Софт по приказу, кремний по заказу

Пожалуй, не проходит ни дня без новостей об обнаружении очередной уязвимости в программном обеспечении (ПО), интернет-сервисах или аппаратной части — «железе». Порой данные новости сыплются, будто из рога изобилия, что вполне закономерно приводит к возникновению множества страхов и рассуждений о мире будущего с тотальной цифровой слежкой со стороны государства или корпораций за обывателями.  Подогревают подобные рассуждения и последние сводки с фронтов торговой войны США и Китая, в частности недавний запрет для американских компаний на передачу технологий, программных продуктов и аппаратного обеспечения китайской корпорации Huawei — второго в мире производителя смартфонов, гордости китайской IT-промышленности.

История с Huawei поражает не столько готовностью США прибегнуть к явно неконкурентным методам борьбы и крайним формам политического давления (к такому поведению со стороны Вашингтона уже все привыкли), сколько тем, насколько хрупким и взаимосвязанным является мир высоких технологий, где причудливо переплетаются тысячи патентов и десятки кремниевых чипов. Вполне закономерно, что история с Huawei (а ранее под американские ограничения попадала китайская компания ZTE) не может не убедить отечественных чиновников в верности избранного ими курса на импортозамещение IT-продукции.

Если ранее россиян пугали угрозой отключения от интернета, шпионскими утюгами, социальными сетями, подслушивающими клиентов, угрозой для электроэнергетики от данных, передаваемых за рубеж с турбин компании Siemens, и прочим, то теперь угрозы стали куда материальнее.

И зачастую в качестве ответа на все эти цифровые вызовы оперативно находится один ответ — импортозамещение. У России должно быть всё своё: и операционные системы, и программы для пользователей, и софт для промышленности. С позиции чиновников логика предельно простая и выгодная: импортозамещение — это патриотично и модно, у России множество, безусловно, талантливых программистов, успешные альтернативы американским интернет-сервисам (свои социальные сети, поисковики, интернет-магазины и стриминговые сервисы), а государство заинтересовано в безопасности граждан и защищённости критически важных объектов инфраструктуры.

Однако, когда речь заходит о замене иностранного софта, логика импортозамещения начинает сбоить, а тема замещения ПО становится крайне спорной, сложной и часто неудобной для обсуждения. Программисты воспринимают импортозамещение софта не иначе как прикрытие для банального распила бюджетных денег ради никому не нужных проектов, чиновники более чем серьёзно рассказывают об успехах — новых программах и даже операционных системах, а обыватели не знают, кому верить, так как в программировании понимают чуть меньше, чем ничего, а импортозамещёнными программами практически никогда не пользовались.

И так как к теме замены иностранного софта СМИ возвращаются с завидной регулярностью, то самое время разобраться, почему, что и зачем решили «импортозаместить» отечественные чиновники и каковы успехи государства в новой для себя роли — заказчика для IT-индустрии.

Такое разное импортозамещение

Прежде чем переходить к цифрам и фактам, стоит понять принципиальные различия импортозамещения ПО от аналогичных процессов в машиностроении или агропромышленном комплексе.

Развивать национальную экономику можно двумя способами.

Первый способ — исключить её целиком или же её отдельные отрасли из мирового разделения труда. Тотальное исключение может быть как вынужденным вследствие санкций (примеры: Ирак после 1991 года под правлением Саддама Хусейна, Иран после Исламской революции 1979 года, КНДР). так и добровольным (так, например, развивались США до начала перехода к политике империализма, начавшейся с Испано-американской войны 1898 года). В мягкой форме такое «отключение» от мировой экономики — это протекционизм. Возможен и добровольно-принудительный вариант, как, например, было в случае с СССР. Полная автономия национальной экономики — автаркия — практически невозможна, не был 100%-ной автаркией и СССР — он активно торговал со странами капиталистического лагеря и строил альтернативную миросистему со странами соцлагеря.

Второй же способ развития — включение в мировую экономику с полной открытостью. Как правило, такая открытость приводит к закреплению страны в статусе периферии капиталистической миросистемы или, проще говоря, колонии. Редчайшее исключения — Китай, Тайвань, Япония и Южная Корея. Последним троим повезло не стать жертвами колонизации со стороны США и принять у себя капиталы и производства, которые выводились из США.

Суть импортозамещения состоит в использовании административных и таможенных ограничений для поддержки или защиты национального производителя от иностранных конкурентов с целью стимулирования его к производству той продукции, которую необходимо заместить.

И, собственно, различие между импортозамещением продукции машиностроения и импортозамещением софта состоит в том, что для машиностроения исключение из мирового разделения труда — благо, а для софта аналогичные действия являются вредными, так как резко ограничивают IT-компании в возможности продавать свои продукты.

Причина этого парадокса — специфика самой IT-индустрии и замещающего софта: он так или иначе дублирует иностранные программы, которые не испытывают проблем с конкурентоспособностью, поскольку продаются на мировом рынке.

Проще говоря, создать качественный аналог офисного пакета Microsoft можно, однако это будет дорого, крайне трудоёмко, а главное, не гарантирует успеха, так как на рынке уже есть привычные Word и Excel. Таким образом, замещение софта — это сознательное ограничение его разработчиков возможностью распространять свои продукты лишь на узких сегментах национального рынка — конкурентоспособные отечественные программы успешно распространяются и продаются на мировом рынке без каких-либо мер господдержки.

При этом логика реального сектора экономики «мы поделаем что-то для внутреннего рынка, научимся, а затем начнём продавать продукты за рубеж» рискует не сработать в силу специфических особенностей IT-рынка.

