Запрет иностранных ERP: угрозы и риски
Новая поправка к закону «Об информации, информационных технологиях и защите информации» в ее исходном виде не только не защитит отечественных разработчиков и поднимет уровень информационной безопасности стратегических предприятий России, но способна нанести ощутимый урон последним. На рынке ERP-систем принятие поправки может привести к непредсказуемым последствиям.
29 марта 2006 года депутатами Геннадием Гудковым и Александром Хинштейном был предложен проект поправки к закону «Об информации, информационных технологиях и защите информации», который моментально взбудоражил ИТ-рынок страны. Катализатором интереса к, казалось бы, небольшой поправке в закон стала озвученная в ней инициатива по запрету использования «зарубежных программно-технических средств в стратегических отраслях и на особо опасных (важных) объектах Российской Федерации» для обеспечения информационной безопасности систем обработки данных и их защиты «от постороннего иностранного вмешательства». Причем под стратегическими и особо важными объектами депутаты понимают не только предприятия ВПК, но телекоммуникационным и энергетические компании. Учитывая, что, по данным авторов поправки, 95% используемого в России программного обеспечения имеет иностранное происхождение, нетрудно понять, почему «айтишники» проявили столь высокую гражданскую сознательность.
Львиная доля обсуждений была посвящена системному ПО, в первую очередь операционной системы Microsoft Windows. Затрагивались также вопросы использования иностранных СУБД. На самом деле системное программное обеспечение Microsoft и Oracle, наиболее популярное в России, сертифицировано на отсутствие недекларированных возможностей и может использоваться для работы с секретной информацией. Проблемы с его применением могут возникнуть лишь, если преобладающим требованием будет российское происхождение программных средств. Однако почти все они могут быть разрешены при помощи использования ПО с открытым исходным кодом. В частности, существуют российские дистрибутивы Linux (ASP Linux и ALT Linux), есть операционные системы на базе Linux, предназначенные для работы с информацией, составляющей государственную тайну (например, ОС Янукс). Есть и российская корпоративная СУБД «Линтер», сертифицированная для работы с секретной информацией, в случае недостаточности ее возможностей можно использовать MySQL или Enterprise DB.
С ERP будет посложнее
В то же время, последствия принятия предлагаемой поправки для ERP-систем практически нигде не обсуждались. Официальные SAP и Oracle ограничились комментариями в духе «разрабатывать российские аналоги систем подобного уровня «бесполезно и невозможно» и западные информационные системы «разрабатывались более 30 лет», поэтому едва ли будет возможно чем-то их заменить. Безусловно, представители западных вендоров здесь немного лукавят. Особенно в свете агрессивных поглощений новых ИТ-компаний в последние годы. Вопросы интеграции технологий купленных разработчиков – один из ключевых вопросов в данном случае. Как отмечают опрошенные Центром TAdviser эксперты: «никакого векового отставания России в плане ERP в общем-то нет».
«Что касается сравнения западных и отечественных ERP-систем, то без сомнения, в общем и целом функционал западных до сих пор шире. Однако, российские приближаются к ним семимильными шагами, зачастую просто повторяя западные наработки. Я считаю, что полный уход западных систем с российского рынка был бы даже вреден российским разработчикам», – комментирует Центру TAdviser главный эксперт компании «Компас», к.т.н. Игорь Якобсон.Догнать и перегнать: Российские ВКС прирастают новыми функциями 
В не зависимости от вышесказанного, проблема, порождаемая патриотичной законодательной инициативой, намного шире, чем просто соответствие или не соответствие возможностей зарубежных и отечественных ERP-систем. Согласно комментариям авторов поправки, при ее принятии отечественным предприятиям, входящим в стратегические отрасли, будет дан «минимум год» на переход к использованию отечественного ПО. Разумеется, это норма распространяется и на ERP-системы. При этом предприятия, внедрившие у себя иностранные системы управления (которых немало), окажутся в очень непростом положении. Сомнительно, что авторы поправки до конца понимают все последствия возникновения такой ситуации. «Иммунитетом» к действию поправки в случае ее принятия будут обладать лишь пользователи четвертого и пятого релизов Baan ERP, так как права на их локализованные версии принадлежат отечественной компании «Альфа-Интегратор». Что же касается систем SAP, Oracle, Microsoft, IFS и др., то все права на них принадлежат иностранным производителям, а, следовательно, они подпадают под действие поправки, со всеми вытекающими последствиями.
Чем грозит ИТ-патриотизм?
В первую очередь, клиент западных вендоров, попавший в «черный список» стратегических отраслей, сразу же теряет все инвестиции, вложенные в ИТ, без надежды их как-либо окупить. При этом важно понимать, что стратегические предприятия – это обычно достаточно большие предприятия, поэтому порядки инвестиций в ИТ здесь – это многие миллионы долларов. Более того, эти потери, многократно увеличиваются из-за необходимости внедрения другой ERP-системы, так как без нее компания просто не сможет работать. При этом совершенно не ясны источники финансирования подобных проектов. В среднем, затраты на внедрение западной ERP-системы с учетом лицензии и консалтинга составляют $5 – $20 тыс. в расчете на одного пользователя. Даже с учетом того, что внедрение отечественных систем обходится дешевле, дополнительные затраты предприятий на миграцию данных и воссоздание необходимой функциональности на новой платформе вполне могут привести к тому, что суммарная стоимость подобных проектов сравнится или даже превысит аналогичные затраты на внедрение иностранных ERP-систем. Для государственных предприятий подобные расходы явно не предусмотрены бюджетом и едва ли их изыскание будет простым процессом.
