Открытый код может быть опасен. Российские разработчики знают, что делать

Импортозамещение - хорошо, но уже мало

До февраля 2022 года доля иностранного программного обеспечения составляла в России около 80%. В течение 2022 года с российского рынка ушли около 80 зарубежных брендов.

Согласно указу президента РФ от 30 марта 2022 года госкомпаниям и тем, кто осуществляет закупки по 223-ФЗ, запрещено приобретать зарубежные IT-решения для использования на объектах критической информационной инфраструктуры, а с 2025 г. – их использовать.

Если российское программное обеспечение хочет быть конкурентоспособными, то мало заниматься импортозамещением, надо создавать новые продукты.

«Интерес к России в дружественных странах совершенно очевиден. Это означает, что потенциально новый рынок, которым мы раньше занимались »постольку-поскольку«, становится важным. И здесь можно выходить на уровень лидера, который двигает вперед не отдельные продукты, а целые платформы. Лидера, который предлагает им вместе стать во главе нового технологического уклада», - заявил Валентин Макаров, глава ассоциации «Руссофт»на ее годовом совещании, которое прошло 3 октября.

Российские компании готовы заместить и платформы, уверен генеральный директор компании Softline Владимир Лавров.

«Никогда в истории развития индустрии цифровых технологий не было этапа, сопоставимого по масштабу задач, которые стоят перед нашими заказчиками. Понятно, что должно быть замещение ПО, особенно в тех компаниях, у которых есть критическая инфраструктура. Этот срок уже не за горами. Эта задача в определённом смысле »давит«. В государственном сегменте только около 30-35% российского ПО. Поэтому задача огромная», - говорит он.

«Цифровая трансформация в России действительно произошла. Все мы свидетели, как изменились наши банки. Мы, может быть, даже не осознаем, насколько это лучше, чем во всем мире», - объясняет председатель совета директоров компании «Диасофт» Александр Глазков.

Он называет три новые задачи цифровой трансформации бизнеса.

Первая задача - создание единого цифрового пространства для организации работы сотрудников. Это единые цифровые кабинеты, единое место для доступа к автоматизации.
Вторая задача – извлекать максимальную пользу из данных, потому что данных очень много.
Третья задача – создать инновационную среду, которая могла бы быстро производить изменения.

«Мы находимся в истории быстрых изменений, поэтому одна из главных задач цифровой трансформации – это быстро меняться», - заявляет Глазков.

Опасный открытый код

В России при разработке новых продуктов активно применяют open-source. То есть программное обеспечение с открытым исходным кодом. Часть специалистов говорит, что это придумано американскими корпорациями, они контролируют разработку и всё делают так, чтобы сломать то, что делают программисты из других стран. Разве можно в таких условиях использовать open-source в России!

Оппоненты возражают: если хочешь сократить время на разработку продукта, то без open-source не обойтись - бери, скачивай! Но, конечно, надо проверять, насколько он безопасен.

Компаниям - в контексте роста киберугроз - важно понимать, кто и как производит продукт, который они используют, считает Роман Карпов, директор по стратегии и развитию технологий Axiom JDK. Но открытый исходный код и продукт на его основе - не одно и тоже, уточняет он.

«Центральное место в импортозамещении в последние годы занимали ОС и офисные пакеты. Все на этом сконцентрировались, как будто это единственное, что можно заместить, и благодаря этому, мы достигнем того самого технологического суверенитета. Сейчас пришло время замещения связующего ПО, т.е. фундамента, на котором все наши бизнес-приложения работают», - говорит Карпов.

Для проверки кода на ошибки и уязвимости нужна экспертиза, но ее сложно и дорого проводить отдельным компаниям.

«Для того, чтобы создать продукт, который будет безопасно и надежно функционировать в среде, нужно обладать очень большой экспертизой, необходимо заниматься проверкой исходных кодов, периодическими выпусками обновлений. Это большой труд. Эту задачу мы берем на себя. Применение промышленных практик безопасной разработки, динамические и статические исследования исходных кодов позволяют сформулировать тот самый безопасный open-source, который подходит для промышленной эксплуатации», - объясняет Роман Карпов.

«Критически важно проверять ПО на функциональное и нефункциональное соответствие заявленным требованиям до старта его промышленной эксплуатации, объективно и прозрачно оценивать качество используемых и выпускаемых программных продуктов, - считает управляющий партнёр сегмента »Разработка и тестирование« компании IBS Павел Эйделанд. - Помимо контроля качества у разработки сейчас есть и острая необходимость в обширной отраслевой и научной экспертизе».

В среднесрочной перспективе, говорит он, это позитивно повлияет на развитие прикладной отраслевой науки и стимулирует необходимость сотрудничества коммерческих технологических компаний с научными центрами, чего сильно не хватало раньше.

У вас 30 компьютеров? Вам нужна защита

Информационная безопасность нужна не только гигантам, ни и маленьким компаниям, считает председатель совета директоров компании «СёрчИнформ» Лев Матвеев.

«В компании, где больше 30 компьютеров, это уже надо. »Сливаются« клиентские базы, »сливается« чувствительная информация. Народ вместо работы занимается не работой, назовем это мягко так. Работает »на сторону«, создает »фирмы-боковички« и так далее. На самом деле, человеческая природа всегда одинакова. Вне зависимости от того, большая компания или нет», - говорит он.

Два года назад «СёрчИнформ» призывал к созданию в стране государственных центров мониторинга информационной безопасности.

«К сожалению, на призывах все и остановилось. Призывали мы к этому вот почему - если брать структуру условного Минздрава, не надо заставлять главврача поликлиники заниматься информационной безопасностью. Весь мир движется к специализации. Каждый должен заниматься своим делом», - объясняет Матвеев.

Если у государства не получилось создать центры информационной безопасности, то «СёрчИнформ» предлагает создать их без государства. По официальной статистике, в России более 200 тыс. компаний малого и среднего бизнеса, где больше 30 компьютеров. Поскольку невозможно охватить такую массу предприятий силами собственных специалистов, «СёрчИнформ» запустила франшизу сервиса аутсорсинга информационной безопасности.

«Выигрывает клиент, потому что в сеть с сотней компьютеров нужно было бы вложить больше 3 млн рублей. А за сервис, куда все включено, он платит чуть больше 200 тыс. рублей в месяц. Мы дали много новых рабочих мест, подняли пласт обучения специалистов по информационной безопасности», - говорит Матвеев.