Наталья Касперская в интервью CNews: Подходить к цифровизации так же легкомысленно, как подходили ранее, категорически нельзя
Весной этого года многие вспомнили ее слова о необходимости импортозамещения, защиты ИТ-систем объектов критической инфраструктуры и о рисках применения open source. К сожалению, пророческими оказались многие выступления Натальи Касперской — председателя правления Ассоциации разработчиков программных продуктов «Отечественный софт» (АРПП) и президента Infowatch. Как получилось, что в цифровой инфраструктуре госкомпаний возникла зияющая ИБ-брешь, какие риски влечет за собой применение открытого кода во внутренней разработке, нужны ли стране кибервойска и в чем состоят сложности текущего этапа импортозамещения в России, CNews обсудил с Натальей Касперской.
«Российские предприятия совершенно не в курсе, какие отечественные программные продукты есть на рынке»
CNews: Какие ключевые изменения на ИТ-рынке вы отмечаете?
Наталья Касперская: Самое основное — в стране, наконец, началось реальное импортозамещение. По крайней мере, в области софта. Как председатель Ассоциации разработчиков программных продуктов я вижу, что пересматривают подход даже крупные коммерческие компании, которые раньше вообще не рассматривали отечественный софт (для выхода на международные биржи от них требовалось использование определенных типов ПО, например, отчетности, сделанной в системе SAP). Правда, подход у некоторых неоднозначный: они смотрят, что есть на рынке, сравнивают с иностранными решениями и размышляют, как бы им на этих решениях остаться.
Наша Ассоциация пытается наладить диалог с заказчиками. Так, недавно большая делегация АРПП приехала на Магнитогорский металлургический комбинат. Разработчики представили российские операционные системы, финансовые платформы на замену SAP, офисное ПО, целый блок промышленного софта. И топ-менеджеры, и ИТ-шники комбината проявили живейший интерес.
Второе подобное мероприятие по встрече разработчиков ПО и промышленников мы провели в ноябре в Самаре. Спасибо правительству области, которое оказало мероприятию финансовую поддержку. В Самару приехали представители 67 промышленных предприятий региона.
Диалог очень нужен — к сожалению, российские предприятия совершенно не в курсе, какие отечественные программные продукты есть на рынке. Это удивительно. Основное открытие, которое делают, познакомившись с российскими продуктами, — неужели вы столько можете, да еще и готовы подстраиваться под требования заказчика.
CNews: В отличие от зарубежных вендоров, имеется в виду?
Наталья Касперская: Зарубежные вендоры гораздо более недоступные. Понятно, где-то в Америке им не до требований российских клиентов. А наши — да, согласны менять и пробовать. Так что в тех отраслях, где был низкий уровень проникновения отечественного софта, сейчас взрывной рост.
CNews: Индустриальные центры компетенций (ИЦК) помогают наладить такой диалог между заказчиками и российскими вендорами?
Наталья Касперская: С ИЦК интересная история — я лично диалога через них не вижу. Такое ощущение, что каждая сторона (разработчики ПО и индустрии) строит мост со своей стороны, но не факт, что эти стороны совпадут...
ИЦК объединяет представителей определенной отрасли, которые составляют списки требований к отечественному софту. Первая версия этих изысков состояла в том, что в России ничего нет, отечественные решения незрелые. Разработчикам с этим невозможно работать, так как непонятно, что надо исправлять. В следующих версиях стало лучше, но диалог с разработчиками так и не возник.
А центры компетенций по развитию российского общесистемного и прикладного ПО (ЦКР) состоят из разработчиков, которые «варятся в своей тусовке», у них свои подразделения по направлениям. И заказчики с разработчиками не пересекаются. Как эти две истории планируют совместить, я не очень понимаю.
Поэтому АРПП взяло инициативу по налаживанию диалога российских разработчиков и других индустрий в свои руки. Минцифры нас в этом поддержало: Максут Игоревич Шадаев лично приехал на наше мероприятие в Самару и подтвердил, что готов поддерживать такие встречи.
CNews: Видите ли вы, что в каких-то сегментах информационной безопасности сейчас есть острая нехватка российских решений?
Наталья Касперская: Я бы назвала два. Первое направление — системы контроля и управления доступом к неструктурированным данным, где доминировал американский Varonis. Сейчас решения этого класса взялись разрабатывать многие отечеcтвенные вендоры DLP.
