Проблемы импортозамещения, или Постсанкционная ситуация на рынке специализированного оборудования и ПО

Исход иностранных поставщиков

На данный момент наиболее ощутимым для пользователей программного обеспечения (далее — ПО) представляется уход следующих компаний:

1. Microsoft — приостановила продажи. Российские компании не смогут приобрести операционные системы для рабочих станций и серверов [автор статьи не ставит целью привести полный список всех версий и релизов программных продуктов западных компаний, а указывает лишь названия соответствующих линеек], СУБД Microsoft SQL Server и Microsoft Access, офисный пакет Microsoft Office, а разработчикам придется задуматься о замене Visual Studio. Представители Microsoft утверждают, что компания будет продолжать поддержку российских пользователей, а уже проданные программные продукты сохранят работоспособность до истечения срока действия имеющихся лицензий.
2. Cisco — приостановила деятельность. Это одна из самых серьезных угроз для российского бизнеса. Пока узкий круг маркетологов обсуждал отключение сервиса вебинаров Webex, Cisco объявила об отключении всего российского оборудования для сетевой безопасности и телефонии, работающего по подписке. Существует также угроза массового дистанционного отключения всего оборудования Cisco на территории России.
3. SAP — приостановила работу и продажи продуктов. Под угрозой крупные российские компании, установившие себе продукты для комплексной автоматизации бизнеса.
4. Oracle — приостановила работу. Стоит задуматься о замене продуктов для комплексной автоматизации бизнеса типа Enterprise Resource Planning или Human Capital Management, а также средств виртуализации, в том числе облачных, и СУБД.
5. Adobe — приостановила новые продажи продуктов и услуг. Не получится приобрести графические пакеты типа Adobe Photoshop и Adobe Illustrator с многочисленными утилитами, целую экосистему продуктов для маркетинга и коммерции типа Adobe Analytics или Adobe Commerce, а также утилиты для работы с PDF-файлами.
6. VMware — приостановила поддержку. Могут возникнуть сложности у большинства пользователей систем серверной и сетевой виртуализации, в особенности VMware vSphere и VMware NSX, в меньшей степени настольных продуктов типа VMware Workstation. Представители VMware утверждают, что уже проданные программные продукты сохранят работоспособность до истечения срока действия имеющихся лицензий.
7. Autodesk — приостановила работу. Пострадают пользователи систем автоматизированного проектирования семейства AutoCAD, а также продуктов для анимации, работы с графикой и виртуальной реальностью типа 3ds Max, Inferno и HumanIK.
8. Компании DigiCert, GeoTrust, Thawte и другие поставщики сертификатов — приостановили работу. Эти компании прекратили выдавать сертификаты российским сайтам, что сделает затруднительным доступ посетителей к этим сайтам. Сейчас большинство браузеров либо вообще отказываются открывать сайты, не имеющие сертификатов для защищенного соединения по протоколу https, либо существенно затрудняют к ним доступ.

Также ушли с российского рынка разработчики некоторых нишевых продуктов, типа Sabre, EPAM Systems или Depositphotos, но существенного ущерба экономике это не нанесет именно в силу незначительного распространения ПО этих компаний.

Не следует забывать, что с российского рынка ушли и компании-поставщики аппаратного обеспечения — Apple, Dell, Intel, AMD, Siemens, HP, Panasonic, Canon, IBM. Образовавшиеся лакуны на рынке будут быстро заполнены поставками из Китая, а также собственными российскими разработками. Такие компании, как Huawei, готовы выйти на российский рынок со своими продуктами, которые, в частности, имеют запрет на поставку в США.

В России и Белоруссии производятся процессоры «Эльбрус» и «Байкал». После присоединения тайваньской компании TSMC к санкционной блокаде местные производства могут быть существенно расширены и модернизированы. Исходя из этого можно предположить, что серьезный дефицит компьютеров в обозримом будущем России не угрожает. Создаваемые компьютеры будут по умолчанию готовы к работе с российскими операционными системами на основе Linux, так что нового переоснащения российских компаний в ближайшее время также не потребуется.

Срочное решение (!)

В первую очередь необходимо заблокировать любые обновления программных продуктов в информационной системе компании во избежание произвольного блокирования сервисов. Об этом свидетельствуют и последние рекомендации Национального координационного центра по компьютерным инцидентам (НКЦКИ). Решение о блокировке тех или иных программных продуктов вполне может быть реализовано со следующими пакетами обновлений. Критическое обновление может не только остановить работу соответствующего пакета, но даже вывести из строя и само устройство, на котором этот пакет работал.

Переходный этап

Принудительное лицензирование

В условиях нарастающего внешнего санкционного давления организации сложно выбрать наиболее качественное решение вместо наиболее финансово выгодного. Из этого возникают кратковременные рискованные меры, которые сегодня закрывают возникающую брешь, а завтра уже сами по себе становятся проблемой, которую нужно решать.

Существует, например, сценарий, при котором российские пользователи будут освобождены от ответственности за использование нелицензионного ПО — такая практика называется принудительным лицензированием. Маловероятно, чтобы этот сценарий коснулся и облачных программных решений — весь код в этих решениях находится в облаке, а пользователи получают только лишь доступ по подписке. Но, например, операционные системы семейства Windows и пакеты типа Microsoft Office вполне могут функционировать без поддержки издателя.

Использование нелицензионного ПО даже в условиях усиления санкций может рассматриваться только как временная мера, которая позволит выиграть время для плавного перехода на российские аналоги. Существуют обстоятельства, в связи с которыми полный переход на такое ПО нецелесообразен и может иметь очевидные негативные последствия:

• угроза обнаружения в импортных продуктах критической уязвимости или «логической бомбы», эксплуатация которых не может быть предотвращена ни антивирусной системой, ни межсетевым экранированием;
• появление новых программных продуктов, несовместимых с западными операционными системами;
• изменение стандартов разработки ПО;
• изменение архитектуры глобальной сети с возможным переходом на новые протоколы;
• появление новых компьютеров с иной архитектурой, несовместимых с западными операционными системами.

Поддерживать работу ПО, отключенного от официальных обновлений, российские компании смогут не более 3–4 лет. Главным условием безопасности использования подобных продуктов будет надежная изоляция корпоративной информационной системы от любого воздействия извне с помощью антивирусов и межсетевого экрана российского производства [на данный момент таких систем всего три – антивирусы Касперского, DrWeb и NANO].

Freeware

Еще одно промежуточное решение — Freeware, или «свободное программное обеспечение». Ни в коем случае не следует использовать его в качестве замены лицензионному ПО. На одном только популярном ресурсе github обнаружено более 100 программ с вредоносными включениями. Такие программы активируют вредоносный функционал, как только обнаруживают, что компьютер имеет российский IP-адрес. Происходит либо необратимая порча информации на жестком диске компьютера, либо атака на все компьютеры в корпоративной сети. Издержки на выявление таких «логических бомб» могут существенно превысить затраты на приобретение гарантированно безопасного отечественного ПО.

Оба решения, как можно понять, несостоятельны и несут в себе существенные риски нарушения стабильности работы систем, в рамках которых они работают, и процессов, которые они обслуживают. Поэтому более качественным и стратегически оправданным решением является поэтапный переход на российские аналоги.

Переход на российские аналоги

Аргументы против использования нелицензированного ПО в первую очередь говорят о том, что новая инфраструктура организации должна соответствовать новому вектору развития ИТ и ИБ в России. Решением, которое позволит в будущем избежать нарушения стабильности работы ПО и обслуживаемых им процессов, является импортозамещение или переход на российские аналоги.

Издержки

Издержки импортозамещения средней российской компании складываются из следующих составляющих:

• стоимости лицензий на отечественный программный продукт;
• стоимости услуг внешних подрядчиков по реконструкции бизнес-процессов компании и переходу на отечественное ПО;
• стоимости переобучения бизнес-персонала;
• стоимости углубленного переобучения корпоративных ИТ-специалистов;
• изменения стоимости эксплуатации ПО;
• издержек от простоя компании во время перехода.

Стоимость российского ПО

Поставки российского ПО осуществляются по иной бизнес-модели, нежели западных софтверных продуктов. Если в традиционном варианте покупатель оплачивает лицензию на продукт, то есть стоимость установки программного продукта на определенное количество компьютеров, то при поставке российских Linux-подобных операционных систем покупатель оплачивает стоимость поддержки программного продукта на определенном количестве компьютеров, причем сама установка ПО в большинстве случаев предполагается бесплатной.

Средняя стоимость такой лицензии составляет от 6 до 12 тысяч рублей за поддержку Linux на одном компьютере за один год, для серверных версий цены на лицензию могут доходить до 20 тыс. рублей.

Стоимость может зависеть от используемого дистрибутива (AltLinux, Astra Linux, Calculate Linux, Лотос, Стрелец, РОСА и другие [полный сравнительный анализ более чем 80 дистрибутивов Linux, включенных в государственный реестр российского ПО, мог бы существенно увеличить объем данной статьи]), условий технической поддержки (разовая, многоразовая по запросам, расширенная, круглосуточная, с выездами к клиенту) и потребности компании в дополнительных услугах (например, адаптации определенного ПО сторонних поставщиков). В любой такой дистрибутив входит как минимум сама операционная система, офисный пакет на базе Open Office, почтовые клиенты, браузеры, клиент мгновенных сообщений, программы просмотра мультимедиа- файлов и различные служебные утилиты. При необходимости компания может приобрести офисный пакет с расширенными возможностями от стороннего поставщика, например, «Мой офис» или «R7 office». Такие пакеты включают решения, аналогичные Microsoft SharePoint, средства аналитики данных, облачные хранилища и другие полезные расширения. Стоимость «продвинутого» офисного пакета составляет от 3 тыс. до 8 тыс. рублей за поддержку на одной рабочей станции в течение года.

