Чтоб вам жить в эпоху перемен!
Автор
Алексей Лукацкий
Можно ли что-то предпринять в такой непредсказуемой ситуации, когда валютный курс скачет, как ребенок на карусели, и невозможно решить, какие цифры закладывать в бюджет?
Китайское проклятие, вынесенное в заголовок, как никогда отражает сложившуюся на российском рынке информационной безопасности ситуацию. Если в 2014 году мы сталкивались только с отдельными проявлениями санкций, то уже в конце ушедшего года стало понятно, что становится… нет, не хуже – неопределеннее!
Неопределенность – именно под таким «лозунгом» будет проходить год 2015-й. Но службам информационной безопасности, а также ИТ-департаментам, на которые может быть возложена функция ИБ, стонать и стенать в таких условиях неправильно – необходимо засучивать рукава и готовиться к выходу из сложившейся неопределенной ситуации, которая имеет сразу несколько различных проявлений.
Курс
Первое, с чем, наверное, столкнулись многие службы ИТ и ИБ в конце прошлого года, – резкий скачок курса доллара, который не был заложен ни в один прогноз развития отечественной экономики. Это повлияло не только на уже начатые проекты, но и привело к заморозке проектов будущих. А самое главное – полная неопределенность с будущим курсом: он может быть как 60 рублей за доллар (а пока продукты в российских компаниях преимущественно иностранного происхождения), так и 90, и 120.
Эту статью я пишу на форуме по информационной безопасности банков, где удалось поговорить с некоторыми из участников о том, что же будет дальше. Прогнозы очень неопределенны: кто-то утверждает, что российская экономика достигнет дна уже этой весной, кто-то дает ей еще с полгодика, а кто-то более «оптимистичен», считая, что дно будет достигнуто только в следующем году.
Можно ли что-то предпринять в такой непредсказуемой ситуации, когда валютный курс скачет, как ребенок на карусели, и невозможно решить, какие цифры закладывать в бюджет? Я бы выделил следующие шаги:
- Активно использовать то, что уже есть. За прошедшие тучные годы было закуплено немало различных решений, возможности которых используются, думаю, процентов на 10-15. А остальные? Не пора ли заняться более эффективным использованием приобретенного?
- Разработка собственных решений по ИБ. Да, есть и такой сценарий. Не могу сказать, что он популярен и к нему готовы многие, но уже имеются примеры, когда российские компании пошли по этому пути, уходя от капитальных затрат к операционным, а то и вовсе к фонду оплаты труда, который обычно идет по другой статье затрат.
- Использование open source. В прошлом номере я уже описывал такого рода решения, которые могут прийти на смену отдельным продуктам по информационной безопасности.
- Обратить внимание на разного рода финансовые схемы – кредитование, лизинг, рассрочку и т. п. Разумеется, сейчас не каждая финансовая организация готова идти на долгосрочные контракты, но и говорить, что их нет, нельзя. Те же серьезные ИТ-вендоры имеют в своем составе финансовые подразделения, которые продолжают работать и в нынешних непростых экономических условиях.
- Выстраиванию долгосрочных отношений с партнерами тоже пора уделить серьезное внимание. В этом случае можно договориться о той же рассрочке или «размазывании» цены по нескольким проектам, разнесенным по времени. Безусловно, тоже риск для обеих сторон, но зато при успешном сотрудничестве можно получить обоюдную выгоду.
Место работы
Профили многих моих коллег в LinkedIn обновились и пестрят от оптимистичного «В поисках новых возможностей» до конкретного «Ищу работу». В Facebook коллеги делятся новостями, что их позиции сокращены и все задачи по ИБ переданы в службу ИТ. Неопределенность своего будущего заставляет специалистов двигаться одновременно по двум направлениям.
Демонстрация своей необходимости бизнесу. Самое время начать оптимизировать свою работу, показывать ее эффективность, в том числе финансовую. Для служб ИБ ситуация чуть проще: немалое количество неуверенных в своем будущем сотрудников будет стараться унести с собой все, что «нажито непосильным трудом» (базы клиентов, шаблоны документов, ноу-хау и т. д.). Если служба ИБ сможет показать, что способна защищать активы работодателя в это непростое время, то шансы удержаться на своей позиции только возрастут.
