Риски новой реальности: безопасный путь по минному полю

Риски новой реальности: безопасный путь по минному полю
«Сегодня любой отечественной компании нужно обратить внимание на управление рисками. Проведите диагностику ИТ-инфраструктуры: какие у вас есть уязвимости, какие угрозы вообще есть и какой ущерб это может нанести бизнесу».

Российские компании привыкли работать в тяжелых и непредсказуемых условиях. Финансовые кризисы, сменяющие друг друга волны пандемии Covid-19, международные санкции и прочие тяжелые обстоятельства научили и закалили тех, кто не сдался, не ушел с рынка и вопреки всему продолжает работать, открывать новые направления для развития, выпускать новые продукты и услуги. «Все, что меня не убивает, делает меня сильнее!» — сказал однажды философ Ф. Ницше, после чего сошел с ума и умер. Какой урок можно извлечь из этого? Трудностям нужно уметь противостоять, но делать это нужно не путем «лобового столкновения», а предвидеть возможные последствия, стараться минимизировать их, обходить и огибать препятствия, а затем продолжать движение к цели. Это тоже обогащает наш опыт. Допустим, вы живете в горной местности и вам ежедневно необходимо проделывать один и тот же маршрут. Имеется самая короткая дорога, но она проходит по опасному участку, где регулярно, хотя и неожиданно происходят обвалы. Любой адекватный человек выберет более длинный, зато безопасный путь. Тем самым он сохранит свое здоровье, а возможно, и жизнь. Аналогичная ситуация и в бизнесе. Россия находится в условиях жесточайшего международного давления со стороны США, Евросоюза и некоторых других государств. Любая российская и белорусская компания и организация может попасть под санкции, от которых никто не застрахован. Санкционные риски превратились в новые жизненные обстоятельства для бизнеса, которые нужно учитывать, стараться избегать, уменьшать их последствия, а если получится — использовать их для дальнейшего развития и продвижения.

Ушла эпоха

Первое, что нужно сделать в новых условиях, — навсегда избавиться от иллюзий, связанных с санкциями. «По нашим наблюдениям, никаких иллюзий у среднего и крупного бизнеса не осталось. Усредненное ощущение рынка — Запад точно уходит, возможно, когда-то в будущем вернется, а возможно, и нет, поэтому в любом случае нужно искать альтернативу. Не только по ИТ, но и по всем другим отраслям», — комментирует Андрей Врацкий, CEO компании eXpress.

«Как показывает предыдущий опыт, ожидать послабления санкций нет смысла. При этом есть вероятность, что зарубежные компании могут продолжить свой бизнес в России в каком-то другом формате, с иными условиями или под новыми брендами. Сейчас компаниям нужно приложить максимум усилий, чтобы удержаться на том уровне, которого они достигли к данному моменту. Это касается работы с сотрудниками, взаимодействия с клиентами, управления процессами и технического оснащения», — добавляет Анна Шведова, руководитель департамента бизнес-решений компании SimbirSoft .

Сразу о двух стереотипах говорит Денис Селезнев, генеральный директор компании «Первая Форма». «Первый стереотип: «На моих серверах развернуто трофейное ПО, но мне ничего не угрожает. Все продолжает работать, еще и на лицензионных отчислениях экономлю». На самом деле это бомба замедленного действия, которая взорвется после первого же обновления системы. Вендоры-разработчики выпускают патчи, которые находят уязвимости внутри ПО. Также регулярно обновляются другие компоненты информационной системы — например, браузер. В новой версии Chrome у вас может не работать то, к чему еще вчера был полный доступ. Построить работу на пиратском софте не получится, перебои все равно начнутся — это лишь вопрос времени, — замечает он. Еще одно ошибочное мнение, по мнению эксперта, заключается в чрезмерно большом доверии свободному ПО. — Второй стереотип: «OpenSource-технологии — панацея от рисков». Возможно, сегодня вы успешно используете опенсорсные компоненты, но что, если завтра разработчики отключат их для России? По геолокации или IP-адресу сервера определят, где вы находитесь и прекратят работу. С таким подходом гарантировать безопасность ИТ-инфраструктуры нельзя», — говорит эксперт.

Александр Дворянский, директор по специальным проектам компании Angara Security, опровергает расхожее мнение о том, что решения отечественного производства существенно уступают иностранным аналогам. «Практика показывает, что не все так плохо с российскими решениями в области автоматизации и защиты информации. На текущий момент на отечественном рынке представлены все виды и классы решений собственной разработки. Конечно, степень зрелости и готовности не у всех одинаково высока, но уже сейчас можно с уверенностью сказать, что большая часть отечественных решений соответствует актуальным требованиям и стандартам рынка и служит достойной заменой ушедшим иностранным аналогам», — утверждает он.

Помощь от своих

Один из наиболее серьезных рисков, с которым столкнулись практически все российские компании, работавшие на зарубежном ПО и оборудовании, связан с уходом западных вендоров из нашей страны. «Заметная часть корпоративных клиентов заняла выжидательную позицию — заморозила запланированные в этом году ИТ-проекты. Они готовы ждать возвращения западных вендоров, на данный момент не многие готовы даже рассматривать отечественные альтернативы. Но одно уже сейчас понятно: без потери качества заменить ушедших вендоров отечественными разработками в краткосрочной перспективе невозможно», — говорит Александр Чуланов, директор по развитию группы компаний «Абак-2000». Можно привести аналогию с обучением плаванию, фигурному катанию и другим видам спорта под руководством опытного и именитого тренера. Вы научились плавать, кататься, бегать на базовом уровне, но вдруг неожиданно ваш тренер ушел, покинул вас, а его место занял менее знаменитый коллега. Вы решили, что теперь все, путь в большой спорт для вас закрыт, но все зависит от вас и от вашего нового наставника, который при достаточном усердии и, если повезет, наличии таланта сможет воспитать из вас спортсмена не хуже, чем его более опытный и известный предшественник.

«В случае отказа зарубежного производителя от рынка РФ его российским партнерам ничего не мешает продолжать предоставлять поддержку по его продукту. Если у вендора была расформирована местная техническая команда, имеет смысл обратиться к ее участникам. Также можно попробовать получить поддержку от компаний в дружественных/нейтральных странах, — полагает Тимофей Матреницкий, руководитель направления Guardant компании «Актив». — При этом как минимум в среднесрочной перспективе необходимо запланировать переход с зарубежного решения на отечественные аналоги. Российская ИТ-отрасль в большом количестве сегментов может предложить достойные продукты, причем учитывающие еще и местную специфику. Кроме того, правительственные фонды ежегодно выделяют гранты на разработку и внедрение отечественных решений по приоритетным направлениям, тем самым поддерживая российских разработчиков и ускоряя темпы отказа от зарубежных продуктов».

«На самом деле не все компании уходят из России физически, и далеко не всех сотрудников представительств переводят в другие страны. Экспертиза остается, но в ограниченном формате — например, компании по-прежнему могут оказывать поддержку, однако без лицензий, обновлений и новых плагинов. Таких партнеров можно искать на профильных конференциях, через личные рекомендации и деловые контакты или в Интернете. Но, вероятно, вовсе не придется заниматься их поиском: сами специалисты найдут клиентов и предложат свои услуги по настройке, доработке и кастомизации ИТ-решений. Как показывает практика, найти партнеров, которые смогут взять задачи на себя, можно, вопрос в сроках реализации», — дополняет Анна Шведова (SimbirSoft).

