Выбрать страницу

Накоплены взаимные претензии производителей и потребителей, по-разному трактующих неписаные правила импортозамещения. В этой статье мы и попробуем разобраться в текущем состоянии важной для государства проблемы.

История

Хочу на примере информационной безопасности провести некоторые параллели с полномасштабным импортозамещением. Мы прошли этот путь (точнее, два параллельных пути) гораздо раньше и к началу тотального импортозамещения уже практически закончили свои импортозамещение.

Ориентация исключительно на российские требования

Первый путь предусматривал жесткое регулирование и законодательный запрет участия иностранных компаний в разработке и настройке таких систем. Обычно это касалось систем работы с гостайной или с другой информацией, охраняемой государством. Это были довольно громоздкие комплексы, удобство работы с которыми не было приоритетным свойством систем для разработчиков, главное, чтобы отрабатывались свойства защищенности, журналирования и т. п. Отсутствие серьезной конкуренции породило несколько игроков этого рынка различной степени «родства» с регуляторами: полностью частной компании доверять такие разработки слишком рискованно, ведь она может захотеть уйти с рынка, или быть куплена иностранной компанией, или стать жертвой рейдеров и т. п.

Так в России появились относительно крупные, с оборотом до $100 млн долларов, компании, производящие продукты для шифрования трафика и носителей на основе алгоритмов ГОСТ, доверенной загрузки, аутентификации пользователей и тому подобных задач, стоящих перед государством и спецслужбами. Очевидно, что ни одна такая компания не преуспела за рубежом, они обслуживали исключительно исторически специфические требования российских регуляторов, хотя, заработав на малоконкурентном рынке существенные капиталы, многие из них пытаются диверсифицировать бизнес и двигаться сначала на рынки СНГ, а потом и в дальнее зарубежье.

Рыночные компании

Второй путь — практически рыночный, то есть ограничения были, но не настолько жесткими, чтобы их не могли выполнить и иностранные производители. Были слабые виды сертификации ФСТЭК, не требующих передачи исходных кодов, типа сертификата по техническим условиям, то есть подтверждавшего, что, скажем, продукт, называющий себя антивирусом, действительно распознает компьютерные вирусы. В довольно жесткой конкуренции выковались компании, которые затем преуспели в конкурентной борьбе и за рубежом.

Некоторые компании имели в своем портфеле одновременно и продукты только для российских требований (гостайна, гособоронзаказ и т. п.), и продукты общего пользования, которые можно было продавать за рубеж. Однако с изменением геополитической обстановки связи со спецслужбами, которые требовались для присутствия на российском рынке средств информационной безопасности, стали мешать продвижению в странах Запада, и такие компании практически свернули зарубежную деятельность.

Так что российские компании в области информационной безопасности прошли немалый путь в области как рыночного, так и нерыночного импортозамещения, и изучить их опыт полезно для тех, кто только начал этот путь. Сегодня, за исключением пары специфических ниш, можно спокойно выбирать решение в области информационной безопасности из нескольких достойных российских.

Разработка российских ИТ-продуктов

Однако информационная безопасность — небольшая и сравнительно мало капиталоемкая отрасль информационных технологий. Ее путь может подойти тем, кто разрабатывает небольшие ИТ-системы. Разрабатывать же системы проектирования (CAD/CAM), системы управления предприятием, системы управления жизненным циклом инженерных продуктов (PLM) — очень дорогое удовольствие, и на рынке, ограниченном пределами одной страны, скорее всего, никогда не окупится.

Еще хуже обстоит дело с «железом», там ожидать, что частный капитал втянется в многолетний процесс проектирования микропроцессоров без гарантированного сбыта — безосновательно.

Взгляд заказчика

Выше мы обсудили рынок предложения, но неплохо было бы оценить и спрос, мотивацию и возможности заказчиков.

Любой потребитель корпоративных информационных систем покупает их компоненты для того, чтобы решать текущие задачи. Если корпоративная система построена на иностранном программном обеспечении и давно работает, то бюджет импортозамещения — это не вопрос выбора между продлением старого импортного решения или покупки нового, российского. К бюджету, предназначенному для приобретения нового решения, нужно добавить расходы на миграцию с одного, уже работающего, приложения на другое и переобучение персонала. При этом с автоматизатора никто не снимет основной его задачи — обеспечить функционирование цифровых сервисов, и никто не защитит его в случае, если в результате смены инструмента цифровые сервисы перестанут работать или станут работать заметно хуже. В рамках чисто рыночного подхода такое не решить: при уже сделанных огромных инвестициях в построение информационных систем на западных платформах продлевать их проще, дешевле и функциональнее, чем мигрировать на российские инструменты.

То есть основным конкурентом российских продуктов являются не сами иностранные производители, а свойственный айтишникам принцип «работает — не трогай». Основным толчком к импортозамещению стали американские и европейские санкции, а именно отказ иностранцев поставлять продукты довольно большому количеству организаций в широком спектре отраслей. Государство отреагировало на это программой импортозамещения. Поскольку нет никаких гарантий, что в будущем любая российская организация не попадет под санкции, большинство компаний вместе с выполнением требования государства включило механизм оценки рисков. Компании, которые уже находятся под санкциями, не имеют выбора — они действуют в цейтноте, срочно заменяя иностранные решения на то, что есть — почти без плана, с колес. Как ни странно, в выгодной позиции оказались компании, которые находились под санкциями еще с советских времен, например «Росатом», — у него всегда был резервный план и сильная команда собственной разработки.

Что не так в отношениях поставщиков и потребителей российских продуктов?

На первый взгляд это выглядит как создание нового большого рынка для российских компаний, но является ли это рынком в классическом смысле слова — с денежно-товарными отношениями между поставщиками и потребителями? Даже если он и существует, то это рынок сравнительно небольших компаний-поставщиков и огромных компаний-заказчиков. Требования сверхкрупных заказчиков — головная боль любой компании, тут и специфические функции, и масштабируемость, и управляемость — то есть даже для небольшой инсталляции требуется подводить платформу для развития, которая на малых инсталляциях никогда не окупится.

В результате большие компании-заказчики боятся стать заложниками продукта, который развивает небольшая команда (разорятся, разбегутся, задерут цены после необратимого встраивания и т. п.), а малые компании боятся стать придворным разработчиком специфического большого заказчика и погрязнуть в заказных доделках, игнорируя требования остального рынка («перестанут платить, и мы умрем»). Поэтому крупным компаниям проще не зависеть от небольшого производителя, а нанять команду или в крайнем случае — купить компанию, способную построить заказное решение. Особенно это касается вертикальных отраслевых решений, рынок которых состоит из небольшого количества крупных компаний.

Еще хуже дело обстоит с решениями, для которых требуется обучение на реальных данных — эти данные есть у заказчика, и их практически неоткуда взять поставщику, то есть в таком «неравном браке» заказчик предоставляет не только деньги, но и данные, а также площадку для тестирования — пользовательские сценарии сегодня так же важны, как и конкретные функции. В подобных условиях подход «сделать самим» в рыночном смысле выглядит куда более эффективным, чем «купить у небольшой компании с непонятным будущим». Вот купит эту команду иностранный фонд или производитель — и плакало ваше импортозамещение.

В результате наметилось довольно заметное противостояние команд, разрабатывающих российские решения, и крупных заказчиков. Первые говорят: «Купите, мы сделаем», вторые: «Сделайте — купим». В каждом конкретном случае эта коллизия разрешается на уровне доверия — то ли разработчик идет на серьезные для него инвестиции, дорабатывая на свой страх и риск текущий продукт под эксклюзивные требования заказчика, то ли заказчик берет риски на себя, авансируя разработку новых функций, что с точки зрения закона — покупка продукта, не соответствующего требованиям, или, по сути, нецелевое расходование средств, а это уже уголовное преступление.

Если эта коллизия не будет разрешена системно, то разработка постепенно уйдет с рынка в крупные компании — в нынешнем рыночном и юридическом ландшафте это и эффективно, и управляемо, и не нарушает закон. И вместо развития ИТ-рынка мы получим рост внутренней разработки в крупных заказчиках, задранные зарплаты разработчиков, архитекторов и внедренцев и вытекающее из этого разорение рыночных разработчиков, поскольку рынок будет сокращаться, а себестоимость (у разработчиков до 90% это ФОТ) — расти.

Что делать?

Механизм таких разработок и доработок еще предстоит создать.

Возможно, это будет софинансирование таких проектов/пилотов со стороны государства. Возможно, формирование госзаказа с гарантированной оплатой НИОКР с заданными функциями. Возможно, целевое финансирование каких-то разработок. Возможно, стандартизация на уровне горизонтальных, межотраслевых требований (этим путем сейчас двигаются крупнейшие потребители, находящиеся под санкциями, — «Росатом», «Ростелеком», «Газпромнефть» и т. п.)

Рыночными методами поставленную задачу не решить, поэтому надо использовать проверенные методы, которыми создавалось оружие и покорялся космос, — сначала создание ценности, потом ее коммерциализация. Ну или надо срочно переформулировать задачи импортозамещения, цифровой независимости и поддержки российских разработчиков.