Подготовка запасного аэродрома. Понятно, что 100%-ных гарантий остаться на своей позиции нет – поэтому стоит обновить резюме и начать неспешный анализ вакансий, которые даже в это время размещаются на профильных ресурсах. А еще неплохо бы повысить уровень своих знаний в тех областях, которые не были вашим сильным местом. Тем более что сегодня Интернет предлагает немало бесплатных курсов и отдельных материалов практически по всем направлениям деятельности.
Поставщики
Аналогичная ситуация и у ваших поставщиков и контрагентов. А возможно, они даже в более нестабильном положении: кто-то уже подписал контракты по старому курсу доллара, кто-то закупил на склад продукцию, которую не берут… В конце прошлого года представители крупных интеграторов делали заявления, что 2015 год переживут не все отечественные ИТ/ИБ-компании. И сейчас уже стали появляться первые признаки: кто-то начинает массовые сокращения, кто-то меняет руководство на более лояльное, кто-то активно ищет инвесторов, кто-то судится с незаконно уволенными сотрудниками, кто-то не может в течение квартала организовать «пилот», обещанный за неделю. А у кого-то и вовсе настолько плохи дела, что нет возможности оплатить счета за коммуникационные услуги или судиться, чтобы этого не делать.
Спрашивается, как быть? Рекомендации достаточно просты: выстраивать доверенные отношения с поставщиками продуктов и услуг – то, что в иностранных стандартах по ИТ и ИБ называется vendor relationship management. С крупными иностранными компаниями чуть проще: их положение стабильнее некуда, ведь непростая ситуация касается только России. А вот перед заключением договоров с отечественными компаниями стоит, наверное, привлекать службу экономической безопасности, которая может «пробить» контрагента на предмет стабильности его положения.
Подчиненные
Если вам удалось остаться на рабочем месте, то какова судьба ваших подчиненных? Не придется ли вам сокращать свой персонал? Оставим в стороне вопрос, как правильно увольнять людей, это тема отдельного разговора. А вот как быть с той неопределенностью, которая возникнет после освобождения одной или нескольких штатных единиц? Ведь эти люди не просиживали штаны в предыдущие годы, а занимались вполне конкретным делом – кем их заменить, а точнее, чем? От освобождения ячейки в оргштатной структуре работы меньше не станет.
Вот тут и начнется расцвет аутсорсинговых и облачных услуг в области информационной безопасности. Security-as-a-Service, Incident Management-as-a-Service, SOC-as-a-Service, Managed Security Services, Vulnerability Management-as-a-Service… Список новых терминов можно продолжать долго. Согласно оценке экспертов, сегодня эти и схожие услуги набирают популярность. Правда, на Западе мотивация обращения к ним немного иная – возможность сконцентрироваться на основных компетенциях, а все непрофильные отдать профессионалам. В России к тем же услугам можно (и нужно) обращаться в связи с отсутствием персонала, который бы занимался этими функциями. Разумеется, при условии четкого финансового обоснования, которое покажет, что это выгодно для компании даже в условиях неопределенного будущего.
Санкции
Я регулярно слышу разговоры о санкциях и их влиянии на ИТ/ИБ-проекты. Однако в этих рассуждениях очень мало фактов и много опасений: «А вдруг?..». Иными словами, все той же неопределенности, мешающей понять, что делать. К сожалению, это одна из тех тем, где нет четких рецептов. Россия по сути еще ни разу не сталкивалась с такими проблемами. Да, в послевоенные годы, во времена создания комитета КОКОМ, в Советский Союз запрещалось поставлять высокотехнологичную продукцию, включая и отдельные виды вычислительной техники. Но тогда применение ИТ не носило столь массового характера. Поэтому я могу выделить всего два сценария, способных снизить неопределенность в период санкций (если они будут введены и в ИТ-сфере):
- государственная поддержка отечественных производителей;
- использование пиратского ПО.
