Николай Нашивочников: «Jatoba может заменить Oracle»
Переход на отечественный софт стал для многих компаний жизненной необходимостью. От правильного выбора и внедрения российских решений зачастую зависит будущее бизнеса. Что может предложить наша ИТ-отрасль сегодня тем, кто долгое время строил ИТ-инфраструктуру на зарубежном ПО? Как найти поставщика, который должен стать полноценным партнером, и на что нужно обратить внимание при выборе СУБД? На эти и другие вопросы отвечает Николай Нашивочников, заместитель генерального директора, технический директор компании «Газинформсервис»
В перспективность импортозамещения в ИТ верили не все, теперь никому ничего доказывать уже не нужно. Главный вопрос: как жить в новых реалиях, если софт, которым пользовалась компания, уходит с российского рынка?
Сейчас важно помнить, что в одночасье изолировать российские компании и полностью ограничить их в использовании того или иного иностранного софта невозможно в большинстве случаев. Отчасти потому, что критически важное ПО чаще всего функционирует в закрытых контурах, где нет доступа к Интернету, а следовательно, повлиять на него извне не так просто. Конечно, мы не можем игнорировать то, что разработчики продукта могли заложить в него возможности блокировки при исполнении определенных условий, например, при длительном отсутствии обновлений и т. д. Но пока такие меры не были приняты и вряд ли будут, а значит, у бизнеса есть немного времени подумать, просчитать риски и принять взвешенное решение о миграции. Необходимо отметить, что риски мгновенного отключения ПО существенно выше у тех компаний, которые работают с облачными версиями продуктов, те же, у кого софт привязан к собственному оборудованию, имеют больше времени для поиска альтернатив. И все-таки, при складывающихся сегодня обстоятельствах, переход на отечественный софт скорее неизбежность, и если в вашей компании процессы, критически важные для существования бизнеса и функционирования организации, связаны именно с наличием иностранного ПО, то стоит всерьез задуматься о его замене отечественными аналогами, ведь говоря о безопасном и качественном применении софта, мы подразумеваем не только корректную работу продукта, но и предоставляемые услуги по его поддержке, некую адаптацию к требованиям заказчика и своевременное обновление, а заявления о том, что этого не будет, мы уже слышали от ряда производителей.
Вы спрашивали, что делать в сложившейся ситуации? Пожалуй, есть два варианта, которые следует всерьез рассматривать — частичный переход на open source и поиск отечественных решений, при этом в зависимости от степени критичности использования для бизнеса того или иного ПО можно совмещать и те и другие решения.
Как выбрать отечественного поставщика? Все ли компании, работающие в области импортозамещения в ИТ и ИБ, одинаково надежны и готовы поставлять действительно качественные решения?
В России курс на импортозамещение в ИТ и ИБ был взят в 2014 году. В стране давно создан и действует реестр российского ПО — «Единый реестр российских программного обеспечения для электронных вычислительных машин и баз данных» (ЕРРП), в котором уже зарегистрировано более 12 тысяч программ, и эта цифра постоянно растет. И если мы говорим о поиске надежных решений, то сегодня в первую очередь правильность своего выбора в пользу того или иного продукта стоит подкрепить обращением к данному Реестру. И еще. Рекомендую обязательно уточнять, как давно был создан продукт. Относительно зрелыми в нашей сфере принято считать решения, работающие по меньшей мере три-четыре года.
Наша компания занимается информационной безопасностью, и в этой сфере большие изменения, разумеется, принес Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно ему, компании, имеющие объекты критической информационной инфраструктуры (КИИ), должны переходить на российское программное обеспечение. Этот переход еще не завершился, но, опираясь на информацию из открытых источников, можно говорить, что доля отечественного софта, используемого госкомпаниями в 2021 году, в среднем составляет 30–35%.
Да, это немного, но альтернатива зарубежным продуктам есть, законодательная база подготовлена и надежные бизнес партнеры тоже, а созданные сейчас условия будут однозначно способствовать росту числа новых продуктов и усовершенствованию существующих.
Есть ли у нас на рынке полностью отечественные разработки, не зависящие, например, от иностранных компонентов?
Можно однозначно сказать, что такие решения имеются, но главная проблема в том, что их недостаточно. Я не могу сказать обо всех производителях ПО, но наша компания более 18 лет работает на рынке услуг информационной безопасности и создает отечественные, независимые от иностранных компонентов решения. Среди таких продуктов можно отметить Efros Config Inspector, Efros ACS, «Блокхост-Сеть 4», Ankey ASAP, SafeNode System Loader, Ankey IDM, Safe ERP. Различные продукты компании интегрированы в корпорации энергетической отрасли, промышленные предприятия, органы государственной власти, учреждения здравоохранения, организации, оказывающие образовательные и социальные услуги, а также учреждения финансового и телекоммуникационного сектора.
