И вновь об импортозамещении: как Минкомсвязь может убить российские стартапы

И вновь об импортозамещении: как Минкомсвязь может убить российские стартапы
В конце мая, на конференции IT & Security Forum в Казани, о котором я еще, возможно, напишу, и материалы которого уже выложили  на сайт, я среди прочего модерировал секцию про импортозамещение. Да-да, после нашумевшей битвы  на РусКрипто, меня стали активно приглашать на такого рода бои, выступать на стороне импортозамещаемых. Так было и в этот раз. Я не буду повторять доводы, звучавшие на РусКрипто, хотелось бы упомянуть и о других нюансах, о которых либо все забывают, либо, понимая, все равно идут по выбранному пути. Итак...

Так как по вполне понятным причинам критерии импортного или неимпортного разработать сложно (или просто все боятся выплеснуть из критериев что-то "свое" или что под критерии попадут "чужие"), то на протяжении уже года под влиянием кучи ранее торчавших в тени ассоциаций, возникла идея о списках. Нет, не Шиндлера. Шиндлер спасал людей, а авторы отечественных списков просто отсекают тех, кто по их мнению недостоин попасть в категорию разрешенных к применению в тех или иных организациях. И вот с этими списками (или списком) есть ряд засад, которые выявились в рамках круглого стола по импортозамещению на ITSF. Во-первых, мало кто из присутствующих в дискуссии верил в то, что в составлении списков отсутствует коррупционная составляющая. Ну не может в России и не быть коррупции при делении на тех, кого допустят к кормушке и тех, кого не допустят. Вся история показывает, что даже здравая идея часто превращается в нечто ужасное. А тут и здравой-то идею со списками не назовешь.

Во-вторых, попасть в списки способны только крупные компании "на слуху". Небольшие или только что зародившиеся стартапы в области ИТ или ИБ не способны попасть в этот список - они просто не знают, куда и к кому идти. Да и ресурсов на хождение по властным коридорам у них попросту нет. Иными словами, списки "доверенного" софта выбьют почву из под ног стартапов, заставляя их работать не на Россию, а на западные рынки. Это, безусловно, очень коррелирует с идеей министра связи и массовых коммуникаций о замене курса с импортозамещения на экспортопригодность и завоевании рынков БРИКС, Африки, Латинской Америки и СНГ. Только вот экспорт отечественных технологий не очень поможет ни национальной безопасности, ни росту российской экономики; в отличие от роста зависимости иностранных государств от отечественного софта (от того, чем так пугают в России в отношении США и Европы).

В-третьих, формирование списков, которые, как упоминалось, должны обновляться ежегодно, явно вступает в конфликт с инвестиционными программами, которые у многих крупных компаний (например, Роснефть, Газпром, РЖД и т.п.) формируются на 3-5 лет вперед. Такие игроки рынка обязаны будут выбирать из того, что есть сейчас, становясь заложниками тех, кто числится в списках (вероятность коррупции возрастает еще больше), и не имея возможность в будущем переиграть свои программы, когда в списках разрешенных появятся новые имена (программы-то уже сформированы).

Еще один звучавший на секции вопрос - безопасность. Кто сказал, что ПО из списка разрешенного более безопасно, чем отсутствующее в списке? Ведь если и ФСТЭК и ФСБ на различных мероприятиях заявляют о том, что им не так важна страна происхождения продукта, сколько оценка его соответствия требованиям по безопасности, то ассоциации разработчиков отечественного ПО по понятным причинам не могут поднять эту тему себе на флаг. Ведь они зачастую вообще не имеют никаких сертификатов соответствия требованиям по защите информации. А если вспомнить, что очень часто разработчики предпочитают не создавать свое, а взять готовые (как правило, зарубежные) библиотеки и компоненты и вставить их в свой код, то вопрос доверия к тому, что будет называться отечественным, встает очень остро. Достаточно вспомнить про уязвимости ShellShock, Heartbleed и POODLE. За день до ITSF, на PHD, начальник второго управления ФСТЭК, Виталий Лютиков, привел пример. Из 10 сертифицированных в ФСТЭК продуктов, использующих чужие библиотеки, в которых была найдена уязвимость Heartbleed, устранили ее только 5 компаний. Остальные отказались (!), сославшись на то, что у них нет денег и специалистов, которые могли бы разобраться в чужом коде. Но про очковтирательство при использовании open source решений я уже писал .

Это, пожалуй, ключевые темы, которые звучали на секции по импортозамещению на ITSF. Разумеется, поднимались и другие вопросы. Например, необходимость дифференцированного подхода при выборе отраслей, где должно в первую очередь применяться импортозамещение. Но при этом должен быть определен переходный период, чтобы учесть уже сделанные многомиллиардные инвестиции. Также необходимо учитывать, что в ряде отраслей уже поставлены задачи с вполне конкретными сроками (начало шельфовой добычи нефти, выполнение оборонного заказа, строительство космодрома и т.п.), которые не могут быть не отменены, ни перенесены в связи с необходимостью импортозамещения. И в таких случаях также должно быть принято решение "как быть".

Пока же складывается впечатление, что никто не может ни взять на себя ответственность за принятие решений, ни разработать адекватную стратегию развития отечественной отрасли ИТ (с государственным финансированием, госзаказом, льготами и т.п.) с последующим постепенным переходом на произведенную ею продукцию. Пока же у нас все сосредоточены на формирования списков "своих", завоевании африканских и латиноамериканских рынков, забывая про то, ради чего все это изначально затевалось.


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас