Учет импортозамещения в ИТ-стратегии

Этот текст написан в продолжение недавней дискуссии с ИТ-директорами российских компаний, опубликованной в статье: «Три подхода к разработке стратегии ИТ: что уместно для вашей компании?». Также были учтены:

• результаты обсуждений основных санкционных рисков и вариантов импортозамещения с 15 российскими ИТ-директорами, являющимися подписчиками сайта по ИТ-стратегии, который ведет автор этой статьи;
• личный опыт автора этой статьи по помощи в разработке десятков стратегий ИТ и цифровой трансформации бизнеса, опубликованного в ряде книг и десятках статей.

Надеюсь, предлагаемая методика поможет российским компаниям уменьшить санкционные риски, не откатившись лет на десять назад.

Все формы диаграмм разработал автор этого текста. Все данные на диаграммах являются усреднением ответов ИТ-директоров 15 российских компаний, средних по размеру.

Хорошо ли это или плохо, но врастание России в американскую систему международного разделения труда, похоже, закончилось, начинается процесс выхода из этой матрицы. С одной стороны, «мир уже никогда не будет прежним» (как говорили еще древние греки), с другой стороны, «быстрые решения часто ведут в мышеловку».

Импортозамещение: это необходимо, но сложно и долго

Импортозамещение ИТ стало необходимостью для большинства российских компаний, хотя это и сложно, и долго:

• Необходимо, чтобы не потерять данные вашей компании, хранящиеся в американских «облаках», а также постепенно уйти от весьма вероятных проблем с техническими и программными средствами недружественных стран. Многие ИТ-директора даже после 2014 года считали, что применительно к их компаниям проблем с работой международных программных и технических средств не будет. Однако, с марта 2022 года это стало вполне вероятным событием.
• Сложно, так как российских аналогов у многих информационных систем и технических средств просто нет, попытки для больших российских холдингов заменить SAP и Oracle на 1С видятся многолетней эпопеей. Российские сервера и процессоры, с одной стороны, как бы и есть (судя по сообщениям прессы), а с другой стороны, их вроде как и нет, во всяком случае, с удовлетворительными характеристиками цены и качества.
• Долго. Почти все ИТ-директора затрачивали годы на внедрение каждой большой информационной системы. Попытки замещения этих систем (особенно при отсутствии прямых российских аналогов) выглядят многолетней головной болью всех сотрудников ИТ.
• Дорого. Современные ИТ-решения стоят сейчас весьма дорого для всех компаний (это примерно 1-5% от всех доходов компании) и замещение как программного обеспечения, так и программных средств стоит дорого (хотя не дороже, чем остановка работы ИТ).
• Непонятно, как конкретно проводить импортозамещение, с чего начать: с информационных систем (и каких?) или с технических средств (но непонятно, на что менять), или с усиления информационной безопасности (но это может привести к серьезному замедлению работы вашей компании). Также непонятно, нужно ли планировать отказ от Windows, Outlook, Office, серверов IBM и т.д. и т.п.

Планирование импортозамещения целесообразно поделить на:

• краткосрочные решения (несколько месяцев): создание копий данных, усиление ИБ;
• среднесрочные и долгосрочные решения (несколько месяцев и даже лет): возможная замена технических и программных средств на российские и нейтральных по отношению к России стран.

Вот примерный перечень краткосрочных решений по уменьшению санкционных рисков:

1. Сделать копии данных, хранящихся в американских (да и просто не российских) «облаках». Лучше вообще отказаться от хранения данных вне России. Одну из копий данных (а лучше несколько) нужно хранить в офисе вашей компании. Автор этой статьи много лет работал в крупных международных ИТ-компаниях, и, на мой взгляд, вопрос не в том, делают ли американские компании нелегальные копии данных вашей компании (делают), а в том, будут ли эти данные использованы против вашей компании и когда конкретно, например, арестовав гендиректора в одной из «нейтральных» стран мира, где-то в Испании или Швейцарии. Также нужно убедиться, все ли данные вашей компании архивируются, а также проверить, что архивы исправны и данные из них можно восстановить (некоторые вирусы, например, вирус-вымогатель денег, записывают себя и в архивы).
2. Усилить информационную безопасность.
3. Отказаться от использования украинских информационных систем, в первую очередь, доступ к которым осуществляется через Интернет (например, системы рассылки).
4. Уменьшить взаимодействие с компаниями недружественных России стран, в первую очередь, США, Англии, Украины.
5. Купить то, что еще можно купить из используемых в вашей компании зарубежных программных и технических средств, в том числе по «серым» схемам.

