Рефреном практически всех мероприятий этой осени является тема импортозамещения. Если российский производитель выпускает новый продукт, то он не забудет упомянуть о больших планах на будущее импортозамещение. Если иностранный, то намекает, что у него есть возможность сделать свои технологии российскими. Некоторые хвалятся, что по тем или иным причинам не попадают под санкции, но больше всего рассуждений о самом процессе импортозамещения в ИТ и его последствиях.
Такой ажиотаж связан с законодательным процессом импортозамещения, который сформирован Федеральным законом № 188-ФЗ, опубликованным 6 июля и вступающим в силу 1 января 2016 г. Этот закон вносит определение понятий российского программного обеспечения и баз данных в «трехглавый» закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации». А второй статьей вносит запрет на покупки иностранного ПО в Федеральный закон № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», который определяет требования к закупкам товаров, осуществляемым государственными и муниципальными органами власти. При этом для ИТ-компаний государственный сектор России является чуть ли не самым важным, приносящим больше всего дохода: эксперты называют цифры до 70% у некоторых наиболее успешных российских компаний, занимающихся ИТ. Таким образом, для российских поставщиков соответствие требованиям № 188-ФЗ является ключевым для выживания в кризис.
При этом основным требованием, внесенным в № 149-ФЗ, является ограничение доли отчислений в пользу иностранных граждан и компаний – 30% от цены конечного контакта. То есть если вы используете базу данных Oracle в своем приложении, то стоимость его должна быть более чем в 3 раза больше лицензии на саму базу данных. Это же относится к операционным системам и другим базовым программным технологиям.
В частности, тема импортозамещения была центральной на круглом столе «Импортозамещение в сфере информационной безопасности», которой провел Геннадий Лютиков, начальник управления ФСТЭК России. На нем независимый эксперт Илья Трифаленков сравнил три возможных сценария импортозамещения: разработка ПО с нуля, приручение «дикого СПО» и локализация технологий. Собственная разработка – процесс не быстрый, и вряд ли его можно завершить за полгода – до 1 января 2016 г. К тому же сложность современных систем такова, что ни один разработчик не может обойтись без заимствования компонентов. Чаще всего в качестве элементов используется большой объем кода, написанный в рамках открытых проектов, но это уже второй сценарий. Поэтому реально обсуждаются только два сценария: решения на основе свободно распространяемых компонентов и создание российских компаний, которые будут продавать якобы свои разработки в три раза дороже.
Термин «дикое СПО» ввел на том же круглом столе Александр Трубачев, заместитель председателя по НИР компании «ЦБИ-Сервис». Под ним подразумевается код, за эксплуатацию которого никто не отвечает и который устанавливается клиентами на свой страх и риск. Он считает такое СПО наиболее опасным, поскольку непонятно, кто его разработал, кто будет его тестировать и поддерживать. В то же время «прирученное» СПО, у которого появился владелец и разработчик, является по классификации Александра Трубачева наиболее безопасным для использования в органах государственной власти, хотя и при соблюдении требований российских регуляторов.
Примером такого «прирученного» СПО является дистрибутив GosLinux, который сейчас является официальным для Федеральной службы судебных приставов. Он включен в Фонд национальных алгоритмов и программ, который поддерживает и развивает Минкомсвязь. Как пояснил Connect Егор Васильев, заместитель начальника управления информационных технологий ЦА ФССП России, дистрибутив был разработан по заказу ФССП компанией «РедСофт» на базе операционный системы CentOS. При этом в соответствии с контрактом весь разработанный на бюджетные деньги код был передан в собственность ФССП, и теперь все судебные приставы по всей стране могут устанавливать его бесплатно. Дистрибутив также имеет сертификации соответствия ФСТЭК – с его помощью можно обрабатывать персональные данные. При этом в состав дистрибутива входят также офисный пакет, средства работы с электронной почтой, база данных и компонент взаимодействия со СМЭВ. Служба планирует до конца года перевести на этот дистрибутив до 50 тыс. собственных рабочих мест, что составляет примерно 20% всего парка эксплуатируемых в ФССП компьютеров. Егор Васильев отмечает, что основными проблемами является некоторая несовместимость с закупленным оборудованием и нежелание других ведомств разрабатывать свои программы под Linux.
Впрочем, более перспективным направлением является локализация технологий. Это такая ситуация, когда при иностранном производителе создается специальная компания, которая якобы производит собственный продукт. На самом же деле выполняется скорее обычная локализация – перевод интерфейса, сертификация по требованиям российских законодателей, внедрение, интеграция с другими продуктами и сопровождение. Причем за все эти дополнительные услуги берутся деньги в два раза большие, чем за базовый продукт, чтобы как раз и обеспечить те самые 30% оплаты в счет иностранных компаний. То есть при локализации лицензия составляет 30%, а 70% – дополнительные услуги. Следует, правда, отметить, что и раньше в ценах конечного заказчика стоимость внедрения, интеграции и других дополнительных услуг составляла около 50%. То есть сейчас эта доля просто принудительно увеличивается за счет законодательства.
Впрочем, есть примеры и «бесплатной» локализации. Например, компания Samsung локализует свою операционную систему Tizen с помощью создания российской ассоциации разработчиков данной операционной системы и передачи в такую ассоциацию прав на разработку. При этом операционная система также сертифицирована во ФСТЭК и может использоваться в государственных проектах. Предполагается, что она будет использоваться в больших корпоративных и государственных проектах в качестве базовой для оборудования Samsung. Собственно на поставках железа южнокорейский производитель и будет зарабатывать – благо в № 188-ФЗ нет ограничений на покупку иностранной техники.
В то же время Виталий Лютиков отмечает, что локализация программных продуктов приводит к проблемам в области их безопасности. Дело в том, что сертифицируются они от имени российских «аватаров», которые никак не могут реально повлиять на разработку. В результате если в таком продукте обнаружена уязвимость, то исправлять ее некому: процесс исправления иностранным разработчиком слишком длительный и не всегда доводится до конца. Таким образом, по словам Виталий Лютикова, вполне возможно, что в ближайшее время произойдет отзыв сертификата соответствия для подобного крупного иностранного производителя, и этого будет поучительный прецедент. Тем не менее в ближайшее время именно локализация технологий будет основным механизмом исполнения № 188-ФЗ.