Что ваша компания уже сегодня готова предложить клиентам, испытывающим потребность в отечественных решениях в ИТ и ИБ?
Мы развиваем шесть линеек собственных продуктов, которые способны закрыть потребности заказчиков в области защиты ИТ-инфраструктуры компаний и КИИ, обеспечить централизованное управление учетными записями пользователей и их полномочиями в корпоративных информационных системах, а также сетевую идентификацию и управление доступом администраторов на всех сетевых устройствах, электронный документооборот, безопасное управление базами данных и многое другое. Недавно бизнес потрясла новость об уходе с российского рынка Oracle, но нам есть что предложить заказчику взамен СУБД данного производителя. Уже несколько лет компания «Газинформсервис» успешно продает решение, входящее в реестр отечественного ПО, — систему управления базами данных Jatoba.
На что нужно обратить внимание при выборе СУБД, если появилась потребность заменить ее?
Если деятельность вашей организации регламентируется приказами ФСТЭК, то в первую очередь вам необходимо убедиться, что выбранное программное решение способно обеспечить соответствие требуемому уровню доверия и имеет подтверждающие сертификаты. Вне зависимости от этого следует учитывать наличие функций аудита и логирования действий и событий, наличие функции управления доступом, а также возможность шифрования баз данных и сокрытия исходного текста процедур и функций. Последняя особенность актуальна для компаний-разработчиков ПО, у которых стоит задача защитить свои решения от модификации или реверс-инжиниринга заказчиком.
Надо понимать, что для компаний разного масштаба критерии выбора СУБД будут различаться. Если малый бизнес может работать и с бесплатными версиями, то средним и крупным предприятиям необходимо приобретать надежные «коробочные» решения, обладающие соответствующим уровнем отказоустойчивости, механизмами балансировки нагрузки и масштабируемости, которые позволяют обеспечить должную информационную безопасность и возможность техподдержки.
Есть ли у компании реальный опыт организации миграции, например, с Oracle на СУБД Jatoba?
С начала работы над продуктом для нас было важно обеспечить для заказчиков удобную миграцию с наиболее распространенных иностранных СУБД. Поэтому за три года, что продукт представлен на рынке, мы реализовали крупные проекты по переходу с PostgreSQL и Oracle RDBMS на СУБД Jatoba. В рамках этих проектов были подготовлены варианты минимизации действий по изменению кода процедур и функций PL/SQL (Oracle), создан ряд расширений к СУБД Jatoba, которые позволили работать с глобальными сессионными переменными, конструкциями кода, специфичными для Oracle, и многими другими аспектами.
Сейчас заказчиков часто интересует не только возможность миграции, но и ее сроки. В целом, чтобы перейти с PostgreSQL на Jatoba, понадобится от четырех недель, полный переход с других СУБД займет больше времени.
СУБД Jatoba создана на основе открытого кода PostgreSQL, несет ли это какие-то риски, учитывая жесткость санкций?
PostgreSQL принадлежит к классу свободно распространяемого ПО. В соответствии с лицензией на основе ее кода можно создавать собственные программы и изменять исходный код в целях разработки новых продуктов. Актуальная версия лицензии PostgreSQL не предусматривает отзыв прав на применение кода потребителями по каким бы то ни было обстоятельствам, поэтому его присутствие в основе нашего продукта не несет для пользователя СУБД Jatoba никаких существенных рисков. Важно отметить, что мы располагаем собственными репозиториями — это стандартная практика для разработки закрытого кода, и такой подход к созданию продукта мы выбрали осознанно, потому что для нас особое значение имеет возможность автономно развивать продукт. В данный момент мы храним, собираем и тестируем код на своих серверах в рамках регламента безопасной разработки, проверяем его на наличие уязвимостей, проводим статический анализ кода, регрессионные тесты. Также мы стремимся расширять функциональность продукта и его совместимость с отечественными и зарубежными решениями.
Если у бизнеса есть потребность не только срочно заменить какие-то отдельные решения, но и в целом перейти на отечественное ПО, как лучше это сделать?
В таком случае я бы советовал выстраивать стратегию импортозамещения, основываясь на риск-ориентированной модели.
Оценить ИТ-ландшафт компании, понять, какие решения иностранных производителей обеспечивают критически важные процессы функционирования компании, затем риски от их некорректной работы или полного отказа и уже на основе всех расчетов рассматривать возможности замены на отечественные продукты.
Не нужно стремиться заменить все, тем более это вряд ли удастся, но все-таки подход к обеспечению компании ИТ- и ИБ-решениями сегодня следует выстраивать с учетом реалий.
Опубликовано 29.03.2022