Тимофей Матреницкий: «Отечественные программные продукты, в которые внедрены зарубежные системы защиты, не могут быть включены в Реестр, потому что это противоречит целям его создания»
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
ноябрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

показать все 

Новости партнеров

14.11.2024

Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость

Читать далее 

14.11.2024

RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза

Читать далее 

14.11.2024

Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium

Читать далее 

14.11.2024

ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве

Читать далее 

08.11.2024

Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов

Читать далее 

показать все 

Статьи

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

28.09.2024

Чем страшен ИИ, и с чем его едят

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Тимофей Матреницкий: «Отечественные программные продукты, в которые внедрены зарубежные системы защиты, не могут быть включены в Реестр, потому что это противоречит целям его создания»

Главная / Интервью / Тимофей Матреницкий: «Отечественные программные продукты, в которые внедрены зарубежные системы защиты, не могут быть включены в Реестр, потому что это противоречит целям его создания»


Тимофей Матреницкий:
«Отечественные программные продукты, в которые внедрены зарубежные системы защиты, не могут быть включены в Реестр, потому что это противоречит целям его создания»


Является ли отечественное ПО полностью отечественным? Какие скрытые угрозы для технологической независимости и безопасности страны оно может в себе скрывать? Как можно их устранить? На вопросы «БИТа» отвечает руководитель направления Guardant Компании «Актив»

Беседовала Галина Положевец

 

 – Как Вы оцениваете эффективность мер по импортозамещению в российской ИТ-отрасли? Каковы их результаты?

– Идея импортозамещения стала развиваться, как известно, когда государство поставило цели добиться технологической независимости страны и предотвратить внешние угрозы ее безопасности.

Далее логичным шагом для достижения этих целей стала разработка и внедрение комплекса мер по поддержке на государственном уровне отечественных ИТ-компаний. Это очень правильная идея, и многие зарубежные страны делают то же самое. Однако подобные национальные проекты требуют значительных ресурсов от целой отрасли, занимают много лет и в целом сопряжены с рядом фундаментальных проблем, которые сдерживают темпы импортозамещения.

Например, создать отечественное оборудование, сопоставимое по своим техническим характеристикам с зарубежными аналогами – крайне сложная и дорогая задача. Конкурировать с IBM и Intel российская индустрия не может. Чипы, которые производятся в России, подходят и уже применяются для решения специфических задач. Основной упор в них сделан на безопасность. При этом по быстродействию они пока заметно уступают продуктам мировых лидеров.

Отечественные операционные системы у нас были созданы еще до появления тренда на импортозамещение. Данная категория продуктов создавалась для госкомпаний и организаций с особыми требованиями к безопасности и высоким уровнем контроля.

Однако в массовом сегменте российские операционные системы не пользуются спросом. Это связано с тем, что они построены на базе ОС Linux, в то время как значительная часть софта, столь привычного для отечественного пользователя, работает только в ОС Windows.

Это, кстати, еще одна проблема, которая была и в какой-то мере до сих пор остается на пути импортозамещения. В самом начале этого пути большое количество отечественных программных продуктов серьезно отставало от зарубежных аналогов по разным критериям, начиная от функциональных возможностей, заканчивая удобством использования. В некоторых сегментах у нас вообще не было своих разработок. Сейчас ситуация значительно выправилась, российские вендоры взяли курс на поддержку отечественных ОС и оборудования.

Таким образом сделано много и процесс импортозамещения идет. Однако говорить о его успешности или неуспешности пока слишком рано. Темпы перехода на российские программные и аппаратные продукты оставляют желать лучшего. Даже на объектах критической информационной инфраструктуры до сих пор и, как минимум, в ближайшие год-два будут использоваться иностранные решения. Что уж говорить про менее значимые системы.

Кроме того, существуют и другие сдерживающие факторы. Например, привычки пользователей. В большинстве компаний значительное количество процессов так или иначе завязано на конкретное программное и/или аппаратное обеспечение. Написаны инструкции, отработаны все типовые операции, обучены сотрудники, начиная от секретарей и заканчивая системными администраторами.

Поэтому чем глубже внедрено ПО, тем сложнее его заменить. Но в любом случае на данную процедуру потребуется время, ресурсы, и нужно быть готовым, во-первых, к временной просадке производительности или полной остановке работы, во-вторых, к увеличению ошибок со стороны пользователей. В связи с этим, говоря про переход на отечественные продукты, необходимо понимать, зачем бизнесу это надо?

Сегодня в стеке Guardant есть все необходимые инструменты, как для российского, так и зарубежного вендора ПО. Они, с одной стороны, умеют решать задачи прямо из коробки, а, с другой стороны, позволяют закрывать самые нестандартные потребности

– И правда, зачем?

– Во-первых, отечественное решение скорее всего обойдется дешевле.

Во-вторых, оно учитывает местную специфику. Примером может служить софт для бухгалтерского учета, программы-справочники по российской законодательной базе, системы проектирования чего-либо по отечественным стандартам и т. д.

И, в-третьих, это соблюдение требований регулятора или в целом следование сегодняшней повестке импортозамещения. Если у госзаказчика и окологосударственных компаний есть четкая потребность или пожелание относительно российского происхождения закупаемого продукта или отдельных его компонентов, то для бизнеса это серьезный повод задуматься о переходе на отечественный софт.

В связи с этим российским разработчикам ПО предоставляется немало льгот. Кроме того, государство старается сподвигнуть и заказчиков перейти на отечественные продукты путем предоставления им субсидий и оказания прочих мер поддержки.

– Насколько текущая методология проверки ПО для включения его в Реестр обеспечивает реализацию основной идеи Реестра – технологическую независимость и безопасность российского общества?

– До 2021 года весь софт, продаваемый в РФ, не облагался НДС. А с января 2021 года эта льгота сохранилась только для отечественных продуктов, включенных в специальный Реестр. Поэтому очень много ИТ-компаний бросились регистрировать в нем свои решения. В результате количество продуктов в Реестре выросло более чем вдвое, и сегодня составляет 12000 программ. При этом сразу возник ряд проблем.

– Каких же?

– Продукты, находящиеся в Реестре, имеют приоритет при госзакупках. Сразу встает вопрос о их качестве, удобстве использования и функциональных возможностях в сравнении с зарубежными аналогами. Текущая методология проверки ПО перед включением в Реестр не учитывает эти детали. Более того, она не может полностью гарантировать ни работоспособность отечественного ПО в целом, ни его происхождение. Были случаи, когда в Реестр попадали продукты иностранного производства, но под российской торговой маркой.

Тем не менее нужно сказать, что методология ведения и наполнения Реестра постепенно дорабатывается и совершенствуется, в том числе за счет участия частных компаний ИТ-отрасли. Например, в прошлом году, впервые за все время существования Реестра, была проведена проверка, в результате которой был удален целый ряд продуктов, не соответствующих новым требованиям.

Однако, несмотря на постоянные доработки, в системе по-прежнему остаются некоторые фундаментальные проблемы.

Основная идея Реестра – независимость и безопасность российского общества, инфраструктуры, госсектора и прочего от внешних угроз. А теперь представьте, что существует механизм, когда на территории страны, которая вводит против нас санкции, нажимается одна кнопка – и софт, работающий в РФ, мгновенно отключается. А следом за ним отключаются промышленное оборудование, системы контроля и мониторинга, системы безопасности и прочие системы.

Как такое возможно? Дело в том, что ряд отечественных ИТ-продуктов защищен от копирования и взлома зарубежными решениями. Причем производители некоторых решений – резиденты стран, которые ведут санкционную политику в отношении России.

Технически в каждую копию отечественного ПО, поставляемую конечным пользователям, в том числе госструктурам, включены сторонние зарубежные компоненты. Если система защиты по какой-либо причине вдруг блокируется, ПО мгновенно перестанет работать. Поэтому я считаю, что отечественные программные продукты, которые используют зарубежные системы защиты, не могут быть включены в Реестр, т. к. это противоречит целям его создания.

Необходимо внести ряд изменений в процедуру включения программных продуктов в Единый реестр российских программ для электронных вычислительных машин и баз данных. (От редакции: полный текст предложений читайте ниже).

Цитируем документ


Предложение об изменении процедуры включения программных продуктов в Единый реестр российских программ для электронных вычислительных машин и баз данных (далее – Реестр)

В настоящее время значительная часть российских компаний-разработчиков тиражируемого программного обеспечения встраивает в свои продукты механизмы защиты от нарушения авторских прав, нелегального распространения и использования. Разработчики создают подобные механизмы самостоятельно, либо интегрируют в ПО сторонние системы защиты, которые представляют собой программные или программно-аппаратные комплексы. Данные системы производятся как российскими, так и зарубежными компаниями. Причем производители ряда импортных решений – резиденты стран, ведущих санкционную политику в отношении РФ.

