В преддверии ежегодной апрельской конференции Russian Open Source Summit 2014 (ROSS`2014), мы предложили представителям ИТ-отрасли поделиться своим мнением о трансформации ИТ в направлении повышения их открытости.
Coopetition идей проприетарных и открытых систем
Обсуждая этот вопрос, Валентин Макаров отмечает, что проприетарное и свободное ПО различаются исключительно объемом передаваемых прав и, соответственно, бизнес-моделью его разработки и использования. При создании информационных систем надо выбирать используемое ПО не только по его функционалу, но и по трудоемкости внедрения, по возможности его дальнейшей поддержки и развития, по оценке затрат на лицензирование. Наличие на рынке проприетарных и свободных продуктов позволяет сделать оптимальный выбор. Но далее он подчеркивает, что законы о соблюдения авторских прав распространяются на любое ПО, а должны неукоснительно соблюдаться при использовании любого ПО — как проприетарного, так и свободного.
Владислав Шершульский уверен, что эпоха противостояния проприетарных и открытых систем осталась в прошлом: “Для каждого проекта можно выбрать ту модель разработки или маркетинга, которая в наибольшей степени устраивает его участников и потребителей. Если не превращать разговор о проприетарных и открытых системах в принципиальный спор и следовать открытым форматам и стандартам взаимодействия, то вполне можно использовать обе модели. Многие компании, работающие по модели проприетарных систем, вносят большой вклад в развитие открытых проектов. Количество софтверных компаний, участвующих в проекте OpenStack, измеряется десятками”.
Понятно, что говорить о безоговорочной победе какого-то одного типа ПО нельзя — очевидно, что разные модели будут сосуществовать. Это неоспоримое мнение высказывает Милан Прохаска. Он обращает внимание на изменение многих бизнес-моделей, которые всё более ориентируются на открытые системы. Например, сотовые операторы, предоставляющие при подписании контракта бесплатные телефоны, уже никого не удивляют. Предоставление платных услуг на базе бесплатного ПО тоже становится в порядке вещей. Сегодня нельзя исключить того, что такой процесс сближения проприетарного и открытого ПО будет идти и дальше, при этом будут размываться границы между ними.
Владимир Главчев также не видит в возможности мирного сосуществования двух систем никакой проблемы: “Оба подхода доказали свою жизнеспособность, а ограничение только в том, что в рамках одной лицензии (одного продукта) невозможно использовать оба подхода одновременно. По сути, речь идет о выборе модели разработки — своими силами или с привлечением открытого сообщества разработчиков”. Что же касается проблемы защиты авторских прав, то вопросы их соблюдения или несоблюдения, по его мнению, напрямую не связаны с “широтой использования достижений”. Автор может предоставить кому-либо право применять свои разработки на тех или иных условиях, в том числе и под той или иной свободной лицензией. Если же “достижение” востребовано, а условия адекватны по затратам, то его разработку можно рассматривать как успешную.
Современный мир ИТ сильно гетерогенный — открытые и проприетарные системы и отдельные компоненты работают рука об руку, продолжает мысль о “единстве и борьбе противоположностей” Владимир Рубанов. Никаких революций тут не будет, баланс будет автоматически подстраиваться в согласии с глобальными законами развития, в том числе с помощью рыночных механизмов. Что касается юридических аспектов, то он напоминает, что открытые лицензии не противоречат тому, чтобы на основе открытых компонентов создавать закрытые решения для частных использований: “GPL требует передать исходный код конкретному пользователю при передаче ему бинарного продукта. Не стоит путать это с требованием широковещательной публикации кода. В случае же использования СПО-лицензий типа permissive (аналогичных BSD, Apache и т. п.) свобода вообще полная — на основе таких компонентов можно делать полностью закрытые публичные продукты”.
Этот же аспект конкретизирует исполнительный директор Ассоциации Разработчиков Программных Продуктов “Отечественный софт” Евгения Василенко: “СПО может быть хорошей базой, на которой российские компании могут создавать коммерческое ПО. Есть позитивные примеры, когда взяв за основу СПО, доработав его, адаптировав под задачи заказчиков, компании получили успешные конкурентоспособные продукты”.
