Ekaterina Danilina, 06.04.18
Автор: Алексей Плешков, эксперт по информационной безопасности
Наступил март 2018 года. Ощущение новогодних и февральских праздников давно прошло. Для многих экспертов холодные и заснеженные будни Центральной России, логистические проблемы и несоответствие ожиданий и действительности перекрывают ранее полученные положительные эмоции от долгожданного отдыха в кругу семьи. “В связи со сложной ситуацией водителей и пешеходов просят по возможности не выходить из своих домов без необходимости!”, “За неделю в городе выпала двухмесячная норма осадков, но коммунальные службы успешно справляются с поставленной перед ними мэром Москвы задачей!”, “На улицах города работает более 10 000 единиц снегоуборочной техники”, “На Москву обрушились небывалые морозы, но мы с вами справимся!” -- рапортуют наперебой СМИ и журналисты по местным и федеральным телеканалам. Интернет пестрит заметками, комментариями и видеороликами на эту тему. Что-то мне это очень сильно напоминает… Попробуем на минутку сменить контекст этих пестро-снежных публикаций, заменить “погодные аномалии” на “введения санкций со стороны западных стан в отношении ряда российский компаний и полутора сотен физических лиц”, и получится совершенно аналогичный искусственный ажиотаж, логическим продолжением которого в свое время стало принятие в России стратегии замещения импортных товаров и услуг (далее -- ЗИ).
Казалось бы, совсем недавно тема импортозамещения не сходила с первых страниц всех новостных лент. А теперь она постепенно скрывается под тяжестью "ледяных сугробов" (более 79 млн сайтов и публикаций в Интернете, по данным агрегатора Yandex, против 400 тыс. ссылок, проиндексированных Google). Но тем интереснее для аналитиков становятся результаты ретроанализа по контексту "замещение импорта в России в 2014--2018 гг.".
К примеру, на сайте ruxpert.ru в разделе справочника WiKi, посвященном стратегии ЗИ в российской экономике, представлена хронология событий и публикаций в СМИ на тему успехов импортозамещения в различных отечественных компаниях и областях бизнеса за период с апреля 2014 по февраль 2018 г. Не будем вдаваться в подробности этих публикаций и оценивать их содержание, но для иллюстрации тенденций и понимания трендов в этой области приведем количественную оценку в формате графика, иллюстрирующего в разрезе по месяцам число публикаций экспертов на тему ЗИ на сайте ruxpert.ru.
Согласно статистике наибольший интерес к теме ЗИ (28 авторских публикаций за месяц) зафиксирован в конце 2015 -- начале 2016 г. В среднем общее количество опубликованных материалов держится на одном уровне (не более 7--9 в месяц), и только в конце 2017 г. интерес к этой теме стал постепенно снижаться (в среднем 3--5 публикации в месяц). Обсуждение ЗИ образца IV квартала 2017 г. в количественном измерении соответствует второму кварталу 2014 г. (т.е. самому начальному периоду подогревания интереса к данной теме).
Задумывались ли вы, как выглядит стратегия ЗИ в сфере защиты информации в России с точки зрения западных СМИ и западных обывателей? Не буду нагнетать и сразу отвечу на свой же вопрос глобально: никак. Удивлены? И я тоже нет. При подготовке материала к данному обзору мне стало жутко интересно -- почему оно так? -- и я потратил несколько дней на поиск и чтение соответствующих заметок, публикаций и презентаций в Интернете. К сожалению, рассчитывать на большое количество материалов по данной теме на иностранных сайтах не пришлось. Можно сказать, что западным СМИ и иностранным гражданам (за пределами постсоветского пространства) тема ЗИ в России в целом и ЗИ в сфере защиты информации в частности по состоянию на 2018 г. совершенно не интересна. Чтобы математически проиллюстрировать безразличие к внутренним стратегиям России со стороны Запада, достаточно сравнивать 424 тыс. проиндексированных Google публикаций в Рунете на тему "ЗИ в России" с несколькими тысячами (в зависимости от виртуального source IP, с которого направляется запрос в Google) публикаций в различных сегментах сети за прошедшие пять лет. При этом большинство топ-публикаций -- это переведенные на иностранные языки статьи отечественных авторов и/или цитаты из них, вырванные из оригинального контекста, размещенные на "не.RU"-ресурсах и облитые политическим соусом в зависимости от предпочтений хостинг-площадки. Для сравнения: формулировка "российские хакеры" (Russian Hackers) встречается в более чем 100 млн "не.RU"-публикаций.
