Тема импортозамещения в ИТ-сфере, инициированная на гребне обострения отношений России с западными странами в марте, пройдя за несколько месяцев фазу общеполитических лозунгов и внутренних обсуждений в ИТ-сообществе, постепенно подкатывается к «моменту истины» — когда нужно от общих разговоров переходить к принятию каких-то конкретных решений. Трудно сказать, когда такие решения на властном уровне будут приниматься, но подготовка рекомендаций уже началась — именно этим вопросам (выработке предложений по коррекции нормативно-законодательных требований) было посвящено прошедшее в начале июля расширенное заседание Комиссии по нормативно-правовому обеспечению развития наукоемких технологий стратегических информационных систем при Комитете Государственной Думы по науке и наукоемких технологиям на тему «Импортозамещения технологий в стратегических информационных системах. Законодательные акты». На этом собрании были представлены разные точки зрения на проблему различных участников рынка, при этом даже сам ход мероприятия отразил ее сложность и противоречивость.

Решение о формировании данной комиссии было принято еще в конце прошлого года, поначалу планировалось, что она будет заниматься наведением нормативно-правового порядка в сфере государственных ИТ-закупок, но в конечной редакции положения о комиссии ее функции были расширены — в поле ее внимания должны войти вопросы регулирования использования крупных государственных систем, а также создания технологий для их создания. Нужно отметить, что статус самой комиссии до сих пор находится в не до конца определенном состоянии — назначены председатель (депутат Госдумы от КПРФ Дмитрий Новиков) и ответственный секретарь (генеральный директор ООО «Электронная торговая площадка Газпромбанка» Андрей Черногоров), но о составе членов до сих пор ничего не известно. Тем не менее, инициативная группа комиссии, учитывая резко возросшую актуальность темы ИТ-импортозамещения, сформулировала проект предложений для высших органов законодательной и исполнительной власти по подготовке нормативно-законодательных актов, нацеленных на решение задач импортозамещения и поддержке российских поставщиков продуктов и услуг в сфере ИТ.

Первоначально организаторы собрания предполагали, что документ с предложениями Госдуме и правительству будет принят непосредственно на расширенном заседании с участием приглашенных экспертов, но фактически получилось иначе. Все время мероприятия ушло на выступления участников собрания по довольно широкому спектру проблема развития отечественной ИТ-отрасли, собственно на обсуждение итогового документа просто не хватило времени, и потому Андрей Черногоров предложил собрать мнения и сформулировать рекомендации в офлайновом режиме с использованием интернет-коммуникаций. О том, что получится в результате этой работы, мы постараемся информировать читателей, а пока попробуем осветить некоторые ключевые тезисы, прозвучавший в выступлениях и кулуарных обсуждениях.

Основные предложения парламенту и правительству

Председательствовавший на собрании Дмитрий Новиков после нескольких фраз о государственной важности ИТ-импортозамещения передал слово Андрею Черногорову, который сформулировал первоочередные задачи в плане решения этой задачи в контексте профильной сферы деятельности комиссии:

  • Поправки в 44-ФЗ (закон о контрактной системе от 05.04.13) и 223-ФЗ (закон о закупках от 18.07.11).
  • Закрепление определений российского разработчика и отечественного продукта в ряде нормативных актов.
  • Разработка дорожной карты реализации программы импортозамещения на уровне профильных ФОИВ.
  • Изменения в постановлении Правительства № 1085 от 28.11.13 («Правила оценки заявок...»).

Покупка иностранного ПО — бюджет на ветер

Обоснование актуальности проблемы ИТ-импортозамещения взяла на себя президент Cognitive Technologies Ольга Ускова. Ссылаясь на данные руководимой ею ассоциации НАИРИТ, она нарисовала весьма устрашающую картину порабощения государства западными ИТ-поставщиками. Согласно этим сведениям, пять американских компаний зарабатывают в России 285 млрд. руб. (если использовать данные Минкомсвязи о размере ИТ-рынка в целом, на их долю приходится около 40%), из которых 77% (219 млрд.) приходились на закупки, регулируемые 84-ФЗ и 223-ФЗ (организации, управляемые государством, в том числе коммерческие структуры). По мнению г-жи Усковой, непосредственно из федерального бюджета на приобретение продуктов «пятерки» было потрачено 85 млрд. руб., что она назвала «прямыми финансовыми потерями страны» и призвала направить финансовые потоки страны в стороны российских ИТ-производителей.

Отметим, что сами эти оценки (они приводились докладчиком и ранее) и по объемам, и по долям вызывают определенные сомнения у российских аналитиков. Но главное в данном случае, наверное, заключается в не очень корректных выводах из них. Разумеется, можно и нужно говорить об эффективности трат, но все же деньги эти платятся поставщикам не в качестве «гуманитарной помощи», а за вполне конкретные, причем очень нужные стране продукты (как прокомментировал один из участников заседания уже после его завершения, «получается, что покупая в советское время зерно в США, мы кормили Америку?»).

В то же время анализа, почему же российский ИТ-рынок имеет именно такую структуру, почему перекос в сторону импорта в сегменте, контролируемом государством, намного сильнее, чем по рынку в целом, и что именно можно и нужно сделать для изменения ситуации, в эмоциональном выступлении Ольги Усковой практически не прозвучало. Точнее, был сделан прозрачный намек на использование коррупционных схем с «комиссионными» в размере до 30–40% общих сумм сделок, причем в их широкой распространенности были обвинены именно западные корпорации, которые начали, по словам докладчика, эту практику еще в середине 1990-х. Впрочем, в обсуждении этого тезиса в кулуарах (к сожалению, регламентом заседания вопросы докладчикам не были предусмотрены), была высказана такая логичная мысль: «Если доля ИТ-импорта и уровень коррупции в госсекторе выше, чем по рынку в целом, то было бы логично как можно сильнее ограничить сферу применения законов о госзакупках...».

Возможно ли достижение полной технологической независимости

Впрочем, в последующих выступлениях прозвучали не столь уж оптимистичные оценки перспектив импортозамещения: из анализа существующей структуры рынка видно, что российские программные продукты могут реально конкурировать с зарубежными аналогами в основном только в слое прикладного ПО, причем в известной мере это связано как раз с явной или неявной поддержкой со стороны государства (например, в виде специфики национального законодательства и особенностей регулирования экономики). В области же инфраструктурного ПО перспективы местных разработчиков намного скромнее, причем это нисколько не является упреком в адрес нашей страны — это давняя общемировая тенденция.

На этот аспект темы обратил внимание президент ассоциации РУССОФТ Валентин Макаров, который подчеркнул, что решение задачи импортозамещения не должно сопровождаться повышением затрат заказчиков на ИТ или снижением качества доступных ИТ, пользователь должен применять в работе продукты не потому, что они российские, а потому что они — лучшие. Но сегодня практически невозможно создать ИТ-продукты мирового качества, ориентируясь только на внутренний рынок потребления, а это означает, что нам нужно стимулировать в первую очередь разработчиков, готовых продвигать свою продукцию в глобальных масштабах. При этом единственный реальный путь обеспечения высокого качества продукции — поддержка высокого уровня конкуренции на рынке. В противном случае возможны негативные последствия неэффективного импортозамещения: снижение качества государственных ИТ-систем приведет к снижению эффективности и безопасности работы госаппарата, а госсредства на импортозамещение могут быть потрачены впустую, при этом не получат поддержку перспективные предприятия, способные дать больше прибавочной стоимости.

Советник министра связи и массовых коммуникаций Игорь Милашевский обратил внимание на то, что речь пока почему-то идет исключительно о софтверной части ИТ-систем, хотя всем известно, что без «железа» ПО не может работать. Определенные государственные программы ИТ-импортозамещения уже несколько лет ведутся в военно-промышленном комплексе страны, но говорить о приближении к 100-процентной независимости от зарубежных поставок не приходится даже в среднесрочной перспективе. К этому нужно добавить, что, по мнению экспертов, опыт ВПК будет крайне сложно распространить на гражданский сегмент экономики страны и даже на сектор государственного управления, поскольку это приведет к необходимости очень значительного повышения затрат на ИТ (цены на российские специзделия довольно высоки).

Еще более четко на эту тему высказался заместитель начальника Центра ФСБ Николай Мурашов: создание отечественного ПО проблему национальной ИТ безопасности не решает, поскольку ПО нельзя отделить от аппаратных средств, а сфера «железа», начиная от электронного машиностроения до собственно производства электронных компонентов, уже давно за пределами нашей страны без видимых перспектив возвращения обратно. Причем, если для выпуска отечественного ПО можно использовать схемы лицензирования (для того же СПО), или, в конце концов, обходить теми или иными способами вопросы авторского права, то с аппаратурой такого сделать нельзя — ее нельзя «скопировать», можно только производить, при этом нет никаких гарантий, что копия будут достаточно похожа на оригинал. Что же касается проблемы шпионских и диверсионных закладок, то возможность их реализации на аппаратном уровне фактически сводит на нет борьбу с «жучками» на программном уровне.

