BIS Journal №4(35)/2019

4 декабря, 2019

«Будем с ужасом смотреть…»

Предлагая Александру Павловичу Баранову принять участие в дискуссии по импортозамещению, мы ожидали вполне определенной, твердой централизованной позиции. Услышали же совсем другое.

- Один из участников нашей дискуссии считает, что для создания суверенной ИТ-экосистемы в России необходимо организовать что-то вроде профильного Госплана…

- А вы знаете, что даже Советский Союз не смог реализовать эту тему?

- Руки не дошли или время кончилось?

- Потому и кончилось, что руки не дошли. Тут все связано. В Советском Союзе интернет придумали еще в 50-е годы, а в 60-70-е по всей стране создавалась Общегосударственная система автоматизированной системы учета и обработки информации. Система АСУ должна была объединить все крупные предприятия и образовать этакую кибернетическую систему управления экономикой. Руководил этим академик Виктор Глушков и поначалу успешно. АСУ было создано очень много. А знаете, почему в СССР все рухнуло?

- Почему?

- Потому что вранье было сплошное. В Госплан поступали искаженные данные. Их подтасовывали под рапорты, под ведомственные интересы, получали ордена, медальки... В результате этого вранья невозможно было сложить реальную картину, Госплан не мог нормально планировать.  И вот эта глобальная система АСУ – советский а-ля интернет –– должна была исправить положение – свести объективную информацию непосредственно с производств в единый центр. Не получилось.

- Почему?

- Якобы не договорились Госплан с Минфином. Минфин в случае реализации проекта существенно терял полномочия. Вот и не дал денег. Ведомственная система в то время многое погубила, в том числе и саму себя.

- Давайте вернемся к импортозамещению.

- Я прочитал статью, о которой вы говорите (BIS Journal№2/2019, Карл Сумманен, «ИТ-импортозамещение в России. Пути дальнейшего совершенствования», – прим. ред.). Отличная, правильная статья в духе советского управленческого менталитета. Лет десять назад я подписался бы под ней обеими руками. Но так получилось, что с импортозамещением я столкнулся лет 15-20 назад, когда мы с Валентином Васильевичем Соломатиным участвовали в работе по созданию МСВС. Тогда, в начале двухтысячных, речь об импортозамещении шла только в аспекте операционной системы для военных. Просто все понимали, что к железу и не подcтупиться. А более широко и предметно обсуждение началось лет десять назад. Тогда я тоже придерживался концепции централизованного управления.

Но за эти десять лет, работая, как практик и, как теоретик, в Высшей школе экономики, я пришел к выводу, что централизованная система, пожалуй, и не сможет решить эту задачу. Слишком она масштабная, многофакторная, проблемная. Конечно, можно воспользоваться опытом Лаврентия Павловича Берии. Как ни крути, а в космос мы полетели и бомбу сделали, хотя и с большими издержками.

- Менеджмент на костях?

- Да, не дай нам Бог такого менеджера еще раз получить. Но и не дай Бог ещё раз решать такого сорта задачи и в таком же авральном режиме. А чтобы жить без авралов нужно всё делать вовремя. И вот, участвуя в обсуждении импортозамещения больше десяти лет, я пришел к некоторым выводам.

 

МАСШТАБ ПРОБЛЕМЫ И СХЕМЫ ВЗАИМОДЕЙСТВИЯ

Помню, как на конференциях все это время обсуждалось импортозамещение программного обеспечения, а об остальном – тишина. На самом деле, и ПО, и железо – все это связано, оторвать одно от другого невозможно. А вот моделировать и представлять в виде схем взаимодействия не только можно, но и нужно. Это, пожалуй, единственный способ, как вообще нам эту проблему осознать и, соответственно, с ней справиться. Потому что за эти годы, если что-то и стало понятно, так только то, что проблема огромная.

Ну, начиная с того, что сопротивления, простые электрические сопротивления в радиодеталях, вместе с этими радиодеталями в любом компьютере присутствуют. И конденсаторы, и транзисторы, и микросхемы под 25 нанометров, а то и меньше. И много чего другого. Это со стороны железной части, а с другой, программной: биосы, операционки, которые уже срослись с биосами, прикладное ПО и тоже много-много другого… И вот всё это вместе образовывает такой огромный клубок, ком, на который некоторые смотрят с ужасом. Как все это импортозаместить!?

