Журнал о системах электронного документооборота (СЭД)
Информационная безопаснось в ECM

Интервью с Владимиром Мамыкиным, директором по информационной безопасности Кабинета Президента Microsoft в России и СНГ

  1 комментариев Добавить в закладки

Владимир Мамыкин,

директор по информационной безопасности Кабинета Президента Microsoft в России и СНГ

- В настоящее время в России идет формирование электронного правительства. Не могли бы Вы выделить основные направления этого процесса?

- Огромное значение имеет осознание целей создания в нашей стране электронного правительства. Это очень разнородное понятие, и в разных странах (да и в различных организациях в рамках одной страны) его понимают по-разному, что затрудняет возможность концентрироваться на конкретных направлениях. Важно также понимать, что после выработки каких-то установок и направлений будет необходима инфраструктурная поддержка решений. С этой точки зрения проблемы видны более ясно. Уровень информатизации, особенно в области коммуникаций, передачи данных в отдаленных муниципальных и федеральных регионах, далек от совершенства. И здесь приличные инвестиции в информационную инфраструктуру являются, без всякого сомнения, важным этапом повышения эффективности электронного правительства. Будучи создано только в Москве, Санкт-Петербурге, в других ведущих городах и регионах, оно не даст возможность полноценно и эффективно осуществлять управление всей страной, так как существенная часть регионов не будет охвачена качественной информационной или коммуникационной инфраструктурой.

Следует отметить, что Министерство информационных технологий в качестве одной из своих целевых установок четко позиционирует именно инвестирование информационной структуры регионов.

- Что Вы можете сказать по поводу использования открытых стандартов при информатизации страны?

- Прежде всего хотелось бы объяснить, что такое открытые стандарты (openstandards): это стандарты, которые позволяют взаимодействовать различным системам через интерфейсы, установленные международными консорциумами, разрабатывающими эти стандарты.

Программное обеспечение - вещь довольно гибкая. Оно позволяет многие данные (даже из старых систем) преобразовывать при помощи новых технологий (например XML, Web-сервисы) в данные, с которыми могут работать уже современные системы.

Открытые стандарты, как правило, являются стандартами де-факто, а не де-юре, они приняты сообществом как удобные для реализации. Открытые стандарты не обязательны к применению; они бывают и конкурирующими между собой. Каждый производитель сам выбирает, какие стандарты использовать.

По международной терминологии эти стандарты определяются как RAND (reasonableandnon-discriminatory), буквально - "резонные и не дискриминационные" стандарты.

Преимущество открытых стандартов в том, что в них могут участвовать любые производители - "железа", софта, фривея, коммерческих и opensource-решений (решений с открытым кодом).

В консорциумах по разработке открытых стандартов работают известные компании, которые уже много лет присутствуют на рынке коммерческого ПO (IBM, Oracle, Microsoft и т.п.). Хочу специально подчеркнуть, что у многих создается впечатление, что openstandards и opensource - это одно и то же. Яркий пример, демонстрирующий, что это совсем на так - в состав международных консорциумов, которые занимаются информационной безопасностью (например, OASISwww.oasis-open.org ), не входит ни одной компании из сообщества opensource.

Кроме того, давайте попробуем разобраться - а насколько использование закрытых стандартов может мешать развитию? Например, если компания-производитель использует свой внутренний формат файлов мейнфрейма, который публично не публикует, но предоставляет возможность файлы из этого формата переводить через предоставляемые обществу API, например через XML, в любые другие форматы, и брать оттуда любую другую информацию, то это иногда не является не только препятствием, но позволяет значительно усовершенствовать информационные системы. Например, когда мы работали над Office 2003, мы понимали, что в Office ХP есть определенные ограничения по скорости работы, в том числе из-за внутреннего формата данных. Из-за того, что это был наш внутренний стандарт, и никто из разработчиков третьих компаний не был привязан к этим форматам, мы смогли полностью переработать его применительно к Office 2003. И скорость работы Office 2003 резко повысилась.

Как человек, который долгое время занимался, в числе прочего, и разработкой программных продуктов, я знаю, что это очень сложный вопрос - какие интерфейсы (API) сделать доступными для других, чтобы с данным ПО могли работать приложения других производителей? Важно понимать, что, как только некая компания обнародовала и зафиксировала данные интерфейсы, она должна в течение десятка лет их поддерживать. А это чревато некоторыми проблемами, так как, если такой интерфейс выбран не очень удачно, переделать его уже очень сложно, потому что от этого зависит бизнес других компаний. А, в конечном итоге, и ваш бизнес.