Дмитрий Варенов говорит о том, что возможность работать с ПО без необходимости тратить огромные деньги на лицензии, масштабировать ИТ-решения с развитием компании без дополнительных затрат — эти черты СПО являются весьма привлекательными и для многих российских компаний. Но в то же время он отмечает наличие здесь подводных камней, в частности в юридической сфере. Во всяком случае, хотя права пользователя на решения Open Source декларированы в лицензии GPL, он советует запастись знаниями и необходимыми документами, чтобы в спорной ситуации указать на отсутствие нарушений законодательства. Несмотря на наличие специфических особенностей нашего законодательства, программы на базе открытого кода уже достаточно прочно закрепились в российской научно-образовательной среде. Многие вузы страны используют Moodle, Wiki и LMS для создания своих систем дистанционного и заочного обучения.
По мнению Романа Симакова, проприетарные системы как форма реализации авторского права, видимо, еще будут существовать, потому что позволяют автору обеспечить некие гарантии востребованности именно его продукта. Ведь за проприетарным кодом прячется оригинальная идея автора. Это, конечно, может сочетаться с идеями открытых систем, что видно на примере многих дистрибутивов Linux. Далее он отмечает такой заколдованный круг: “Как правило, проприетарные системы стоят значительно дороже, что позволяет компаниям вкладывать больше денег в их развитие, в итоге они стоят еще дороже”. По словам г-на Симакова, открытому ПО при многих его достоинствах трудно конкурировать с проприетарными продуктами в ряде направлений. Но ситуация меняется: например, Oracle и Microsoft удерживают серьезные позиции на рынке СУБД, но Open Source медленно, но верно продолжает их отвоевывать, а компании всё чаще склоняются в пользу открытых решений. Проприетарным остается “старое”, а новое всё чаще уже “открытое”, считает эксперт.
Как обеспечить национальную ИТ-безопасность в условиях глобализации
Вопрос обеспечения ИТ-безопасности в самых разных аспектах — как в плане создания, так и использования ИТ — поднимается в нашей стране почти десять лет, но ясного понимания, как нужно подходить к его решению, кажется, до сих пор нет. Обострение отношений с западными странами в результате событий последних двух месяцев вновь обозначило актуальность этой темы.
Владимир Рубанов выделяет два аспекта темы, которые на практике у нас часто путают между собой: технологическую независимость и собственно информационную безопасность. “Технологическая независимость в области программного обеспечения, говорит г-н Рубанов, — в утрированном виде подразумевает способность страны не только обеспечить функционирование текущих ИТ-систем, но и продолжить их развитие (добавление функций, исправление ошибок и т. д.) силами локальных специалистов в гипотетических условиях “железного занавеса”. В “мирное” время можно и нужно развивать ИТ в условиях международного сотрудничества. Быть готовым к изоляции и ставить изоляцию целью — это совершенно разные вещи! Именно этим мне нравится Open Source — эта модель позволяет через интеграцию и вхождение в мировое сообщество иметь в “мирной” ситуации доступ ко всем передовым инновациям и совместно их развивать, экономя как средства, так и время, но вместе с тем быть готовым в любой момент к форс-мажору и “отключению” от мира, сохраняя при этом полный контроль над последней версией и возможность ее самостоятельного развития (конечно, уже с некоторой потерей скорости). Такой дуализм возможен за счет постоянного доступа к полным исходным кодам и средствам их разработки. Вместе с некоторым количеством локальных специалистов это и обеспечивает технологическую независимость. Что касается информационной безопасности, то здесь прямой корреляции с Open Source нет, разве что наличие исходных кодов теоретически позволяет провести более глубокую проверку на закладки и прочие неприятности с помощью автоматических средств анализа, но это затратный процесс”.
“Пожалуй, 2013-й и 2014-й войдут в историю как годы, когда вопросы ИБ, интересовавшие ранее только очень небольшое число специалистов, обрели всемирную популярность, — считает Милан Прохаска. — Пришло осознание того факта, что мир, в котором мы живем, представляет собой единую ИТ-систему, а она должна быть защищена и надёжна. Одним из ключевых способов обеспечения безопасности ИТ-систем является их сертификация в соответствии с государственными стандартами. Кстати, сертифицировать открытые системы, как правило, проще, чем их проприетарные аналоги”.
Говоря о важности использования открытых ИТ в контексте проблемы национальной безопасности, Валентин Макаров отмечает, что возможность построения полностью и преимущественно открытых систем, а также наличие открытых альтернатив большинству проприетарных решений повышают степень контроля кода (в том числе на предмет его безопасности), применяемого в государственных ИТ-системах. Эти возможности вынуждают вендоров проприетарного ПО открывать свой код для проверки госструктурами. При этом нужно учитывать, что модель угроз, предусмотренная в руководящих документах ФСТЭК, предполагает модель нарушителя, который обладает информацией об устройстве системы и методах ее защиты, поэтому системы с открытым кодом больше приспособлены к проверке на безопасность, в частности потому, что позволяют полноценно собирать исполняемые программы из проверенных исходных текстов.