Вторым аспектом проблемы является определенный для замены информационных систем срок, составляющий один год. За это время можно внедрить «легкую» и, в ряде случаев, даже «среднюю» ERP-систему на относительно небольшом предприятии. Что же касается осуществления комплексной автоматизации крупных компаний и холдингов, то о подобных сроках не может быть и речи. Крупные ERP-проекты реализуются в сроки от трех до пяти лет, а иногда и больше. Таким образом, чтобы соответствовать объективной реальности, законодательные инициативы типа предложенной г.г. Гудковым и Хинштейном должны предусматривать переходный период не менее пяти лет, а в идеале он должен соответствовать «времени жизни» ERP-системы. Тогда переход на отечественные решения будет происходить в плановом режиме по мере морального устаревания используемых систем иностранного производства. Кроме того, должна быть разработана четкая и подробная программа перевода стратегических предприятий на отечественное программное обеспечение. Решение же в стиле «не пущать» не даст никаких результатов, кроме отрицательных.
Кроме того, стоит вернуться к вопросу, есть ли вообще у ERP-систем отечественного производства необходимое функциональное наполнение, которое могло бы обеспечить потребности современных предприятий. Судя по примерам внедрений, в том числе на оборонных предприятиях, отечественные продукты способны решать основные задачи, стоящие перед системами класса ERP. Среди указанных решений наиболее известны «Галактика ERP», «Парус» и «Компас». В то же время, нет полной уверенности в том, что они обладают необходимой для крупных предприятий масштабируемостью.
«Предложения депутатов сделаны без какого-либо учета реалий. А реалии таковы, что многие стратегические предприятия инвестировали миллионы долларов в покупку и внедрение зарубежных бизнес-приложений. Никаких экономических обоснований для перехода на, как правило, более слабое отечественное ПО не существует. Более того, такой переход просто невозможен, так как даже отечественные ERP-системы «заточены» под западное инфраструктурное ПО, СУБД и операционные системы. Сама идея о том, что используемое на стратегических объектах ПО должно быть прозрачно, понятна. И здесь существенным является наличие открытого исходного кода, что справедливо для некоторых систем, в частности IFS Applications», – отметил в комментарии Центру руководитель отдела маркетинга IFS Russia&CIS Сергей Новиков.
Однако, российские разработчики достаточно уверенны в своих силах. Как считает г-н Якобсон: «Замена любого программного продукта болезненна и трудоемка и, если нет острой необходимости, то лучше этого не делать. Но если уж придется, то я уверен, что отечественные системы смогут прекрасно заменить западные. Безусловно, что-то придется доделать, но и иностранные решения в процессе внедрения претерпевают существенные доработки. Кроме того, в большинстве проектов внедрена сравнительно небольшая часть функциональности западных решений, которую отечественные системы прекрасно реализуют».
А воз и ныне там
Помимо прочего, неясно, на что в проекте поправки делается основное ударение: на российское происхождение информационных систем, отсутствие в них недекларированных возможностей или обеспечиваемый ими уровень информационной безопасности. Если во главу угла ставится лишь вопрос «происхождения», то отечественные ERP-системы, хоть и с оговорками, но смогут претендовать на замену иностранных решений. Если же к информационным системам будут предъявляться два других требования, то «гражданство» их разработчиков не будет иметь ровным счетом никакого значения. Нет никаких причин полагать, что ERP-система российской разработки автоматически не будет содержать недекларированных возможностей и обеспечит высокий уровень информационной безопасности. Верно и обратное – только в силу того, что информационная система разработана за рубежом, она не может a priori считаться уязвимой и содержащей «закладки».
Для того чтобы гарантировать соответствие системы требованиям по надежности и по работе с секретной информацией, необходимо выполнить процедуру ее сертификации по соответствующим стандартам. В частности, Oracle E-Business Suite и SAP R/3 Enterprise 4.7 сертифицированы на соответствие требованиям по защите от НСД, на отсутствие недекларированных возможностей сертифицирована только iRenaissance 5.1. А вот отечественные ERP-системы в реестре ФСТЭК не числятся. Таким образом, проработка законодателями самого вопроса обеспечения информационной безопасности на стратегических предприятиях, вызывает серьезные сомнения.
Остается лишь надеяться, что поправка в ее нынешнем виде не будет принята, и в дальнейшем к обеспечению информационной безопасности и технологической независимости Российской Федерации будут подходить более взвешенно и глубоко. Скорее всего, инициативы подобного плана должны включать в себя техническое и экономическое обоснование и реализовываться в виде целого пакета подзаконных актов, а не одного запрещающего указания. В противном же случае замечание: «Строгость российских законов компенсируется необязательностью их исполнения», останется в силе.
Сергей Середа
