Уровни развития российского ПО

Вопрос: Использование low-code-, no-code-решений для IT-отрасли — это помощь или вред?

Принцип low-code предполагает использование уже написанных готовых компонентов. Но вопрос, что считать no code, довольно спорный. Так как сейчас практически ни одна компания уже не пишет софт с нуля. В любом ПО, входящем в реестр, можно найти какое-то количество опенсорс-библиотек. Мы в свое время посчитали и в одном из наших старых продуктов нашли 358 различных библиотек с открытым кодом. У крупных компаний типа 1С их должны быть тысячи. Есть операции, которые нет смысла писать с нуля, проще взять уже готовые элементы кода. Это сильно экономит время и позволяет ускорить разработку.

Принцип no-code вообще не предполагает собственной разработки, только готовые компоненты. Насколько это хорошо — однозначного ответа нет. Использование no-code ограничено применением: так можно написать веб-сайт, но не какую-то серьезную корпоративную систему. Я бы не стала покупать разработку корпоративной системы, написанной по принципу no-code, потому что подобные приложения обычно не рассчитаны на большую нагрузку. И более того, при использовании системы под нагрузкой часто требуется полное переписывание кода. А для маленького стандартного веб-сайта принцип no-code отлично подходит.

Вопрос: Почему только сейчас российские компании задумались о том, что разработка софта базово должна быть безопасной (Security by Design), что изменилось? 

Атак стало больше. Security by Design — это понятие, означающее, что защищенность будущей системы проектируется одновременно с ее разработкой. То есть мы не просто строим дом, а потом начинаем думать, как его защищать и укреплять, а изначально строим так, чтобы он был укреплен, закладывая в конструкцию усиливающие элементы. Это довольно очевидная вещь, так и надо строить систему безопасности, потому что так называемую «наложенную» (то есть внешнюю по отношению к системе) защиту в принципе сделать нельзя. Например, в 2016 г. появился вирус Mirai, это был первый вирус для интернета вещей. Он инфицировал по всему миру огромное количество устройств, в основном видеокамеры, так как они не имели встроенного шифрования. Но чтобы обезопасить эти камеры входа, нужно было физически заменить их на новые, так как систему защиты встроить в работающие и уже установленные камеры невозможно.

Вопрос: Как вам кажется, насколько сохраняется проблема копирования и воспроизведения иностранных решений или создания продуктов на базе open source с минимальной переработкой?

Изначально, когда Реестр отечественного ПО только создавался, велись дискуссии, включать ли в него решения с открытым исходным кодом или нет. Тогда было принято решение о включении только тех решений на базе открытого кода, которые имеют отечественную поддержку: то есть те, у которых есть собственные команды разработки и поддержки в России. Но на практике эта формулировка расплывчата, поэтому в реестр пролезает много продуктов, практически не имеющих отечественной составляющей. До 2022 г. в нем было 6 000 продуктов, а сейчас уже больше 28 000. И проверить такое количество продуктов физически очень сложно, а сроки ограниченные, поэтому на глубокий анализ у экспертов просто нет времени. Это проблема. По идее, реестр надо почистить от подобных псевдороссийских решений и привести его к единому состоянию «отечественности». IT-зрелость — это не копирование, а создание своего.

Последние три года российские компании-разработчики усиленно занимались импортозамещением — причем, в условиях фактической войны, ведущейся против нашей страны объединённым Западом, нарастающих кибератак и технологического удушения в духе Холодной войны. Чтобы догнать иностранные решения по функционалу, отечественные разработчики инвестировали в развитие, увеличив команды разработки в 1,5-2 раза. Довольно много было сделано, но процесс далеко не закончен, я бы сказала — мы сейчас где-то в середине пути.

Вопрос: У нас очень много NGFW, но они продаются в России. Почему вендора, в том числе InfoWatch, не выходят за рубеж?

Нет, во-первых InfoWatch за рубежом продает. Мы продаем в странах ближнего СНГ, продаем в дальние регионы, в Юго-Восточной Азии. Продаем мы системы защиты от утечек и продукты, комплиментарные к этим системам. А что касается межсетевых экранов, давайте будем честны — у нас их много, но история с NGFW мне напоминает ту самую знаменитую сказку про шкуру барана и сколько шапочек из нее можно сделать. Вот у нас много шапочек сделано из шкуры барана, но они все маленькие. То есть мы понимаем, что они не могут конкурировать ни с Check Point, ни с Cisco. У нас высоконагрузочных файрволов на рынке нет, и об этом сегодня говорил заместитель руководителя ФСТЭК Виталий Сергеевич Лютиков. Решения по производительности начинают уже как-то догонять, появляются какие-то решения, которые по скорости уже растут, но решений, которые обеспечивали бы необходимую устойчивость и какие-то другие критерии — таких решений пока нет. 