Использование современных технологий, таких, как XML, Web-сервисы, позволяет с уникальной эффективностью решить эту задачу, позволяя совершенствовать свои внутренние форматы и протоколы, не влияя на интероперабельность, на взаимодействие с другими системами.

Я считаю, что при информатизации страны желательно, но не обязательно, использование открытых стандартов. Но при правильном понимании того, что есть открытый стандарт. Microsoft, кстати, является активным участником международных организаций по разработке открытых стандартов – OASIS, W3C, WS-I и других. В силу ряда причин компании opensource не всегда могут использовать известные открытые стандарты, например из-за нежелания использовать бесплатные патенты. В прошлом году на конференции OASIS в Москве, выступая о роли OASIS в разработке открытых стандартов, я обратился к компаниям opensourcec призывом включится в работу международных организаций по разработке открытых стандартов. За прошедший год в OASIS никто из opensource пока не вступил.

- Что Вы можете сказать о перспективах применения ПО с открытым кодом в государственных проектах?

- В государственном законодательстве есть совершенно четкие указания, что при выборе ПО для использования в государственных органах не должно быть никаких технологических специальных привилегий, государство обязано быть технологически нейтральным. Во всей Европе действуют точно такие же требования - технологическая нейтральность при выборе решения.

Что же касается ПО с открытым кодом, то на сегодняшний день это самая уязвимая платформа уже в течение двух последних лет. Достаточно посмотреть на отчет CERT за 2005 год (http://www.us-cert.gov/cas/bulletins/SB2005.html).

Оказалось, что производители, которые пишут код opensource, не очень-то собираются исправлять свои собственные ошибки и не контролируют процесс исправления ошибок

Другая проблема открытого ПО заключается в том, что в этой бизнес модели меньше возможностей по возврату инвестиций, а, значит, и меньше возможностей по налогообложению. Если решение было разработано в модели opensource, то его экспорт за рубеж не приносит доходов в казну, так как решение тиражируется бесплатно. А деньги берутся только за услуги. Но услуги за рубеж не экспортируются. Это коренным образом отличается от бизнеса уже хорошо зарекомендовавших себя таких российских компаний, как «Лаборатория Касперского», «1С», «ABBYY» и других. Экспорт их продуктов приносит в казну деньги.

Кроме того, если решение для государственной организации разработано в модели opensource, то оно может быть бесплатно использовано где угодно за рубежом – в этом и заключается opensource. Зачем тогда за наши государственные деньги делать решения для других стран? Бесплатно. Может лучше бесплатно воспользоваться решениями, разработанными за деньги других государств?

Хотелось бы также добавить следующее. Многие считают, что разработки opensource в России - это российские разработки. К сожалению, это не так. Более 95% кода в Linux написано американскими компаниями. Написание небольшого процента кода к зарубежному ПО не делает это ПО отечественным. Я не знаю ни одной разработки в opensource, целиком произведенной какой-то локальной компанией, потому что ядро в основном разрабатывается компаниями из США.

- Вам известно, что группа ученых и политиков обратилась к российской верховной власти с предложением поддержать поправку в законодательство о недопустимости использования зарубежных программ и технических средств в стратегических отраслях и особо важных объектах Российской Федерации? Как вы относитесь к этой инициативе?

- Я считаю, что эта инициатива не может быть реализована без катастрофического ущерба для нашей страны. Конечно, желание запретить зарубежные средства на стратегически важных объектах и в органах государственной власти со стороны выглядит правильным.

Но в силу международного разделения труда, к сожалению, ни одна отдельно взятая страна - ни Россия, ни Соединенные Штаты, ни Япония, ни Китай, - неспособна сама обеспечить хотя бы минимум своих потребностей.

Какие зарубежные средства используются, к примеру, в органах государственной власти? Операционные системы? – Да, зарубежные. Базы данных? - Да, зарубежные. Средства управления? - Многие из них зарубежные. И мы пока еще говорим только о программном обеспечении.

