Риски новой реальности: безопасный путь по минному полю

Логотип компании
Риски новой реальности: безопасный путь по минному полю
"Сегодня любой отечественной компании нужно обратить внимание на управление рисками. Проведите диагностику ИТ-инфраструктуры: какие у вас есть уязвимости, какие угрозы вообще есть и какой ущерб это может нанести бизнесу".

Российские компании привыкли работать в тяжелых и непредсказуемых условиях. Финансовые кризисы, сменяющие друг друга волны пандемии Covid-19, международные санкции и прочие тяжелые обстоятельства научили и закалили тех, кто не сдался, не ушел с рынка и вопреки всему продолжает работать, открывать новые направления для развития, выпускать новые продукты и услуги. «Все, что меня не убивает, делает меня сильнее!» — сказал однажды философ Ф. Ницше, после чего сошел с ума и умер. Какой урок можно извлечь из этого? Трудностям нужно уметь противостоять, но делать это нужно не путем «лобового столкновения», а предвидеть возможные последствия, стараться минимизировать их, обходить и огибать препятствия, а затем продолжать движение к цели. Это тоже обогащает наш опыт. Допустим, вы живете в горной местности и вам ежедневно необходимо проделывать один и тот же маршрут. Имеется самая короткая дорога, но она проходит по опасному участку, где регулярно, хотя и неожиданно происходят обвалы. Любой адекватный человек выберет более длинный, зато безопасный путь. Тем самым он сохранит свое здоровье, а возможно, и жизнь. Аналогичная ситуация и в бизнесе. Россия находится в условиях жесточайшего международного давления со стороны США, Евросоюза и некоторых других государств. Любая российская и белорусская компания и организация может попасть под санкции, от которых никто не застрахован. Санкционные риски превратились в новые жизненные обстоятельства для бизнеса, которые нужно учитывать, стараться избегать, уменьшать их последствия, а если получится — использовать их для дальнейшего развития и продвижения.

Ушла эпоха

Первое, что нужно сделать в новых условиях, — навсегда избавиться от иллюзий, связанных с санкциями. «По нашим наблюдениям, никаких иллюзий у среднего и крупного бизнеса не осталось. Усредненное ощущение рынка — Запад точно уходит, возможно, когда-то в будущем вернется, а возможно, и нет, поэтому в любом случае нужно искать альтернативу. Не только по ИТ, но и по всем другим отраслям», — комментирует Андрей Врацкий, CEO компании eXpress.

«Как показывает предыдущий опыт, ожидать послабления санкций нет смысла. При этом есть вероятность, что зарубежные компании могут продолжить свой бизнес в России в каком-то другом формате, с иными условиями или под новыми брендами. Сейчас компаниям нужно приложить максимум усилий, чтобы удержаться на том уровне, которого они достигли к данному моменту. Это касается работы с сотрудниками, взаимодействия с клиентами, управления процессами и технического оснащения», — добавляет Анна Шведова, руководитель департамента бизнес-решений компании SimbirSoft .

Анна Шведова (SimbirSoft)
Анна Шведова (SimbirSoft)
Анна Шведова (SimbirSoft)

Ждать, что все когда-нибудь вернется на прежний уровень, не приходится. Сейчас нужно действовать, делать все необходимое, чтобы сохранить возможность управлять бизнесом и процессами независимо от внешних решений. Можно еще какое-то время продолжать работать на иностранном ПО, если данные хранятся не в облаке, а локализованы внутри компании, на собственных серверах. Но параллельно нужно искать альтернативные варианты.

Сразу о двух стереотипах говорит Денис Селезнев, генеральный директор компании «Первая Форма». «Первый стереотип: «На моих серверах развернуто трофейное ПО, но мне ничего не угрожает. Все продолжает работать, еще и на лицензионных отчислениях экономлю». На самом деле это бомба замедленного действия, которая взорвется после первого же обновления системы. Вендоры-разработчики выпускают патчи, которые находят уязвимости внутри ПО. Также регулярно обновляются другие компоненты информационной системы — например, браузер. В новой версии Chrome у вас может не работать то, к чему еще вчера был полный доступ. Построить работу на пиратском софте не получится, перебои все равно начнутся — это лишь вопрос времени, — замечает он. Еще одно ошибочное мнение, по мнению эксперта, заключается в чрезмерно большом доверии свободному ПО. — Второй стереотип: «OpenSource-технологии — панацея от рисков». Возможно, сегодня вы успешно используете опенсорсные компоненты, но что, если завтра разработчики отключат их для России? По геолокации или IP-адресу сервера определят, где вы находитесь и прекратят работу. С таким подходом гарантировать безопасность ИТ-инфраструктуры нельзя», — говорит эксперт.