Поэтому куда мы пойдем на зарубежный рынок? С Cisco там конкурировать? Давайте мы сначала здесь, в нашем озере создадим нормальные высокопроизводительные решения, потом их можно будет выводить за рубеж. Они просто пока еще незрелые. Они "зеленые", там идти не с чем пока. И потом, кстати говоря о том, что их много — а нужно ли нам такое количество этих маленьких шапочек? Может быть сделать 3 – 4, но таких, чтобы они работали, чем вот эти 50, , а где-то я уже слышала цифру 70, можете себе представить? 70 NGFW. При этом, сколько высокопроизводительных? 0. С одной стороны их 70, а с другой стороны их 0. Вот и пойми, сколько у нас там этих NGFW-решений. Там же надо понимать про NGFW, уж коль мы эту тему затронули, что сделать файрвол на оупенсорсных компонентах можно за довольно короткое время — это будет вполне себе рабочий файрвол. Да, у него будет ограничение по нагрузке. Да, у него будет ограничение по возможностям, но это будет файрвол. И вот таким образом "наслесарили" вот такое огромное количество — 70 штук. Но они не удовлетворяют основным требованиям. То есть как только ты начинаешь ставить заказчику, то выясняется, что там для компании на 20 компьютеров этот файрвол может как-то работать, а для компании на 100 — уже все, начинаются проблемы. Это что за файрволы такие?

Кстати, InfoWatch получил сертификат ФСТЭК на свой файрвол нового поколения. Так что я надеюсь, что наше решение войдет в тот ограниченный набор решений, которые потом смогут претендовать на место и на мировых рынках.

Вопрос: На объектах КИИ до сих пор отдельные элементы АСУ ТП иностранные и старые. Как выйти из технологического застоя?

Есть отечественные какие-то АСУ ТП. Понятно, что они развивались в условиях, когда на рынке доминировали иностранные производители. И ожидать, что у нас сейчас этот рынок взлетит, наверное не приходится. Понятно, что придется дорабатывать эти решения, и сильно.

С другой стороны, я знаю, что такой процесс начался. Он идет. Он идет медленно, что здесь можно сказать... Дорогу осилит идущий. Наверное будем замещать. Мы занимаемся защитой систем.

Понимаете, с другой стороны, эти инженерные системы, там же с ними какая история... Работают — не трогай. Они работают пока, да, старые, но зато они доступ в интернет не имеют. То есть совершить атаку на них достаточно затруднительно. Хотя, конечно, старые уязвимости у них есть, и в принципе эти уязвимости можно как-то эксплуатировать. То есть риски, конечно, сохраняются. Поэтому на отечественное переходить надо все равно, но просто это невозможно сделать моментально сейчас.

Стереотип о том, что российскому софту «есть куда расти», устаревает — отечественные решения могут заместить многие продукты западных вендоров. Однако не все российские заказчики видят эту картину, поэтому работы у АРПП достаточно.

До 2022 года российские госкорпорации с радостью использовали западное ПО, а сейчас, когда его разработчики ушли с рынка и отключили свои облачные решения, они требуют от российских компаний альтернативы уровня Microsoft и прямо сейчас. Так просто не бывает, ведь лучшим продуктом обладают те организации, в которые длительное время инвестируют потребители.

В то время как западный софт активно закупался российским бизнесом, отечественные разработчики жили и развивались на очень скоромные средства — разве что, за исключением сферы информационной безопасности, где действительно раньше большинства сфер происходило импортозамещение. Поэтому, мы ждем инвестиций от потребителей — в первую очередь, крупных. Именно они – важнейшее условие дальнейшего прогресса.

Первая категория – это ПО высокого (в некоторых случаях – мирового) уровня, которое стабильно занимает большую долю рынка. К этой группе можно отнести многие образцы софта для поддержания информационной безопасности. И изменений тут практически нет – например, доля импорта в сегменте DLP-систем до начала СВО была всего около 2%, а сейчас иностранные производители ушли совсем, и потребитель этого практически не заметил.

Ко второй группе можно отнести разработки, обладающие хорошими технологическими заделами, но пока не дотягивающие до мировых – например, это офисный софт, промышленное ПО, системы управления предприятиями и т.д. Сейчас в этой категории мы наблюдаем ускоренное развитие, направленное на расширение функционала под ключевые потребительские потребности. И для всего этого, разумеется, нужны значительные инвестиции.

Последняя группа включает ПО, которого ранее не было на российском рынке. Например, к нему относится узкоспециализированный софт, использующихся для решения определенных отраслевых задач. Это диспетчерские программы для обеспечения воздушного движения, телемедицинские программы, а также встроенное ПО некоторых приборов и системный софт с ограниченными возможностями монетизации (в том числе, языки программирования).