Непрерывность бизнеса в контексте импортозамещения

Очевидно, что подобные риски невозможно игнорировать: компании уже ощутили их влияние и готовят и/или претворяют в жизнь программы импортозамещения или даже импортоопережения. Рассматриваемые сценарии можно условно разделить на две категории. Мягкий вариант: некоторые зарубежные производители отказываются поставлять оборудование, оказывать гарантийную и техническую поддержку, поставлять новые версии ПО, а также отзывают лицензии. Жесткий вариант предусматривает в том числе атаки на инфраструктуру с использованием недокументированных возможностей (так называемых закладок).

Последствия первого варианта подразумевают отсутствие возможности модернизации инфраструктуры, добавления в приложения нового бизнес-функционала, решения возникающих проблем с оборудованием и ПО. Это означает, что time-to-market для новых услуг и сервисов будет непрогнозируемым (точнее, непрогнозируемо великим), а развитие бизнес-функционала, возможно, будет вообще полностью остановлено. И даже если предположить, что бизнес в таких условиях будет развиваться, ИТ не смогут его поддержать. Также в случае возникновения инцидентов, связанных с оборудованием или ПО, компетенций ИТ-специалистов компании, скорее всего, будет недостаточно для их устранения, что при наихудшем сценарии повлечет за собой остановку бизнес-процессов.

При жестком варианте в час «Х» ИТ-инфраструктура, построенная на оборудовании некоторых зарубежных компаний, может быть отключена из-за использования недокументированных возможностей. К таким или похожим выводам при анализе ситуации приходят все крупные российские корпорации. Вопрос: что с этим делать? Ниже мы даем ответы — обозначаем главные пункты дорожной карты импортозамещения.  

Мягкий вариант. Отказ от поставки, поддержки, обслуживания

Превентивные мероприятия

• Планирование миграции приложений на российские аналоги или использование решений Open Source.
• Планирование миграции на серверы с отечественной элементной базой или на «машины» от производителей стран БРИКС.
• Планирование миграции сетевой инфраструктуры и ИБ-систем на российские аналоги.
• Локализация разработки (как вариант, предоставление исходных кодов ПО российской «ИТ-дочке»).

• Привлечение компаний-посредников для закупки оборудования.
• Наращивание внутренних компетенций, чтобы в случае отказа от поддержки можно было обеспечить работу ИТ-инфраструктуры на время переходного периода своими силами (пока поддержка не будет передана компанииподрядчику).

• Заблаговременная закупка ЗИП и оборудования для обеспечения модернизации ИТ-инфраструктуры в случае наступления риска

Жесткий вариант. Ожидаем атаку на инфраструктуру

Превентивные мероприятия

• Защита периметра и инфраструктуры инструментами информационной безопасности российского производства, сертифицированными ФСТЭК.
• Проверка в специализированных компаниях ключевых узлов инфраструктуры на недокументированные возможности и закладки на уровне элементной базы.
• Подготовка горячего резерва — российских аналогов оборудования. Также стоит рассмотреть решения от производителей из стран БРИКС.
• Мероприятия после срабатывания риска.
• Замена «упавшего» оборудования на горячий резерв.
• Поиск оборудования для замены всех компонентов ИТ-инфраструктуры, включающих зарубежные решения

Здесь стоит отметить, что китайские разработки оборудования, как и многие российские, базируются на процессорах Intel. И этот фактор нельзя сбрасывать со счетов при выборе «железа». Также необходимо учесть, что западные решения СХД довольно сложно полноценно заменить на российские аналоги, как минимум в части SAN и жестких дисков.

Мероприятия после срабатывания риска

• Старт проектов по плавной замене западных решений на российские аналоги или разработки стран БРИКС.
• Наращивание компетенций собственных ИТ-специалистов или привлечение подрядчика для обеспечения процессов эксплуатации и миграции.

При переходе на российские аналоги стоит учитывать, что они с высокой долей  ероятности не закроют все 100% требуемого функционала. Будут и вопросы, связанные с поддержкой отечественных решений. У западных вендоров отлажены все процессы, накоплены огромные базы знаний, выстроено взаимодействие с клиентами и обеспечивается качественная поддержка силами квалифицированного персонала. Многие российские производители сделали лишь первые шаги на этом пути. Поэтому при планировании внедрения нужно будет учесть необходимость расширения штата ИТ-специалистов, организации их дополнительного обучения. Нужно также понимать, что на первых порах неизбежно возрастет срок решения проблем и устранения инцидентов.

Сегодня необходимо готовиться к различным вариантам развития событий, чтобы ни один из них не застал компанию врасплох. Это касается и ИТ, и общего управления компанией. Необходимо разработать матрицу рисков, дорожную карту мероприятий и постоянно осуществлять мониторинг угроз. Соответственно, и ИТ-стратегию компании на ближайшие 5–7 лет стоит обязательно рассматривать через призму импортозамещения: имеет смысл внедрять только те решения, которые не смогут создать в ИТ-инфраструктуре брешь самим фактом своего существования.