Александр Дворянский, директор по специальным проектам компании Angara Security, опровергает расхожее мнение о том, что решения отечественного производства существенно уступают иностранным аналогам. «Практика показывает, что не все так плохо с российскими решениями в области автоматизации и защиты информации. На текущий момент на отечественном рынке представлены все виды и классы решений собственной разработки. Конечно, степень зрелости и готовности не у всех одинаково высока, но уже сейчас можно с уверенностью сказать, что большая часть отечественных решений соответствует актуальным требованиям и стандартам рынка и служит достойной заменой ушедшим иностранным аналогам», — утверждает он.

Александр Дворянский (Angara Security)
Александр Дворянский (Angara Security)
Александр Дворянский (Angara Security)

Процесс анализа и оценки рисков есть всегда, но носит он вспомогательный характер — помогает принять решение как один из источников информации, но нельзя назвать его блокирующим. Другими словами, риск менеджмент — это просто инструмент, позволяющий вносить коррективы в решения на основании карты рисков и планировать отдельные ресурсы в случае наступления таких рисков.

Помощь от своих

Один из наиболее серьезных рисков, с которым столкнулись практически все российские компании, работавшие на зарубежном ПО и оборудовании, связан с уходом западных вендоров из нашей страны. «Заметная часть корпоративных клиентов заняла выжидательную позицию — заморозила запланированные в этом году ИТ-проекты. Они готовы ждать возвращения западных вендоров, на данный момент не многие готовы даже рассматривать отечественные альтернативы. Но одно уже сейчас понятно: без потери качества заменить ушедших вендоров отечественными разработками в краткосрочной перспективе невозможно», — говорит Александр Чуланов, директор по развитию группы компаний «Абак-2000». Можно привести аналогию с обучением плаванию, фигурному катанию и другим видам спорта под руководством опытного и именитого тренера. Вы научились плавать, кататься, бегать на базовом уровне, но вдруг неожиданно ваш тренер ушел, покинул вас, а его место занял менее знаменитый коллега. Вы решили, что теперь все, путь в большой спорт для вас закрыт, но все зависит от вас и от вашего нового наставника, который при достаточном усердии и, если повезет, наличии таланта сможет воспитать из вас спортсмена не хуже, чем его более опытный и известный предшественник.

Александр Чуланов (ГК «Абак-2000»)
Александр Чуланов (ГК «Абак-2000»)
Александр Чуланов (ГК «Абак-2000»)

Партнеры, имеющие экспертизу по решениям западных вендоров, продолжают вести бизнес, остались и инженеры. Какая-то ограниченная поддержка оборудования и ПО в уже реализованных проектах возможна, и ее оказывают партнеры.

«В случае отказа зарубежного производителя от рынка РФ его российским партнерам ничего не мешает продолжать предоставлять поддержку по его продукту. Если у вендора была расформирована местная техническая команда, имеет смысл обратиться к ее участникам. Также можно попробовать получить поддержку от компаний в дружественных/нейтральных странах, — полагает Тимофей Матреницкий, руководитель направления Guardant компании «Актив». — При этом как минимум в среднесрочной перспективе необходимо запланировать переход с зарубежного решения на отечественные аналоги. Российская ИТ-отрасль в большом количестве сегментов может предложить достойные продукты, причем учитывающие еще и местную специфику. Кроме того, правительственные фонды ежегодно выделяют гранты на разработку и внедрение отечественных решений по приоритетным направлениям, тем самым поддерживая российских разработчиков и ускоряя темпы отказа от зарубежных продуктов».

«На самом деле не все компании уходят из России физически, и далеко не всех сотрудников представительств переводят в другие страны. Экспертиза остается, но в ограниченном формате — например, компании по-прежнему могут оказывать поддержку, однако без лицензий, обновлений и новых плагинов. Таких партнеров можно искать на профильных конференциях, через личные рекомендации и деловые контакты или в Интернете. Но, вероятно, вовсе не придется заниматься их поиском: сами специалисты найдут клиентов и предложат свои услуги по настройке, доработке и кастомизации ИТ-решений. Как показывает практика, найти партнеров, которые смогут взять задачи на себя, можно, вопрос в сроках реализации», — дополняет Анна Шведова (SimbirSoft).

Семь раз подумай, один раз рискни

Как мы уже говорили, рисков нужно избегать, используя для этого любые доступные возможности и средства. «Если вы до сих пор не автоматизировали проверку контрагента на добросовестность и оценку рисков в договорной деятельности — у вас проблемы не только из-за санкций. Вот лишь некоторые из потенциальных угроз: налоговые проблемы, так как вы можете выбрать не тех контрагентов; коррупционные проблемы из-за непрозрачного выбора поставщика; финансовые проблемы для вашей компании, если случайно отгрузить товар кому-то в состоянии банкротства, — предупреждает Денис Селезнев («Первая Форма»). — Сейчас, когда перестраиваются логические цепочки, официально разрешен параллельный импорт и на рынке появляются новые игроки, легко нарваться на мошенников. Поэтому процессы важно сразу автоматизировать, а не отстраивать на бумаге — в противном случае вы просто остановите бизнес. На рынке масса решений — выбирайте то, что позволит вам быстро запуститься, а потом довести систему до идеала».

