Тема эта важна во многих смыслах.
К ней имеют непосредственное отношение технологическая независимость и конкурентоспособность страны, её безопасность, экономическое благополучие, зависящее от развития софтверной индустрии. Поскольку основная сфера интересов Экспертного центра электронного государства – это государственная информатизация, то основной темой журнала стала тема импортозамещения ПО в органах власти и местного самоуправления. Пока, к сожалению, оказывается, что именно в этой сфере ситуация далека от оптимистичной.
Точка А
Какой софт работает в органах власти РФ сегодня? Опрос региональных IT-министров, проведенный Экспертным центром электронного государства с целью выяснить, какое ПО используется в органах власти и муниципалитетах, выявило удручающую, как и можно было ожидать, картину.
На 95% рабочих мест в качестве операционной системы стоит Microsoft Windows, и Windows используется как серверная операционная система на 75% серверов. При этом 90% сотрудников региональных органов власти используют MS Office.
В 82% органов власти субъектов РФ в качестве почтовых серверов используют Microsoft Exchange, более 60% серверов СУБД производства Microsoft или Oracle (остальные в основном – свободно распространяемые MySQL и PostgreSQL). Если же учесть, что разработку и поддержку MySQL осуществляет также корпорация Oracle, то общая доля СУБД этих компаний составляет почти 80%.
Единственная категория общесистемного ПО, в котором преобладают российские продукты – это антивирусные программы (производства «Лаборатории Касперского» и DrWeb), которые вместе занимают 65% государственного сегмента российского рынка (но при этом словацкой ESET принадлежат 12%)
В категории web-серверов ситуация заметно отличается – почти 60% принадлежит Apache и NGINX. Впрочем, и здесь Microsoft IIS занимает 34%
Получается, что российское госуправление практически полностью зависит от зарубежных программных продуктов, причем по всем их классам, начиная от операционных систем и заканчивая прикладным ПО общего назначения, таким, как офисный софт. То, что «отраслевые» системы, используемые органами власти для управления в различных сферах госуправления (образование, здравоохранение, транспорт, общественная безопасность и т.п.), разработаны, как правило, российскими компаниями, нисколько не меняет картину – все они используют импортные СУБД и операционные системы, а значит, ровно так же зависят от них.
Много раз уже говорилось, и будет сказано ещё раз в материалах этого номера журнала, что в негативных сценариях развития событий такая ситуация грозит тяжёлыми последствиями – от прекращения работоспособности отдельных сервисов и приложений до полной остановки госуправления.
Если даже год назад такие сценарии казались маловероятными, то сейчас они видятся вполне реалистичными, и это заставляет государственные органы обратиться к теме импортозамещения в сфере программного обеспечения.
Учитывая масштаб возможных угроз, было бы логично, если эти процессы инициировались и координировались с федерального уровня. Но на нём активность ограничивается только одним из аспектов импортозамещения, а именно поддержкой отечественной отрасли ПО.
Пока все меры сводятся к внесению поправок в закон «Об информации…» №149ФЗ, посвященных определению понятия «российское программное обеспечение», и разработке проекта постановления правительства РФ, утверждающего правила ведения реестра отечественного ПО, устанавливающего ограничения на доступ иностранного ПО к госзакупкам, которое, как предполагается, вступит в силу с 1 января 2016 года. Этого, по нашему мнению, недостаточно, чтобы запустить процесс импортозамещения ПО в масштабе страны.
Есть еще приказ Минкомсвязи России №61, который утверждает План импортозамещения программного обеспечения (подробнее об этом см. статью Андрея Анненкова), но не имеет никакой силы для федеральных органов власти и для регионов, поэтому его нельзя рассматривать в качестве отправной точки для формирования реалистичных планов.
Даже в самом оптимистичном пункте, в соответствии с которым планируется сократить долю импорта в группе «Интернет-сервисы, применяемые в корпоративной среде (электронная почта, сервис файлового обмена, интернет-браузер, картографический сервис, сервис обмена мгновенными сообщениями и т.д.)» к 2020 году до 25%, а к 2025 – до 10%. Хотя по каждой из подгрупп существуют либо СПО, либо чисто российские разработки.
На одну только федеральную власть надежды мало. Без активного участия регионов ситуацию будет не сдвинуть. А сдвинуть надо, и сделать это следует задолго до того, как угрозы, сегодня кажущиеся потенциальными, начнут реализовываться.
Путь из А в Б – ориентир
Примеры самостоятельного решения проблемы технологической зависимости уже имеются. Банковская сфера уже столкнулась с проблемами неблагоприятных внешних воздействий на ITсистемы и, в отличие от госорганов, вынуждена была всерьез задуматься о практических шагах, чтобы преодолеть зависимость от зарубежного софта.
В «санкционные списки» США, напомним, попали четыре российских банка: «Россия», СМП Банк, Инвесткапиталбанк, Собинбанк. Международные платёжные системы MasterCard и Visa заблокировали карты этих банков. Под санкции ЕС попали пять банков: Газпромбанк, Сбербанк, Россельхозбанк, ВЭБ и ВТБ. В список тех, кому отказано в поддержке уже приобретённых сервисов и продуктов, а также в покупке новых, попали граждане России в Крыму.
Примеры последствий неблагоприятных внешних воздействий на российские IT-системы:
- блокировка расчетов через международные платёжные системы (более 320 тысяч человек не могли расплачиваться своими картами и использовать их в «чужих» банкоматах);
- отзыв SSL-сертификатов (нарушение работы клиент-банка и других систем);
- отказ от поставок и от обязательств по договорам сопровождения программного обеспечения и принуждение российских партнеров не заключать договора поддержки с организациями из санкционного списка;
- отказ от поставок компьютерного и сетевого оборудования и комплектующих к нему в организации из санкционного списка
- отказ от гарантийного обслуживания вышедшего из строя оборудования;
- ограничение на использование услуг хостинга и каналов передачи данных;
- отключение организаций от сервисов обновления версий ПО, в том числе в части получения исправлений уязвимостей безопасности.
По оценке аналитиков группы компаний «Диасофт», в случае введения со стороны США и ЕС технологических санкций против российских банков, максимальное время наработки на отказ (т.е. поддержания работоспособности информационных систем) составит не более 24 месяцев, реалистичное же (с вероятностью 50%) составит всего 4 месяца.
Однако, как показывает опыт первых пяти банков, уже попавших под технологические санкции, возможен и немедленный сбой в результате «прямых недружественных действий» (например, отзыв корневого SSL-сертификата).
Банкиры раньше других поняли (в отличие от наших государственных органов, IT-санкции против которых – вопрос времени), что в случае сбоя хотя бы одного критического для зарабатывания денег элемента последствия для бизнеса будут катастрофическими. Поскольку деятельность банков находится в абсолютной зависимости от IT, либо российские банки обеспечат контроль над своими IT-системами, либо разорятся. Отрасль предпочла первый вариант.
Государство должно первым прийти в точку Б
Под воздействием оказались отдельные банки и отдельные, хотя и важные, IT-сервисы. Чем грозит немедленный отказ Единого портала госуслуг и региональных порталов и прикладных систем, т.е. тех IT-ресурсов, которые нечем заменить, читателю нашего журнала объяснять не надо – это была бы катастрофа.
Использование прикладных государственных IT-систем, как правило, регламентировано техническими службами органов власти и, хочется верить, службами безопасности, то есть софт, который используется в рабочих целях сотрудниками органов власти, находится внутри периметра информационной безопасности, хотя зачастую процессы обеспечения информационной безопасности носят формальный характер.
Но то, что происходит за пределами периметра, вызывает, мягко говоря, сильную тревогу. Почти 40% сотрудников госучреждений используют для рабочего общения бесплатную почту («Яндекс» – 13%, Mail.ru – 12%, Gmail и Rambler – по 6%).
Такая же доля региональных госслужащих используют для служебных коммуникаций Microsoft Skype, 21% QIP, 14% Telegram, по 9% WhatsApp и Viber.
Примерно столько же 41% используют различные бесплатные сервисы для обмена и хранения служебными документами – DropBox, GoogleDocs, «Яндекс.Диск», «Файлы@Mail.ru» и даже группы в социальных сетях.
Владельцы таких сервисов не несут никакой ответственности за сохранность и конфиденциальность информации, которая хранится или передается при их использовании, более того, пользователи никак не защищены от передачи этой информации третьим сторонам.
IT-руководители регионов согласны с необходимостью реализации превентивных мер по импортозамещению ПО, при этом самой важной целью опрошенные назвали обеспечение информационной безопасности 87% из них считают, что это «важно» или «очень важно», причём на «очень важно» приходится 76%. На втором месте развитие отечественной IT-отрасли (86%), на третьем минимизация рисков введения санкций – 79%.
Но реальных мер на региональном уровне предпринимается исчезающе мало.
Можно пересчитать по пальцам регионы, которые на деле хотя бы изучают варианты перехода от проприетарного зарубежного ПО либо на СПО, либо на полностью отечественные продукты. Большинство же, ссылаясь на различные причины, начиная от нехватки бюджетов и отсутствия федеральной нормативной базы и заканчивая ссылками на наличие сертификатов и аттестатов, которые гарантируют безопасность существующего парка ПО, или отсутствием отечественных аналогов, ограничиваются формальным подходам к планированию и реализации мер по переходу на использование российского ПО.
Именно поэтому мы решили сделать специальный выпуск журнала «Региональная и муниципальная информатизация», посвященный этой теме.
В нем руководители региональных органов власти, представители российских компаний-разработчиков программного обеспечения, экспертного сообщества делятся своим видением пути движения государственных IT-систем из нынешней точки А к Б, в которой подлинный контроль над ними окажется в руках самих органов власти.