Второе — New Generation Firewall — тяжелые корпоративные межсетевые экраны. Раньше в этом сегменте в России доминировали решения Cisco, Check Point, Fortinet. Сейчас на рынке начало появляться много решений в этом сегменте.
В Infowatch, например, был файервол для защиты промышленных АСУТП, но в этом году мы получили массу запросов на его использование в корпоративном сегменте. Мы довольно быстро доработали решение и теперь можем обеспечивать защитой средний сегмент на вполне высоком уровне. Конечно, заместить Cisco в верхнем корпоративном сегменте мы еще не способны, но будем развивать это направление — оно очень востребовано.
Пока, впрочем, иностранные файерволы работают, но сколько это будет продолжаться, неизвестно. Текущая ситуация немножко отрезвила всех с точки зрения того, что закупать. Теперь, конечно, все хотят российские межсетевые экраны.
Остальное в ИБ у нас есть: антивирусы, системы защиты от утечек, криптография.
«Большая задача — обеспечить совместимость отечественных продуктов»
CNews: На ваш взгляд, российские решения сейчас будут за рубеж экспортироваться?
Наталья Касперская: Да, запросы есть, например, из стран Азии и Ближнего Востока. Наблюдение за массовым уходом зарубежных вендоров из России, вроде бы таких надежных, на эти регионы подействовало отрезвляюще. Плюс нашей страны в протяженности границ — у нас много соседей, которые смотрят на то, как иностранцы обращаются с нашей страной, и начинают думать: а стоит ли все яйца складывать в одну корзину? Я думаю, это хорошая возможность для российских решений — нужно их просто правильно презентовать и упаковать с точки зрения ценности для заказчика.
CNews: Какие первоочередные меры нужно предпринять для повышения конкурентоспособности российской ИКТ-отрасли?
Наталья Касперская: Знаете, я очень не люблю слово «конкурентоспособность» по отношению к отечественному ПО. Достаточно посмотреть, сколько денег российские компании, предприятия и госсектор тратили на зарубежные решения — это многие миллиарды рублей, если не сотни миллиардов, и отечественным разработчикам с этого стола доставались крохи.
А потом нас спрашивают: а что ж ваши решения не такие развесистые, как у Microsoft? Но если наша страна в собственные решения не инвестировала, откуда возьмется подобное качество? Сейчас появились заказчики, у заказчиков появились требования, и российские разработчики стараются совершенствоваться. Конечно, постепенно функциональные возможности их решений будут расти.
Вторая большая задача — обеспечение совместимости отечественных продуктов, в том числе с «железом», так как ее отсутствие также влияет на конкурентоспособность. Но с «железом» — непонятная и туманная история пока.
CNews: Некоторые рекомендуют начать с совместимости с Linux.
Наталья Касперская: Это верно. Недавно Минцифры ужесточило требования по попаданию ПО в Реестр отечественного ПО — теперь для этого необходимо работать на отечественных операционках. И это правильно. Сначала совместим решения с российскими ОС, а уже производители операционок будут обеспечивать работоспособность на отечественных процессорах и системах. В АРПП есть целое направление — комитет по интеграции, который как раз собирает решения членов Ассоциации, совместимые между собой. Он был создан несколько лет назад, но сейчас его работа резко интенсифицировалась.
«Все равно упираемся в китайцев»
CNews: Какие вы видите риски технологической зависимости от Китая и как их минимизировать?
Наталья Касперская: Китайского софта мы в России пока не наблюдаем, но вот с «железом» сложнее. Понятно, что у нас много чего нет, но если с западного переходить на китайское, то это просто замена одной зависимости на другую, а не решение проблемы. С другой стороны, производство полностью своего оборудования, включая процессоры — это сложно и дорого. Не хватает оборудования для производства микросхем, это оборудование в основном импортное.
CNews: Несколько лет назад вы отказались от идеи создания «Тайгафона» — собственного защищенного смартфона. Не жалеете ли вы о таком решении в текущих условиях?
Наталья Касперская: Мы попытались попробовать себя в «железе» для обеспечения корпоративной безопасности и поняли, что это очень сложно: нужно поддерживать много различных вариантов смартфонов под разные целевые аудитории. При этом разработки и производства устройств в массовых масштабах у нас в стране до сих пор нет. Мы все равно упираемся в китайцев. Поэтому закрыли — и слава богу. Мы попробовали, получили опыт. Возвращаться в эту реку уже не будем.
