— Лейтмотив этого форума, помимо экономических и финансовых вопросов, это еще и ИТ во всех его проявлениях. Я бы хотел поговорить с вами о трендах, в которых ИТ-сообщество консолидировалось. Какие вы можете назвать?
— Сейчас, безусловно, очень большое внимание уделяется российским разработкам, их внедрению. И тому, как развивается отрасль в целом. Понятно, что некоторое время назад мы как страна, как отрасль, испытывали некоторые затруднения в использовании зарубежных разработок. И потребовался тренд на собственное производство буквально всего на свете. Потому что мы лишились очень серьезного, обширного стека технологий. И этот вакуум надо заполнять. Сейчас идет очень много дискуссий о том, у кого какой опыт, кто какой путь прошел, как видят будущее. Этот практический опыт очень серьезно обсуждается. Но, конечно, уделяется внимание и отдельным направлениям. Таким, как, например, применение технологий искусственного интеллекта. Но пока это на уровне трендов: куда то или иное предприятие в определенной отрасли с применением этих технологий смотрит. И уже есть какие-то начальные результаты. Сказать, что пошла тотальная волна применения, еще рано. Но волна обсуждения этого применения точно пошла.
Периодически обсуждается все, что касается информационной безопасности. Компрометации, атаки, и вот эта волна нарастает. Этому уделяется много внимания. И в том числе влиянию этого процесса на экономику.
— Сегодня на российском ИТ-рынке настоящий бум. Но есть и риски, с этим связанные. В этом многообразии найти хорошего контрагента непросто. Как не потеряться в этом буме?
— Да, действительно, есть такая проблема. Получилось, что образовавшийся вакуум побежали заполнять очень много производителей. Каждый из них решил, что он сейчас выпустит вперед остальных очень качественную продукцию, и именно она будет востребована на рынке. И это естественный, нормальный процесс. Его проходили и другие страны, которые в некотором роде были в схожих ситуациях. Просто у нас все сжато во времени. И образовалось очень много производителей одного и того же: серверного оборудования, сетевого оборудования, различных программных продуктов. Ну, просто десятки и десятки. Ну, нет столько рынка для всех. Не может это всё быть одинаково высочайшего качества. Абсолютно объективно кто-то в первых рядах, кто-то отстает.
Как с этим разобраться потребителю, на самом деле крайне тяжелая задача. Мы являемся, наверное, одним из крупнейших потребителей российской продукции, и ориентированы, безусловно, в первую очередь на нее. У нас почти отсутствуют закупки нероссийского производства.
Что приходится делать? Приходится это всё испытывать. Потому что заявленные характеристики не всегда выдерживаются. И это объективная реальность. У наших производителей был очень короткий срок для подготовки к производству, конструированию и проектированию своей продукции, у нее нет широкого применения и широкого фактического использования, что является, наверное, лучшей проверкой. Пока не попробуешь, не узнаешь, как на самом деле. И здесь играют огромную роль предварительное тестирование, анализ этих характеристик, фактически подтвержденных испытаниями. И их сравнение в какой-то простой визуальной модели. Мы создали такую модель. Не стали долго изобретать что-то абсолютно новое. Взяли за основу всем известный в отрасли квадрант Гартнера.
— Давайте чуть подробнее обсудим, что такое квадрант Гартнера.
— Хорошо. Потребителю нужно в чем-то разобраться, он обладает какими-то экспертными знаниями, навыками, но не настолько глубокими, как производители того или иного оборудования. Нельзя разбираться во всем одинаково хорошо. И в программном обеспечении, и в аппаратных средствах, и в инфраструктурном программном обеспечении. Невозможно. В сетевых технологиях, в информационной безопасности. А мы, например, насчитали порядка 77 систем виртуализации, которые предлагаются на рынке. Это российские производители. И что делать потребителю? У него 77 решений, каждое из которых декларативно предлагает в документации тот или иной набор функций. Он соответствует современным реалиям в мировом масштабе или нет, или его недостаточно? Этот продукт реально соответствует заявленным функциям или нет? С какими-нибудь другими средствами он совместим? Как он себя ведет при реальных профилях нагрузки и в реальной эксплуатации? Ответов на самом деле сегодня практически нет.
Был опыт у наших западных партнеров в свое время, когда мы как страна с ними активно работали. И появился аналитический инструмент, его, наверное, все помнят, квадрант Гартнера.
— Система координат, поделенная на 4 зоны.
— Да, квадрант — это квадратик, разделенный на 4 части. Где в правом верхнем углу самые передовые решения, в левом нижнем — отстающие. Сверху слева такие хорошие, стабильные, но не самые передовые функциям. А в правом нижнем углу очень передовые, но еще не набравшие практику.
Мы взяли примерно похожую идеологию, похожую визуализацию — эту систему координат, и переложили на нее свой опыт и свои испытания огромного количества российских решений. Да, мы работаем с большинством крупных российских производителей, не всегда даже крупных, и испытываем их продукцию у себя в лаборатории. У нас большая испытательная лаборатория, много стендов. И мы проводим параллельно большое количество испытаний. Так вот, это позволяет нам сейчас понимать, кто где находится с точки зрения производства продукции. И можно одним взглядом оценить, кто отстающий, кто передовой.
Для чего это все нужно? Это нужно не только для технарей. Это нужно людям, которые осуществляют закупки, которые занимаются бюджетированием, оценивают риски. Это же очень переплетенные друг с другом процессы.
И мы, создав эту систему, не скопировали, не полностью повторили все методики, — они у Гартнера закрыты. Мы создали свои. Они основаны на реальном использовании, на реальной эксплуатации. Они содержат методы испытаний, взятых из реальной эксплуатации, из жизни: как ведет себя ПО или оборудование в разных аварийных режимах, какую производительность оно показывает в этих режимах и так далее. Все это основано на реальной эксплуатации.
И, в отличие от американских систем оценки, мы оцениваем чисто технические параметры. Мы оцениваем их объективно, а не ориентируемся на то, какую долю рынка занимает производитель. Мы даем безусловные шансы любому производителю, даже молодому, который только-только выходит на рынок, чтобы себя проявить. И, вероятно, его продукт может оказаться — и такие примеры есть — очень привлекательным в сравнении с остальными.
— Как составляется эта выборка?
— Первую выборку мы определяли сами. Мы смотрели наиболее востребованные решения, имеющие большую долю рынка. Начали взаимодействовать довольно давно. Но сейчас любой производитель, который к нам приходит, будет поставлен на стенд. С ним будут согласованы все методики испытаний, он будет участвовать не вслепую, мы не делаем ничего в темную. И знаете, у нас нет ни одного результата испытаний, с которым бы производитель не согласился. Потому что он с самого начала до самого конца испытаний в них участвует. И, да, любая компания производитель, приходящая к нам, попадает на тесты. Некоторые сами, бывает, отказываются, если видят, что их продукция недостаточного качества.
— Как раз вопрос: в чем интерес производителя приходить и получать оценку?
— Очень просто. Основное — мы сами являемся крупным потребителем. И производителю интересно стать нашим поставщиком. У нас большой объем потребления. Это первое. Второе, мы являемся во многом референсом для многих участников рынка. Мы активно общаемся с крупными потребителями, и они смотрят на наш опыт, смотрят на результаты, которые мы получаем. Смотрят на уже реально работающую продукцию российских производителей, которая оттестирована в нашей лаборатории. Мы это ни от кого не скрываем. У нас есть даже регулярные связи с крупными потребителями, которые просят эти связки сохранять. Я не могу сейчас их называть, но это очень крупные организации — и коммерческие, и государственные.
— Сектора хотя бы обозначьте.
— Очень большой интерес к этому, например, финансового сектора. Промышленность серьезно заинтересована. Перевооружение им необходимо. Но не все из них имеют пул возможностей создать систему анализа, тестирования и так далее. Или вообще действуют вслепую, извините, у кого красивее презентация, того и покупаем, или кто дал ниже цену, несмотря на технические характеристики.
— Красочнее галстук.
— Да, абсолютно верно. Это, наверное, плохой путь. Нужны какие-то реальные данные, на которые можно опереться. Поэтому интерес к нашим работам сейчас огромен.
— Но в адрес исследований того же Гартнера, с которого вы брали пример, нередко звучали претензии в предвзятости. Как вы планируете обеспечить объективность и доверие к своей модели оценки?
— Да, это очень тонкий момент. Мы оцениваем исключительно технические параметры. Мы не оцениваем параметры финансовой устойчивости производителя, охват рынка на сегодняшний день. Тогда отсеются те стартапы, те перспективные решения, которые только-только появляются. У нас нет никакого взаимодействия с производителями на уровне коммерческих консультаций. Нет никакого влияния на результат. Это очень важно. Есть очень сухая методика, которая публична, которая делается вместе с производителем, а иногда с несколькими производителями, и по этой методике испытывается не один производитель, а целая серия. Потому что нельзя испытывать в разных методиках — получится разный результат. Вот эта открытость дает нам уверенность в том, что мы получаем максимально возможно объективный результат, объективный ответ.
— Можно ли на основе вашей аналитики делать прогнозы по развитию российского ИТ-рынка?
— Безусловно. Более того, мы частью своей миссии видим в том числе помощь рынку и ускорение процессов выбора из этого огромного количества производителей, которые есть сейчас, самых сильных, самых успешных, самых перспективных. Вот это очень важно. Прогноз очень простой. Нам не нужно более 50 производителей серверов. Нам не нужно более 70 систем виртуализации. Нам нужно 3–5, но таких, которые могут спокойно себя чувствовать на мировом рынке. То есть конкурировать уже вовне.
И чтобы этого достичь, необходимо, как вы правильно сказали, не по цвету галстука менеджера определять, кто лучше, кто хуже, кто симпатичнее, а по реальным измерениям, реальным тестам и их результатам. Это позволит рынку и крупным потребителям ориентироваться и выбрать тех, кто является наиболее зрелым, наиболее перспективным и живучим с точки зрения конкуренции. Мы считаем, что очень ускоряем этот процесс. Это неоценимый вклад, на мой взгляд, в развитие и всей отрасли, и страны.
— Ну а выбор обусловлен чем? Качеством услуг, скоростью каких-то процессов, которые желательно автоматизировать. Но, пожалуй, самое главное сейчас, и самая проблемная тема для множества российских компаний — это инфобезопасность. Это их защищенность, это их уязвимость к кибератакам. Это последствия, которые оцениваются в миллионы рублей и долларов.
— Иногда миллиарды даже.
— А иногда и миллиарды. Как вы оцениваете состояние рынка, вернее, состояние защищенности российских компаний — как крупных промышленных производителей, так и сферы услуг, и кого других?
— Сейчас так все быстро меняется, и Россия, наверное, находится в уникальной позиции. Если еще 3 с лишним года назад весь мир порицал хакерство в отношении всех стран, включая Россию, то ни для кого не секрет, что сейчас огромное количество сил сильно доплачивают, чтобы Россия была атакована. Причем Россия не абстрактно, а конкретные предприятия. Неважно, частные, государственные. Для нанесения максимального ущерба. И это очень серьезное испытание для российской инфраструктуры и всех ИТ-систем. Кто-то к этому оказался больше готов, кто-то меньше. Но, вы знаете, сейчас виден очень серьезный тренд на усиление внимания к информационной безопасности. Стоимость этих решений в бюджетах и вообще в структуре затрат на ту или иную систему резко возросла. Это нормально.
— Это слепой тренд?
— Это осмысленный тренд однозначно. Но, знаете, сейчас российские производители, которые начали свою деятельность совсем недавно, видя, что открылся рынок, не всегда думали в первую очередь о безопасности, заложенной в собственную продукцию. Сейчас это переосмысление наступает. Небезопасные сервисы уже никому не нужны. И это очень важный момент. Государство у нас придает этому огромное значение. Все мы знаем про критическую инфраструктуру и регуляторику, которая существует. И мы знаем про практику по уязвимостям и успешным, к сожалению, атакам в нашей стране. Поэтому это все не пустой звук. Понимание есть. Но от понимания до практической реализации еще надо пройти определенный путь. Любой зрелый производитель сегодня стремится думать не только о полезных функциях своей продукции, но и о встроенной функции защиты. Здесь ключевую роль играет сертификация. Сертификация — это сложные механизмы проверок на предмет защищенности того или иного ИТ-решения. Игнорировать их нельзя. Будут ужесточения. И это сейчас на самом деле очень правильно.
— Завершая наш разговор, хочется поговорить про такой важный элемент, который многие почему-то игнорируют — это доверие. В экономике, чем больше доверия к финансовым институтам, к финансовым системам, к бизнесу, тем лучше и выше благосостояние общества. А в ИТ, я так понимаю, обратный подход — zero trust.
— Вы знаете, да. Идеология zero trust сейчас действительно является наиболее адекватной. Продукции, которую выпускают российские производители, или предлагают те или иные ИТ-решения, доверять нельзя. Не потому, что кто-то хочет обмануть или ввести в заблуждение, ни в коем случае. Но российская продукция еще не прошла тот путь, не прошла через жерло рынка по реальным внедрениям, эксплуатации, что однозначно показало бы ее качество. У многих все только начинается. Надо проверять, надо тестировать, надо давать возможность российским производителям быстро исправлять свои ошибки, просто указывая на них после реальной эксплуатации. И это в хорошем смысле недоверие — очень правильный тренд.
Есть еще инфобез. Если вчера доминантой были внешние угрозы для информационных систем, а сегодня мы видим огромное количество векторов атак, которые идут изнутри. Идет компрометация через внутренние механизмы доступа, через работников и так далее. Поэтому механизм нулевого доверия в информационной безопасности, наверное, сейчас самый правильный. Все необходимо предусмотреть. Сейчас мелочей нет. Сейчас того, чем можно пренебречь, не существует. Да, мы все должны жить, повторюсь, в идеологии нулевого доверия, даже ко внутренним механизмам и внутренним работникам. И защищаться от возможных внутренних атак. Иначе мы никогда не выйдем на тот уровень информационной безопасности, которого должны достичь.
Больше новостей читайте в нашем телеграм-канале @expert_mag