Это только минимальный список краткосрочных решений. Для компаний с госучастием, а тем более работающих на оборону, конечно, нужно делать гораздо больше.

Но, с другой стороны, некоторые ИТ-директора, работающие в филиалах международных компаний, рассчитывают, что их филиал санкции коснутся не так сильно. Хотя российский персонал запросто могут просто уволить, вместе с закрытием филиала.

Наверное, большинство российских компаний не будет как-либо серьезно планировать импортозамещение в ИТ, проводя его вынужденно и дорого. Тем, кто соберется заранее спланировать, что импортозамещать и в какой очередности, могут пойти по нескольким путям:

а. Доверить эту работу российским ИТ-компаниям, например, одна компания будет предлагать решения по импортозамещению в инфраструктуре ИТ, несколько других – по конкретным классам информационных систем (ERP, документооборот, CRM и др.). При этом каждая из компаний будет пробовать получить максимальное количество денег, а координация между действиями разных компаний будет сложной задачей.

б. Разработать собственную методику, как правильно проводить импортозамещение.
Не факт, что такую методику удастся быстро сделать.

в. Запланировать импортозамещение в рамках ИТ-стратегии, рассмотрев импортозамещение как еще одно требование к ИТ, вместе с такими типовыми требованиями, как:

• обеспечение работы ИТ в режиме 24*7;
• ИТ-поддержка сокращения затрат на ведение бизнеса;
• ИТ-поддержка улучшения управляемости бизнеса;
• цифровая трансформация бизнес-процессов.

Далее предложен алгоритм разработки плана проектов по импортозамещению, а также интеграции этих проектов в ИТ-стратегию.

Основные положения при планировании импортозамещения

Ключевым вопросом при планировании импортозамещения является непонятный масштаб антироссийских санкций со стороны США, Англии, ЕС и других недружественных по отношению к России стран. На момент написания данной статьи ни в России, ни в других странах мира нет ответа на вопрос по объему и длительности санкций и российских контрсанкций.

При разработке методики импортозамещения учитывались следующие положения:

1. Не будет полного возврата к состоянию на 2021 год (а тем более к 2013 году).

2. Некоторые санкции могут быть отменены или усилены, но доверия к американским информационным системам и надежности хранения данных в них уже не будет как у государственных органов и компаний в России, так и в других странах мира. Если США, Англия и ЕС по своему усмотрению принимают решения по замораживанию и возможной конфискации активов как физических лиц, так и компаний и целых стран, неразумно рассчитывать, что как-то иначе они себя поведут к вашим данным. Автор этого текста лет 10 работал в американских компаниях и еще лет 10 – в европейских. Я полностью разделяю известное высказывание, что «США, Англия, ЕС – это империи тотальной лжи». Современный мир пока глобален и тесно связан, цепочки поставок распределены по всему земному шару, и возможные контрсанкции со стороны России могут очень серьезно их нарушить, нанеся недружественным странам существенный ущерб. Ряд экспертов считают, что дело идет к разрушению глобального мира под руководством США (и доллара) и формированию 2-5 групп стран, замкнутых внутри себя, с собственным производством, валютой, а также ИТ-технологиями.

3. Риски, связанные с использованием в России американских (международных) информационных систем и технических средств, были всегда. Однако вероятность возникновения этих рисков до 2014 года была невелика (маловероятное событие), после 2014 года стала вероятным, но не массовым событием. Однако после введения в 2022 году США и ЕС антироссийских санкций, вероятность возникновения проблем при использовании американских (а также из других недружественных стран) информационных систем и технических средств стала высокой, а для российских компаний с государственным участием прямо стопроцентной. Предотвращение рисков в ИТ стало сейчас задачей не теоретической, а практической и срочной, в существенной мере определяющей, выживет ли ваша компания.

