Управление производством в российской промышленности зиждется сегодня на иностранном ПО

***

Наибольший интерес у хакеров вызывают коммерческие тайны и разработки

Специалисты по кибербезопасности компании Infowatch зафиксировали 1729 случаев утечки конфиденциальной информации из компаний, государственных организаций и органов власти в 2021 году. Показатель на 28,1% меньше, чем в 2020 году, сообщает РБК, ссылаясь на исследование компании. Количество скомпрометированных данных также сократилось: в 2021 году их было на 28,8% меньше, чем в 2020 году.

В исследовании отмечается, что тенденция к снижению количества утечек информации наблюдается уже второй год подряд. Максимальная цифра была зарегистрирована в 2019 году, когда произошло 2639 утечек и более 15 миллиардов скомпрометированных записей. Специалисты отмечают данную тенденцию несколькими факторами, в том числе пандемией коронавируса, когда многие сотрудники перешли на удаленную работу. В этой связи компании ослабили контроль над информационными ресурсами, поэтому по всему миру было много уязвимых точек входа в корпоративные сети. Таким образом, больше утечек данных, чем ранее, могло остаться незамеченным или быть намеренно скрыто. Специалисты обращают внимание, что данные об утечках за прошлый год регулярно попадают в сеть в начале следующего года.

По мнению экспертов, до пандемии хакерам удалось украсть столько платежных данных, что в 2020-2021 годах у них было достаточно источников для продажи и перепродажи украденных баз данных. Также во время пандемии мошенники сразу нескольких стран использовали для обмана граждан поддельные схемы с социальной помощью, субсидиями и другими мерами поддержки населения. Кроме того, к 2021 году меры по защите информационной структуры, особенно в крупных компаниях, постепенно начали приносить свои плоды.

Количество утечек платежных данных уменьшается из-за безопасности банковской инфраструктуры, в связи с чем хакерам становится все труднее добывать такую информацию. Наибольший интерес у мошенников вызывают коммерческие тайны и разработки. Информация чаще всего просачивается из высокотехнологичных компаний, организаций здравоохранения и государственного сектора. Среди стран по количеству утечек лидируют США, на них приходится 42% инцидентов, Россия на втором месте — 16,8%, замыкает тройку Великобритания с показателем 4.9%.

Источник - https://expert.ru/2022/04/5/spetsialisty-infowatch-soobschili-o-snizhenii-chisla-utechek-personalnykh-dannykh/

***

Комментарий: Управление производством в российской промышленности зиждется на иностранном программном обеспечении

После ухода из России иностранных производителей программного обеспечения и отказа в поддержке уже поставленных продуктов и решений другого варианта, кроме ускоренного импортозамещения, не осталось.

Управление производством в российской промышленности зиждется на иностранном программном обеспечении. Один из лидеров в сфере разработки автоматизированных систем управления процессами промышленного производства немецкая компания SAP объявила, что намерена полностью прекратить работу в России. Продуктами SAP пользуется значительное число российских предприятий, в том числе с государственным участием. Наиболее популярное решение от этой компании — SAP ERP, предназначенное для управления ресурсами предприятия.

Ранее, в начале марта, SAP сообщила, что приостанавливает заключение новых контрактов, но продолжит поддерживать существующие. Теперь же компания заявляет, что намерена «отказаться от поддержки и обслуживания наших локальных продуктов в России», отмечая при этом, что пока она оценивает «несколько вариантов выполнения этого решения, каждый из которых обеспечит выполнение наших обязательств перед клиентами, не находящимися под санкциями». SAP также закрывает облачные сервисы и предлагает компаниям, которые не находятся под санкциями, либо удалить свои данные, либо перенести их на серверы за пределами России. Третий вариант — забрать данные и разместить их в облаке на территории страны. Но с теми российскими компаниями, которые выберут миграцию, SAP не будет продлевать договор по истечении текущего срока подписки.

Уход SAP, ее американского конкурента Oracle и многих других поставщиков программного обеспечения (ПО) и IT-услуг с российского рынка создает угрозу для эффективного функционирования экономики. В этой ситуации импортозамещение — разработка и внедрение отечественных продуктов и решений, обеспечивающих защищенность критической инфраструктуры, производственных предприятий, государственных и социальных институтов, — становится практически единственным вариантом. Другое дело, насколько быстро и качественно удастся это сделать. 

Построили? Перестраивайте!