Ну, последний вариант мы, естественно, не рассматриваем, хотя у Советского Союза, а затем и России богатый опыт в этом деле. Обратимся к первому сценарию, о котором говорят на всех уровнях властных коридоров: импортозамещению и переходу на отечественную продукцию. Но… к сожалению, в России пока отсутствует четкий сценарий развития отечественной отрасли ИТ. То ли никто об этом не думает, то ли считают, что у нас полно своих ОС, процессоров, баз данных и других ИТ-продуктов. А возможно, кто-то уверен, что наличие трубы нефтяной спасет нас от иной трубы – в одном из ее разговорных смыслов. Но скорее всего, мало кто всерьез полагает, что санкции – это надолго.
Достаточно проследить за заявлениями отдельных чиновников, как становится понятно, что у России нет четкого курса в этой области. Сначала они продвигали иностранную ИТ-продукцию, а затем переориентировались на православные решения. Убедившись, что таковых в достаточном количестве нет и создать их быстро не удастся, стали апологетами свободного ПО, начав с активного продвижения Android от Google. Но после того, как санкционные гайки стали закручиваться и последовала команда «фас!» в отношении американских компаний, позиция властей вновь поменялась – они стали проводником Samsung и ее Tizen. Спустя пару дней, когда кореец открестился от поставок своей ОС в Россию, в рядах ИТ-чиновников прозвучало новое имя – открытая ОС SailfishOS.
С информационной безопасностью ситуация та же. Я недавно проводил поиск отечественных аналогов продукции своего работодателя: для более чем половины наименований оные попросту отсутствуют. И как прикажете проводить импортозамещение в этих условиях? Так есть же Китай, наш друг навек (конфликт на о-ве Даманский оставим историкам). Но с продукцией Поднебесной тоже все непросто. Во-первых, кто сказал, что «китайское» означает «российское»? Во всех документах, которые я видел по этой теме, говорится о поиске отечественных аналогов. То есть производимых не в Китае, не в Казахстане и даже не в Белоруссии – только в России. По всем формальным признакам продукция Поднебесной к таковым не относится и потому не может служить заменой американских, канадских, французских и японских ИТ/ИБ-решений.
Так что же делать? На мой взгляд, первым делом стоит понять, в какой степени на вашу организацию распространяются или могут распространиться запреты на использование зарубежных решений в области ИТ или ИБ. Во-вторых, определитесь, насколько велики риски, если вы оставите все как есть и не будете искать локально произведенную замену. И только потом ищите отечественных импортозаместителей и тестируйте их. Может быть, со временем что-то и найдется. Хотя, на мой субъективный взгляд, говорить об импортозамещении при отсутствии собственной электронной базы просто невозможно.
В качестве заключения
Напоследок хотелось бы вернуться к словам, вынесенным в заголовок. Оказывается, их происхождение тоже неопределенно. Мы думаем, что это выражение принадлежит китайской культуре, однако ни одного доказательства тому не существует. Самое раннее упоминание этой фразы найдено в мемуарах Хью Нэтчбулл-Хьюджесса, посла Великобритании в Китае с 1936 по 1937 год: в главе об отъезде из Поднебесной он называет эти слова «китайским проклятием». По другой версии, они принадлежат вымышленному персонажу Кай Луну из книг английского писателя Эрнеста Брама. В 2013 году в блоге «Грамафобия» высказана еще одна версия: возможный источник этого выражения – китайская поговорка «лучше быть собакой в спокойное время, чем человеком во время хаоса». Близко, но все-таки не совсем полное совпадение.
Даже, казалось бы, по такому простому вопросу и то нет определенности. Так неужели ее нет и в области информационной безопасности? Почему нет? Есть! Вот в законодательстве по информационной безопасности у нас полная определенность. Известны планы регуляторов по выпуску и развитию нормативных актов, которые будут действовать на территории Российской Федерации в ближайшие годы. А в остальном?.. В остальном все туманно. Что, конечно, не означает, что не надо готовиться и снижать неопределенность.
Опубликовано 10.03.2015