На рынке долгое время бытовало представление, что открытость кода снижает его безопасность. Владимир Главчев уверен в ошибочности этого мнения, ссылаясь на данные по статистике о найденный ошибках в ПО разного типа. Он считает, что дело не в открытости как таковой, а в конкретных решениях, которые могут быть “дырявыми” по своей архитектуре.
Андрей Маркелов считает, что для обеспечения реальной ИТ-безопасности нашей стране нужно в первую очередь инвестировать в образование и воспитание кадров, чтобы, в частности, занять лидирующее положение в открытых проектах и ИТ-индустрии. Только принимая активное участие в ведущих проектах, можно повысить ИТ-независимость и безопасность, если говорить об открытом коде. “Современный мир — это мир глобализации, и мышление в рамках барьеров и границ — это путь к изоляции и наращиванию отставания в ИТ”, — подчеркивает он.
“Как показывает мировой опыт, в целях обеспечения национальной безопасности многие страны используют национальные продукты. Особенно в государственном, оборонном, промышленном секторах”, — отмечает Евгения Василенко.
По мнению Дмитрия Варенова, для обеспечения информационной безопасности в национальном масштабе необходимо учитывать два основных фактора: первый — это национальное законодательство, которое зачастую не приведено в соответствие с глобальными стандартами в области ИБ, второй — особенности работы отечественных производителей средств защиты информации, учитывающих как международные требования, так и локальные нормы права. В то же время, по его мнению, сильное влияние на рынок оказывает высокая конкуренция за счет присутствия международных вендоров, фактически вытесняющих местных разработчиков. В результате совокупность указанных факторов создает такие угрозы национальной безопасности, как зависимость локальных ИТ- и ИБ-инфраструктур, в том числе государственных, от внешних производителей и вытеснение российских вендоров, ограничивающее развитие отрасли.
“На мой взгляд, предотвратить угрозы помогут поддержка отечественных производителей через развитие и применение их наработок в госсекторе и “окологосударственных” структурах, а также активное сотрудничество в области международной стандартизации и регулирования развития ИТ- и ИБ-сфер для формирования единых подходов к построению современных систем обработки, передачи и защиты данных на национальном и на глобальном уровнях. — считает Дмитрий Варенов. — Во втором случае мы сможем защитить локальных разработчиков без искусственного ограничения конкуренции, решим вопросы интероперабельности решений на местном и глобального уровнях без ущерба их эффективности и защищенности”.
Открытые ИТ не могут составлять угрозу национальной безопасности, уверен Роман Симаков. А вот открытые данные, по его мнению, такую угрозу представляют. Далее он поясняет: “Конечно, в закрытых системах такие вопросы тоже стоят, но не так остро. Открытые технологии и глобализация ИТ значительно повышают возможности доступа к данным, что требует более тщательного рассмотрения всех возможных рисков. Здесь нельзя обойтись только организационными мерами, отключениями Интернета и т. п. Следует понимать необходимость защиты важных данных на всем пути их жизни, во всех местах их существования, для чего требуется наличие систем, способных обеспечить такую защиту. При этом совсем не нужно закрывать сами системы. Достаточно закрывать ключи доступа, с помощью которых происходит шифрование данных”.
По его мнению, государство должно стремиться развивать ИТ преимущественно на базе СПО с открытым исходным кодом, поскольку только такая модель гарантирует полное приобретение ПО у компании для его последующего стопроцентного освоения и позволяет проверять ПО на отсутствие недокументированных возможностей и даже самостоятельно собирать системы на стороне клиента. “В проприетарном коде такое просто невозможно, и периодически всплывают факты шпионажа из закрытых систем”, — отметил он.
Владислав Шершульский считает, что для обеспечения ИТ-безопасности существует процесс сертификации, предусматривающий большой объем испытаний и изучения кода, и здесь нет различий между ПО с закрытым и открытым кодом, национальным или иностранным. Он уверен, что проверять нужно все и с одинаковой степенью тщательности, ведь закрытый код закрывают от потенциальных злоумышленников, а не от экспертов. “Думаю, что всё большую роль со временем будет играть не способ доступа к коду, а применение соответствующей дисциплины разработки, помогающей писать защищенный код и выявлять недобросовестных членов проектных команд”, — полагает Владислав Шершульский.
Возврат к списку