 

ПРО НАУКУ

На что опереться? Конечно, на науку. Но тут приходится констатировать, что как наука компьютерные технологии ещё не состоялись. Простой пример: имеется ли общепризнанная классификация прикладного ПО? Нет! Так же не существует классификации железа. Известно, конечно, что есть железо для телекоммуникации и для вычислительных процессов. То есть два крайних класса, а что там между ними творится – несистематизировано. Теория информационной безопасности – тоже пока еще псевдонаука, как и теория компьютерных систем. Экспериментальных фактов много набрали, а дальше не двинулись. Как все отрасли наук развиваются? По наукометрии так: сначала экспериментальный этап, сбор информации, затем классификация, дальше прогнозирование и, наконец, подтверждение прогнозов.  Если на четвертом этапе всё сходится, то это – наука. Вот и выходит, что тут мы на начальной стадии. 

Да, накопленные экспериментальные факты существуют в виде прикладных программ и операционных систем. Операционных систем уже больше тысячи, а программ так и вообще под миллион. Одних фотошопов сколько! И за этим массивом, конечно, уже многое просматривается: закономерности, методики... То есть опора все-таки есть, и её нужно развивать и укреплять.

 

МОДЕЛЬ УГРОЗ – КАРТА ПОТРЕБНОСТЕЙ

С чего начинается информационная безопасность для любой компьютерной системы? С модели угроз. Об этом все знают, и если кто-то не сразу делает, то рано или поздно к этому приходит. А что такое импортозамещение, если не способ обеспечения информационной безопасности? Но информационной безопасности чего? Сформулировать сходу сложно, так как много аспектов, но можно поставить вопрос по-другому: не для чего, а для кого? И сразу станет проще. Во-первых, для военных и гостайны. Во-вторых, для госаппарата и крупных компаний. И в-третьих, для гражданского оборота.

Сразу понятно, что требования для этих трех групп разные. Для военных очень жесткие, для госаппарата и крупных компаний менее или выборочно, например, требования по устойчивости только для отдельных частей. А для гражданской сферы таких серьезных требований не требуется, ну, разве, в отдельных особых случаях. Соответственно и приоритетные задачи для каждой из этих областей будут разные. И их нужно четко сформулировать.

Почему я это говорю? Потому что дальше идут производственные вопросы, собственно импортозамещение. Когда мы сформулировали эти разные приоритетные задачи, начинается формирование конкретного заказа по потребностям – для реализации этих задач. И наверняка то, что требуется для военных, окажется ненужным для госаппарата, а то, что востребовано госаппаратом, будет ни к чему для гражданских.

Имея на руках такую ясную, понятную картину, и заказчикам, и подрядчикам будет легче ориентироваться на рынке. В том числе и решать это пресловутое противоречие между отечественным и импортным, защищенностью и широтой прикладных функций. Это противоречие объективное, и не будем прятать голову в песок, никогда и никуда не денется. Но жить с ним можно.

 

РЕАЛИЗАЦИЯ. NB!

Мы живем при капитализме, а при капитализме главное – реализация продукции, продажи. Без этого нет развития, но почему-то именно на это у нас обращают мало внимания. Вот наш отечественный производитель создал замечательный, очень нужный продукт. И что? Его кто-то тут же купит? Ничего подобного.

Поэтому, чтобы не задушить нашего производителя, нужно определить и регулировать порядок реализации.  Сегодня на конкурсах наше отечественное ПО имеет 15 процентов преимущества перед импортным. Но что такое 15 процентов? Это же мало, это никуда не годится. Производители-монополисты могут сделать дисконт в разы, в 100 процентов, и это всем известно. 15 процентов – это просто смешно.

В то же время, если на рынке останется только отечественное, тоже будет неправильно. Это сразу затормозит развитие, научно-технический прогресс. Поэтому порядок реализации для разных сфер должен быть разным. Для военных один, для госаппарата другой, а для гражданского оборота, возможно, это будет просто скидочная какая-то система.

И это направление – самое важное – оно у нас наименее проработанно. Тут вот рыночники-маркетологи и должны поломать голову, придумать эти механизмы – не такие, как сейчас, слабенькие, а такие, чтобы машина рынка заработала в полную мощь, вывезла отрасль. Повторюсь, не будет эффективных механизмов – не будет реализации, а не будет реализации – и никакого импортозамещения не будет.

