Оценка санкционных рисков (этап 1 планирования импортозамещения в ИТ)

1

Данная публикация является продолжением публикации с перечислением всех этапов планирования импортозамещения в ИТ.

Методика оценки рисков

На мой взгляд, для оценки санкционных рисков можно использовать диаграмму на Рис. 1:

Рисунок 1. Диаграмма оценки рисков

Рис. 1. Диаграмма оценки рисков

На диаграмме выделены следующие области:

  • Высокие риски: риски, которые будут иметь высокое воздействие на ИТ в вашей компании, а также высокую вероятность возникновения в течение ближайшего времени (несколько месяцев). Нужно срочно их устранять или хотя бы уменьшить.
  • Средние риски: риски, которые будут иметь среднее воздействие и среднюю вероятность возникновения (несколько месяцев) или высокое воздействие и низкую вероятность, или высокую вероятность и низкое воздействие. Нужно постепенно их устранять или уменьшать вероятность их возникновения.
  • Низкие риски: риски, воздействие которых можно оценить как низкое и вероятность их возникновения в ближайший год как низкую. Устранять в последнюю очередь и если это целесообразно.

Риски целесообразно рассмотреть для каждого элемента ИТ. Отказ в поддержке MS Office на персональных компьютерах и информационных систем на SAP могут иметь существенно разное воздействие, как, впрочем, и вероятность возникновения.

Таким образом для каждой информационной системы и элемента инфраструктуры ИТ нужно выписать перечень рисков и сделать оценки вероятностей возникновения и воздействия этих рисков. При этом и список рисков, и их оценки будут разные для разных компаний.

В качестве типовых рисков целесообразно рассмотреть как минимум следующие:

  • Прекращение обновлений и/или поддержки.
  • Прекращение работы (доступа).
  • Кража данных.
  • Искажение данных, внедрение вирусов и т.д.

Типовые решения по отношению к рискам:

a) устранить;

b) уменьшить (в т.ч. передавая риски другим компаниям);

c) принять (смириться с этим риском).

Основные группы рисков

Для разработки методики импортозамещения в ИТ автором этого текста были проведены обсуждения (включая анкетирование и углубленные интервью) основных санкционных рисков и планирования импортозамещения с ИТ-директорами 15 российских компаний.

Далее приведены результаты этих обсуждений. Они показали, что перечень возможных санкционных рисков похож для разных российских компаний, однако оценки уровня рисков и уместных вариантов импортозамещения сильно зависит от формы собственности (коммерческая или государственная компания), есть ли филиалы в других странах, территориальное размещение поставщиков и покупателей, а также владельцев компании.

Наличие филиала в Европе или владельца в Лондоне сильно меняют и отношение к санкциям, и планы по импортозамещению.

Также оценки санкционных рисков и вариантов их импортозамещения сильно зависят от размеров компании:

  • Самостоятельные возможности малых компаний по минимизации санкционных рисков невелики, уместно ориентироваться на типовые решения по импортозамещению, выполняемые силами российских ИТ-компаний, например, перенести почту с MS Exchange 365 в почтовую систему одной из российских компаний, например, Яндекс или Mail.ru.
    Сложных информационных систем самостоятельной разработки у малых компаний обычно нет, и вопрос возможного переноса 1С разработок на SAP или Oracle не стоит.
  • Крупные компании давно уже используют множество самых современных ИТ-решений, разработанных в недружественных для России странах.

Практически все крупные российские компании имеют информационные системы на SAP или Oracle, в которые вложены сотни человеко-лет разработки, а также требующие сотни миллионов рублей ежегодно только для обновления лицензий.
Решения по импортозамещению для больших компаний индивидуальны, скорее уместен постепенный, в течение нескольких лет, осторожный отказ от программного обеспечения, а также от технических средств недружественных стран.

  • В данной статье рассмотрены типовые санкционные риски и возможные варианты их уменьшения, в первую очередь для средних по размеру российских коммерческих компаний, имеющих заказчиков в России.

Приведенные с ИТ-директорами российских компаний обсуждения санкционных рисков и планов по импортозамещению в ИТ позволили выявить несколько десятков типовых и существенных рисков в ИТ, появившихся после введения антироссийских санкций. Конечно, для каждой компании целесообразно рассматривать существенно больше рисков. Для примера рассмотрена только часть рисков:

  • основные группы рисков рассмотрены на Рис. 2;
  • риски для информационных систем и данных, Рис. 3;
  • риски для инфраструктуры ИТ и ИБ, Рис. 4;
  • риски для управления ИТ и ИТ в целом, Рис. 5.

Далее на Рис. 2 рассмотрены основные группы высоких и средних рисков по всем областям ИТ:

Рисунок 2. Оценки групп санкционных рисков для ИТ. Оценки ИТ-директоров российских компаний

Рис. 2. Оценки групп санкционных рисков для ИТ

Самыми высокими рисками являются:

1. Потеря данных в американских «облаках», в том числе из-за прекращения доступа.

2. Хакерские атаки, координируемые из США и других недружественных стран.

3. Отсутствие российских аналогов программного обеспечения недружественных стран, особенно отраслевых решений и решений на SAP и Oracle.

Высокими рисками являются:

4. Прекращение работы решений по ИБ, в том числе американских программных и технических средств по информационной безопасности.

5. Дефицит технических средств: серверов, сетевого оборудования и т.д., ранее поставляемых американскими компаниями.

6. Прекращение аренды серверов в США (и других «облачных» ресурсов).

Средними рисками являются:

7. Прекращение сертификации, обучения и консалтинга, оказываемых организациями из недружеских стран.

8. Прекращение продаж лицензий на ПО, особенно Microsoft, Oracle, SAP.

9. Прекращение поддержки ПО, разработанного в недружественных странах.

10. Прекращение поддержки технических средств, особенно американских серверов и сетевого оборудования.

11. Прекращение работы ПО, особенно американских компаний.

12. Прекращение работы технических средств, особенно американского производства.

Риски для информационных систем и данных

На рисунке выше были приведены основные группы санкционных рисков. Далее рассмотрены основные риски для конкретных областей ИТ: информационных систем, инфраструктуры ИТ, ИБ, управления ИТ.

На Рис. 3 приведены оценки российскими ИТ-директорами вероятностей возникновения и воздействия на информационные системы и данные:

Рисунок 3. Оценки санкционных рисков для информационных систем и данных. Оценки ИТ-директоров российских компаний

Примечание: здесь и далее под «американским» понимаются также недружественные по отношению к РФ страны, введшие антироссийские санкции

Рис. 3. Оценки санкционных рисков для информационных систем и данных

Высокими рисками являются:

  • прекращение хостинга в США (SAP, Oracle, Microsoft и др.);
  • прекращение работы MS Exchange Server 365 (точнее доступа вашей компании к вашей электронной почте;
  • прекращение работы американского ПО по ИБ;
  • прекращение поддержки и продажи лицензий Oracle, SAP;
  • прекращение работы MS Active Directory.

Средние риски:

  • прекращение поддержки и продаж лицензий MS Office;
  • отказ в продаже новых лицензий на американское ПО;
  • прекращение работы MS Office, прекращение работы Windows.

Низкие риски:

  • отказ в обновлении и поддержке редко используемого программного обеспечения и т.д.

Еще раз уточним, что это усредненный, по результатам обсуждений с ИТ-директорами российских компаний, перечень конкретных рисков. Для каждой конкретной компании и перечень рисков, и их оценки могут быть другими.

Мнения российских ИТ-директоров

«Риск непринятия платежей за работу американского ПО был всегда, но раньше он был скорее гипотетическим, а сейчас реализовался».

А. Сингур, ИТ-директор, Якутская топливная энергетическая компания, г. Якутск

Риски для инфраструктуры ИТ и ИБ

На Рис. 4 приведены оценки рисков для инфраструктуры ИТ и информационной безопасности:

Рисунок 4. Оценки санкционных рисков для инфраструктуры ИТ и ИБ. Оценки ИТ-директоров российских компаний

Рис. 4. Оценки санкционных рисков для инфраструктуры ИТ и ИБ

К высоким рискам можно отнести:

  • прекращение работы американских решений по ИБ;
  • кражу данных;
  • нарушение работы сайтов и информационных систем вашей компании;
  • дефицит серверов IBM и HP;
  • прекращение доступа к серверам ЦОДов в США.

К средним рискам можно отнести:

  • отказ в поддержке американских серверов;
  • отказ в поддержке американского сетевого оборудования;
  • прекращение работы американских технических средств.

К средним рискам можно отнести, наверное, работу всех используемых в российских компаниях технические средства, так как в основе почти везде находятся микросхемы, разработанные и/или производимые не в России.

Мнения российских ИТ-директоров

«Есть серьезный риск «закладок» в программное обеспечение и технические средства.

С другой стороны, насильственная гонка по импортозамещению тоже опасна».

П. Варухин, ИТ-директор, «ОЦРВ», г. Москва

Риски для управления ИТ (и ИТ в целом)

На Рис. 5 приведены оценки рисков для управления ИТ (и ИТ в целом):

Рисунок 5. Оценки санкционных рисков для управления ИТ (и ИТ в целом). Оценки ИТ-директоров российских компаний

Рис. 5. Оценки санкционных рисков для управления ИТ (и ИТ в целом)

К высоким рискам можно отнести:

  • опасность планирования долгосрочного использования американского ПО и технических средств;
  • отсутствие хороших российских аналогов ряда американских ИТ-сервисов.

К средним рискам можно отнести:

  • отказ от работы с Россией компаний из стран, введших санкции;
  • отсутствие в России сертификации по ITIL и другим методикам (точнее, запрет формальных экзаменов со стороны международных организаций).

Мнения российских ИТ-директоров

«Перспективы импортозамещения и цифровой трансформации пока туманны.

С одной стороны, импортозамещение надо проводить (хотя есть множество сложностей с этим), но для этого нужно всего то:

  1. «Зеленый свет» и поддержка руководства.
  2. Заинтересованность руководителей направлений бизнеса.
  3. Бюджет.

Пока с этим проблемы. Однако есть итальянская пословица: «Кто строит не на своей земле, тот теряет и цемент, и камень».

С. Жидков, Начальник отдела ИТ, компания Протон-Электротекс, г. Орел

Выводы по оценке рисков

Проведенный выше анализ конкретных рисков в ИТ позволяет сделать вывод, что наибольшие риски будут в случае хранения критичных для вашей компании данных в американских информационных системах, расположенных на инфраструктуре в США (или других недружественных по отношению к России стран), см. Рис. 6:

Рисунок 6. Оценка рисков, возникших после антироссийских санкций

Рис. 6. Оценка рисков, возникших после антироссийских санкций

На диаграмме выделены следующие области:

  • Высокие риски: данные вашей компании хранятся в американском ПО на американских технических средствах и в США. В данном случае можно выделить риски прекращение доступа и кражи данных. В случае высоких рисков целесообразно срочное импортозамещение, в первую очередь, за счет переноса данных из США в Россию.
  • Средние риски: данные вашей компании ведутся в американском ПО на американских технических средствах, физически расположенных в России. Риски: прекращение обновлений и поддержки, а также кража данных. Также к средним (или ниже среднего) рискам можно отнести российское ПО на американских технических средствах в РФ. В этом случае могут быть риски кражи данных. В случае средних рисков целесообразно постепенное и выборочное импортозамещение.
  • Российское ПО на российских технических средствах в РФ (а лучше в офисе вашей компании). Риски: попытки хакерских атак.

Далее рассмотрены, в первую очередь, высокие риски.

Типовые варианты импортозамещения в ИТ

Обсуждение с российскими ИТ-директорами конкретных направлений уменьшения санкционных рисков в ИТ позволило выявить следующие типовые варианты импортозамещения в ИТ:

Рисунок 7. Типовые варианты импортозамещения в ИТ

Рис. 7. Типовые варианты импортозамещения в ИТ

Можно выделить следующие типовые варианты импортозамещения технических средств американской разработки и расположенных в США:

  • «а» -> «б»: переход на те же технические и программные средства, но расположенные не в США, а в России;
  • «а» -> «в»: переход из США в нейтральные страны;
  • «а» -> «г»: переход на российские технические и программные средства, расположенные в России.

Конечно, могут быть и другие варианты импортозамещения конкретных элементов ИТ.

2631
Коментарии: 1
  • Александр Михайлов
    Рейтинг: 62
    компания "Консалтинг по управлению ИТ"
    MBA, эксперт по ИТ-стратегиям и цифровой трансформации бизнеса, генеральный директор
    03.08.2022 17:28

    Вышли продолжения этой дискуссии:

    - "Выявление возможностей импортозамещения (этап 2 планирования импортозамещения в ИТ)" https://globalcio.ru/discussion/25389/

    - "Определение приоритетов импортозамещения (этап 3 планирования импортозамещения в ИТ)" https://globalcio.ru/discussion/25403/

    - "Разработка плана проектов по импортозамещению (этапы 4-6 планирования импортозамещения в ИТ)" https://globalcio.ru/discussion/25413/

Предметная область
Отрасль
Управление