Мне кажется, разработка смартфона ближе производителям операционной системы — найти аппаратные решения, испытать, создать маркетплейс для отечественных разработчиков. Большинство работает под Android, а это в общем-то Linux. Мы запускали свои приложения в «Авроре» (российская мобильная операционная система — ред.), которая тоже в целом базируется на Linux, они легко запустились. Не факт, что у всех будет так, но, думаю, большое количество приложений запустится, просто надо пробовать.
CNews: В целом ставка на «Аврору» была правильная? Помните, у нас хотели операционную систему Tizen (проект Samsung) продвигать, была создана ассоциация «Доверенная платформа»…
Наталья Касперская: Андрей Тихонов и сейчас возглавляет ассоциацию «Доверенная платформа» и занимается сбором доверенных приложений для объектов КИИ. Правда, Tizen как-то на повороте выпал из этой телеги.
CNews: Хотя лоббировали его неплохо.
Наталья Касперская: Видимо, Samsung стал немодным в нашей стране. Не уверена, кстати, что у «Доверенной платформы» есть своя операционка. Выбор небольшой — либо Kaspersky OS (но, она, насколько я понимаю, не будучи специалистом по ОС, скорее годится не для смартфонов, а для узких спецприменений, в частности для АСУТП), либо «Аврора».
«Не хватает сквозного заказа»
CNews: Что вы думаете об эффективности институтов развития ИТ в России? Верным ли было решение объединить их под крылом «ВЭБ.РФ» или вы видите альтернативные пути?
Наталья Касперская: Честно говоря, я не очень поняла, что изменилось с этим объединением. Но мне кажется, эти институты можно было бы сделать более эффективными, если бы государство поставило им четкую задачу, что именно поддерживать.
У нас даже в области софта есть лакуны: например, средства разработки, некоторые виды промышленного софта. Если бы институты развития — каждый на своем уровне — эти лакуны помогали бы заполнять… Скажем, Фонд содействия инновациям давал бы посевные инвестиции для проверки гипотез, например, 100 небольших грантов. Двадцать из них отберут и отправят в фонд «Сколково» создавать прототипы. Двум-трем уже РФРИТ дал бы грант покрупнее на дальнейшую разработку. Если бы был такой системный заказ, это было бы более эффективно. А сейчас подход другой: вы нам что-нибудь принесите, мы проверим, если это хорошо — дадим денег.
CNews: Сквозного заказа не хватает?
Наталья Касперская: Не хватает. Кроме того, при нынешнем подходе велика доля субъективности, деньги получает тот, кто сделал лучше презентацию, лучше выступил перед грантовым комитетом и сумел лучше продать технологию.
Растить рынок в парадигме «пусть цветут все цветы» правильно в условиях мирного времени. Но сейчас у нас другая ситуация. Люблю приводить этот пример — я насчитала 28 российских мессенджеров. Зачем нам их столько? Или 7 систем доставок. Даже операционных систем в Реестре российского ПО — более 30. Правда, недавно Минцифры приняло волевое решение, проголосовали и выбрали три, чтобы компаниям было проще и быстрее адаптировать свои продукты именно под них, а не под все 30.
CNews: Но это же все Linux, они совместимы?
Наталья Касперская: В какой-то степени, но не полностью. У каждой свои «фишки», под которые вендору прикладного ПО приходится подстраиваться. Так, выпуск новой версии необходимо тестировать на каждой операционке. То есть если ты поддерживаешь 15 операционных систем, значит, продукт надо «прогнать» 15 раз на 15 операционных системах. И тогда релиз может задерживаться на несколько месяцев, особенно, если в ОС обнаружилась ошибка.
«Несчастный проект»
CNews: Как вы оцениваете ход реализации федерального проекта «Информационная безопасность» нацпрограммы «Цифровая экономика»? Почему сам федпроект постоянно меняется? Поддерживаете ли вы исключение из него мероприятий по поддержке отечественных ИТ-разработчиков?
Наталья Касперская: Это несчастный проект, его концепция несколько раз менялась, и министры тоже менялись, и у каждого был свой подход. Новый министр вообще не очень жалует «Цифровую экономику».