О чем это может говорить? Как минимум о трех базовых вещах:
1. Введенные санкции практически никак не коснулись доли рынка и не поменяли способов ведения бизнеса в регионе Восточная Европа для крупных иностранных игроков. Да, заключение контрактов для полусотни крупных, по российским меркам, юридических лиц стало требовать согласования с центральными офисами, а некоторые бывшие клиенты попали в черный список при заключении соглашений, но на общий объем и фон работы этих иностранных технологических магнатов ответные санкции России в формате программы ЗИ в государственном секторе никак не повлияли.
2. Большинством иностранных компаний стратегия замещения импорта в России воспринимается как временная мера на горизонте 5--7 лет и масштабами, ограниченными узким кругом экономических и социальных направлений. В целом российский рынок продуктов по информационной безопасности остается для Запада привлекательным ровно так же, как и до введения стратегии замещения импорта. Западные и восточные вендоры по объективным причинам, а некоторые эксперты считают, что по незнанию и невежеству, не воспринимают российские технологические компании в качестве объективных конкурентов как на внутреннем российском, так и на мировом рынках. Отсутствие (или в некоторых случаях сравнительно небольшое количество ) российских экспортеров на регулярно проходящих по всему миру тематических мероприятиях, демонстрирующих новые продукты в области защиты информации, не позволяет иностранным СМИ находить инфоповод для опровержения технологического отставания российских вендоров (в области защиты информации) от западных применительно к стратегии ЗИ.
3. Растягивание основных показателей и мотиваций к применению стратегии ЗИ во времени и пространстве, постоянное отнесение на неопределенный срок момента получения и демонстрации готового продукта или его прототипа потенциальным заказчиками (не только российскими), отсутствие стандартизации при составлении требований и системы измерений качества достигнутых результатов (к примеру, в терминах проамериканской канонической методологии CMMI) -- все это сдерживает развитие и существенно ограничивает сферу применения импортозамещенных продуктов. Это очень заметно в области защиты информации. По факту, ни один из импортозамещенных продуктов российского производства (кроме Касперского и Ко, кто открыто работает вне стратегии ЗИ и намного раньше 2014 г. самостоятельно вышел на иностранный рынок сбыта) не может сейчас конкурировать по качеству (в терминах CMMI) с иностранными аналогами на мировом (это важно для понимания) рынке. И это обстоятельство полностью устраивает иностранных вендоров.
"У системных либералов шедеврально выигрышная позиция -- отчитываются о катастрофе, которую сами и осуществляют. Печальные данные практически из первых рук"(с) -- тролль 79-го уровня из Интернета о стратегии замещения импорта в России в 2018 г.
Отчасти именно искусственно созданные ограничения для развития отечественных технологических компаний повлияли на то, что в России в 2017 г. стратегия ЗИ применительно к информационной безопасности не получила ожидаемую эффективную и ускоренную реализацию, а ее обсуждение в 2018 г. не вызывает бурю положительных эмоций даже у представителей госструктур, которые сами же и поднимали в свое время знамя и шли с ним на штурм иностранных баррикад.
Стратегия ЗИ стала закономерной реакцией российской экономики на риски, возникшие в связи с введением западными технологическими компаниями санкций в отношении ряда российских юридических лиц, попавших в черные списки правительства США и/или аффилированных с неугодными Западу физическими лицами. А как санкции могут повлиять на деятельность российских компаний? Так уж губительно фактическое присутствие компании в санкционных списках и какую негативную для компании реализацию это может (теоретически) получить? Предлагаю разобраться в этом вопросе с позиций рисков и угроз обеспечения информационной безопасности в организации.
Неужели замещение импорта в России завершается? А может, в последнее время появились (официально анонсированы) новые, более приоритетные направления и задачи, которые перетянули на себя фокус внимания экспертного сообщества? Или ошеломительные результаты кропотливой работы экспертных групп и отдельных выдающихся руководителей по замещению импортных товаров и услуг на российском рынке позволили исполнителям на местах безболезненно отказаться от всего "ненашего", мигрировать на продукты интеллектуального труда "наших" производителей и досрочно отчитаться об успехах в реализации стратегических инициатив? Не могу сказать за все отрасли экономики, не слежу, не знаю, не привлекался… возможно, что где-то, действительно, все трудности успешно преодолены и западные компоненты заменены на отечественные аналоги, но в области защиты информации, к сожалению, успехи не такие выдающиеся. Особенно понятно это становится, если сменить "точку опоры" и попытаться рассмотреть тему ЗИ под новым углом, нетипичным для призмы российских СМИ.