Необходимо отметить, что в настоящее время сбалансированные рыночные цены на российское ПО еще не устоялись. Не более 20 % российских разработчиков открыто публикуют цены на свои продукты и не более 5 % открыто заявляют о скидках и специальных условиях приобретения. Некоторые поставщики используют обтекаемые конструкции по типу: «в связи с особенностями лицензирования, цена на данный продукт предоставляется по запросу», что, конечно, уместно на рынке, но на другом.

Аналоги СУБД

Ушедшие с нашего рынка системы управления базами данных можно заменить российскими аналогами. К услугам российских пользователей СУБД Ред База Данных (Red Database), PostgresPro, Jatoba и Линтер Бастион — для замены «тяжелых» высоконагруженных систем, ранее эксплуатировавших Microsoft SQL Server и СУБД Oracle. Для замены менее мощных систем вроде Microsoft Access и аналогичных можно использовать СУБД ClickHouse, Линтер Стандарт, Cronos- PRO, Синергия-БД и Лира-Р. Все эти СУБД портированы под Linux [к сожалению, не под все дистрибутивы. Каждая российская СУБД проверена на совместимость с 2–3 российскими дистрибутивами Linux] и обладают всеми возможностями ушедших с рынка импортных продуктов. При внедрении этих СУБД в корпоративную информационную систему может «неожиданно» всплыть необходимость переделки используемого в компании ПО, работающего с СУБД, либо написания неких коннекторов для полной маскировки системы под западные СУБД. Также могут возникнуть некоторые, вполне преодолимые, сложности при миграции уже собранных в компании наборов данных в новые СУБД.

Стоимость российских СУБД варьируется в широком диапазоне — от 10 тыс. рублей за «легкие» базы до нескольких миллионов за «тяжелые». При покупке не стоит забывать про необходимость торговаться.

Аналоги систем виртуализации

Системы виртуализации российского производства представлены в основном Rosa Virtualization, Рустэк и Глобус. Как утверждают разработчики, например, Rosa, их система «поддерживает до тысячи ВМ и может использоваться не только в «частных» центрах обработки данных, но и в ЦОД государственных органов или предприятий». Более «легкие» решения представлены «Р-Виртуализация», «Брест», «Аист», «Ред Виртуализация», ЕСР VeiL и Tionix Cloud Platform. Стоимость этих продуктов может составить от нескольких сотен тысяч до десятков миллионов руб лей. Например, система управления средой виртуализации с возможностью одновременного функционирования до тысячи виртуальных машин и расширенной технической поддержкой обойдется заказчику в 20,5 млн руб лей при первоначальной закупке и 12 млн рублей за каждый год расширенной технической поддержки. Это несколько дешевле импортных аналогов типа VMware vSphere.

Аналоги систем автоматизации бизнеса

Иностранные системы автоматизации бизнеса можно заменить зарекомендовавшими себя российскими разработками «1С: ERP Управление предприятием» и «Галактика ERP», а также относительно новым продуктом «Турбо ERP». Все эти системы портированы под российские версии Linux. Их функционал полностью адаптирован к российскому законодательству и выгодно отличается от зарубежных аналогов. Стоимость может варьироваться от 450 тыс. до 7–10 млн руб лей, в зависимости от количества задействованных функциональных модулей, архитектуры корпоративной информационной системы и количества подключаемых рабочих станций.

Аналоги систем обеспечения информационной безопасности

Рынок российских систем информационной безопасности обширен, поскольку развился и процветал задолго до введения санкций. На нем представлены пять основных групп продуктов.

• Аппаратно-программные комплексы для криптографической защиты и межсетевого экранирования, типа ФПСУ-IP, «Континент» и VipNet — эти продукты обеспечивают защиту корпоративной сети от несанкционированного доступа извне, регулируют доступ внутренних пользователей к внешним ресурсам, обеспечивают криптографически защищенные каналы связи между офисами компании, а также защищенное подключение удаленных и мобильных сотрудников в корпоративную сеть. Служат заменой линейки продуктов Cisco.
• Аппаратно-программные комплексы для централизованной защиты узлов корпоративной сети от несанкционированного доступа и ограничения активности бизнес- пользователей — линейки Аккорд, Secret Net, Dallas и многие др.
• Системы для контроля активности рядовых сотрудников и привилегированных пользователей, а также для предотвращения утечки конфиденциальных данных (DLP-системы) — линейки DLP-систем StaffCop, SearchInform, InfoWatch Traffic Monitor и др.
• Антивирусные системы с централизованным управлением — антивирус Касперского Kaspersky Endpoint Security, DrWeb Corporate Security Suite и NANO antivirus.
• Системы сбора и анализа информации о функционировании корпоративной сети, например, RuSIEM и др.

Все эти продукты хорошо известны на нашем рынке и полностью закрывают имеющиеся потребности в информационной безопасности, так что экстренно создавать что-то новое разработчикам продуктов в сфере безопасности не потребовалось. Разумеется, российские аналоги существуют и для нишевых продуктов, но их рассмотрение выходит за рамки настоящей статьи.

Этапы импортозамещения

Процесс перехода на российское ПО будет эффективен только в том случае, если вести его сверху вниз по уровням корпоративной инфраструктуры. Процесс перехода может состоять из следующих этапов:

1. Неотложные меры по сохранению работоспособности корпоративной информационной системы в условиях жесткого внешнего давления. На этом этапе имеющимися программными и аппаратными средствами корпоративная сеть отсекается от несанкционированных обновлений, вредоносных управляющих команд для корпоративных серверов и различных попыток несанкционированного доступа со стороны спецслужб и подконтрольных им хакерских группировок.
2. Аудит корпоративной информационной системы. На этом этапе выясняется перечень специализированных программных средств, используемых в компании, выбор российских аналогов для этих средств и подготовка временной модели ведения бизнеса на переходный период.
3. Выбор платформ для уже отобранных российских специализированных систем. На этом этапе подбираются российские операционные системы, в наибольшей степени совместимые с избранными прикладными продуктами.
4. Выяснение потребности в дополнительном ПО сторонних разработчиков. На этом этапе выявляется необходимость в использовании дополнительных офисных пакетов с расширенными возможностями, средств аналитики данных, средств информационной безопасности, функционирующих на выбранных операционных системах.
5. Выяснение потребности в замене аппаратных средств — серверов, систем безопасности (межсетевых экранов, криптошлюзов), систем резервного копирования и т. д. На этом этапе обычно выясняется, что 2–10 % корпоративного парка требуется заменить, поскольку имеющееся оборудование по той или иной причине несовместимо с российскими операционными системами или с требованиями безопасности.
6. Углубленное обучение ИТ-персонала компании и специалистов по информационной безопасности с помощью внешних подрядчиков. По результатам обучения корпоративные специалисты должны получить навыки самостоятельного администрирования всех вновь устанавливаемых аппаратных и программных средств, а также иметь возможность самостоятельного реинжиниринга информационной системы компании или как минимум контроля действий внешних подрядчиков.
7. Закупка выбранных на предыдущих этапах программных и аппаратно- программных средств и собственно перевод информационной системы компании на российские продукты.
8. Переобучение бизнес-персонала компании для работы с новыми системами, преимущественно собственными силами с некоторой помощью внешних подрядчиков.
9. Продолжительный контроль за функционированием корпоративной информационной системы и оперативное устранение выявляемых проблем, совместно со специалистами по технической поддержке поставщиков нового ПО.

Выполнить все эти мероприятия собственными силами даже для крупной компании может быть сложно или же несоразмерно дорого. Поэтому представляется целесообразным сотрудничество с каким-либо системным интегратором либо специализированной консалтинговой компанией.

Выводы

Читайте также:

Нейрономика: киборги идут?!

События конца февраля и марта 2022 года показали неустойчивость и зависимость всей системы управления ИТ и информационной безопасностью российского бизнеса. Разумеется, крупнейшие участники рынка были частично готовы к этому, другие же столкнулись с существенными проблемами и ограничениями. И теперь у каждой компании есть выбор: срочно закрывать образовавшиеся пробелы с помощью нелицензированных продуктов или же искать российские аналоги, стоимость которых пока не определена окончательно. Мы считаем, что оптимальное решение все-таки лежит в плоскости стратегических задач. У участников российского рынка есть около четырех лет для перехода на российские аналоги. За это время можно осуществить поэтапную замену всех «инородных» систем и программ без потери в эффективности текущей работы компании и без потенциальных проблем в будущем, которые могут быть вызваны нелицензированным ПО.

Мы понимаем, что рассмотреть все нюансы перевода компании любой отрасли на российские аппаратно-программные средства не представляется возможным в рамках одной публикации. Эксперты группы компаний ФБК и, в частности, ее дочерней компании FBK CyberSecurity, занимающейся аудитом и консалтингом в областях ИТ и ИБ, проконсультируют заинтересованных пользователей по вопросам и задачам, стоящим непосредственно перед их компаниями.