4. У России весьма высоки шансы провести импортозамещение, возможно максимально высокие вообще из всех стран мира (и не возвращаясь при этом в «каменный век»):

• У небольших стран типа Австрии, Бельгии, Венгрии, Греции, Голландии (автор этого текста стажировался в этих странах) просто нет собственных разработок ни технических, ни программных средств, ни специалистов, которые могут это сделать.
• Китай весьма близок к импортозамещению, он сам производит почти все технические средства и продает их по всему миру, но непонятно, как он переживет возможную потерю продаж в США и ЕС. Большое количество технических средств производятся в Китае или в нейтральных к России странах юго-восточной Азии. Например, IBM уже более 15 лет не производит персональные компьютеры, передав их производство китайской компании Lenovo. России можно ориентироваться на поставки технических средств из Китая, что уже делается.
• США мало что производит у себя из технических средств, передав производство в азиатские страны. Однако производство процессоров сконцентрировано в Тайване, и возможная военная конфронтация Китая с Тайванем приведет к жесточайшему дефициту процессоров. Также США распределили разработку программного обеспечения по множеству стран, в том числе Китаю, Индии, России, что не придает США устойчивости. Кроме того, успешный опыт разработки программного обеспечения в Калифорнии базируется не только на хорошем климате, но и на практически бесконечном и бесплатном финансировании за счет печати в США ничем не обеспеченных долларов. При массовом отказе других стран от использования доллара (что сейчас и происходит), возможности США финансировать разработку технических программных средств и стандартов в области ИТ резко уменьшатся.
• в отличие от большинства стран мира в России есть ряд информационных систем своей разработки, начиная с 1C, которая неплохо позволяет информатизировать малые и средние компании. Программисты, способные создавать программное обеспечение международного уровня, тоже есть. Есть некоторые компетенции по проектированию (и в какой-то степени, по производству) технических средств.

Россия в разы меньше СССР и контролируемых им стран, поэтому вряд ли целесообразно ориентироваться на полное замещение всех технических и программных средств.

Однако СССР жил под американскими санкциями все время своего существования и накопил в этом определенный опыт, который можно учитывать. В СССР во время перестройки широчайшим образом было распространено нелицензионное использование программных продуктов, начиная с MS Word. Были целые институты, которые изучали зарубежные программные средства и модифицировали их для работы в нашей стране.

Конечно, сейчас нужно учитывать фактор широкого использования Интернета.

6. При планировании возможного импортозамещения надо учитывать, есть ли у вашей компании филиалы в недружественных странах. Как показывает опыт, использовать российское ПО в других странах непросто.

Также разные санкции могут быть для коммерческих и государственных компаний.

Наличие заказчиков или поставщиков, или собственников компании в недружественных по отношению к России странах усложняет возможное импортозамещение.

7. Целесообразно использовать опыт российских компаний, давно уже вставших на путь импортозамещения.

С 2014 года все российские нефтегазовые компании попали под американские санкции, а компании военно-промышленного комплекса были под санкциями просто всегда. Существенная разница по отношению к импортозамещению в ИТ будет зависеть от того, насколько близка ваша компания к государству как при формальном участии государства во владении компанией, так и при фактической работе по госзаказам и наличии в руководстве компании лиц из антироссийских санкционных списков.

8. Замедлилась «цифровая трансформация бизнеса», которая была очень популярна предыдущие несколько лет. Сдерживается она как недостатком сейчас денег на это, так и уязвимостью высокоавтоматизированных процессов к хакерским атакам и просто при перебоях в работе Интернета.

9. При импортозамещении очень желательно улучшить ИТ, а не вернуться на состояние годичной давности и, тем более, десятилетней давности. То есть целесообразно ориентироваться на самые современные и комплексные российские решения, а также на современные решения по техническим средствам, разрабатываемыми дружественными или нейтральными к России странами.

10. Планирование импортозамещения – это задача в условиях высокой неопределенности, когда не ясно, как будет развиваться ситуация ни через месяц, ни через год.

Для принятия решений в условиях неопределенности методы управления проектами работают плохо. Гораздо более уместны методики разработки стратегий, они изначально разработаны для планирования в условиях высокой неопределенности, в том числе использования разных сценариев действий в зависимости от развития ситуации.