Вот, например, сегодня нужен абсолютно надежный, эффективный отечественный коммутатор для интернета. Сколько я ни разговаривал с производителями, слышу одно и то же: сделаем любой степени надежности, любой, так сказать, степени отечественности, но только если нам гарантируют сбыт. И я не сомневаюсь – сделают, и хорошо сделают, но как гарантировать сбыт – вот этого никто не знает. И это проблема. При социализме она решалась просто – приказали, и готово. Но такой подход обернулся застоем и отставанием в тех же самых компьютерных технологиях.  Сегодня нужны другие подходы.

 

ПРО ГОСУДАРСТВЕННУЮ ПРОГРАММУ

- Александр Петрович, скажите, а когда писалась государственная программа импортозамещения, всего это разве не знали?

- Не хочу трогать эту тему. Я дал себе слово: больше не критиковать. Раньше, каюсь, критиковал очень много, но пришел к выводу, что это контрпродуктивно. Надо предлагать, и не только идеи, но и как их реализовывать.  К сожалению, я не могу предложить, как бороться с этими 15-ю процентами.  Казалось бы, взять и увеличить порог до 45-50 процентов, и одно это уже было бы неплохо. Но, думаю, там много чего можно правильного придумать, если поговорить непосредственно с производителями и продавцами. Там ведь серьезные противоречия между продавцами импортных и отечественных продуктов. И между ними нужно соблюдать баланс – нельзя, чтобы тех совсем уж не было. Но на то и существуют маркетологи, это их сфера.

А программа, на мой взгляд, всё-таки не учла десятилетнего опыта и фактически свелась к списку задач, но без приоритезации. Четкой дорожной карты вы там не увидите.

Наша беда в том, что мы перечисляем все возможное – все, что знаем, чем озабочены, валим в одну кучу. А нужно среди этого выделить – с болью, кровью – самое главное. Два-три пункта – и добиться по ним выполнения. А потом следующие два-три пункта. А по-другому не получится. Ну, нельзя потянуть все сразу!  Вот я выделил три направления – военные, госаппарат и гражданский оборот. По каждому из них нужно определить две-три – даже одну-две первоочередные задачи. И выполнить их. Например, в области интернета задача понятна совершенно определенно – построение надежного отечественного коммутатора. Давайте это сделаем и двинемся дальше.

- А в сфере информационной безопасности?

 

В СФЕРЕ ИБ

- За эти десять лет выявилось еще одно заблуждение – мол, если отечественное, значит, безопасное.Но это не так. В наших продуктах, если они делаются бесконтрольно, без последующей аттестации и сертификации, обнаруживаются те же дыры, прорехи, остатки ветвей программирования, заглушек и т.д. – типичные ошибки программистов. По отношению к американским продуктам можно говорить, что это не ошибки, а закладки. Не буду отклоняться, тем более, что конспирологические теории редко оказываются продуктивными, но факт остается фактом: многие отечественные продукты назвать безопасными нельзя. И в этом смысле постановление Правительства №555 от 11.05.2017 г. совершенно правильная, обязательная вещь.

Его суть в том, что нельзя выделять деньги на сопровождение систем, построенных в интересах госорганов, если они не прошли аттестацию по информационной безопасности. И ФСТЭК уже определил достаточно разумный порядок, ничего там сверхъестественного нет. На начальном этапе нужно согласовать либо модель угроз, либо техническое задание. В основном все, конечно, выбирают модель угроз, потому что техническое задание охватывает гораздо больше, чем информационная безопасность, и его сложно отстаивать. Обычно модель угроз согласовывают с ФСТЭКом, потом по техническому заданию эти угрозы блокируются, а в итоге, при аттестации, проверяется соответствие угроз и блокировок. Такой вот простой понятный путь. Выполнение этого замечательного постановления, на мой взгляд, - одна из важнейших задач для наших компьютерных продуктов.

Следующее, что стало понятно за эти десять лет. У нас есть замечательные ГОСТы, которые предполагают высокий уровень документирования и фиксации разработок. Но разработки у нас, как известно, ведутся нелинейно, особенно на длительных сроках. Планируемое изделие по ходу дела меняет свой облик, характеристики, и к завершению от первоначального замысла мало что остается. А ГОСТами корректировка технического проекта не предусмотрена. Такие вот они, эти ГОСТы – хорошие, но немного застывшие, не эластичные. И в результате получается, что документация не отражает действительности.

А фиксировать процесс разработки необходимо, особенно если она выполняется за государственный счет. Ведь в чем ценность этих ГОСТов, зачем их делали? Их делали для того, чтобы потом можно было воспроизвести изделие по сопровождающей его документации. Иногда это удается даже по советской документации, тут показательный пример – самолет ТУ-160. Кроме того, документация необходима при текущей эксплуатации, модернизации продукта. Однако, к сожалению, часто описание с какого-то момента ведется формально или вообще не ведется, особенно по программному обеспечению. Даже наличие исходных текстов не спасает, в отсутствии достаточных комментариев, детализаций и среды компиляции.В результате программы работают пока работают, а как они работают – неведомо. Поэтому назрела необходимость переработать эти ГОСТы, причем, с учетом потребностей и особенностей действующих организаций. Понятно, что такую работу бизнесу не поручишь, это дело институтов, имеющих соответствующий опыт.

 

ПРО АИС

Есть еще один аспект. Необходимо законодательно запретить принимать в эксплуатацию АИС без полной документации. Причем делается это не из прямого корыстного интереса, а скорее косвенного: чтобы остаться в проекте, оказаться незаменимым. Но вот что-то случилось: была фирма-разработчик, и нет её. Как быть? Где брать это ПО, как сопровождать систему, как модернизировать?

Понятно, что на Майкрософт у нас не будет такой документации, но там гарантом выступает гигантский, колоссальный монстр, у которого все что нужно есть, и он всегда окажет техническую поддержку. И это хорошо. Но у нас другая ситуация, у нас разработчики не такие устойчивые и надежные.

 

ПРО ЖЕЛЕЗО

Помните эйфорию, когда начали покупать заводы? Самые яркие иллюстрации – Микрон и Ангстрем, рассчитанные на массовое производство. А в результате обещанного чипового производства как не было, так фактически и нет. Есть у нас, конечно, предприятия, которые могут осуществлять разные разработки, иногда достаточно сложные, но небольшими тиражами.

Тут все та же проблема. Нужно идти от реальной модели угроз, точно формулировать задачи, соотносить возможность с необходимостью. А когда мы рисуем модель, которую невозможно выполнить, толку от нее никакого, только убытки. И выполнение задачи не должно быть обязательно линейным. Ну, не можешь ты решить ее техническими мерами – решай другими, например, организационными или еще какими-то. Главное, не надо фантазий. За эти десять лет мы наслушались столько обещаний и красивых слов! Лучше пусть будет не так красиво, но зато реально.

Давайте посмотрим шире. Нет у нас заводов на 25 нанометров и, судя по всему, не будет. Но у китайцев это направление тоже весьма проблематично. Американцы построили им заводы на 25 нанометров, а завтра захотят прижать и не дадут следующую технологию на 12 нанометров. И все, через 2-3 года эти заводы окажутся ненужными. Потому что они ориентированы на чудовищную серийность и только в этом случае рентабельны. И китайцы окажутся в том же положении, что и мы с Микроном.

Но китайцы не стонут, а действуют. Например, развивают технологию фаблес. У нас она тоже применяется, но очень скромно, хотя именно в нашей ситуации она может стать палочкой-выручалочкой.

 

ПРО ДЕНЬГИ

- Александр Павлович, я слышал много ваших выступлений на форумах, семинарах. И всегда в них рефреном проходило «Дайте миллиард, и сделаем все, что угодно: операционную систему, суперкомпьютер и т.д.». Смысл вполне определенный: государство должно быть заинтересовано и подтверждать это действием. А сейчас вы про деньги не сказали ни слова. Почему?

- Концепция изменилась: давайте сначала разберемся в хозяйстве, и будем ориентироваться на реальные потребности. Нечего, глядя вперед, питаться иллюзиями. Опыт, конкретный опыт, он позади.

 

- И что он показывает?

- Вот Леонид Дододжонович Рейман – один из эффективнейших руководителей – получил кредит для модернизации завода «Ангстрем» на производство современных чипов и микросхем. Где результат? Результата нет! Почему? Ну, просто задача крайне трудная. Это показывает, что деньги сами по себе в таких масштабных и наукоемких проектах еще не все решают.

Свежий пример. Фирму, которая производит коммутаторы, выставили на продажу. Просят около 2 млрд рублей. Причем там все может быть отечественным, с полным комплектом документации по этим коммутаторам. Импортозамещение в чистом виде. А поскольку я интересовался именно надежными коммутаторами, я знаю, что обычно проблема в микросхемах физического уровня ASIC. А у них и эта проблема решена. Только сертифицируй, аттестовывай и производи. Вы знаете, не нашлось у нас покупателей на это.

- Почему?

- Всех волновало только одно: а кто гарантирует спрос? Поэтому я про деньги и не говорю. Деньги найдутся, это буквально все говорили: ну, да, 2 млрд рублей – это конечно большая сумма, но не критичная.

Конечно, просто так выкинуть 2 млрд – на это никто не решится. Для сравнения, мост в Крым стоил 300 млрд. И они нашлись. То есть дело не в деньгах, а в том, что нужно продумывать с другого конца. А так… Ну, купите вы заводик, начнет он что-то там шлепать, чего никто не будет покупать. Он быстро устареет, не будет модернизироваться и умрет. У Реймана, похоже, так и получилось. Поэтому я про деньги ничего и не говорил.

 

ОПЫТ И ОПЫТ…

- Вы говорите, десятилетний опыт, новое понимание экономики…

- А давайте мы не будем смотреть, как у нас, десять лет – не срок. Давайте посмотрим там, где капитализм существует 200 лет. Финансирует ли государство подобные проекты? Да, финансирует. Но частично, выборочно, точечно. А в первую очередь оно эти проекты организовывает: продумывает, планирует, выставляет приоритеты. И запускает машину: тут конкурсы, там скидки, где-то ставит блоки, меняет ценовую политику, принимает законы, преференции. Добивается результата.

Мне Диффи, один из изобретателей открытого ключа рассказывал, как в США организована работа с учебными институтами. АНБ (Агентство национальной безопасности США) объявило конкурс на создание криптографической системы без предварительного развоза ключей по абонентам. На грант была выделена обычная по меркам американцев сумма.

Когда работу выполнили, приняли и грант оплатили, по условиям их контрактов были возможны два исхода. Первый – результат и все материалы становятся собственностью государства, авторы получают премию около 1 млн. долларов и теряют все права на дальнейшее использование. Второй – государство работу не выкупает, премия не выплачивается, но авторы вольны использовать результаты по своему усмотрению. АНБ открытый ключ не выкупило. Авторы, как показала жизнь, не прогадали.

А у нас, как только деньги на научные проекты появляются, это самое финансирование, сразу начинается что-то несусветное, проекты не движутся, а наоборот тормозятся. Идет борьба за будущую интеллектуальную собственность... Что происходит, толком никто не понимает. Поэтому я и не хочу этого обсуждать.

- Давайте подведем итог.

- Давайте. За эти десять лет, по крайней мере, у меня, сложилось твердое убеждение, что импортозамещенние компьютерных технологий – это задача не менее сложная, чем ядерный проект в 45-м году прошлого столетия. А может быть, даже более сложная. Тот проект был достаточно локализованный и решался не такими массовыми коллективами людей. Конечно, создавались урановые шахты, организовывалась добыча, работали научные институты, конструировался и запускался реактор… Но это был все-таки монопродукт, а импортозамещение – это широчайшая, полифоническая программа, затрагивающая чуть ли не половину населения страны. И она не может быть выполнена методами Лаврентия Павловича. Тут нужны другие подходы.

 

ЕСТЬ ОПАСЕНИЕ

Но есть опасение. Если мы потеряем еще десяток лет, то у нас некому будет осуществлять этот проект. Я восемь лет руковожу магистерской программой в ВШЭ и вижу, как развивается (не хочу использовать слово «деградирует») наша образовательная система. Если раньше я спрашивал у выпускников бакалавриата, сколько будет 1/2+1/3, и не всегда получал правильный ответ, то теперь вынужден задавать другой вопрос: 4 факториал (4!) – это сколько? И не единожды получать ответ – 4 внимание. Потому что факториал обозначается знаком восклицания. То есть, поступив в магистратуру, они не знают, что такое факториал. Это чудовищно. И источник этого точно известен – ЕГЭ.

Поэтому нужно торопиться и решать вопрос с управлением программой импортозамещения. Оно должно быть другим – не тактическим, как сейчас, а стратегическим. Выбор стимулирующих мер – это стратегическая вещь,а не тактическая. Через нее начинается движение на рынке – развитие или деградация. Выберем правильные меры – будет и промышленность, и импортозамещение. Выберем неправильные – получится как с ЕГЭ. Будем с ужасом смотреть на то, что сотворили.

- Спасибо.

 

Беседовал Игорь Некрасов

Смотрите также