Материалов для размышления на эту тему достаточно много. Попытка сбора и обобщения экспертных мнений позволила выделить основные идеи и обозначить рисковую составляющую для каждого потенциально возможного события. Приведем перечень из семи основных, но все еще гипотетических последствий начала активного применения западными технологическими компаниями-гигантами точечных санкций против наших соотечественников, которые смогут повлиять на процесс обеспечения защиты информации в организации:
1. Непродление/отзыв лицензий на право использования программного или аппаратного обеспечения (или на получение сервиса) в новом периоде, в т.ч. остановка поставок обновлений, блокировка доступа к тематическим информационным порталам и витринам данных, прекращение уведомлений по всем ранее доступным каналам, снятие с технической поддержки продуктов и пр.
2. Принудительный отказ (с предусмотренной возможностью выплаты штрафов) вендора/интегратора от выполнения обязательств по ранее заключенным договорам в части проведения работ или оказания услуг, в т.ч. находящихся в активной фазе (поставка оборудования, создание продукта, интеграционные настройки, строительные работы и пр.).
3. Выполнение исполнителем условий договоров с низким (относительно ранее обговоренного) уровнем качества и/или фактический саботаж (в т.ч. несвоевременное информирование о наступлении рисковых событий, искусственное увеличение количества ошибок первого и второго рода и пр.) при оказании услуг.
4. Преднамеренная активация в программном и аппаратном обеспечении закладок различной природы и выполнение несанкционированных действий в целевой инфраструктуре в интересах третьих лиц и/или спецслужб.
5. Преднамеренная компрометация западными компаниями (ранее работавшими по контрактам с российскими юридическими и физическими лицами из санкционного списка) по запросам третьих лиц собранных в ходе совместных проектов массивов данных об инфраструктуре, процессах, персонале, компетенциях, профессиональных или бизнес-интересах и перспективных планах или иной интересующей информации о целевом объекте.
6. Активное влияние на принятие решения и лоббирование дополнительных, заранее невыгодных условий при заключении иностранными (не только США) компаниями-партнерами новых контрактов с российскими организациями из санкционного списка или аффилированными с ними лицами.
7. Отзыв статусов и применение дополнительного воздействия финансового характера на партнеров и контрагентов, имеющих действующие контракты с компаниями из санкционного списка, вплоть до выдвижения требований по расторжению.
Применим к предложенному выше перечню рисковых событий прием, которым мы воспользовались в самом начала обзора -- поменяем контекст, но с точностью до наоборот: забудем про импортозамещение и санкции и оставим только сами сценарии. Становится очевидным, что они могут быть применены каждой из сторон в любой момент времени безотносительно санкционного списка и политической ситуации, но при должном уровне мотивации для инициирующей сценарий стороны. Почему мы не рассматривали эти сценарии ранее? Наверное, потому, что считали себя полностью защищенными российскими законами, заключая контракты с поставщиками товаров и услуг, работающими в юридически выверенном поле. А что изменилось сегодня?
"Причины довольно скромных успехов в импортозамещении кроются в сформированной в предыдущие годы зависимости российской промышленности от импорта" (с) (marketsignal.ru).
Высокая степень пессимизма российского клиента давно и устойчиво закрепилась в сознании западных исполнителей. В этой связи спектр ожидания наступления негативных последствий у наших соотечественников включает в себя не только семь основных, но множество других теоретически вероятных сценариев. Но, к счастью, выявленных внутри, полностью доказанных и подтвержденных с противоположной стороны фактов реализации данной угрозы (в классическом понимании этого термина в контексте обеспечения информационной безопасности) по состоянию на март 2018 г. не зафиксировано. Все участники описанных выше сценариев демонстративно показывают друг другу свои партнерские намерения и с удовольствием обсуждают условия, при которых заказчик сможет предпочесть импортозамещенному товару иностранный аналог. Только за прошедший квартал ко мне обратились три представителя иностранных компаний, которые хотели бы в 2018 г. вывести на российский рынок свои новые продукты, ранее не представленные российским клиентам. Кто-то может сразу поставить крест на этих попытках, списав все на происки иностранных спецслужб и противоречия стратегии ЗИ, а кто-то оценит сложность первичного изучения перспективного рынка сбыта в регионе и увидит в этих действиях потенциал повышения эффективности своих внутренних процессов. То, что увидите именно вы, зависит от вашей точки зрения и от желания посмотреть на предмет с разных, порой не самых очевидных, сторон. Санкции и стратегия импортозамещения -- этому наглядные иллюстрации.