Применение зарубежных защитных систем влечет за собой существенные риски. Каждая копия отечественного ПО, поставляемая в государственные структуры, объекты КИИ и пр., содержит сторонние зарубежные компоненты, в которых официально заложены механизмы отключения отдельных функций или целиком всего отечественного ПО.

Необходимо принять во внимание:

1. Зарубежная система защиты может состоять из различных компонентов:
а. Самостоятельные автономное программное обеспечение, которое работает на компьютере пользователя без какого-либо контроля со стороны защищаемого отечественного ПО. Более того, возможны ситуации, при которых зарубежные компоненты работают на ПК пользователя (например, сервере в локальной сети), где вообще не предусмотрена установка отечественного ПО.
b. Службы и сервисы, имеющие расширенные права доступа в ОС пользователя, т.к. при установке на ПК пользователя требуют права администратора.
c. Исполняемый бинарный программный код (т.е. не исходный код, который может быть проверен). Внедряется непосредственно в исполняемые файлы отечественного ПО при помощи автоматических инструментов системы защиты. Разработчик никак не контролирует этот процесс. При запуске ПО первым выполняется именно внедренный код, и только потом ОС передает управление отечественной программе. Кроме того, зарубежные фрагменты кода выполняются и в процессе работы ПО.
d. Отдельные аппаратные устройства, например, USB-ключи. Они функционируют по принципу черного ящика (неизвестно, какие операции выполняют, какие данные хранят), взаимодействуют с другими компонентами системы защиты по зашифрованному каналу и могут сохранять работоспособность даже при полной потере внешнего электропитания (в конструкции ряда моделей предусмотрен независимый источник питания).

2. Система защиты поставляется разработчику отечественного ПО без исходных кодов. Кроме того, зачастую все компоненты системы защищены от анализа. Т.е. отечественный разработчик не имеет никакой возможности гарантировать работоспособность данных компонентов и контролировать корректное выполнение ими функций даже с применением специализированных инструментов анализа.

3. Защищенное отечественное ПО может работать только при получении «разрешения» от системы защиты. Т.е. если система защиты выходит из строя или по какой-то причине блокируется, ПО перестает работать.

4. Существует непрямой канал обмена данными между производителем зарубежной системы защиты и ПК конечных пользователей, на которых установлено отечественное ПО. Этого канала достаточно как для сбора информации с ПК, так и для отправки команд (например, блокировки системы защиты и, как следствие, отключения ПО).

Учитывая вышесказанное, считаем, что отечественные программные продукты, защищенные от нарушения авторских прав, нелегального распространения и использования с помощью зарубежных решений, не могут быть включены в Реестр, т.к. противоречат целям его создания.

Предлагаем:

1. Сформировать список запрещенных к использованию зарубежных защитных решений.

2. Сформировать список разрешенных защитных решений, производимых в России.

3. Внести ряд изменений в процедуру проверки новых заявок на включение ПО в Реестр:
a. Ввести правило, согласно которому, в случае если программный продукт поставляется конечным пользователям с техническими средствами защиты авторских прав, то и экземпляр ПО в заявке на включение в Реестр должен быть предоставлен в аналогичной конфигурации со средствами законного устранения ограничений использования (например, ключом с временной лицензией).
b. Осуществлять проверку экземпляров ПО, предоставляемых в заявке на включение в Реестр, на предмет использования сторонних защитных решений. Если используемое стороннее защитное решение включено в список запрещенных или отсутствует в списке разрешенных, отказывать в регистрации ПО в Реестре.

4. Провести проверку ПО, уже включенного в Реестр, на предмет использования запрещенных защитных решений. В случае выявления такого использования обязать правообладателя ПО устранить нарушение в течение 6 месяцев и повторно предоставить экземпляр ПО для проверки. Если по истечении этого срока исправленный экземпляр ПО не будет предоставлен, исключить ПО из Реестра.


– Как технически работает блокировка системы защиты?

– Защита от копирования осуществляется путем включения в ПО некопируемого элемента: специального аппаратного или программного ключа. Отечественный софт периодически, например, раз в минуту, или при вызове определенной функции, обращается к ключу с вопросом , можно работать или нет. Таким образом ключ – это точка принятия решения. И если, например в нем есть установка, что при достижении такой-то даты наступает день Х, то, когда приходит день Х, ПО мгновенно отключается.

Кроме того, помимо ключа, в составе системы защиты есть ряд программных элементов, работающих на компьютере пользователя отечественного ПО. С описанной точки зрения они представляют не меньшую опасность.

– Раз подобная угроза существует, почему же наши компании не используют исключительно отечественные средства защиты?

– Тренд по переходу на российские решения существует. Мы отчетливо его видим. Многие компании осознают риски и заблаговременно их устраняют, отказываясь от зарубежных систем. Часть вендоров, я уверен, просто не знает о существовании подобных рисков или не задумывалась о наличии проблемы. Хотя, конечно, задуматься более чем стоит.

Представьте себе экономические последствия для вендора, если по всей стране его софт заблокируется на один день. Если это большая компания, вообразите количество рекламаций, лавину звонков в техподдержку, не говоря уже об ударе по имиджу в целом на радость конкурентам.

Проблему можно решить, защищая российское программное обеспечение отечественными программными или программно-аппаратными комплексами. Это условие обязательно нужно внести в методологию включения программных продуктов в Реестр.

– Насколько конкурентоспособны наши российские системы защиты?

– Если говорить о сегменте защиты софта, то мы лидеры. Наша компания – крупнейший российский производитель решений под брендом Guardant для защиты программного обеспечения. В РФ занимаем более 80% рынка. Причем эта доля была завоевана, главным образом, в борьбе с зарубежными конкурентами на общих рыночных условиях, то есть без какого-либо местного регулятора и до появления тренда на импортозамещение в нашем сегменте. Также мы поставляем продукты Guardant по всему миру: и в Европу, и в Юго-восточную Азию, и даже в США.

Разумеется, нам приходится делать продукты с оглядкой на собственный зарубежный опыт и решения крупных западных игроков. Сегодня в стеке Guardant есть все необходимые инструменты, как для российского, так и зарубежного вендора ПО. Они, с одной стороны, умеют решать задачи прямо из коробки, а, с другой стороны, позволяют закрывать самые нестандартные потребности. Хотя мы, разумеется, не единственные в этом сегменте в России. Основные наши конкуренты – это зарубежные компании, ориентированные главным образом на особо крупных производителей ПО. В этом плане российский рынок для них не столь интересен и, конечно, никакую местную специфику они не учитывают.

– Сколько может длиться процесс перехода компании на ваши решения защиты софта?

– Зависит от задач, которые должна решать система защиты, от глубины ее интеграции и от доступных ресурсов. Для некоторых заказчиков переход можно осуществить в течение одного дня. В сложных случаях – до одного месяца. Но, конечно, все зависит от самого вендора. Если он не хочет нарушать стандартный цикл работы над новыми версиями ПО, не хочет переносить другие задачи, то срок, конечно, может затянуться и до полугода.

– Есть ли проблемы при экспорте у разработчиков, которые внедрили отечественные решения защиты?

– Работая много лет на этом рынке, не знаю ни одного случая отторжения российского ПО, по причине того, что оно использует российскую систему защиты. Если у зарубежных заказчиков и возникнут вопросы, то они будут к отечественному софту в целом.

– Какие льготы вам дает статус отечественной компании?

– Начнем с того, что наши программные продукты входят в Реестр отечественного ПО. Это подтверждение того, что они российские, для некоторых заказчиков это имеет значение. Кроме того, чисто с финансовой точки зрения, получать льготы хорошо. Это позволяет нам не продавать наши решения по завышенным ценам.

– В каких сегментах рынка ваши решения наиболее востребованы?

– Практически во всех, потому что без программных продуктов сейчас сложно представить вообще какую-либо отрасль. С годами у нас становится все больше заказчиков, в том числе и за рубежом.

Самый крупный сегмент – это системы видеонаблюдения. Второй по величине – это сметное ПО. Значительный объем приходится на софт для автоматизации чего-либо, начиная от автозаправочных станций и заканчивая ювелирными магазинами. Есть у нас и госзаказчики, хотя их доля крайне мала. Ведь обычно госзаказы выполняют частные компании. К счастью, их подавляющее большинство не подвергает риску ни себя, ни заказчика, и использует отечественные защитные решения. 
 


Ключевые слова:
импортозамещение, безопасность, система защиты, программное обеспечение, отечественный софт, нелегальное копирование, информация, Guardant, аппаратный ключ, программный ключ

 


Подпишитесь на журнал
Купите в Интернет-магазине

В начало⇑

Выпуск №06 (139) 2024г.
Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика