае не следует использовать его в качестве замены лицензионному ПО. На одном только популярном ресурсе github обнаружено более 100 программ с вредоносными включениями. Такие программы активируют вредоносный функционал, как только обнаруживают, что компьютер имеет российский IP-адрес. Происходит либо необратимая порча информации на жестком диске компьютера, либо атака на все компьютеры в корпоративной сети. Издержки на выявление таких «логических бомб» могут существенно превысить затраты на приобретение гарантированно безопасного отечественного ПО.Оба решения, как можно понять, несостоятельны и несут в себе существенные риски нарушения стабильности работы систем, в рамках которых они работают, и процессов, которые они обслуживают. Поэтому более качественным и стратегически оправданным решением является поэтапный переход на российские аналоги.

Переход на российские аналоги

Аргументы против использования нелицензированного ПО в первую очередь говорят о том, что новая инфраструктура организации должна соответствовать новому вектору развития ИТ и ИБ в России. Решением, которое позволит в будущем избежать нарушения стабильности работы ПО и обслуживаемых им процессов, является импортозамещение или переход на российские аналоги.

Издержки

Издержки импортозамещения средней российской компании складываются из следующих составляющих:

• стоимости лицензий на отечественный программный продукт;