Более тридцати лет мы покупали иностранный софт и иностранное «железо», строили на их базе собственную IT-отрасль, производственные системы промышленных предприятий, государственные сервисы. И тем не менее коллапса не случилось. По мнению президента НП «Руссофт» Валентина Макарова, начиная с 2015 года, когда против России впервые были применены санкции, касающиеся использования импортного программного обеспечения, практически по всем сегментам в стране появились российские продукты или аналоги из свободного программного обеспечения (СПО), способные заместить импортный софт и решения на его основе. 

Между «способные заменить» и «заменившие» все-таки есть определенная дистанция. Несмотря на то что санкции в этой сфере действуют уже несколько лет, иностранное ПО по-прежнему занимает доминирующие позиции как в среде обычных пользователей, так и в среде организаций. По оценке ГК «Цифра» (разработчик цифровых решений для промышленности), сегодня в России доля иностранного ПО в промышленности, на которое «завязано» управление производственными процессами, составляет более 90%. 

Крупные промышленные компании, к которым мы обратились с вопросами о том, как они оценивают текущую ситуацию и что намерены предпринять, воздержались от официальных комментариев. Как пояснил «Эксперту» IT-директор одной крупной машиностроительной компании, законно купленные лицензии на программное обеспечение иностранные вендоры, действующие в правовом поле, отзывать не будут. «Есть две модели использования ПО, — говорит он. — Первая — когда предприятие купило бессрочную лицензию. Здесь придется замораживать текущую версию, работать на том, что есть, и ничего не трогать. Не обновлять. Второй вариант — работа по подписке. Все вендоры последнее время стремились переводить заказчиков на подписную модель. Заказчики упирались, и слава богу, что этот процесс глубоко не пошел. У тех, кто работает по подписной модели, могут возникнуть проблемы — подписную лицензию могут и не продлить».

При этом наш собеседник согласен с тем, что заморозка IT-продуктов означает, что российские предприятия начнут проигрывать своим иностранным конкурентам, поскольку главная цель внедрения и совершенствования IT-решений — повышение эффективности бизнеса. Лишенная доступа к более современным программным продуктам российская промышленность начнет отставать. Впрочем, это, как представляется, не самая главная проблема. Есть и другие. 

Замораживание систем на текущем уровне и отсутствие обновлений, безусловно, приведет к существенному увеличению шансов на их взлом злоумышленниками. Тем более что, как показывает практика хакерских атак в последние годы, эра компьютерных гениев-одиночек прошла и сейчас за взломами стоят организованные преступные группировки, которые помимо первоклассных технических знаний располагают еще и очень большими мощностями. Этот симбиоз позволяет проводить целенаправленные атаки на протяжении долгого времени и добиваться успеха. Более того, не исключены и атаки со стороны не только собственно хакерских группировок, которыми движет жажда наживы, а государственных структур, кибервойск, нацеленных на причинение вреда российской экономике за счет вывода из строя критической инфраструктуры или остановки важных производств. 

Как говорит генеральный директор компании «БСС-Безопасность» Виктор Гулевич, после начала специальной военной операции на Украине, произошел всплеск активности в информационно-технологическом пространстве, специалисты компании фиксируют рост числа попыток взлома корпоративных систем и значительный рост числа успешных взломов. «Произошло существенное увеличение количества обращений по вопросам информационной безопасности от предприятий из различных отраслей экономики. Аудит безопасности IT-систем, защита от DDoS-атак, тестирование на проникновение, консультации и проекты по импортозамещению — это то, что волнует сейчас большинство компаний и с чем мы имеем дело ежедневно», — рассказывает Виктор Гулевич. 

Отключение внешнего доступа к конкретному программному решению способно снизить риск несанкционированного доступа. Однако, получив доступ к корпоративной инфраструктуре самой компании через любое другое ПО, злоумышленники смогут скомпрометировать и целевое программное обеспечение. «В отличие от корпоративных сетей, в которых угрозам подвергаются данные, автоматизированные системы управления технологическим процессом имеют отношение к физическим активам, которые могут не только подвергаться атаке, но и быть уничтожены», — подчеркивает Михаил Прибочий, управляющий директор в России и странах СНГ «Лаборатории Касперского». Он также отмечает, что для обеспечения промышленной безопасности требуются специализированные решения, а попытки использовать продукты, созданные для корпоративной инфраструктуры, зачастую неуспешны. 

Кроме того, нельзя забывать и о вредоносных закладках на уровне иностранных процессоров, операционных систем и приложений. «Атаки на российскую критическую информационную инфраструктуру и на критические системообразующие предприятия резко усилились. И это будет продолжаться до тех пор, пока мы не сумеем существенно снизить риски преднамеренных попыток нарушить работу IТ-систем за счет приобретаемого опыта и замещения продуктов и компонентов, несущих наибольшие угрозы», — уверен Валентин Макаров. 

Но и без вмешательства хакеров и активации вредоносов замороженная система остается под угрозой. Такие сложные программные продукты нуждаются в постоянной поддержке со стороны разработчика, поскольку без ошибок они не работают, и эти ошибки надо своевременно исправлять. Но самостоятельно это сделать не удастся, поскольку никакой разработчик не станет передавать исходный код пользователю. «И поэтому задача импортозамещения становится безумно важной, — утверждает генеральный директор ГК «Цифра» Игорь Богачев, — Есть, например, такой программный продукт — PI System от американской компании OSIsoft, позволяющий управлять данными в реальном времени. Он используется на 90 процентах непрерывных производств в России. И какие-то ошибки, связанные с этой программной системой, могут повлечь за собой остановку этих производств. А это нефтегаз, металлургия, энергетика». 

По словам Игоря Богачева, долгие годы крупные российские компании, в том числе государственные, которые занимались цифровой трансформацией, обращались с этим к западным компаниям, поскольку в России считается, что западное — значит, хорошее. «В результате импортозамещения не произошло, — резюмирует он, — И сегодня мы можем получить те риски, которых даже не ожидаем». В «Цифре» считают, что из всего массива используемого в промышленности ПО порядка 60% можно было бы уже сегодня заменить российскими аналогами. Остальное можно «дописать» в течение года-двух. На это потребуется не менее 10‒20 млрд рублей, подсчитали в компании. Но выгода для экономики будет намного значительнее. «Годовой эффект от импортозамещения в сфере IT в промышленности составит порядка 470 миллиардов рублей за счет снижения стоимости владения программным продуктом и экономического эффекта, связанного с цифровой трансформацией», — говорит Игорь Богачев. 

Выбор есть?

В марте «Цифра» запустила проект, направленный на импортозамещение иностранного ПО российским. В частности, она составила список своих IT-решений, которые способны заменить иностранные в различных отраслях промышленности. Сейчас в нем более двух десятков продуктов, которые могут прийти на смену решениям от OSIsoft, AVEVA, Siemens, SAP, IBM, Schlumberger и других компаний. В будущем на этой площадке планируется размещать программные продукты и других разработчиков — в «Цифре» говорят, что уже получили более десяти запросов от российских компаний на включение в эту карту импортозамещения. «В настоящее время оперативный поиск аналога и переход на отечественные платформы имеет стратегическое значение для любого предприятия и холдинга на территории страны», — уверен управляющий директор «Цифры» Павел Растопшин. 

Подобный проект — каталог совместимости российского программного обеспечения — ведет и Ассоциация разработчиков программных продуктов «Отечественный софт» (АРПП). В Министерстве цифрового развития, связи и массовых коммуникаций России считают, что в стране «достаточно собственного софта, способного заменить зарубежные решения», отмечая, что в реестре российского ПО более 13 тыс. конкурентоспособных продуктов. В апреле Минцифры начало прием заявок от правообладателей на размещение продуктов на маркетплейсе российского программного обеспечения. По замыслу министерства, эта площадка станет способствовать взаимодействию правообладателей и заказчиков российского ПО. Страница продукта будет содержать данные о его функционале, стоимости, сферах применения и совместимости с операционными системам, а также информацию о том, какое зарубежное решение он может заменить. Планируется, что портал начнет работу уже в ближайшее время. 

Нечто похожее делает и Минпромторг. Для продвижения российского промышленного программного обеспечения министерство создает Модульную мультисервисную промышленную платформу (ММПП). Проект реализуется в контуре Цифровой экосистемы производительности труда (ЦЭПТ).