Во-первых, IT-рынок крайне подвижен в части создания новых технологий. Тенденции развития в нём задают компании-гиганты из США, которые разрабатывают как ПО, так и «железо», вкладывая в НИОКР денежные средства, которые недоступны многим странам. Например, доминирование Google в поисковом бизнесе и рекламе позволило создать браузер Chrome, который основан на движке Blink, что привело к гибели практически всех браузеров с альтернативным движком. Opera попрощалась со своим движком Presto в 2013 году, а Microsoft в декабре 2018 года приняла решение отказаться от своего движка EdgeHTML и перевести браузер Edge на Chromium. А все новые браузеры основаны на созданном Google браузерном движке Chromium. Единственный массовый браузер не на Сhromium — Mozilla Firefox на движке Gecko. Столь длинный экскурс в браузеры нужен для того, чтобы показать, что будущее интернета зависит от Google — именно она решает, что и как будет работать у пользователей браузеров, так как разработчики веб-сайтов будут ориентироваться на доминирующий движок. И никакая инициатива национальных властей по поддержке альтернативных интернет-технологий не изменит направление технологического развития. Исключение — раздел IT-гигантов, о необходимости которого в последнее время часто говорят в США.

Во-вторых, IT-рынок консервативен с потребительской точки зрения. Абсолютное большинство пользователей не жаждет экспериментировать с ПО, отдавая предпочтение тому, к чему они привыкли, а владельцы платформ задают правила распространения софта. 98 % рынка операционных систем для смартфонов — Android; 87,03 % рынка операционных систем для ПК — это Windows от Microsoft; на долю macOS и семейства Linux приходится 9,71 % и 2,08 % соответственно.

Контроль над платформами позволяет IT-гигантам развивать свои программные продукты невероятными темпами, с которыми никто не может сравниться. Это же даёт им власть над софтом: стоило Microsoft встроить в Windows 10 свой видеопроигрыватель, как закончилась эра сторонних видеоплееров. Единственный действенный способ победить корпорации — штрафовать их и принуждать к предустановке сторонних программ на своих устройствах.

В-третьих, рынок софта характерен разделением компетенций и уже сформированными производственными цепочками из компаний и студий, рассредоточенных по многим странам. Microsoft — это не только программисты-американцы, но и десятки тысяч индусов, которые «кодят» для корпорации.

В-четвёртых, софт — это не написанная с нуля программа, а множество компонентов (библиотек, API, фреймворков) и модулей, которые, словно конструктор, собираются воедино для достижения поставленной цели независимо от того, что нужно: сочинять музыку, создавать чертёж или редактировать текст.

Теперь, понимая специфику рынка ПО, стоит перейти непосредственно к тому, как, кем и зачем проводится импортозамещение софта и «железа» в России.

Теория и практика IT-замещения

Первым делом необходимо констатировать, что Россия не первая в мире страна, где проводится импортозамещение ПО. Наиболее яркие примеры такой политики — Китай и Бразилия.

В КНР правительство пошло по пути использования кнута. Ещё в 2007 году Министерство общественной безопасности КНР внедрило схему многоуровневой защиты (MLPS), которая ограничивает продажи иностранных IT-продуктов правительственным органам, государственным предприятиям и компаниям, деятельность которых воздействует на национальную безопасность и экономику страны. Существует пять уровней такой защиты: первый из них самый низкий, а пятый критично важный для безопасности Китая. Только небольшая часть компаний получает третий уровень защиты и выше. При этом Китай обладает гигантским внутренним рынком, а в вопросах экспорта IT-продуктов китайские разработчики могут получить финансовую поддержку от правительственных органов, которые отвечают за внешнюю торговлю. Правительство в этом случае оплачивает расходы на получение сертификаций.

В Бразилии решили «импортозамещаться» с помощью пряников. С 2008 г. бразильское правительство снизило налоговую нагрузку на IT-компании, в то же время увеличив объём инвестирования в развитие отрасли. Взносы компаний на социальное страхование сотрудников упали до 50 % в том случае, если компания экспортирует разрабатываемые продукты. Кроме того, правительство инвестирует средства в подготовку персонала и R&D проекты — от 160 до 200 %. И в дополнение местные IT-компании получили льготные ставки по кредитованию от крупнейших банков страны. В итоге возросло количество публичных конкурсов на приобретение государственными организациями программных продуктов бразильских производителей.

На снижение налогообложения пошли и в Индии. Например, от налогов освободили 90 % прибыли, которая приходит в страну от экспорта программного обеспечения. А ещё с 1997 г. от всех налогов освобождён импорт локального ПО. Кроме того, правительство дополнительно отменило любые пошлины на 217 товаров: микропроцессоры, драйверы для жёстких дисков и дискет и ряда других продуктов. А политика подготовки кадров, содействие экспорту ПО и услуг ведётся с конца 1980-х годов.

Кроме того, необходимо признать, что обеспечить тотальную безопасность и снизить до нуля цифровые риски, связанные с «дырами» в ПО или «закладками» в аппаратной части, невозможно.  Можно лишь снизить риски до разумных показателей.

Во-первых, наименований софта и разновидностей «железа» огромное множество, а о части уязвимостей ни мы, обыватели, ни профильные специалисты никогда не узнают, а даже если они и будут обнаружены, то не факт, что будут когда-либо использованы, как, например, превращение жесткого диска в микрофон.

Во-вторых, законопатить все дыры в софте невозможно просто потому, что, как уже упоминалось выше, программа — это конструктор из модулей, которые писались другими людьми. Речь может идти лишь о снижении рисков до приемлемых показателей. Кроме того, нужно понимать, что не всё стоит замещать. Порой новая программа оказывается куда «дырявее» старой.

Справка: «дыры» в ПО и цифровой шпионаж

В 99 % случаев разработчики софта заинтересованы в его максимальной безопасности: Google регулярно платит хакерам за поиск уязвимостей в Android, а автору с периодичностью примерно в раз месяц на смартфон приходит новый защитный патч, закрывающий «дыры» в ПО. При этом «дыры» в софте закладываются не намеренно, а возникают в силу сложности ПО, низкого качества кода (особенно если его написание отдаётся субподрядчику), и спешки в разработке — в игровой индустрии «кранчи» — многомесячный сверхурочный труд разработчиков незадолго до релиза игры — уже успел стать нормой, которая, впрочем, никак не гарантирует оптимизацию игры и отсутствие проблем с её качеством.

Зачастую шпионящий функционал в ПО является платой за оперативное исправление ошибок в ПО и быстрое обновление. Так, релиз Windows 10 сопровождался переходом Microsoft к модели поддержки операционной системы как сервиса: корпорация нацелена на крайне длительный цикл жизни ОС, а не на выпуск новой ОС раз в несколько лет. В итоге Windows 10 системно анализирует активность пользователей и шпионит за ними, отправляя данные на серверы редмондской корпорации. При этом объёмы передаваемых данных явно больше, чем того требуется для телеметрии и отлова ошибок в ОС.

Мало того, Microsoft с помощью обновлений научила шпионить и предыдущие версии своей операционки — Windows 7, 8 и 8.1. И полностью отключить эту слежку невозможно.

В то же время нет никаких данных, которые подтверждали бы факты подслушивания пользователей через микрофоны или подглядывания за ними с целью шпионажа посредством неавторизованного использования веб-камеры.

И грешит слежкой не только Microsoft, но и множество других корпораций, в частности HP устанавливает на компьютеры пользователей программу для телеметрии.

Корпорациям пользовательские данные нужны для отлова ошибок в ПО, совершенствовании своих продуктов и понимания, стоит ли тратить деньги и силы на поддержку ряда сервисов, если они стали непопулярными, или же, наоборот, на навязывание как своих сервисов, так и сервисов партнёров (установка их с помощью обновлений).

При этом обнаружение намеренной шпионской «дыры» в софте или предустановленного зловреда для кражи данных банковских карт пользователей — это скандал и невероятный удар по репутации разработчика. Крупные компании, чьи продукты находятся под пристальным вниманием пользователей (а чем их больше, тем больше грамотных энтузиастов), не могут себе позволить создать подобную дыру в ПО. Именно поэтому в эпицентре прошлогоднего скандала с предустановленным с завода банковским трояном Triada оказались не Huawei с Xiaomi или Samsung, а компании последнего дивизиона Leagoo и Doogee.

Назвать рынок ПО устоявшимся с позиции стандартов того, какие данные пользователей можно отправлять на сервера разработчиков, а какие нельзя, сложно. Разработка, исправление ошибок и монетизация ПО с соблюдением при этом интересов пользователя — это достаточно тонкий лёд, по которому ходят разработчики.

Тем не менее отрицать движение рынка к некой упорядоченности в отношениях между пользователями и разработчиками в части передачи данных невозможно. Например, в Android появилась система разрешений для приложений: пользователь может сам решать, к чему будет доступ у программы, и запрещать ей пользоваться микрофоном, камерой или доступом к данным о местоположении.

Также нужно уяснить, что замещать нужно не только софт, но и «железо». И порой главный аргумент в пользу импортозамещения аппаратной начинки не «закладки» и «жучки», а санкции и угрозы эмбарго.

Справка: аппаратные «жучки» и «закладки»

Аппаратные уязвимости куда сложнее исправлять, и угроз от них больше, чем от «дыр» в софте, а выявляются такие уязвимости реже и, соответственно, существуют дольше.

Так, в 2017 году в маршрутизаторах D-Link обнаружили свыше 10 критических уязвимостей, которые компания оперативно закрыла патчами, ещё раньше, в декабре 2014-го, уязвимости были найдены в свыше 12 млн роутеров. В 2018 году критические аппаратные уязвимости Meltdown и Spectre были обнаружены в процессорах Intel семейства Core, которое производится уже свыше 13 лет — с 2006 года. И это у корпорации Intel c её практически безграничными финансовыми, техническими и интеллектуальными ресурсами.

Порой уязвимости находят там, где их, как казалось, быть не может: так жёсткие диски научили подслушивать и записывать звуки. Впрочем, пугаться рано — качество записи не позволяет писать разговоры людей, но шаги и громкие звуки в помещении зафиксировать можно.

Не менее сложная ситуация и с так называемыми аппаратными закладками в компьютерном «железе». В октябре 2018 года издание Bloomberg написало, что в серверах Supermicro, которыми пользуются IT-гиганты Apple и Amazon, были обнаружены китайские «жучки». Якобы они были выявлены ещё в 2015 году, а внедрили их на производстве китайского субподрядчика Supermicro, чтобы китайцы могли воровать интеллектуальную собственность и коммерческие тайны американских компаний.

Якобы шпионский чип с сервера Supermicro, о котором написало информагентство Bloomberg

Разразился скандал, на него отреагировала Apple, которая проверила сама свои серверы, а заодно и организовала независимую проверку, после чего уведомила Конгресс США о том, что никаких закладок в серверах Supermicro нет. В итоге Bloomberg не удалось доказать наличие на серверах китайских жучков.

Схожая история была и в России, когда телеканал «Россия» сообщил об обнаруженной партии китайской бытовой техники, в которой были обнаружены микрочипы, якобы позволяющие свободно подключаться по Wi-Fi к любым незащищённым компьютерам в радиусе 200 метров и рассылать вирусы, спам, а также передавать данные на китайский сервер.

При этом вся история с утюгами-шпионами выглядит крайне сомнительно.

«Дырявым» оказывается не только «железо», но потребительская электроника. У роботов-пылесосов Roomba и Diqee360 обнаружили критические «дыры» в системах безопасности, позволяющие не только использовать созданные устройствами карты домов, но и воровать с их помощью пароли и подсматривать за их владельцами. Фитнес-браслеты являются потенциальными шпионскими устройствами, данные с которых производители сводят в огромные карты, позволяющие следить за миллионами человек, в том числе военными и сотрудниками ЦРУ. Smart-TV стоят недорого не по причине дешёвой электроники, а в силу специфической системы монетизации: они собирают обезличенные данные о пользователях и их предпочтениях, а затем продают их — так производитель окупает продажу устройства дешевле его себестоимости. Bluetooth-вибраторы We-Vibe собирают все данные об использовании их устройств, а аппараты могут быть легко взломаны, так как практически не защищены.