Семь раз подумай, один раз рискни

Как мы уже говорили, рисков нужно избегать, используя для этого любые доступные возможности и средства. «Если вы до сих пор не автоматизировали проверку контрагента на добросовестность и оценку рисков в договорной деятельности — у вас проблемы не только из-за санкций. Вот лишь некоторые из потенциальных угроз: налоговые проблемы, так как вы можете выбрать не тех контрагентов; коррупционные проблемы из-за непрозрачного выбора поставщика; финансовые проблемы для вашей компании, если случайно отгрузить товар кому-то в состоянии банкротства, — предупреждает Денис Селезнев («Первая Форма»). — Сейчас, когда перестраиваются логические цепочки, официально разрешен параллельный импорт и на рынке появляются новые игроки, легко нарваться на мошенников. Поэтому процессы важно сразу автоматизировать, а не отстраивать на бумаге — в противном случае вы просто остановите бизнес. На рынке масса решений — выбирайте то, что позволит вам быстро запуститься, а потом довести систему до идеала».

«Нужно планировать реализацию проектов и опираться на решения таких вендоров, которые располагают реальными производственными ресурсами в России, имеют многолетний опыт участия в масштабных ИТ-проектах, обладают собственным центром разработки, партнерской и сервисной сетями. В таком случае минимизируются санкционные риски, способные привести к невозможности поставки оборудования и ПО. К сожалению, сейчас на рынке присутствует немало производителей, которые являются отечественными лишь номинально, по факту производство или полностью, или в значительной мере зависит от китайских производителей, которые поддержали санкции или заняли выжидательную позицию. Ориентироваться на таких не стоит», — советует Александр Чуланов («Абак-2000»).

«Санкции на российском рынке присутствуют с 2014 года, но если раньше это были лишь небольшие территории (Крым) и считаное количество госкорпораций, то сейчас этот список драматически расширился и в нем фигурирует и частный бизнес тоже. Российским ИТ-игрокам придется принять одно из двух простых решений: или не работать с подсанкционными компаниями, проверяя контрагентов по SDN-спискам, но потерять серьезную долю рынка, или просто смириться с тем, что работаешь в России — значит, в любую секунду ты тоже можешь попасть под санкции. При всем этом для локальных компаний западные санкции не катастрофа, и порой даже не неприятность, если все равно Запад закрывается», — комментирует Андрей Врацкий (eXpress). К стандартным критериям выбора контрагента (качество продукта/услуг) эксперт добавляет еще один — готовность к работе со стартапами, которые будут очевидно осваивать освобождающиеся ниши. По его словам, под работу со стартапами нужно перестраивать в том числе закупочные процедуры, но это даст максимально возможный эффект.

Тимофей Матреницкий («Актив») говорит о необходимости принятия ключевой стратегической меры — реализовать скорейший переход на отечественные ИТ-решения. Это нужно осознать не только начальникам ИТ- и ИБ-отделов, но и топ-менеджерам компаний, а также их владельцам и акционерам. «Причем это касается всех компаний, включая частные. Потому как, если зарубежный ИБ-софт используется во внутренних системах организации, есть риск выхода его из строя. Например, из-за невозможности приобрести продление лицензии. Если же импортные решения используются во вне (например, система защиты ПО от нелегального копирования, которая встраивается внутрь продаваемого софта), то нужно быть готовым как к отказу российских клиентов приобретать такой софт, так и к вынужденной остановке продаж в связи с отказом зарубежного производителя поставлять компоненты защиты. Прецеденты и того и другого уже есть. В перспективе можно ожидать введения требования для всех продуктов, включенных в Реестр отечественного ПО, не использовать ИБ-компоненты из недружественных стран», — объясняет он.

Учиться на чужих ошибках советует Александр Дворянский (Angara Security). «Основным правилом станет отдельный контроль и оценка международных сделок, — утверждает он. — Помимо классического анализа рисков, бизнесу нужно периодически оценивать свою международную деятельность на предмет потенциальных возможностей попасть под санкции, сверяя свои бизнес-процессы с попавшими под санкции коллегами по цеху».