Основные этапы планирования импортозамещения

На основании опыта импортозамещения в ряде российских компаний автор этой статьи предлагает следующие этапы планирования импортозамещения в ИТ:

Этап 1. Оценки санкционных рисков: оценки степени влияния основных рисков, появившихся после антироссийских санкций. Деление рисков на:

• высокие риски (нужно срочно их устранять или уменьшать);
• средние риски (нужно постепенно их устранять или уменьшать вероятность их возникновения);
• низкие риски (проще не устранять).

Этап 2. Выявление возможностей импортозамещения: оценки конкретных возможностей уменьшения санкционных рисков, в первую очередь, за счет импортозамещения.

Этап 3. Определение приоритетов импортозамещения: оценка приоритетов снижения санкционных рисков, в том числе за счет импортозамещения.

Этап 4. Разработка проектов по импортозамещению: выявление возможных проектов по импортозамещению, которые позволят снизить санкционные риски.

Этап 5. Разработка проектов по поддержке новых возможностей, появившихся после санкций: выявление проектов по ИТ-поддержке новых возможностей для бизнеса, появившихся после введения антироссийских санкций в 2022 году.

Этап 6. Интеграция проектов по импортозамещению и поддержке новых возможностей в план проектов по ИТ. Интеграция в единый план:

а) проектов по импортозамещению;
б) проектов по поддержке новых возможностей для бизнеса, появившихся после санкций;
в) уже имеющихся проектов по ИТ.

Этап 7. Учет импортозамещения в ИТ-стратегии: разработка (доработка) ИТ-стратегии, включая дополнительно:

а) оценки санкционных рисков;
б) выявление возможностей по импортозамещению;
в) определение приоритетов импортозамещения;
г) разработка проектов по импортозамещению;
д) разработка проектов по ИТ-поддержке новых возможностей для бизнеса, появившихся после ухода конкурентов из недружественных стран.

Планирование среднесрочного и долгосрочного импортозамещения лучше сделать в рамках разработки (корректировки имеющейся ИТ-стратегии, если она есть), параллельно срочным проектам по импортозамещению.

Каждый из этапов будет рассмотрен в дальнейших публикациях.

Этап 1

Методика оценки рисков

На мой взгляд, для оценки санкционных рисков можно использовать диаграмму на Рис. 1:

Рис. 1. Диаграмма оценки рисков

На диаграмме выделены следующие области:

• Высокие риски: риски, которые будут иметь высокое воздействие на ИТ в вашей компании, а также высокую вероятность возникновения в течение ближайшего времени (несколько месяцев). Нужно срочно их устранять или хотя бы уменьшить.
• Средние риски: риски, которые будут иметь среднее воздействие и среднюю вероятность возникновения (несколько месяцев) или высокое воздействие и низкую вероятность, или высокую вероятность и низкое воздействие. Нужно постепенно их устранять или уменьшать вероятность их возникновения.
• Низкие риски: риски, воздействие которых можно оценить как низкое и вероятность их возникновения в ближайший год как низкую. Устранять в последнюю очередь и если это целесообразно.

Риски целесообразно рассмотреть для каждого элемента ИТ. Отказ в поддержке MS Office на персональных компьютерах и информационных систем на SAP могут иметь существенно разное воздействие, как, впрочем, и вероятность возникновения.

Таким образом для каждой информационной системы и элемента инфраструктуры ИТ нужно выписать перечень рисков и сделать оценки вероятностей возникновения и воздействия этих рисков. При этом и список рисков, и их оценки будут разные для разных компаний.

В качестве типовых рисков целесообразно рассмотреть как минимум следующие:

• Прекращение обновлений и/или поддержки.
• Прекращение работы (доступа).
• Кража данных.
• Искажение данных, внедрение вирусов и т.д.

Типовые решения по отношению к рискам:

a) устранить;
b) уменьшить (в т.ч. передавая риски другим компаниям);
c) принять (смириться с этим риском).

Основные группы рисков

Для разработки методики импортозамещения в ИТ автором этого текста были проведены обсуждения (включая анкетирование и углубленные интервью) основных санкционных рисков и планирования импортозамещения с ИТ-директорами 15 российских компаний.

Далее приведены результаты этих обсуждений. Они показали, что перечень возможных санкционных рисков похож для разных российских компаний, однако оценки уровня рисков и уместных вариантов импортозамещения сильно зависит от формы собственности (коммерческая или государственная компания), есть ли филиалы в других странах, территориальное размещение поставщиков и покупателей, а также владельцев компании.

Наличие филиала в Европе или владельца в Лондоне сильно меняют и отношение к санкциям, и планы по импортозамещению.

Также оценки санкционных рисков и вариантов их импортозамещения сильно зависят от размеров компании:

• Самостоятельные возможности малых компаний по минимизации санкционных рисков невелики, уместно ориентироваться на типовые решения по импортозамещению, выполняемые силами российских ИТ-компаний, например, перенести почту с MS Exchange 365 в почтовую систему одной из российских компаний, например, Яндекс или Mail.ru.
  Сложных информационных систем самостоятельной разработки у малых компаний обычно нет, и вопрос возможного переноса 1С разработок на SAP или Oracle не стоит.
• Крупные компании давно уже используют множество самых современных ИТ-решений, разработанных в недружественных для России странах.

Практически все крупные российские компании имеют информационные системы на SAP или Oracle, в которые вложены сотни человеко-лет разработки, а также требующие сотни миллионов рублей ежегодно только для обновления лицензий.
Решения по импортозамещению для больших компаний индивидуальны, скорее уместен постепенный, в течение нескольких лет, осторожный отказ от программного обеспечения, а также от технических средств недружественных стран.

• В данной статье рассмотрены типовые санкционные риски и возможные варианты их уменьшения, в первую очередь для средних по размеру российских коммерческих компаний, имеющих заказчиков в России.

Приведенные с ИТ-директорами российских компаний обсуждения санкционных рисков и планов по импортозамещению в ИТ позволили выявить несколько десятков типовых и существенных рисков в ИТ, появившихся после введения антироссийских санкций. Конечно, для каждой компании целесообразно рассматривать существенно больше рисков. Для примера рассмотрена только часть рисков:

• основные группы рисков рассмотрены на Рис. 2;
• риски для информационных систем и данных, Рис. 3;
• риски для инфраструктуры ИТ и ИБ, Рис. 4;
• риски для управления ИТ и ИТ в целом, Рис. 5.

Далее на Рис. 2 рассмотрены основные группы высоких и средних рисков по всем областям ИТ:

Рис. 2. Оценки групп санкционных рисков для ИТ

Самыми высокими рисками являются:

1. Потеря данных в американских «облаках», в том числе из-за прекращения доступа.

2. Хакерские атаки, координируемые из США и других недружественных стран.

3. Отсутствие российских аналогов программного обеспечения недружественных стран, особенно отраслевых решений и решений на SAP и Oracle.

Высокими рисками являются:

4. Прекращение работы решений по ИБ, в том числе американских программных и технических средств по информационной безопасности.

5. Дефицит технических средств: серверов, сетевого оборудования и т.д., ранее поставляемых американскими компаниями.

6. Прекращение аренды серверов в США (и других «облачных» ресурсов).

Средними рисками являются:

7. Прекращение сертификации, обучения и консалтинга, оказываемых организациями из недружеских стран.

8. Прекращение продаж лицензий на ПО, особенно Microsoft, Oracle, SAP.

9. Прекращение поддержки ПО, разработанного в недружественных странах.

10. Прекращение поддержки технических средств, особенно американских серверов и сетевого оборудования.

11. Прекращение работы ПО, особенно американских компаний.

12. Прекращение работы технических средств, особенно американского производства.

Риски для информационных систем и данных

На рисунке выше были приведены основные группы санкционных рисков. Далее рассмотрены основные риски для конкретных областей ИТ: информационных систем, инфраструктуры ИТ, ИБ, управления ИТ.

На Рис. 3 приведены оценки российскими ИТ-директорами вероятностей возникновения и воздействия на информационные системы и данные:

Примечание: здесь и далее под «американским» понимаются также недружественные по отношению к РФ страны, введшие антироссийские санкции

Рис. 3. Оценки санкционных рисков для информационных систем и данных

Высокими рисками являются:

• прекращение хостинга в США (SAP, Oracle, Microsoft и др.);
• прекращение работы MS Exchange Server 365 (точнее доступа вашей компании к вашей электронной почте;
• прекращение работы американского ПО по ИБ;
• прекращение поддержки и продажи лицензий Oracle, SAP;
• прекращение работы MS Active Directory.

Средние риски:

• прекращение поддержки и продаж лицензий MS Office;
• отказ в продаже новых лицензий на американское ПО;
• прекращение работы MS Office, прекращение работы Windows.

Низкие риски:

• отказ в обновлении и поддержке редко используемого программного обеспечения и т.д.

Еще раз уточним, что это усредненный, по результатам обсуждений с ИТ-директорами российских компаний, перечень конкретных рисков. Для каждой конкретной компании и перечень рисков, и их оценки могут быть другими.

Риски для инфраструктуры ИТ и ИБ

На Рис. 4 приведены оценки рисков для инфраструктуры ИТ и информационной безопасности:

Рис. 4. Оценки санкционных рисков для инфраструктуры ИТ и ИБ

К высоким рискам можно отнести:

• прекращение работы американских решений по ИБ;
• кражу данных;
• нарушение работы сайтов и информационных систем вашей компании;
• дефицит серверов IBM и HP;
• прекращение доступа к серверам ЦОДов в США.

К средним рискам можно отнести:

• отказ в поддержке американских серверов;
• отказ в поддержке американского сетевого оборудования;
• прекращение работы американских технических средств.

К средним рискам можно отнести, наверное, работу всех используемых в российских компаниях технические средства, так как в основе почти везде находятся микросхемы, разработанные и/или производимые не в России.

Риски для управления ИТ (и ИТ в целом)

На Рис. 5 приведены оценки рисков для управления ИТ (и ИТ в целом):

Рис. 5. Оценки санкционных рисков для управления ИТ (и ИТ в целом)

К высоким рискам можно отнести:

• опасность планирования долгосрочного использования американского ПО и технических средств;
• отсутствие хороших российских аналогов ряда американских ИТ-сервисов.

К средним рискам можно отнести:

• отказ от работы с Россией компаний из стран, введших санкции;
• отсутствие в России сертификации по ITIL и другим методикам (точнее, запрет формальных экзаменов со стороны международных организаций).

Выводы по оценке рисков

Проведенный выше анализ конкретных рисков в ИТ позволяет сделать вывод, что наибольшие риски будут в случае хранения критичных для вашей компании данных в американских информационных системах, расположенных на инфраструктуре в США (или других недружественных по отношению к России стран), см. Рис. 6:

Рис. 6. Оценка рисков, возникших после антироссийских санкций

На диаграмме выделены следующие области:

• Высокие риски: данные вашей компании хранятся в американском ПО на американских технических средствах и в США. В данном случае можно выделить риски прекращение доступа и кражи данных. В случае высоких рисков целесообразно срочное импортозамещение, в первую очередь, за счет переноса данных из США в Россию.
• Средние риски: данные вашей компании ведутся в американском ПО на американских технических средствах, физически расположенных в России. Риски: прекращение обновлений и поддержки, а также кража данных. Также к средним (или ниже среднего) рискам можно отнести российское ПО на американских технических средствах в РФ. В этом случае могут быть риски кражи данных. В случае средних рисков целесообразно постепенное и выборочное импортозамещение.
• Российское ПО на российских технических средствах в РФ (а лучше в офисе вашей компании). Риски: попытки хакерских атак.

Далее рассмотрены, в первую очередь, высокие риски.

Типовые варианты импортозамещения в ИТ

Обсуждение с российскими ИТ-директорами конкретных направлений уменьшения санкционных рисков в ИТ позволило выявить следующие типовые варианты импортозамещения в ИТ:

Рис. 7. Типовые варианты импортозамещения в ИТ

Можно выделить следующие типовые варианты импортозамещения технических средств американской разработки и расположенных в США:

• «а» -> «б»: переход на те же технические и программные средства, но расположенные не в США, а в России;
• «а» -> «в»: переход из США в нейтральные страны;
• «а» -> «г»: переход на российские технические и программные средства, расположенные в России.