Причина низкой защищённости потребительской электроники — не тайный замысел спецслужб (им нет никакого дела до того, кто и что смотрит по телевизору), а целый комплекс факторов. Во-первых, рынок умной потребительской электроники является незрелым и находится в процессе становления, что означает отсутствие каких-либо стандартов безопасности, и чем больше будет обнаружено «дыр» и уязвимостей в ПО и аппаратной части устройств, тем быстрее соответствующие стандарты появятся — нет никакого глобального ГОСТа для роботов-пылесосов. Во-вторых, на рынке огромная конкуренция и невероятная скорость появления новых устройств, что вынуждает вести работу над ними в спешке, а параметры «хорошо» и «быстро» удаётся совместить крайне редко. В-третьих, многое из того, что является слежкой, на самом деле ею с позиции юриспруденции не является — кто от корки до корки читает лицензионные соглашения и спецификации к технике?

Страх жучков и закладок значительно преувеличен и зачастую вызван бытовым непониманием устройства полупроводниковой продукции: она слишком сложна для обывателей. А вот специалистам, разбирающимся в полупроводниках и информационной безопасности, осмотр печатной платы говорит о многом: они знают функциональное предназначение почти каждого элемента микросхемы. Так что спрятать жучок на плате не такая уж простая задача, как кажется со стороны.

Поэтому не стоит всюду искать умысел спецслужб. А со спецслужбами у корпораций и разработчиков отношения более чем сложные. С одной стороны, от них сложно отвертеться и часто силовики являются заказчиками многих аппаратных и программных продуктов. Например, HP является одним из ключевых подрядчиков Пентагона, а Google разрабатывала технологии искусственного интеллекта для дронов, китайские же Huawei и ZTE американцы обвиняют в работе на китайские спецслужбы и армию. С другой стороны корпорации такое сотрудничество напрягает: сотрудники Google протестовали против подряда для Пентагона, Apple отказала ЦРУ во взломе iPhone убитого террориста, чтобы не уничтожать свою репутацию. Смартфон в итоге взломали, но без помощи его создателей: для взлома используются специализированные израильские и американские аппаратные и программные решения, а в России с недавних пор — китайские.

В июле 2018 года военное управление Следственного комитета РФ потратило 5 миллионов рублей на комплексы MeyaPico iDC-8811 Forensic MagiCube для взлома смартфонов и компьютеров. Комплексом поддерживаются 3 тысячи моделей аппаратов от ста производителей. К слову, данное оборудование не сертифицировано и не проходило специальные проверки на «закладки».

А вот компаниям поменьше куда сложнее сопротивляться давлению со стороны спецслужб, и они регулярно отступают под их давлением. Так, тот же Сноуден утверждал, что в рамках проекта Bullrun АНБ сумела обойти многие системы шифрования за счёт принуждения разработчиков к созданию «закладок» или передачи ключей шифрования. Другое способ получения информации — взлом приложений и операционных систем с помощью хакеров на подряде. Со шпионским каталогом АНБ можно ознакомиться тут.

Однако куда легче АНБ было получить информацию с помощью сетей мобильной связи: использовались как радиомодули с «закладками» и поддельные базовые станции, и целые сотовые сети. Поэтому одна из причин столь активного противостояния между США и Huawei состоит как раз в возможности и дальше использовать наработанные технологии, отработанные связи и вскрытые уязвимости в сотовых сетях для слежки: чем больше стран перейдёт на использование решений Huawei, тем больше белых пятен будет у американской разведки. Это уже в открытую подтверждали и топ-менеджеры корпорации задолго до того, как угодили под американские санкции.

И важность обеспечения страны своим «железом» показала история с китайской ZTE, которую США на время оставили без процессоров Qualcomm для смартфонов. Однако в случае с Россией речь не должна идти о необходимости догнать и перегнать Тайвань с США по производству всех разновидностей полупроводниковой промышленности всех возможных технологических процессов. Полупроводниковая автаркия для России невозможна в принципе. Уметь производить все чипы — это невиданная роскошь для государства, которая даётся лишь при условии невероятных денежных затрат (Китай инвестировал в полупроводниковую промышленность около 120 млрд долларов и ещё не догнал Тайвань и США) и, что, пожалуй, даже важнее, наличия чрезвычайно ёмкого рынка сбыта, в идеальном случае размером с Землю. И в случае с софтом страшны не «закладки», а банальное эмбарго на поставку полупроводников, как было с ZTE и как стало с Huawei.

Кроме того, скепсис программистов в части импортозамещения вызван непониманием конечной цели государства: оно не планирует обязать ретейлер DNS торговать компьютерами с отечественной сборкой ОС Linux — это невозможно просто потому, что российский Linux россиянам пока не нужен. Нет цели даже заменить программы для потребительского сегмента рынка, да и необходимости в этом нет: гражданская полупроводниковая продукция — как компьютеры, так и смартфоны — является высокомаржинальным товаром, который корпорации будут продавать в любом случае независимо от политических раскладов. Никто не запретит Intel отгружать процессоры российским дистрибьюторам, а Nvidia продавать видеокарты российским геймерам. Соответственно, замещать бытовую полупроводниковую продукцию никто не будет — порог вхождения в индустрию слишком высок. Кроме того, Россия является практически чистым импортёром потребительской электроники, а не экспортёром, потому не представляет такой угрозы для США, как китайская Huawei.

Крайне мала и вероятность введения запретов на продажу ПО какой-либо из стран, так как это подаст пример IT-компаниям и ускорит разработку ими альтернатив существующим операционным системам. Например, Huawei уже разработала свои альтернативы ОС Windows и Android на случай введения запрета на их использование со стороны США. Однако компания начнёт распространять свои альтернативы лишь в том случае, если такой запрет станет реальностью.

Следовательно, когда речь заходит об импортозамещении софта и железа, то нужно понимать: правительство замещает не процессоры для домашних ПК, а процессоры для промышленных систем, полупроводники и программы для объектов критической инфраструктуры (органов государственной власти, энергетики, промышленности, банковского сектора, транспорта и ВПК), от надёжного функционирования которых зависит безопасность государства.

В 2010 году Израиль и США применили против Ирана вирус Stuxnet, который отбросил на несколько лет иранскую ядерную программу. В марте 2019 года США посредством хакерской атаки погрузили во тьму Венесуэлу. При этом и в первом, и во втором случаях компьютерам даже не нужно было быть подключёнными к сети: достаточно было просто flash-накопителя. К слову, АНБ научилось внедрять жучки в прошивки жёстких дисков.

Для государства не столько важен прогресс, сколько стабильность и безопасность. В российской армии, например, тексты набираются исключительно шрифтом Times New Roman, который в этом году предстоит заменить другим (правообладатель шрифта Monotype Imaging запретила использовать её продукты в российских госучреждениях).

Основным заказчиком для IT-компаний, чьи сотрудники трудятся над импортозамещением софта, является государство, для которого скорость обновления и появления в ПО новых функций не важна. У государства другая задача — сделать так, чтобы важные системы были максимально защищены от утечек информации и хакерских атак, а также разрабатывались в России, соответственно, деньги получали отечественные IT-компании.

То есть цели импортозамещения ПО следующие: расширение использования IT-продукции в органах госвласти, обеспечение их безопасности и господдержка отечественных IT-компаний.

Исходя из этого объёмы продаж импортозамещённого софта за пределами госсектора — дело десятое и зависят от качества данного софта и обязательств разработчика перед государством или же объёмов выпуска продукции, которую обслуживает данный софт.

В июле 2018 года внесённый в реестр отечественного ПО «Яндекс.Браузер» занимал 23,4 % рынка десктопных браузеров в России.

Поэтому государство ещё в 2015 году сформулировало свои специфические требования к разработчикам отечественного софта, чья продукция вносится в Единый реестр российских программ для электронных вычислительных машин и баз данных, который ведёт Минкомсвязи с начала 2016 года.

Изначально, чтобы попасть в реестр отечественного ПО, разработчику и их продукту нужно выполнить ряд вполне разумных условий.

Во-первых, программы должны быть разработаны юридическим лицом с российским контролем (более 50 %), владеющим исключительным правом на составное произведение (программу) из лицензированных компонентов с исходными кодами и правом на их модификацию и распространение или же заимствованных открытых (open-source) компонентов и собственных разработок.

Во-вторых, отчисления зарубежным бенефициарам должны составлять не более 30 % выручки юридического лица.

В-третьих, важно выполнить требования по суверенитету разработки, то есть обеспечить технологическую независимость ПО, в частности:

Гарантировать наличие полных исходных кодов в России.



Создать локальную инфраструктуру разработки и сборки.



Обеспечить доступность локальных специалистов, R&D и техническую поддержку.

В-четвёртых, обеспечить требования по безопасности софта от «закладок», утечек данных, гарантировать устойчивость к взломам и при необходимости доработать и сертифицировать продукты в соответствии с требованиями Федеральной службы по техническому и экспортному контролю, ФСБ или иных заказчиков из числа силовых структур, которые будут использовать ПО.

Как видно, ключевое требование для попадания ПО в Реестр — его разработка на территории России: столь жёсткое требование, как утверждают белорусские источники, было пролоббировано крупнейшими российскими IT-компаниями, которые административным способом отсекли от рынка своих белорусских конкурентов. Однако у такой меры были два побочных эффекта: пострадали российские же IT-компании, у которых были «дочки» в РБ (а таковых хватает), и возросло недовольство таким решением со стороны российских союзников, в первую очередь той же Беларуси.

Поэтому в декабре 2017 года правительство РФ разрешило использовать программное обеспечение, созданное и на территории ЕАЭС. Однако разрешило весьма специфическим способом: ПО из стран — членов ЕАЭС можно использовать лишь в том случае, если оно соответствует аналогичным требованиям к софту из российского реестра (и это вполне логично) и внесено в специализированный реестр евразийского ПО.

* По данным рейтинга «Топ-50 IT-компаний Беларуси по числу сотрудников: август 2018» портала Dev.by. Примечание: не все компании из рейтинга являются исключительно белорусскими, например, EPAM зарегистрирована в США, её директором является уроженец РБ Аркадий Добкин, а в РБ у EPAM офисы.

Однако данный ПО не создан до сих пор, хотя запустить его планировалось 20 ноября 2018 года. С чем связаны задержки, неясно.

Впоследствии количество требований к разработчикам и ПО выросло, а сами требования ужесточились, однако не приняли какого-либо системного и прописанного характера, то есть всё решается на усмотрение заказчика, исходя из его желаний, целей и понимания поставленных перед ним задач. Например, планируется убрать все разработки на основе иностранных систем управления базами данных, серверов приложений и платформ, чтобы обезопасить органы власти и госкомпании от санкционных угроз. А в случае с начавшейся 5 лет назад работой над ГИС ЖКХ разработчикам изначально поставили требование обойтись без иностранных программных продуктов. И последнее уже стало базовым условием при разработке нового софта для госорганов.

Российские IT-компании создание Реестра оценивают положительно и констатируют рост продаж, тогда как иностранцы пытаются при возможности локализовать часть цикла разработки или «перепаковать свои программы», жалуясь на падение объёмов продаж.

Фактически государство в 2015 году на волне санкций приняло решение стать одним из заказчиков IT-продукции в России и поддержать отечественные компании, часть из которых (например, «Лаборатория Касперского») к тому времени оказалась под ударом и лишилась доступа к ряду традиционных рынков. Кроме того, устойчивой тенденцией стал рост IT-бюджетов федеральных органов власти, которые включились в программы информатизации.

Как автоматизируется российская медицина, можно почитать в блоге разработчика компании К-МИС.

Как видно, темпы роста стабильны и колеблются в пределах 6 % ежегодно, а сами бюджеты вполне привлекательны даже для крупных разработчиков — в 2018 году IT-бюджет органов власти в России достиг 2 млрд долларов.

Поэтому госкомпании и органы власти с 1 января 2016 года ограничили в праве покупать иностранное ПО, если у него нет российского аналога, а с 2017 года в национальной программе «Цифровая экономика», на которую планируется потратить 3,5 трлн рублей, закрепили приоритет отечественного ПО для госорганов и госкомпаний при закупках.

Выделились даже госорганы-лидеры по объёму IT-бюджетов.

Предусмотрели и различные меры стимулирования разработки ПО, которые должны поднять долю отечественного ПО в госструктурах свыше 90 %, а в госкомпаниях — свыше 70 %. Тем не менее темпы перехода на отечественный софт далеки от изначально запланированных: Минкомсвязи в 2017 году желало, чтобы к 2019 году 80 % российских чиновников на работе перешли на отечественные офисные пакеты и операционные системы.

* Источник — исследование TAdviser «ИТ-бюджеты федеральных госорганов 2017». В полной версии таблицы 82 органа госвласти.

Однако дьявол, как известно, кроется в деталях. По данным Счётной палаты, в 2017–2018 годах более 82 % государственных учреждений пользовались зарубежными почтовыми серверами, 99 % использовали СУБД Microsoft или Oracle, а также открытые СУБД Red Hat, CentOS, Sybase SQL Anywhere, FreeBSD, которые не входят в реестр российского ПО. На 96 % компьютеров госслужащих установлена ОС Windows. В то же время в сегменте систем информационной безопасности три четверти используемой продукции — российского происхождения. При этом с нарушениями процедуры было закуплено софта на 3,3 млрд рублей.

Вышло даже так, что органы власти принялись закупать впрок операционные системы и иные программные продукты иностранной разработки, желая перестраховаться на случай введения новых санкций.

В целом 90 % закупаемого российскими органами иностранного софта имеют американское происхождение.

Суммарный объем 50 подобных госзакупок продуктов Microsoft составил за 2017 год 12,2 млрд руб., что на 4 % больше, чем годом ранее.

В итоге крупнейшим продавцом офисного ПО в России считается Microsoft. В госструктурах на продукт «Мой офис» разработчика НОТ приходится около 4 %, на иностранное свободное ПО LibreOffice и OpenOffice — по 5–7 %, остальное — на Microsoft Office, оценивает гендиректор «Базальт СПО» Алексей Смирнов. Гендиректор НОТ Дмитрий Комиссаров полагает, что на рынке госзакупок ПО около 85 % приходится на Microsoft, около 3 % — на «Мой офис».

Тем не менее чиновники демонстрируют оптимизм. Если в 2014 году доля закупок отечественного ПО составляла 20–30 % от общего объёма, как говорил в 2017 году на профильной конференции глава Минкомсвязи Николай Никифоров, то в 2018-м — до 70 %.

Оптимистично выглядят и финансовые показатели IT-компаний: суммарная выручка рейтинга TAdviser выросла с 879 млрд рублей в 2014 году до 1355 в 2017-м. Наметились даже безусловные лидеры отрасли.

* Источник: TAdviser

Однако множество проблем с реализацией импортозамещения потребовало принятия мер, и  в конце 2018 года правительство в лице первого вице-премьера Антона Силуанова обязало крупнейшие госкомпании, включая ВТБ, «Роснефть» и «Первый канал», в ближайшие годы перейти на «преимущественное использование» отечественного ПО. К 2022 году российским в них должно быть более половины софта. Речь идёт о любом софте: операционных системах, серверах приложений, офисном ПО, антивирусах и т. д. Компании сами должны определить, насколько глубоко они хотят «импортозаместиться»: кому-то хватит 50 %, а кто-то захочет на все 100 %. РЖД планирует к 2020 году импортозаместить 80 % своего софта и построить «цифровую железную дорогу».

В то же время есть и примеры провалов в импортозамещении, и каждый новый провал наступает тогда, когда чиновники пытаются вывести разработанные в рамках командно-административной системы для госслужбы проекты в сферу повседневного использования, которую регулирует рынок.

Примеры таких провалов — российские операционные системы. Например, в 2018 году «Ростелеком» купил ОС Sailfish, изначально разработанную финской компанией Jolla, которую основали выходцы из Nokia, за 3 млрд рублей (примерно 50 млн долларов). На доработку Sailfish Ростелеком потратит ещё 2,3 млрд рублей, а в феврале 2019 года её переименовали в «Аврору». В середине марта 2019 года «Ростелеком» объявил о намерении закупить 300 тыс. смартфонов с предустановленной ОС Sailfish. Начальная максимальная цена закупки составляет почти 3,658 млрд руб. Смартфоны должны быть с экраном от 5 до 6 дюймов, четырёхъядерным процессором, сканером отпечатка пальца, поддержкой 4G LTE и NFC.

Ни софт, ни «железо» INOI R7 звёзд с неба не хватают: он устарел за несколько лет до своего анонса. Массовому пользователю он совершенно неинтересен, тогда как для госслужбы вполне пригоден при условии предустановки корпоративного ПО и жёсткого контроля над самими госслужащими.

Планы у «Ростелекома» наполеоновские: компания планирует к 2021 году перевести всех чиновников на смартфоны с Salifish, что обойдётся в 160 млрд рублей, из которых 71,3 млрд рублей — расходы федерального бюджета, 10,7 млрд рублей — местных бюджетов, а 78,2 млрд рублей израсходуют госкомпании. Тариф на использование смартфонов с Sailfish составит 13 тысяч 100 рублей в год на каждого человека. Кроме того, «Ростелеком» желает использовать аппараты на «Авроре» для проведения переписи населения, поставив «несколько сотен тысяч устройств» за 20 млрд рублей.