По федпроекту «Информационная безопасность» изначально была выбрана некая концепция, включающая 14 направлений. Была создана рабочая группа и центр компетенций, в котором одних экспертов собрали 300 с лишним человек. Со всеми центр компетенций провел интервью, затем начались секции, обсуждения. По 14 направлениям были выработаны решения, связанные единой логикой.
Но потом чиновники стали выкидывать из программы целые куски, чтобы оптимизировать бюджет: экспорт, защиту бизнеса, поддержку разработчиков и так далее. Блок «Импортозамещение» передали в федпроект «Цифровые технологии». В результате программа из цельной превратилась в «кусочную». Сам формат федпроекта тоже несколько раз менялся — не знаю, зачем. При переформатировании часть информации просто исчезала.
Когда министром стал Максут Шадаев, он нас вызвал и спросил: что у вас за бред написан? Здесь нелогично, там связи нет. Он был прав вообще-то. Мы сделали попытку что-то переписать, министерство творчески довнесло свои мысли. В итоге получилось то, что получилось.
CNews: Когда последний раз переписывали?
Наталья Касперская: Как раз в 2020 году. Из 14 пунктов осталось два, потом мы буквально впихнули туда «курсы по обучению граждан основам цифровой безопасности». Но сейчас это уже не цельная программа, а вырванные из контекста направления. Логика потерялась, и я критически смотрю на перспективы того, что из этого может получиться.
CNews: Как вы относитесь к проектам Минцифры по проведению аудита защищенности государственных информационных систем?
Наталья Касперская: Часть мероприятий была с грифом «для служебного пользования» и перед рабочей группой по ним не отчитывались, потому что не все ее участники имели соответствующие допуски. Поэтому о результатах я не знаю.
CNews: Проведение мониторинга фишинговых сайтов и утечек персональных данных — полезные вещи?
Наталья Касперская: Там, по-моему, работа не закончена.
CNews: А как вы относитесь к привлечению ИБ-организаций к проведению экспертизы по компьютерным преступлениям?
Наталья Касперская: Их и так привлекают. «Лаборатория Касперского», Positive Technologies и другие компании этим занимаются профессионально. Но это делается не в рамках «Цифровой экономики».
«На оpen source нельзя строить системы государственной значимости»
CNews: Как вы оцениваете развитие «Гостеха» в контексте информационной безопасности? Централизация ведь повышает риски…
Наталья Касперская: C одной стороны, Минцифры заявляет, что нужно развивать конкуренцию, а с другой строит монопольную систему «Гостех». Мне это кажется странным.
С точки зрения обеспечения безопасности, единый центр — это всегда единая точка уязвимости, какой бы защищенной она ни была. Ее проще атаковать, чем атаковать распределенные центры с разными средствами защиты в разных регионах. Это базовое правило. Атаковать множество децентрализованных систем всегда сложнее и менее выгодно, чем централизованную, содержащую сразу много ценной информации.
Так что, если уж строить единую централизованную систему, то надо сразу продумывать многоуровневую систему безопасности. Желательно также прежде, чем пускать систему в боевую эксплуатацию, провести тестирование ее на проникновение. И тут тоже возникает коллизия. По идее, тесты на проникновение должны проводить внешние компании и люди, но с другой стороны, такая открытость сама по себе создает уязвимости.
Построение неуязвимой (точнее, высокозащищенной, потому что неуязвимых не бывает) системы — это вопрос не только программирования, но и выверенных административных решений. Процесс ее создания должен быть построен так, чтобы гарантировать если не полное отсутствие закладок, то хотя бы сведение их к минимуму.
Все эти сложности являются объективными препятствиями к построению «Гостеха». Если перевести на нее все ведомства, то не получится ли, как было с ЕСИА, которая в начале марта «лежала» несколько дней? Да и, судя по исполнителям, писать платформу будут не с нуля, а, скорее всего, возьмут open source. А open source — это уязвимости, кому-то уже известные.
CNews: Вы против open source?