А как быть с техническими средствами вообще? Ведь любой современный компьютер имеет процессор, который произведен либо Intel, либо IBM, либо AMD. Значит, мы вынуждены отказаться от компьютеров? Более того, в России даже не производятся элементные платы, скажем, микроконтроллеры, дисководы и т.п. Неужели мы должны отказаться от использования в системе государственного управления от компьютерных систем?

Но это еще не все. Наша страна не производит, например, автоматических телефонных станций. Их производят такие компании, как "Эриксон", "Моторола", "Сименс", "Алкатель". Выходит, нам придется отказаться от телефонной связи для управления органами государственной власти, в том числе и для управления обороноспособностью нашей страны.

Для использования зарубежных технических средств есть веские основания: много лет существует система проверки всех средств, которые используются на важных государственных объектах. И эти проверки осуществляются компетентными органами. Министерство обороны РФ, ФСБ, Гостехкомиссия (теперь ФСТЭК - федеральная служба по техническому и экспортному контролю) имеют многолетний опыт, опытных партнеров, которые умеют проверять эти средства перед тем как поставить их в соответствующую государственную структуру. И не было ни разу случаев, чтобы эти проверки были неэффективными.

Я могу сказать, что, когда наши продукты сертифицировались в ФСБ, сертификация проходила, в том числе, и с предоставленными исходными кодами, и занимала немалое время. Писались серьезные документы по анализу, давались подробные рекомендации по повышению уровня безопасности информации...

Еще один путь усиления безопасности, по которому идут многие российские компании - добавлять к существующим зарубежным продуктам дополнительные модули, которые позволяют использовать защищенную таким образом продукцию на объектах с самым высоким уровнем защиты.

Приняв эту поправку, мы, к сожалению, не сможем даже закупить необходимые технологии. Просто современные технологии не продаются. Продается современная технологическая продукция, но не технологии. Технологии продаются старые. Производители процессоров не продают своих технологий. Производители телефонных станций не продают своих технологий. Это означает, что для развития этих технологических отраслей в России нам придется либо производить все по лицензии (что означает опять же отсутствие контроля над возможностями произведенных средств), либо изобретать все эти технологии заново. Это невозможно. Просто потому, что пока мы будем заново открывать старые технологии, уже будут открыты новые. Теми, кто знал старые технологии раньше.

Многие вещи открывать заново совершенно невозможно, это означало бы навсегда остаться за бортом прогресса. А украсть технологии... Ну, некоторые страны идут на такой шаг, но скопировать современные технологии не так просто. Известно, что никому не удалось скопировать бритву "Жиллетт" - все копии получались гораздо хуже оригинала, хотя состоит эта бритва из полосок стали. Если никто не может скопировать полоску стали, что же говорить о других технологиях?

У нас есть свои технологии, которые лучше многих зарубежных. Их и надо еще больше развивать, продавать за рубеж. Это и космические технологии, и авиастроение. Успехи надо развивать, создавать государственную программу поддержки инновационным процессам в России, чтобы мы перестали быть зависимыми от природных ресурсов, от нефти и газа.

Принятие поправки, о которой идет речь, стало бы непоправимой ошибкой. Я думаю, что если бы инициаторы ее принятия узнали, как контролируются технические средства и ПО в нашей стране такими уважаемыми организациями как ФСБ, ФСТЭК или Министерство обороны, они бы просто не стали такую поправку вносить.

- В подавляющем большинстве федеральных органов власти используются продукты Microsoft. Существуют ли оценки того, какова доля пиратского ПО в этом секторе рынка и какова примерная совокупная стоимость перехода на альтернативную операционную систему, такую, как, например, Linux?

- К сожалению, я не знаком с цифрами распространенности пиратского ПО в государственном секторе. Этот рынок не очень маленький, но объем его мне неизвестен.

С другой стороны, мы работаем с государством для того, чтобы перевести все системы в государстве на использование легального ПО. И мы находим положительный ответ со стороны государства. Например, в Республике Татарстан на самом высоком уровне принято решение о том, чтобы легализовать все используемое ПО, причем в достаточно короткие сроки.

Любое пиратское ПО - это не ПО от производителя, это программное обеспечение, в котором взломаны системы защиты, системы активации. Раз взломана система активации, то кто гарантирует, что там не добавлены другие функции, включая закладки для съема информации?

Давно известно, что один из самых простых способов проникновения в чужую корпоративную сеть - это выпустить пиратское ПО, дождаться, когда его купит потенциальная жертва (противник, конкурент) и затем использовать для незаконного доступа к чужой информации имеющиеся в этом ПО внедренные закладки. Это самый дешевый способ.

Выходит, что организации, которые пользуются пиратской продукцией, используют непроверенное, опасное ПО. Это помимо того, что они нарушают действующие законы.

Мы прекрасно понимаем, что процесс легализации рынка не может завершиться мгновенно. Он зачастую требует значительных инвестиций. Но мы всегда готовы к обсуждению возникающих проблем, к совместной работе для перевода рынка ПО на легальные рельсы.

Я затрудняюсь сказать, какова примерная совокупная стоимость перехода на альтернативную операционную систему. Говоря о стоимости замены одной системы на другую, необходимо учитывать также стоимость всех тех приложений, которые использовались при работе с системой, использовавшейся ранее. Такая миграция (неважно, c какой системы на какую, особенно в государственных масштабах), - очень дорогостоящий процесс.

Другое дело, что зачастую люди отказываются от систем и приложений, которые устарели, не поддерживаются, или производители которых не являются коммерчески устойчивыми. Этот шаг абсолютно оправдан, он вызван экономической необходимостью. И тут уже сам пользователь должен решать, перейти на Linux или на Microsoft. Потому что, еще раз говорю, главное здесь - экономическая целесообразность. И никогда не надо забывать, что стоимость ПО, это не только стоимость его покупки, но стоимость сопровождения в течение всего жизненного цикла. А по совокупной стоимости владения продукты Microsoft одни из лучших.

Далее, opensource многими рассматривается как хорошее средство для развития локальной софтверной индустрии. Это не совсем верно. Я уже называл несколько причин ранее, почему opensource развивает локальную индустрию хуже, чем коммерческое ПО. Если обратиться к цифрам, то, например, в среднем на каждый доллар, который зарабатывает Microsoft, продавая свои программные продукты, почти в 10 раз больше получают локальные компании - производители программных продуктов, предназначенных для работы с ПО Microsoft, консалтинговые компании, системные интеграторы.

При этом надо сказать, что во многих случаях локальным opensource-разработчикам невозможно повторить успехи крупных компаний, потому что эти успехи достигнуты не только за счет крупных инвестиций. Мы тратим очень большие средства на исследования и разработки. В прошлом финансовом году мы потратили около 6, а годом раньше - более 7,5 миллиардов долларов на исследования и разработки. Но эти траты все равно бы не были эффективны, если бы у нас не было десятков тысяч наших людей с их огромным опытом. Человеческий ресурс - самая большая проблема при разработке новых технологий. И надо сказать, что в этом смысле коммерческие компании (IBM, Oracle, SAP, Microsoft и другие) доказали свою эффективность на протяжении десятилетий. У opensource компаний нет даже похожих показателей бизнес эффективности. А ведь движению opensource уже много лет.

- Какая модель развития для локальной софтверной экономики более правильная?

- Заранее никогда нельзя сказать, какая модель чего бы то ни было окажется наилучшей. И предусмотреть развитие общества на законодательном уровне тоже невозможно, поскольку законодательство - это лишь форма закрепления уже устоявшихся практик в виде законодательных документов. История развития технологий и даже человеческих отношений показывает, что законодательство может закреплять хорошие или плохие практики. Поэтому необходимо, чтобы общество могло пробовать разные модели. Не должно быть законодательных ограничений. Общество - это такая конструкция, которая, подобно живому организму, на основе своего жизненного опыта должна взять лучшее и отбросить ненужное. Практика – лучший критерий истины. И с этой точки зрения коммерческие компании пока не уступают своих лидирующих позиций.

Источник: Журнал "Information Security"

Похожие записи
Комментарии (1)
Андрей Подкин 08 декабря 2006 г. 09:35  
Честно говоря, нападки Microsoft на open source уже приелись. Надо все-таки различать конкретные программные продукты и конкретные комании. Скажем, несмотря на весь опыт Oracle, последние версии ее проприетарных продуктов, мягко говоря, далеки от идеала. Это, кстати, признает и сама Microsoft (только уже в других отчетах).
Сейчас обсуждают
Больше комментариев