Денис Селезнев («Первая Форма»)
Денис Селезнев («Первая Форма»)
Денис Селезнев («Первая Форма»)

Сегодня любой отечественной компании нужно обратить внимание на управление рисками. Проведите диагностику ИТ-инфраструктуры: какие у вас есть уязвимости, какие угрозы вообще есть и какой ущерб это может нанести бизнесу. Затем спланируйте, когда, с какой угрозой и какими методами вы будете бороться. Если вы построите грамотный план, то минимизируете последствия перестройки. Однако эффективно проанализировать модель угроз своими силами вряд ли выйдет. Лучше привлечь специализированную компанию, которая сделает независимую оценку. Так менеджмент сможет принять осознанное решение — стоит ли конкретный риск тех затрат, что пойдут на его снижение.

«Нужно планировать реализацию проектов и опираться на решения таких вендоров, которые располагают реальными производственными ресурсами в России, имеют многолетний опыт участия в масштабных ИТ-проектах, обладают собственным центром разработки, партнерской и сервисной сетями. В таком случае минимизируются санкционные риски, способные привести к невозможности поставки оборудования и ПО. К сожалению, сейчас на рынке присутствует немало производителей, которые являются отечественными лишь номинально, по факту производство или полностью, или в значительной мере зависит от китайских производителей, которые поддержали санкции или заняли выжидательную позицию. Ориентироваться на таких не стоит», — советует Александр Чуланов («Абак-2000»).

«Санкции на российском рынке присутствуют с 2014 года, но если раньше это были лишь небольшие территории (Крым) и считаное количество госкорпораций, то сейчас этот список драматически расширился и в нем фигурирует и частный бизнес тоже. Российским ИТ-игрокам придется принять одно из двух простых решений: или не работать с подсанкционными компаниями, проверяя контрагентов по SDN-спискам, но потерять серьезную долю рынка, или просто смириться с тем, что работаешь в России — значит, в любую секунду ты тоже можешь попасть под санкции. При всем этом для локальных компаний западные санкции не катастрофа, и порой даже не неприятность, если все равно Запад закрывается», — комментирует Андрей Врацкий (eXpress). К стандартным критериям выбора контрагента (качество продукта/услуг) эксперт добавляет еще один — готовность к работе со стартапами, которые будут очевидно осваивать освобождающиеся ниши. По его словам, под работу со стартапами нужно перестраивать в том числе закупочные процедуры, но это даст максимально возможный эффект.

Андрей Врацкий (eXpress)
Андрей Врацкий (eXpress)
Андрей Врацкий (eXpress)

Импортозамещение началось не 24 февраля 2022 года, а на восемь лет раньше. Как минимум в корпорациях с госучастием оценка рисков проводилась с переменным успехом все эти годы, и процессы были выстроены. В коммерческом секторе, очевидно, воспользуются этими же шаблонами.

Тимофей Матреницкий («Актив») говорит о необходимости принятия ключевой стратегической меры — реализовать скорейший переход на отечественные ИТ-решения. Это нужно осознать не только начальникам ИТ- и ИБ-отделов, но и топ-менеджерам компаний, а также их владельцам и акционерам. «Причем это касается всех компаний, включая частные. Потому как, если зарубежный ИБ-софт используется во внутренних системах организации, есть риск выхода его из строя. Например, из-за невозможности приобрести продление лицензии. Если же импортные решения используются во вне (например, система защиты ПО от нелегального копирования, которая встраивается внутрь продаваемого софта), то нужно быть готовым как к отказу российских клиентов приобретать такой софт, так и к вынужденной остановке продаж в связи с отказом зарубежного производителя поставлять компоненты защиты. Прецеденты и того и другого уже есть. В перспективе можно ожидать введения требования для всех продуктов, включенных в Реестр отечественного ПО, не использовать ИБ-компоненты из недружественных стран», — объясняет он.

Тимофей Матреницкий («Актив»)
Тимофей Матреницкий («Актив»)
Тимофей Матреницкий («Актив»)

Нужно обратить внимание на компетенции, которые были у зарубежного ИТ-вендора до его ухода из РФ. Не редко это местные сервисные компании, оказывающие услуги по целому каталогу импортных продуктов.

Учиться на чужих ошибках советует Александр Дворянский (Angara Security). «Основным правилом станет отдельный контроль и оценка международных сделок, — утверждает он. — Помимо классического анализа рисков, бизнесу нужно периодически оценивать свою международную деятельность на предмет потенциальных возможностей попасть под санкции, сверяя свои бизнес-процессы с попавшими под санкции коллегами по цеху».

Опубликовано 14.06.2022

Похожие статьи