«Жучки» и обеспечение безопасности

Один их ключевых и давних аргументов против зарубежного ПО — потенциальная возможность наличия в нем «жучков», которые могут «шпионить» (передавать информацию о работе систем куда-то «туда») или в час «Х» произвести диверсию (например, привести систему в нерабочее состояние). Тема старая, подробный ее анализ уже давно сделан, но она постоянно всплывает вновь. Вот и на этой встрече угроза иностранных «закладок» упоминалась в основном «как само собой разумеющееся», но все же отдельных репликах и в кулуарном обсуждении звучали и другие тезисы, которые стоит сформулировать в обобщенном виде:

  1. Защита от утечек «вовне» может и должна быть обеспечена за счет контроля сетевого трафика по периметру сети за счет использования независимых (от используемых внутри сети средств) инструментов.
  2. Наличие «жучков», в том числе на отключение систем, в лидирующих мировых продуктах — это лишь предположения, достоверных фактов нет. При этом нужно учитывать, что данное ПО подвергается постоянному и интенсивному независимому тестированию в течение многих лет — этим занимаются миллионы пользователей и сотни специализированных «компетентных органов» по всему миру. При этом нужно учесть риски глобальных вендоров: в случае обнаружения подобных «диверсионных закладок» даже самый процветающий бизнес может быстро потерпеть крах.
  3. Обеспечение работоспособности ПО в «особый период» не должно снижать надежность работы системы в «обычных условиях». Особый период может и не наступить, а обычная работа ИТ-систем нужна каждый день.
  4. Если наличие жучков в «глобальном ПО» является предположением, то их существование в российских программах как раз имеет фактическое подтверждение (об этом, в частности, упомянул Николай Мурашов). Обычно такие «отключатели» создаются в рамках системы защиты от несанкционированного использования, причем если в тиражных продуктах они существуют обычно на вполне легальных основаниях, то в заказных — порой в закрытом от потребителя варианте. Проблема заключается еще и в том, что подобные механизмы защиты являются не очень надежными и порой срабатывают совсем не в час «Х» (порой разработчики сами забывают об их существовании). Тут надо обратить внимание, что глобальные поставщики массовых продуктов обычно принципиально избегают использования таких механизмов защиты коммерческого ПО (с его отключением в нужный момент), в том числе чтобы не подвергать себя риску упреков на этот счет.

Что есть «российский разработчик» и «отечественный ИТ-продукт»?

Вполне понятно, что тема импортозамещения базируется на необходимости отделения «импортного продукта» от «неимпортного». В давние времена все было достаточно просто: это зависело от места производства изделия. Но в процессе глобализации такой подход перестает работать, что мы можем видеть на примере автопрома: критерий «отечественности» автомобиля связан в долей используемых в нем комплектующих, произведенных внутри страны (она не очень велика — 30–40%, причем известно, что «жизненно важные» компоненты, такие как двигатели, находятся в «импортной части»). С программными продуктами все обстоит также, но только еще сложнее: любая программа сегодня состоит на 70–90% из кода, взятого из средств разработки, не говоря уже об использовании API операционной системы. В целом, наверное, общепринятой трактовкой понятия «национального ПО» является его привязка к владельцу авторских прав, что автоматически накладывает на него определенную ответственность за качество продукта. Хотя, надо отметить, что общемировая специфика законодательного регулирования в области программных средств такова, что на самом деле ответственность эта не очень велика. Базовым принципом взаимоотношений между поставщиком и потребителем является «как есть», и по нему вся юридическая ответственность за применение ПО после его покупки (а точнее — после получения лицензии на его применение) перекладывается на пользователя.

Авторы проекта решения комиссии в своем документе в качестве первого пункта предложений Госдуме предложили «закрепление в законодательстве следующих критериев определения российской компании-разработчика ИТ, а именно: доля иностранного капитала в ней не превышает 25% минус одна акция, более 75% ее продаж осуществляется в Российской Федерации, она является налоговым и юридическим резидентом РФ, и в составе ее персонала доля иностранных граждан не превышает 25%».

Такая замысловатая формулировка вызвала заметное недоумение собравшихся не только сложностью определения всех этих параметров на практике, но и загадочностью значений контрольных величин. В частности, получается, что чем лучше работает компания (а ее выход на мировой рынок говорит о качестве и конкурентоспособности ее продуктов), тем меньше у нее шансов быть признанной «отечественной». Например, по такому критерию компания ABBYY почти не имеет шансов называться «местной», при том, что ее отечественные конкуренты, не способные выйти за рубежи страны, получают привилегированный титул. Да, что там ABBYY или «Лаборатория Касперского» — с таким подходом даже флагман нашей экономики «Газпром» вряд ли сможет получить право называться «российским производителем».

Говоря на эту тему, генеральный директор компании InfoWatch Наталья Касперская отметила, что подобные, пусть даже самые витиеватые, многопараметрические определения достаточно просто обходятся с помощью разного рода офшорных схем и создания «представительских» фирм, которые обладая формальными правами на продукт, не будут на практике нести никакой ответственности за его функционирование и развитие.

Начавшаяся по поводу определения «российского разработчика» дискуссия ничем не завершилась: выяснилось, что время, отведенное для заседания, истекло. Соответственно, никаких голосований по проекту решения не проводилось, Андрей Черногоров пообещал собрать и обобщить все высказанные предложения с тем, чтобы включить их в итоговый вариант документа, принятие которого отложено пока «на потом».