Опасные обновления
Менеджер ИТ-блока одной из крупных российских промышленных корпораций на условиях анонимности рассказал ComNews, что уже на второй день спецоперации на Украине по всем внутренним подразделениям было разослано письмо о запрете любых изменений конфигурации ИТ-решений и программных продуктов, компьютерных сетей и телеком-оборудования - и этот запрет действует до сих пор. Начальник связи другого значимого предприятия сообщил, что вот уже более месяца у них полностью запрещен удаленный доступ к телекоммуникационным системам, управление всеми системами полностью централизовано и устранено дублирование, а в системе мониторинга организована персональная аутентификация всех, кто имеет к ней доступ. Сразу несколько ИТ-директоров из компаний разных отраслей экономики заявили корреспонденту ComNews, что с конца февраля 2022 г. запретили все обновления программных продуктов (включая отечественные, если они созданы на базе свободного ПО), а также софтверной части АСУТП и телеком-оборудования. Все эти действия имеют одну цель - защитить корпоративные информационные системы и ведомственные сети связи от вредоносного кода и иных злонамеренных действий зарубежных разработчиков, в том числе от внедрения провокационного контента.
Руководитель ИТ-блока одной производственной компании в РФ поделился с ComNews опасениями в связи с запретами на обновление ПО: "Какое-то время мы способны обходиться без обновлений зарубежных продуктов. Но рано или поздно появятся критические обновления, без которых оборудование или софт могут работать некорректно либо возникнут проблемы в совместимости с иными продуктами и решениями. Как быть с этим, никто не знает, и очевидно, что без участия вендоров такие обновления не появляются. Возможно, ФСТЭК или иной российский государственный орган наладит централизованную проверку обновлений зарубежного ПО на предмет зловредов и "вшитого" контента, идущего вразрез с линией партии".
В прошлом месяце Сбер рассылал сообщение: "В настоящее время участились случаи внедрения в свободно распространяемое программное обеспечение провокационного медиаконтента. Кроме того, различный контент и вредоносный код могут быть встроены в свободно распространяемые библиотеки, используемые для разработки программного обеспечения. Использование подобного программного обеспечения может привести к заражению вредоносным ПО личных и корпоративных компьютеров, а также ИТ-инфраструктуры. Мы призываем пользователей отказаться сейчас от обновления программного обеспечения, а разработчиков усилить контроль за использованием внешнего исходного кода. При острой необходимости использования программного обеспечения обязательно проверяйте все скачанные файлы антивирусом, а при использовании чужого исходного кода в своих программах проведите ручную или автоматизированную проверку, в том числе просмотрите текст исходного кода".
ИТ-интегратор "Крок" советует отказаться от любых обновлений ПО, так как они могут негативно повлиять на работу инфраструктуры.
Руководитель направления сервиса вычислительного оборудования "Крок" Наталия Сляднева рассказала ComNews: "Мы провели ревизию всех сервисных контрактов "Крок", чтобы определить дальнейшие действия. Это собственная инициатива компании, она направлена на поддержку клиентов и обеспечение по мере возможности работоспособности их инфраструктур. С большей частью заказчиков в рамках заключенных договоров переходим на полноценное сопровождение нашими силами: все три линии поддержки берем на себя - но с ограничениями по предоставлению обновлений и доступа к порталам производителей. Если какое-то оборудование поддерживать не можем, то заключаем дополнительное соглашение об изменении спецификации поддерживаемого оборудования. Также мы предлагаем взамен на гарантийные обязательства производителей воспользоваться запчастями со склада "Крок" или заключить отдельные договоры на поддержку нашими силами на период неопределенности с возможностью продления. Это поможет оперативно устранять неисправности оборудования в случае поломок. В части ПО, если речь идет о программном обеспечении для вычислительных систем, мы рекомендуем в целом отказаться от любых обновлений, так как они могут негативно повлиять на работу инфраструктуры".
Член правления, директор по информационным технологиям НКО АО НРД (Национальный расчетный депозитарий) Павел Андрианов рассказал ComNews, что к импортозамещению НРД начал готовиться заранее. "Поэтому по особо важным решениям, таким как система управления базами данных, мы еще в прошлом году проводили тестирование отечественных продуктов и запустили их в пилотном режиме. В этом году работа продолжается в штатном режиме - планируется перевод части промышленных баз данных на отечественное программное обеспечение, входящее в реестр Минпромторга. У нас сформирован реестр всего ПО и оборудования, подлежащего замене в связи с уходом вендоров, определена критичность и приоритеты. В соответствии с ними мы ведем работу. В части оборудования мы сосредоточились сейчас на испытании серверов и систем хранения данных отечественного производства. От наших партнеров мы получили пробную партию серверного оборудования на тестирование и, в случае успешного его завершения, планируем его закупку и использование в промышленном контуре уже в этом году", - сообщил он.
Заместитель директора по работе с ключевыми клиентами компании "Синимекс" Павел Мышев отметил, что текущая мировая ситуация, несомненно, внесет коррективы в вопросы поддержки софта. "Однако пока мы не видим "резких движений" со стороны заказчиков, направленных на срочную замену или обновление функционирующего ПО. Реализованные нами разработки работают стабильно, и мы пока не сталкивались с необходимостью внештатных критически срочных обновлений. Со временем данный вопрос затронет пользователей софта, но будет рассматриваться скорее в юридической плоскости, а также в части поставок обновлений или наращивания парка оборудования. - комментирует он. - Мы рекомендуем клиентам, прежде чем рассматривать решение о переходе на другое ПО - неважно, связан этот вопрос с импортозамещением или реализацией насущных бизнес-задач, - воспользоваться услугами консалтинга. Необходимо рассматривать каждый конкретный кейс. Для поддержки работоспособности решения и оценки ситуации в первую очередь нужно провести аудит ИТ-инфраструктуры и определить меры для обеспечения непрерывности работы основных бизнес-процессов. И далее уже - подбирать отечественные продукты, совместимые с ИТ-инфраструктурой, и принимать решения о замене или обновлении существующего софта. Грамотный анализ ситуации поможет оптимизировать использование существующего аппаратного обеспечения".
Вице-президент, директор по информационным технологиям Почта Банка Иван Карпов рассказал, что движение в сторону импортозамещения в банковском ИТ будет идти по двум направлениям: поиск альтернатив среди российских производителей ПО и оборудования и поставщиков из других стран, которых не коснулись ограничения, прежде всего Китая. "Радует, что в последние годы появились сильные российские компании - вендоры, производители серверов и другого оборудования. По ряду позиций их продукция уже может конкурировать с зарубежными аналогами. А некоторые российские компании уже сейчас выходят с предложением комплексно перевести банковское ПО на "российские рельсы", опираясь на государственную поддержку. Этот процесс пока находится в начальной стадии, но, уверен, у него большие перспективы в ближайшие два-три года. Говоря об импортозамещении в банковском ИТ, важно подчеркнуть, что уже сейчас примерно половина ПО в банках российского производства: АБС, программы для взыскания просроченной задолженности и многое другое. Кроме того, поддержка и обслуживание существенной части банковского ПО осуществляется не самими иностранными вендорами, а их официальными российскими партнерами, а значит, сотрудничество продолжится без изменений. Что касается зарубежного ПО - лицензия по большинству из них либо бессрочная, либо будет действовать еще в течение года - двух лет, поэтому у банков и других компаний есть время, чтобы подготовиться и найти альтернативные решения", - рассказал Иван Карпов.
Он отметил, что полный переход на отечественное ПО и оборудование в банковской сфере возможен, но это может занять длительное время. "В банках, где сложный интегрированный ландшафт информационных систем и высокая транзакционная нагрузка, смена ключевых программных комплексов, как правило, требует от одного до нескольких лет. Скорость и успех этого процесса будет зависеть от множества факторов, в том числе готовности российских компаний предложить конкурентные аналоги, от государственной поддержки, а также от того, когда и насколько активно каждая компания начнет это движение. Одним из вариантов замещения может стать разработка и внедрение компаниями собственного ПО. Однако, во-первых, это очень затратная история, которая многим банкам и компаниям просто не под силу. Во-вторых, это потребует длительного времени, так как параллельно придется развивать и текущее решение, ведь бизнес не стоит на месте. Безусловно, адаптация к новым условиям неизбежно приведет к существенному росту затрат банков на поддержание и развитие ИТ-инфраструктуры. Расходы отдельных участников рынка могут сильно варьироваться в зависимости от масштаба банка и текущего уровня использования российского ПО. Однако ситуация отнюдь не критическая, понятны пути ее решения и дальнейшие шаги. Все ПО и оборудование в банке работает стабильно, большинство наших партнеров и поставщиков создали запас запчастей, а также обладают необходимыми компетенциями для обслуживания и сопровождения ИТ-оборудования и ПО. Все оборудование имеет резервный контур, поэтому даже выход из строя отдельных элементов не приведет к нарушению работы всей системы банка", - прокомментировал вице-президент Почта Банка.
Пресс-служба ВТБ рассказала, что банк в рамках стратегии технологической трансформации еще до введения санкций ориентировался преимущественно на разработки на открытом коде и их регистрацию в Едином реестре российского программного обеспечения. "Кроме того, в рамках проработки вариантов замещения иностранного оборудования российскими аналогами в ВТБ протестированы и адаптированы к эксплуатации российские серверы, системы хранения данных, сетевые коммутаторы, трансиверы, средства защиты от DDOS-атак", - добавила пресс-служба банка.