Как рассказали «Эксперту» в ведомстве, на первом этапе предприятие, желающее перейти на отечественные программные продукты, получает доступ к внутренним сервисам платформы, связанным с самооценкой уровня цифровой зрелости, аудитом внутренних процессов. Далее с помощью витрины сервисов и типовых решений эксперты ММПП подбирают необходимое ПО. При этом эксперты используют лучшие методики создания и развития эффективных производств. И на завершающем этапе работы осуществляется переход на новые модели тиражирования ПО, включая облачный доступ к продуктам и услугам на их основе, а также предиктивный расчет мер государственной поддержки, необходимых для реализации конкретного проекта. Ключевые сервисы ММПП будут появляться уже весной и летом этого года, полностью платформа заработает до конца года. Пока же промышленные предприятия и разработчики связываются между собой в «ручном режиме». 

В марте этого года компания Axoft (дистрибутор IT-решений) запустила сервис по подбору отечественных решений «Обновись». Обновиться предлагается не только в части софта, но и «железа»: серверов, сетевого оборудования. По словам директора по продажам Axoft Алексея Какунина, с момента запуска сервиса обращения поступают довольно равномерно. На старте основные запросы были на решения в области информационной безопасности, а вот в апреле их практически вытеснили запросы на системы виртуализации, операционные системы, офисные пакеты и коммуникационное ПО. «Самым востребованным направлением в сегменте информационной безопасности на старте сервиса стал класс решений Next Generation Firewall, сегодня востребована DLP-защита. Выросло число обращений по вендорам для подбора замены — Adobe, ABBYY, Microsoft, Autodesk, Cisco, Fortinet Fortigate. Затем следуют SIEM-системы и файрволлы веб-приложений», — рассказал Алексей Какунин. 

Как считает Валентина Кулагина, руководитель отдела развития продуктов компании ICL Services (IT-сервисная компания, входит в группу ICL), создать сложные отечественные программные решения и заменить к 2024 году до 60% западных решений возможно только за счет создания IT-консорциума с регулированием и мерами поддержки от государства. «Импортозамещение проседает в создании и внедрении российского программного обеспечения в системообразующих отраслях промышленности, в частности в нефтегазовом комплексе, горнодобывающей и химической отрасли. В одиночку ни один системный интегратор не сможет заменить или произвести миграцию с иностранного ПО на российское, если все критичные системы АСУТП, пожаротушения, управления производством (MES), ERP, ECM и ТОиР завязаны на зарубежные программные продукты. А их проникновение, например, составляет 90 процентов в сфере нефтедобычи и до 98 процентов в нефтепереработке», — говорит она. 

Нарисуем, будем жить

Как уже было сказано, наиболее популярное решение от SAP — SAP ERP. Однако, как говорят участники рынка, преимущество решения от «саперов» в том, что оно может работать с большими объемами данных и потому наиболее предпочтительно для крупных компаний. Российские аналогичные решения пока такие объемы не тянут. 

Вместе с тем, как отмечает Лилия Сахипова, директор по развитию бизнеса корпоративных приложений и разработки программного обеспечения ICL Soft (разработчик программного обеспечения, входит в группу ICL), по количеству внедрений первое место в России занимают отечественные программные продукты 1С, оставляя позади SAP и Oracle. «И так было еще до глобальных геополитических изменений. Компания 1С уже несколько лет активно заходит на корпоративный рынок и внедряет системы масштабного плана, — говорит она. — В результате на сегодняшний день корпоративный 1С активно используется и в крупнейших корпорациях с госучастием». 

В свою очередь, в 1С подтверждают, что рост доли их решений начался еще до начала массовой кампании по импортозамещению. «Известно много случаев успешного перехода на 1С:ERP и другие решения 1С с зарубежных аналогов. При этом в качестве основных причин клиенты указывали не импортозамещение, а доступную стоимость лицензий, внедрения, сопровождения и владения системой, соответствие функциональности решений потребностям клиента и отраслевой специфике, большое количество подготовленных по продукту специалистов», — говорят в компании. Востребованность продуктов от 1С подтверждается и тем, что, как говорят знающие люди, заработная плата сотрудников в 1С:ERP сравнялась с зарплатой в SAP.  

Несколько сложнее обстоят дела с разработкой систем автоматизированного проектирования (САПР) и системы управления жизненным циклом изделия, считает Валентин Макаров. В Минпромторге также отмечают, что «наиболее приоритетным является создание и развитие инструментов для инженерных расчетов», подчеркивая, что у российских разработчиков есть необходимый задел как в необходимых знаниях, так и в существующих программных решениях». 

Максим Богданов, генеральный директор компании «Аскон» (разработчик инженерного ПО) считает, что отечественные решения получили возможность встать на те рабочие места, которые раньше были заняты иностранным. Но эта возможность сопряжена с очень серьезными вызовами, поскольку требует от разработчиков, их партнеров по внедрению, интеграторов значительных ресурсов, чтобы поддержать стабильное функционирование всех процессов у заказчиков, не допустив перебоев и срывов в ходе перевода информационных систем на отечественные продукты. 

«Ряд западных решений, в частности CAD и PDM-системы среднего и легкого класса, уже заменяются на равноценные или более совершенные российские аналоги. Только на продукты “Аскон” перешли более 200 предприятий за пять лет, из недавних примеров — переход на систему проектирования “Компас-3D” “ОДК-Сатурн”, предприятия Объединенной двигателестроительной корпорации “Ростеха”», — рассказывает Максим Богданов. 

Вместе с тем, по его мнению, ресурсов одной компании не хватает, чтобы дойти до уровня CAD и PLM тяжелого класса, отраслевых решений для авиационной и судостроительной промышленности. «Мы должны ускоренно нарастить функциональность своих продуктов до уровня CAD и PLM тяжелого класса и одновременно выдать версии для российских операционных систем на базе Linux. Обе задачи крайне ресурсоемкие: мы ведем две параллельные ветки полноценной разработки. По средним срокам, характерным для мировой отрасли инженерного ПО, такие задачи решаются годами, даже десятками лет. От нас ждут готовые решения гораздо быстрее». Как говорит Максим Богданов, мировые вендоры в таких случаях шли по пути поглощения нужных им разработчиков: «Мы выбрали другой подход — равноправный альянс независимых компаний, объединивших ресурсы для разработки сквозного решения на основе эволюционного развития существующих продуктов. Сейчас в консорциум разработчиков “РазвИТие” входят шесть компаний-участниц и три компании-партнера». 

С момента начала активного импортозамещения доля российского инженерного ПО на рынке стабильно растет. Подтверждением этому служат закупки ПО госкомпаниями и организациями с госучастием, мониторинг которых ведет «Аскон». В денежном выражении она увеличилась с 17% в 2016 году до 32% в 2021-м, а по количеству проведенных закупок российское ПО опережает зарубежное. 

Для данных нет места

Тем не менее программные решения должны быть подкреплены аппаратными, «железом». А здесь, как говорят участники рынка, у нас хуже, нежели в сфере разработки программного обеспечения. Зависимость от импорта аппаратной части, прежде всего электронных компонентов, значительно выше, нежели зависимость от иностранного ПО, подтверждает Валентин Макаров.

Одна из уже обозначившихся проблем — хранение и обработка данных, что необходимо для нормального функционирования систем управления производственными процессами. Оборудование ЦОДов — иностранное. В основном поставщиком выступала компания Hewlett Packard Enterprise (HPE), которая остановила поставки оборудования и техническую поддержку. А услуга техподдержки предполагала, что в случае выхода из строя любого элемента сервера или группы серверов компания заменяет неисправные элементы буквально в течение нескольких часов. Теперь такого не будет.

Как рассказывают специалисты, сервер хорошо работает пять лет, неплохо — восемь, а на девятый-десятый год использовать его под промышленные системы уже нельзя. То есть после семи-восьми лет эксплуатации серверное оборудование нужно выводить и использовать при решении других, менее ответственных, чем обеспечение производственных процессов, задач. Учитывая, что ЦОДы активно вводились в России последние три-четыре года, через те же три-четыре года оборудование начнет деградировать и его нужно будет менять. Но где взять новое, если официальные поставки прекращены, а «вставить» немного Huawei не получится. Варианты — недавно разрешенный параллельный экспорт, каннибализация, переход на оборудование Huawei. Еще та же SAP предложила своим клиентам переместиться на зарубежные мощности. Но тут, как справедливо замечают участники рынка, откажутся все: с одной стороны, законом запрещено хранение персональных данных за рубежом, с другой — и коммерческие данные опасно хранить там, где они могут быть легкодоступны конкурентам и недоброжелателям.

Что же касается импортозамещения этого оборудования, то здесь основная проблема — отсутствие собственной компонентной базы, необходимой для создания систем хранения данных.

Автор Николай Ульянов, заместитель главного редактора, редактор отдела промышленности журнала «Эксперт»

Источник - https://expert.ru/expert/2022/17/kiberneticheskoye-otechestvo-v-opasnosti/