Главной проблемой со смартфонами на Sailfish рискует стать их невостребованность даже самими госслужащими: INOI R7 лишь у единиц будет в качестве основного аппарата по причине своей аппаратной слабости и крайней сырости ОС. Поэтому с большой долей вероятности служащие будут вынуждены пользоваться двумя смартфонами: личным на Androi/iOS и служебным на Sailfish, что будет выливаться в казусы, подобные тем, что были с Хиллари Клинтон, отправлявшей служебные email с личной почты.

Намерение «Ростелекома» развивать свою операционную систему, конечно, заслуживает похвалы, однако в случае с ней мало просто сделать ОС, важно ещё и создать устройства, которые будут работать под её управлением, а также множество регулярно обновляемых программ. Смартфоны и планшеты для госслужбы «Ростелеком» будет покупать в Китае, и пока ни о каких планах по локализации их производства в России компания не сообщала. Поэтому куда логичнее выглядит не эксплуатация своей ОС, а создание защищённых приложений для Android, которые могли бы использоваться госслужащими, чьи данные хранились бы в серверах на территории России, благо данное требование стало обязательным для IT-компаний с момента вступления в силу в 2015 году закона «О персональных данных».

Не лучше успехи и у ОС для ПК и серверов: на 96 % компьютеров российских госслужащих установлены ОС Windows, а целый букет отечественных ОС на базе Linux оказался практически невостребованным. Часть из них разработчики уже не поддерживают (например, «Альт Линукс 7.0 Кентавр» и «Альт Линукс Школьный» — IT-компания «Базальт СПО» в сентябре 2018 года попросила Минкомсязи исключить данные ОС из Реестра, так как больше не продаёт их), часть была изначально мертворождённой.

Главная причина невостребованности отечественных операционных систем — их необеспеченность софтом: его просто не успевают создавать, а даже если есть программы, то нет ПК или заказчика — госорганов — отсутствует желание связываться с чем-либо, кроме Windows.

Логично было бы развивать ОС лишь в случае привязки их к отечественному «железу», что возможно только при тотальном переводе всей госслужбы и госкомпаний на отечественные ПК, например, на базе процессоров «Эльбрус», последние модели которых изготавливаются на мощностях тайваньской TSMC. В таком случае сектор государственного IT был бы исключён из рынка и переведён в логику административно-командной системы, что позволило бы начать массовое серийное производство тех же «Эльбрусов» и выпуск периферии для них. А чем больше объёмы производства, тем дешевле конечное изделие.

Прежде чем приступать к подобным действиям, российским IT-специалистам предстоит титанический труд по созданию ПО для госсектора — в противном случае любую отечественную ОС будет ждать судьба «Альт Линукса», а чиновникам необходимо научиться управлять сложными административными процессами в IT-секторе.

Соответственно, куда логичнее не гнаться за операционным журавлём в небе, а сконцентрироваться на программных синицах, том, что целесообразно и реально импортозамещать.

Ещё сложнее обстоит дело с замещением компьютеров и чипов. Если для софта есть специализированный Реестр, то для «железа» он только создаётся: Минкомсвязи составляет единый реестр радиоэлектронного оборудования российского происхождения. Поэтому замещение «железа» столкнулось с ещё большими трудностями, чем замена софта: план закупок отечественного «железа» был принят в 2016 году, тогда планировалось закупить 50 млн единиц различных изделий — от чипов для маркировки древесины, персональных электронных жетонов для военнослужащих, отечественных ПК для МВД до выпуска электронного полиса медицинского страхования и многого другого.

Но, как показало расследование CNEWS, уже к февралю 2018 года план импортозамещения «железа» оказался полностью провален в отношении приобретения микросхем у фабрик «Микрон» и «Ангстрем», а по процессорам «Эльбрус» выполнен лишь частично. Хуже всего то, что за срыв плана никто не понёс никакой ответственности.

Как обстоит дело с закупками ПК на отечественных процессорах, хорошо показывает история с МВД. В декабре 2018 г. компания «Т-платформы» завершила за 357 млн руб. поставку в МВД 9348 устройств «Таволга терминал», аппаратной основой для которых послужили процессоры «Байкал-Т1». «Т-платформы» не смогли вовремя поставить компьютеры, затем через суд возвращались в тендер МВД, а директор «Т-платформ» (единственной компании в РФ, производящей суперкомпьютеры) Всеволод Опанасенко стал фигурантом уголовного дела и отправился в СИЗО.

После этого ведомство провело два тендера по закупке ПК, но составило требования к ПК таким образом, чтобы отсекать от него любые отечественные разработки.

Например, как пишет CNEWS, МВД в марте заказало 3,5 тыс. моноблоков за 183,4 млн рублей на Windows 10 Pro 64, так как альтернативные ОС не соответствовали требованиям заказчика. При этом тактовая частота четырёхядерного процессора в заказе установлена на уровне не менее 3100 МГц (в новейшем процессоре «Эльбрус-8СВ» тактовая частота равняется 1500 МГц). Зачем МВД подобные машины (каждая стоимостью в 52,4 тыс. рублей), неясно, так как тактовая частота процессора и итоговая стоимость компьютеров скорее соответствуют игровому ПК, чем рабочей лошадке для МВД.

Опять же, продукты на отечественном «железе» вряд ли будут востребованы за пределами госкомпаний и учреждений: стоит признать, что как бы ни старалась Россия, она не сможет даже догнать лидеров мировой полупроводниковой промышленности и обеспечить гражданский сектор качественной и конкурентоспособной электроникой, работающей под управлением российских ОС. Насколько это сложная задача, показывает пример «Яндекс. Телефона», который провалился в продаже несмотря на свои весьма достойные характеристики.

***

Как видно, с 2014 года государство крайне основательно взялось за обеспечение цифрового суверенитета и правовое регулирование интернета, сферы телекоммуникации, программного и аппаратного обеспечения. В частности, оно:

Заставило подавляющее большинство иностранных IT-компаний локализовать хранение персональных данных пользователей в серверах на территории России. И это обычный шаг, по аналогичному пути пошёл Китай.



Укрепило позиции госкапитала в телекоммуникационном секторе. «Ростелеком» завершает сделку по приобретению мобильного оператора Tele2, что позволит государству контролировать часть рынка сотовой связи и создавать защищённую мобильную связь для силовиков. В частности, на мощностях Tele2 создаётся виртуальный оператор «Воентелеком».



Продлило льготы для IT-компаний и в качестве меры протекционизма решило обложить налогом иностранный софт (налог на Google) и сервисы. Впрочем, от налога на Google пострадали не столько иностранцы, сколько отечественные разработчики вне госсектора (они продают программы через иностранные интернет-магазины) и потребители, которым прошлось платить больше.



Реализовывает политику импортозамещения программного обеспечения по китайскому сценарию. Импортозамещение пока находится на начальном этапе, поэтому зачастую выглядит крайне непоследовательным. На этом же этапе находятся и различные программы цифровизации.



Создаёт производителей «железа» для реализации цифровых инициатив.

Очевидно, что курсы на импортозамещение и цифровизацию продолжатся и будут реализовываться синхронно, а в дальнейшем стоит ожидать формирования единого цифрового пространства ЕАЭС, которое будет основано преимущественно на российских разработках (в России к тому времени будет накоплен наибольший опыт по созданию специализированного ПО и наработаны соответствующие компетенции).

Однако с текущей системой управления IT-процессами государство рискует реализовывать программы импортозамещения куда дольше, чем изначально планировало.

Пока что импортозамещение софта идёт со скрипом: госкомпании не спешат переходить на отечественное ПО чтобы не усложнять себе жизнь подстраиванием под новые программы, а Минкомсвязи как куратор импортозамещения софта демонстрирует непоследовательность и зачастую безразличие к процессу миграции на отечественный софт.

Во-первых, ведомство безразлично относится в Реестру ПО: ревизии софта в нём должны проводиться раз в год, тогда как в действительности за три года момента начала ведения реестра список софта ни разу не пересматривали.

Кроме того, Минкомсвязи не всегда согласовывает свои решения с IT-компаниями. Например, на замещение иностранных программных компонентов в СУБД ведомство дало IT-компаниям полгода, тогда как цикл разработки такого ПО составляет от полутора до трёх лет.

Во-вторых, процедура внесения софта в Реестр и закупки софта госорганами оказалась крайне несовершенной и запутанной, поэтому её меняют, однако лишь время покажет, что получится в итоге.

В-третьих, решать, что и как закупать и что разрабатывать, позволили самим органам госвласти, не оставив им никаких жёстких требований и рамок. В результате госкомпании и органы двигались по пути наименьшего сопротивления — предпочитали ничего не менять, чтобы не усложнять себе жизнь. С закупкой «железа» ситуация была аналогичной: каждое ведомство само решало, что и как ему покупать, или же, наоборот, саботировать закупки, что удавалось куда легче.

Закупки софта и «железа» носят хаотичный характер, Минкомсвязи с задачами курирования явно не справляется, в целом вопросу импортозамещения софта и ПО не хватает централизации и вынесения их на уровень вице-премьера либо же создания профильного ведомства, условного министерства информатизации России, которое отвечало бы за все цифровые процессы и несло бы ответственность за провалы.

В-четвёртых, не обошлось и без вклада ФАС: структура запрещала закупки софта, например офисных пакетов, у одного-единственного российского поставщика, требуя создать ему альтернативу, однако не имело ничего против закупки софта у мировых монополистов — Microsoft и Oracle. При этом тот факт, что создать альтернативного поставщика ПО со своими собственными разработками не так уж и просто, ведомство игнорирует. Соответственно, необходимо или изменить подход к закупкам софта у одного поставщика, или активно помочь компаниям в разработке альтернатив. Вот только нужны ли госсектору России разные программы с одинаковым функционалом — вопрос открытый.

Текущий процесс замены софта идёт со скрипом и большими трудозатратами разработчиков, зачем ещё и разрабатывать параллельно несколько однотипных программ или вести работу над ОС с примерно одинаковым функционалом, неясно. Куда логичнее чётко определиться, что в итоге нужно государству, и сделать по одной ОС для серверов и ПК. Необходимость в мобильной ОС вообще видится нецелесообразной — в данном секторе прогресс идёт ещё быстрее, чем на ПК.

В-четвёртых, государство зачастую пытается свести риски и угрозы безопасности до нуля, что выливается в сомнительные законопроекты о суверенном интернете, чей бюджет уже успел значительно вырасти, или меры по борьбе с «фейк-ньюс», которые победить в принципе невозможно.

Такая активность резко повышает вероятность скатывания России в реакцию, подрывающую отношения власти и общества (в прошлом году таким прецедентом уже стала блокировка Telegram), и рискует привести к трате ресурсов на борьбу с ветряными мельницами. В целом цифровым отношениям власти, общества и бизнеса явно не хватает экспертизы и общественного контроля.

В-пятых, оживил бы процесс импортозамещения полноценный допуск белорусских IT-компаний к госзакупкам и кооперация с ними. Заодно это бы укрепило связи между российскими и белорусскими IT-компаниями. Не хватает кооперации и между производителями полупроводниковой продукции в РБ и РФ: Россия предложила РБ интеграционный проект между «Интегралом» и «Росэлектроникой» ещё в 2013 году, а в феврале 2018 года снова предложила вернуться к нему, однако о ходе его реализации, к сожалению, нет никаких новостей. IT-координация между российскими и белорусскими IT-компаниями, а также властями оставляет желать лучшего.

Источник







Смотрите также: