Препятствия на пути к облачной цифровизации: что с ними делать
Дорога в промышленные облака. Часть 2.
Автор: Владимир Молодых, директор по платформенным продуктам ГК «Цифра»
В первой своей статье из цикла «Дорога в промышленные облака» – «Плюсы облаков на фоне минусов on-premise», я рассказал о минусах on-premise и плюсах использования облачных решений в промышленности с учетом экономического контекста, в котором в последние годы пребывают российские производственники. Теперь же давайте ответим на два классических вопроса: Кто виноват? И что делать? А точнее – что останавливает предприятия от перехода в облака и как можно от этих препятствий избавиться (или хотя бы сделать их не столь непреодолимыми).
Кто виноват?
Цифровизаторы на стороне промышленных предприятий без труда назовут с десяток причин, почему им не по пути с облаками. Ключевые из их числа можно свести к трем основным блокам рисков: зависимость от поставщика, правовые риски и организационные препятствия. Разберем их подробнее.
Риск VendorLock
Риск VendorLock возникает, когда организация становится сильно зависима от одного провайдера услуг или продуктов, что затрудняет или делает невозможным переход на альтернативные решения. В контексте облачных вычислений это может проявляться в виде зависимости от конкретного облачного провайдера или разработчика/поставщика ПО, что ограничивает гибкость и возможности для масштабирования или перехода на другие сервисы, а также, в отличие от on-premise, может привести к риску отключения значимых систем одним днём.
Риск этот существовал всегда, но после событий февраля 2022 года (когда множество российских бизнесов оказались в ситуации отключения или угрозы отключений облаков и/или SaaS-решений и остались без обновлений значимого ПО), он перестал быть эфемерным. Да, тогда инциденты происходили в первую очередь с иностранным программным обеспечением из стран, ставших недружественными. Тем не менее, все увидели реализацию этого риска на практике: многие команды в спешке перетаскивали данные с зарубежных облаков днями, ночами и в выходные. Нетрудно придумать ситуацию когда подобный риск может реализоваться с отечественным облаком и отечественным ПО. Например, основанные российскими разработчиками JetBrains и стартап Miro ушли из России. К тому же, помимо геополитики, риски для предприятий могут принести, например, конфликт акционеров и банкротство разработчика ПО и/или облачного провайдера.
В текущих нестабильных экономических и политических условиях логика промышленных предприятий понятна: чье бы ни было программное обеспечение, пусть лучше оно будет развернуто в защищенной сети, без внешнего доступа, где его существенно сложнее сделать неработоспособным и легче контролировать.
Правовые риски
В России действует множество законов и иных нормативных актов, регулирующих сферу хранения и обработки данных, которые также влияют на использование облачных сервисов. Особенно это касается предприятий, выступающих в роли субъектов критической информационной инфраструктуры (КИИ). На конференции ЦИПР этого года мы с коллегами без труда насчитали 27 нормативных актов, имеющих отношение к хранению промышленных данных в облаке. Их наверняка больше, особенно если предприятие имеет дело с критической информационной инфраструктурой. Вот лишь необходимый очевидный минимум документов, которые нужно изучить и руководствоваться:
- 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006
- 152-ФЗ «О персональных данных» от 27.07.2006
- 98-ФЗ «О коммерческой тайне» от 29.07.2004
- 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017
- 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» от 21.07.2011
- Постановление Правительства РФ N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений» от 08.02.2018
- Требования к критической информационной инфраструктуре (КИИ)
- Требования к субъектам, не являющимся КИИ
С одной стороны, юридически корректная дорога к хранению данных в облаке есть, а с другой стороны, картина такая: корпоративный юрист открывает, например, приказ ФСТЭК России от 21 декабря 2017 г. N 235 и видит, что в нем четко указано, что состав сил по обеспечению безопасности должен состоять из работников субъекта критической информационной инфраструктуры. А во внешнем облаке состав сил, совершенно очевидно, иной. И корпоративный юрист блокирует такую инициативу.
Да, есть разъяснения ФОИВов, есть сертифицированные для размещения объектов КИИ облака от ведущих провайдеров. Но правоприменение их не до конца понятно, а мотивации, чтобы связываться со всеми этими рисками, часто не хватает. К тому же обычно в крупной корпорации за эффективность, экономику и цифровизацию отвечают одни люди, а за юридические и GR-риски – совсем другие.
Организационные препятствия
При переходе на облачные решения, ИТ-отделы и ИТ-дочки промышленных предприятий (особенно это касается крупных корпораций) часто видят риски потерять не только возможности полного контроля над ИТ-инфраструктурой, но и часть своих функций и бюджета. Без внешнего облака они строили ЦОДы, закупали оборудование, содержали штат специалистов по поддержке и обеспечению безопасности этих ЦОДов и развернутых в них решений. А при переходе в облака они, на первый взгляд, всего этого лишаются. И так как внутренние ИТ-команды, как правило, глубоко погружены в процессы принятия корпоративных решений и выделения бюджетов, часто они становятся противниками миграции на облачные сервисы.
Добавим к этому то, что использование облачных решений подразумевает порой потребность некоторых организационных изменений в компании. Например, требуется трансформация подхода к учету нематериальных активов и выделению средств на ИТ, а также изменение роли и функционала подразделений безопасности. Внедрение облачных решений может поставить под угрозу как сохранность облачных данных, так и процесс контроля и управления защитой этих данных для служб информационной безопасности (ИБ) корпорации, так как часть процессов обслуживания и поддержки, лежащих в области ответственности облачного провайдера, скрыты от непосредственного контроля внутренней ИБ-службы предприятия. Конечно, ИБ-отделы не могут не быть вовлеченными в обеспечение безопасности облачных решений, но это вовлечение потребует от них иных подходов к работе. Как минимум, им придется научиться взаимодействовать в партнерском режиме с командами по ИБ поставщиков облачных сервисов. Это не так легко сделать, особенно, что часто бывает, когда внутренняя команда консервативна.
Я выделил лишь несколько ключевых препятствий на дороге в промышленные облака. На первый взгляд кажется, что и одного из них достаточно, чтобы остановить движение. Однако, доказанная эффективность облачных решений, о которой я говорил в первой части («Плюсы облаков на фоне минусов on-premise»), дает мотивацию, чтобы с этими препятствиями работать.
Что делать?
Ключевое решение по правовым вопросам – это сотрудничество создателей программного обеспечения, облачных провайдеров и государства.
Если завод может позволить себе on-premise какое-то решение (пусть даже от слабо проверенного вендора), работающее с производственными данными (пусть даже в каком-то ограниченном режиме), то в облака он с таким слабо проверенным партнёром даже в экспериментальном режиме вряд ли пойдет. А потому облачный провайдер и поставщик программного обеспечения должны быть крупными и одобренными государством. Так, втроем они смогут предлагать согласованное решение, своим именем подтверждая, что все вопросы – от юридических до информационной безопасности – проработаны, проблем не будет. И все контракты на облачные сервисы должны сопровождаться конкретными артефактами:
- пакетом юридических документов, которые прописывают легитимность и корректность переноса данных в облако;
- соглашениями о рациональном распределении ответственности,
- подтверждением, что вендор завтра не растворится в тумане или не станет иностранным.
Сейчас крупный бизнес, профильные государственные органы и представители ИТ-отрасли ведут активную совместную работу в этом направлении. Мы в «Цифре» в ней тоже участвуем и видим некоторые успехи.
Но что в этой ситуации делать малому бизнесу – тем разработчикам, которые часто придумывают отличные прорывные решения, но не могут себе позволить сидеть в комиссиях и комитетах? Ответ на этот вопрос тоже есть – платформенный. Объясню на примере.
Предположим, перспективный стартап или небольшая ИТ-команда разрабатывают инновационные приложения для производственников: функционал хорош, но на должную проработку ИБ-вопросов для защиты промышленных данных нет ресурса или компетенции. Однако эти продукты можно приземлить на некоторую единую цифровую платформу для работы с данными, которая проверена и одобрена государством и содержит в себе весь необходимый инструментарий по информационной безопасности с DevSecOps-конвейером и магазином проверенных приложений. Для разработчиков, чьи продукты с этой платформой совместимы и представлены в магазине приложений, вопросы по ИБ закрываются на 90%. Так, продукты даже от небольшого стартапа смогут найти своего пользователя в предприятиях со строгими требованиями к ИБ: платформа будет гарантировать их безопасность и надежность. Такого рода платформой может стать, например, ZIIoT. По такому сценарию она уже используется on-premise, и ничто не мешает реализовать это в облаке.
Теперь о преодолении организационных препятствий.
Начну с того, что то, как я описал организационные препятствия выше, скорее свойственно крупным предприятиям. На небольших заводах часто ситуация выглядит совсем по-другому – там иная жизненная проблематика. Они вполне могут найти у себя бюджет на SaaS-решение, но не могут ни найти, ни содержать штат сильных DevSecOps-специалистов. Во-первых, они дорогие и редкие, а во-вторых, таким специалистам просто могут быть не интересны задачи небольшого завода – где-нибудь в финтехе или на B2C-рынке они легко могут найти себе проекты амбициознее. А потому малый промышленный бизнес в вопросе внедрения инноваций оказывается перед выбором: или ничего не делать в силу невозможности обеспечить себя техническими компетенциями, или воспользоваться преимуществами облачных решений.
На этом фоне видится перспективным начинать продвигать облачные решения как раз в сегменте малого и среднего промышленного бизнеса. Мы уже идем по этому пути: в этом году мы представили облачную версию нашей системы управления лабораторной информацией и сервиса для технологического мониторинга на платформе, как раз с прицелом на малый и средний бизнес. Предполагаем, что крупный бизнес подтянется, когда увидит на примере небольших предприятий, что облачные решения действительно демонстрирует эффективность и безопасны.
Важно отметить, что у ИТ-отделов и ИТ-дочек корпораций есть максимально глубокое понимание бизнеса и производства материнской структуры. Никто лучше них не сформулирует бизнес-требования, не настроит и не сконфигурирует облачное решение. Это может стать основной для взаимовыгодного сотрудничества внутреннего ИТ с внешними поставщиками с рациональным разделением функций.