Наталья Касперская: Нет, использование библиотек с открытым исходным кодом — удобно и логично. Просто нельзя строить системы государственной значимости исключительно на нем, потому что open source — это «безответственное» программное обеспечение, за которое никто ответственности не несет. Когда вы покупаете, например, Microsoft Windows, за работоспособность системы несет ответственность конкретная корпорация (то есть несла, пока работала на нашем рынке). ПО с открытым исходным кодом пишется сообществом разработчиков. И в каждой своей лицензии они пишут, что сообщество ответственности за функционирование системы не несет. Более того, с началом СВО наших разработчиков отключали, активизировали «закладки» и были случаи «отравления» open source софта, что еще более снизило доверие к нему.
Open source можно использовать, когда кто-то берет за него на себя ответственность. В этом смысле «Ред ОС», например, лучше, чем Red Hat, хотя первый основан на втором. Почему? Потому что отечественная компания «Ред Софт» не только модифицирует исходный код сообщества, но и берет на себя ответственность за функционирование конечного продукта.
CNews: Есть ли существенная разница: доработал кусок опенсорса вендор, подобный «Ред Софт», или заказчик сам внимательно прочитал открытый код и его использует?
Наталья Касперская: Тут есть большая разница. Когда организация, для которой разработка не является основным видом деятельности, пишет для себя на открытом софте какую-то внутреннюю систему, то зачастую она не заморачивается процессом дальнейшей поддержки этой системы, а кроме того, ей не перед кем отчитываться. Разработчики увольняются, документация теряется или забывается, и поддерживать систему становится некому. Мы с такими историями сталкиваемся у каждого второго заказчика. Они начинают жаловаться, что у них ничего не работает, просят помочь. Но исправить можно, лишь переписав все заново. Потому что внутренние разработчики не соблюдают версионность, не пишут документацию и не планируют заранее нормальную архитектуру будущей системы.
Если же открытый код берет коммерческий разработчик, то хотя бы можно надеяться, что он с самого начала понимает, какой именно продукт он пишет, планирует его архитектуру, ведет контроль версий. Тем самым у него значительно больше контроля за разработкой, чем у компании, которая что-то взяла и использует «для себя».
«Программы цифровой трансформации нужно переписывать»
CNews: Недавно вы говорили о том, что не стоит реализовывать проект цифровизации предприятий, пока не решены вопросы информационной безопасности.
Наталья Касперская: Да, с учетом резко выросшего уровня угроз информационной безопасности подходить к цифровизации так же легкомысленно, как подходили ранее, категорически нельзя. Особенно это применимо к критическим процессам внутри критической инфраструктуры. Например, атаки на цифровые системы, контролирующие транспорт, могут привести к коллапсу транспортной системы. Значит, системы, которые мы в этой отрасли используем, должны быть десять раз проверены.
К сожалению, у нас цифровизация велась так: давайте сейчас быстренько чего-нибудь напишем, чтобы повысить эффективность и производительность. Ни в одной программе цифровизации не было КПЭ, касающегося высокого уровня безопасности и доступности систем. И если «безопасники» предупреждали об угрозах, их обвиняли в ретроградстве и противодействии всему новому, прогрессивному. А когда весной начались массовые атаки и массовое отключение различных сервисов, побежали к «безопасникам» с просьбами о спасении.
CNews: Но ведь программы цифровизации госорганизаций, госкомпаний писались по методрекомендациям Минцифры…
Наталья Касперская: Ну, видимо, ведомство считало, что безопасность получится обеспечить как-нибудь потом. Но так не бывает. Безопасность всегда должна идти вместе с разработкой системы, а не быть нашлепкой сбоку, которую, может быть, приляпают «как-нибудь потом».
Например, мне рассказывали атомщики: «У нас надежность атомной станции измеряется числом с пятью знаками после запятой — 99,99999%». А надежность ИТ-системы, увы, измеряется в целых процентах. Так как уровень защищенности любой системы равен степени защищенности ее слабейшего звена, это значит, что при внедрении интернета вещей в управление атомным реактором, его уровень защищенности упадет в 10 тысяч раз. Но об этом никто не говорит. Это удивительно.
CNews: Получается, госкомпании сначала обязали принять программы цифровизации и «повесили» KPI, связанные с этим. Все побежали заниматься цифровой трансформацией. А в мае 2022 г. сказали: подождите, теперь вы еще отвечаете и за информационную безопасность?
Наталья Касперская: Да, все так, поэтому программы цифровой трансформации однозначно нужно переписывать. А у нас, к сожалению, продолжает действовать требование достижения коэффициента цифровой трансформации.
К примеру, я вхожу в совет директоров крупного холдинга, и наблюдаю, как руководство отчитывается по показателям цифровой трансформации. А для меня совершенно очевидно, что показатели, которые ставились в прошлом году, сейчас уже нерелевантны. Что нужно остановиться, выявить критические элементы в том, что уже цифровизовано, — и решать, что с этим делать.
А ведь многие компании вообще делали облачные решения на западных технологиях. И в какой-то момент все их решения отключились. Они плачут: «Ой, мы не думали, что транснациональные корпорации поведут себя так не по-рыночному…» Но, простите, облачное решение — это когда инфраструктура находится не у тебя, а у чужого дяди. Почему чужому заокеанскому дяде надо было доверять больше, чем себе?
Что касается коэффициента цифровой трансформации, то я вообще не понимаю, зачем он нужен, чего мы хотим добиться, трансформировавшись, к примеру, на 38%? Производительность повысить, эффективность? Давайте тогда так и напишем — добиться повышения производительности труда на 38% при помощи цифровой трансформации или других методик (может, нам цифровизация вообще не понадобится). Экономике ведь нужна не цифровая трансформация вообще, а нечто более конкретное — чтобы транспорт ходил, свет горел, пшеница росла и обрабатывалась.
Повысить эффективность сельского хозяйства с помощью цифровой трансформации на 18% — это я понимаю. А провести цифровую трансформацию сельского хозяйства на 32%, чтобы на каждую свинку повесить цифровую метку, — зачем?
CNews: А как вы относитесь к тому, что в процессе цифровой трансформации госкомпании создают «побочные» продукты и начинают поставлять их на рынок, составляя конкуренцию традиционным игрокам рынка?
Наталья Касперская: Я отношусь к этому нормально, если это делается не за государственные деньги. Госкомпании у нас любят выпросить себе бюджетные средства и начать писать очередную операционную систему. Мы этот вопрос неоднократно обсуждали с Минцифры — оно соглашается, что общесистемный софт должен создаваться рыночным игроками. А если речь идет об узком специализированном софте, не имеющем аналогов на рынке, типа системы «Логос», которую пишет «Росатом», то и пусть пишет.
Плохо, когда «Росатом» или какой-то банк хочет стать всем для всех, так как, во-первых, вместо экономии ресурсов происходит их распыление; во-вторых, усиливается проблема нехватки кадров на рынке; в-третьих, за счет лоббистского ресурса госкомпании могут навязывать другим свои решения, а это убивает рынок; и наконец, решения, разработанные компаниями, специализацией которых не является разработка софта, как правило (в 95% случаев) — низкого качества.
Я полагаю, что каждый должен заниматься тем, в чем он силен: энергетики — выработкой энергии, банки — банковскими сервисами… Не превращаясь в ИТ-компании, которые создают очередные сервисы доставки и голосовые колонки…
«Кибервойска — хорошая идея»
CNews: На фоне роста кибератак на цифровую инфраструктуру российского бизнеса и государства звучала идея сформировать кибервойска, которые бы эти атаки отражали. Это могло бы дать возможность ИТ-специалистам служить по профилю. Как вы относитесь к этой идее?
Наталья Касперская: Хорошая идея, высококвалифицированные кадры нужно использовать там, где они сильнее всего. И мы же видим, как ухудшается ситуация в сфере информационной безопасности. При этом, я считаю, что пока против нас не было развернуто большой кибервойны.
CNews: А как же то, что было весной?
Наталья Касперская: Почти все специалисты по безопасности сходятся в том, что это инициативные действия не очень хорошо организованных хакеров, в основном, украинского происхождения.
На самом деле, учитывая высокий уровень зависимости от импорта, нашу ИТ-инфраструктуру можно просто выключить — и, если бы России объявили кибервойну, у нас бы уже ничего не работало. Интернет, смартфоны, АСУТП и базовые станции — у нас все оборудование импортное.
CNews: То есть нас пожалели?
Наталья Касперская: Думаю, боятся ответной реакции. У глобализации есть обратная сторона — технологии используются одни и те же, и соответственно, уязвимости в них изучать могут все пользователи этих технологий, и наши тоже.
CNews: Возвращаясь к кибервойскам: правильно ли было бы их уже сформировать?
Наталья Касперская: Думаю, правильно. Высококвалифицированные ИТ-шники — это редкость, чтобы уметь производить технологии в киберсфере, нужно много учиться, и отправлять этих людей просто на передовую — наверное, не самый эффективный способ их использования. Сейчас ИТ-шникам дают отсрочку, но, если рассуждать гипотетически, мобилизовать можно и в кибервойска.
«ИБ-специалист на удаленке за границей — это нежизнеспособная схема»
CNews: Может ли ИБ-разработчик работать удаленно из другой страны?
Наталья Касперская: У нас есть несколько таких специалистов, мы и раньше нанимали сотрудников удаленно, например, в Белоруссии и Казахстане. Но сейчас сотрудники, работающие за рубежом, повышают риски компании — ситуация изменилась. Я не говорю еще о формальной стороне — если человек больше полугода живет за границей, на него нужно оформлять другие документы, как на нерезидента. Но и в целом контроль за человеком теряется — если он долго пребывает в отрыве от компании. Так что мы будем через какое-то время сотрудников призывать возвращаться. Или расставаться с ними.
CNews: А если ИБ-специалист уехал за границу и продолжает участвовать в защите систем компании?
Наталья Касперская: Это маловероятно. Любая защита — это вопрос доверия. Я знаю пару таких случаев, в обоих последовало увольнение. Это нежизнеспособная схема.
CNews: Насколько сейчас вырос спрос на специалистов по информационной безопасности? Обострился ли кадровый голод?
Наталья Касперская: Спрос на ИБ-специалистов вырос. Кибератаки привели людей к мысли о том, что нужно больше инвестировать в эту область. Но я бы не сказала, что спрос стал радикально больше, возможно, на какие-то считанные проценты.
CNews: Что нужно делать, чтобы этот кадровый голод утолить?
Наталья Касперская: Давать воспитание, образование, удерживать в компании. Доучивать тех, кто уже есть, ведь образование — это не быстро.
CNews: Разработчики российских решений должны инвестировать в образовательную сферу? Сколько потратили западные вендоры, чтобы в российских вузах учили на их решениях…
Наталья Касперская: С одной стороны, да, с другой — они не должны пытаться подменить собой вуз. Это опять же про разделение труда. Вузы должны давать фундаментальное образование, а не гоняться за новейшими технологиями.
Сейчас на рынке дефицит специалистов по ИБ. Завтра будет дефицит еще кого-то. И что, их постоянно переучивать? На мой взгляд, вузы должны учить фундаментальным дисциплинам, а вот к допобразованию, практикам на старших курсах можно подключать ИТ-компании. Человека с солидной математической базой, с хорошим знанием основ программирования переучить на другой язык или технологию достаточно просто.
Понятно, что все хотят готовых специалистов, но так не бывает, все равно будет оставаться разрыв между выпускником и человеком, готовым к любой работе. Система образования всегда более инертна, чем рынок. Именно потому, что она, в первую очередь, должна быть стабильной и давать хорошую базу. А компании должны обеспечивать практические задания и занятия.
Но в этом, к сожалению, у отечественных разработчиков не так много возможностей, как у иностранных коллег. У Infowatch есть одна кафедра в моей альма-матер, Московском институте электроники и математики, который входит в Высшую школу экономики. Я обсуждала с ректором другого крупного вуза открытие еще одной нашей кафедры. Он мне ответил: «Такая-то компания платит мне столько миллионов рублей в год. Сколько будете платить вы?»
Наши западные партнеры вкладывали бешеные деньги в образование и платили вузам, чтобы студенты изучали их технологии. Именно поэтому нынешние ИТ-директора компаний зачастую не знают, что существуют отечественные решения.
CNews: У российских компаний сейчас есть ресурсы для финансирования аналогичных кафедр в университетах?
Наталья Касперская: Какие-то есть, но, конечно, не такие значительные. В России несколько сотен технических вузов, одна компания может максимум два-три вуза взять. Ведь нужно отвлекать специалистов на написание образовательных программ, на чтение лекций и проведение практических занятий. Это не все компании могут себе позволить.
У крупных компаний есть выделенные отделы, которые занимаются образованием, у «Лаборатории Касперского», «1С», у нас есть своя «Академия Infowatch». Но таких компаний в стране не больше двух десятков — у большинства ничего такого нет, создавать это дорого и сложно. Это работа на будущее, через года, а бизнес любит получать все и сразу.