Конечно, могут быть и другие варианты импортозамещения конкретных элементов ИТ.

Этап 2

В первую очередь, для определения возможностей для импортозамещения программных и технических средств нужно смотреть на то, как конкретные варианты импортозамещения уменьшают санкционные риски.

К сожалению, весьма редко есть полные аналоги программных и технических средств, при использовании которых появились санкционные риски:

• Как правило, российские аналоги есть для широко используемого программного обеспечения, не требующего настройки на конкретную компанию, например, редакторы текстовых документов, работа с электронной почтой, проведение видеоконференций.
• Для сложного программного обеспечения, например САПР, некоторые российские альтернативы могут быть, но, скорее всего, их функциональность будет в разы меньше, так как пользователей в России и их в сотни раз меньше, чем в САПРах, тиражируемых по всему миру. Также нужно учитывать, что в тиражируемое по всему миру программное обеспечение вложены сотни и даже тысячи человеко-лет разработки и много календарных лет на отладку всего этого. Создавать с нуля аналогичные программные комплексы, конечно, можно, но это займет минимум десятки человеко-лет и, что хуже, минимум 2-5 лет на попытки внедрить их для конкретной компании.
• В отличие от подавляющего числа стран мира российские платформы для автоматизации бизнес-процессов имеются, наиболее известный пример 1С. Конечно, в 1С вложены сотни человеко-лет разработки, но это на 1-2 порядка меньше, чем в наиболее тиражируемые по всему миру платформы, в первую очередь, SAP. Наверное, если очень активно развивать 1С (что сейчас и происходит), то через 2-5 лет при помощи 1С можно будет автоматизировать и большие российские компании. Но сейчас 1С хорошо автоматизирует малые и средние по размеру компании в типовых областях бизнеса, начиная с продаж.

Для выявления возможностей импортозамещения, кроме уменьшения санкционных рисков, также нужно учесть:

• Затраты на внедрение. Интересно, что стоимость российских аналогов MS Office вовсе не в разы дешевле, а сопоставима при меньшей функциональности и существенно меньшей совместимости с другим программным обеспечением. Кроме того, является полной загадкой, будут ли эти аналоги поддерживаться через пару лет.
• Время на внедрение. Сейчас российские разработчики программ для автоматизации бизнес-процессов активно предлагают свои разработки, обещая, что они легко автоматизируют все процессы вашей компании. На взгляд автора этого текста, «легко» выльются в минимум несколько лет попытки автоматизации с ежедневными наездами пользователей ИТ на ИТ-шников и несколькими сменами ИТ-директоров.
• Риски невнедрения. Вероятность, что ваша компания попробует выполнить конкретный проект по импортозамещению, есть, но за планируемое время и деньги это не получится.

К сожалению, для достаточно нового программного обеспечения с небольшим количеством внедрений, время и деньги на внедрение могут в реальности увеличиться в несколько раз, а функции, про которые разработчик пишет, что «это апробировано на десятках и сотнях компаний», могут не соответствовать реальности.

На мой взгляд, для быстрой оценки возможностей импортозамещения можно использовать диаграмму на Рис. 8:

Рис. 8. Диаграмма оценки возможностей по импортозамещению

На диаграмме выделены следующие области:

• Большие возможности импортозамещения: возможности, сильно уменьшающие санкционные риски и срок внедрения таких проектов невелик, 1-3 месяца. Такие проекты целесообразно выполнять с самым высоким приоритетом.
• Средние возможности импортозамещения: возможности, уменьшающие санкционные риски и требующие на выполнение 3-12 месяцев. Такие проекты нужно выполнять со средним приоритетом.
• Малые возможности импортозамещения: возможности или незначительно снижающие риски, или требующие много месяцев (или годы) на выполнение. Такие проекты целесообразно планировать с низким приоритетом.

Обсуждения с ИТ-директорами российских компаний позволили выявить следующие типовые возможности по импортозамещению в ИТ (см. Рис. 9):

Рис. 9. Возможности по импортозамещению в ИТ

Большие возможности импортозамещения:

1. Российские антивирусные средства.
2. Российские ЦОДы и «облачные» решения.
3. ИТ-стратегия с учетом импортозамещения.

Средние возможности импортозамещения:

4. Решения на 1С и другом российском ПО.
5. ПО с открытым кодом, в том числе Linux.
6. Китайские, а также российские технические средства.
7. Российские аналоги офисных программ, видеоконференциям и др.
8. Обучение и консалтинг российских компаний.

Малые возможности импортозамещения:

9. Реинжиниринг ПО и инфраструктуры ИТ на базе новых ИТ-технологий.

Также нужно иметь в виду, что могут быть:

10. Новые возможности для бизнеса после ухода из РФ компаний недружественных стран (включая американские и международные компании).
11. Господдержка при импортозамещении. Многие удивятся, но она декларируется российскими чиновниками, хотя не факт, что что-то перепадет вашей компании.

Этап 3

Методика оценки приоритетов импортозамещения

На Рис. 10 предложена диаграмма, которая может позволить спланировать очередность импортозамещения:

Рис. 10. Оценка очередности импортозамещения

Оценки санкционных рисков были проведены на этапе 1, оценки возможностей импортозамещения – на этапе 2.

На диаграмме выделены следующие области:

Срочное импортозамещение: в первую очередь, это относится к американскому программному обеспечению на американских технических средствах и в США. Возможности уменьшения санкционных рисков:

а) перенос данных в Россию;
б) уход от американского ПО, как минимум от его аренды;
в) отказ от аренды американских вычислительных ресурсов.

Постепенное и выборочное импортозамещение: это относится к американскому ПО на американских технических средствах в РФ. Возможности уменьшения санкционных рисков: уход от американского ПО, контроль его обновлений и переход на поддержку российскими специалистами.

Также это относится к российскому ПО на американских технических средствах в РФ. Возможности уменьшения санкционных рисков: уход от использования американских средств, переход на китайские средства (а лучше на российские).

Импортозамещение не требуется для российского ПО на российских технических средствах в РФ (а лучше в офисе вашей компании).

Далее приведены типовые приоритеты импортозамещения, полученные в результате обсуждений планов импортозамещения для 15 российских компаний:

• импортозамещение хостинга в США (и других недружественных странах), Рис. 11;
• импортозамещение для почты и офиса, Рис. 12;
• импортозамещение для ИБ и СУБД, на Рис. 14;
• импортозамещение для управления ИТ и ИТ в целом, Рис. 15.

Еще раз уточним, что это наиболее типовые варианты импортозамещения, в первую очередь, для средних по размеру коммерческих компаний.

Хостинг в США

Типовые варианты импортозамещения для хостинга в США рассмотрены на Рис. 11:

Рис. 11. Типовые варианты импортозамещения для хостинга в США

Если вашей компании не повезло, и, как советуют «лучшие международные практики», вы пользовались хостингом информационных систем в США, а также хранили данные где-то «в международных облаках», то с учетом антироссийских санкций данные из США надо срочно вытаскивать:

• Хостинг в США информационных систем на SAP, Oracle, Microsoft и прочих американских компаний, целесообразно срочно переносить в Россию (в локальную сеть вашей компании, или российский ЦОД). С точки зрения минимизации санкционных рисков хорошим вариантом является перенос информационных систем с американских платформ на российские (в первую очередь, 1С). Однако это, скорее всего, будет и долго, и сложно, 1С пока не дотягивает до требований больших компаний.
• Архив данных, если он был в США, российские компании уже в основном перенесли в Россию, в локальную сеть вашей компании или российский ЦОД. Непраздным является вопрос, продолжает ли ваша компания использовать для ведения архивов американское ПО и хранятся ли данные на технических средствах разработки американских компаний. Я много лет работал в IBM. На мой взгляд, компания IBM сама не будет воровать или портить данные вашей компании, но предоставит такие возможности американским спецслужбам по первому их запросу.

Почта и офисное ПО

Типовые варианты импортозамещения для электронной почты и стандартных офисных пакетов типа Microsoft Office рассмотрены на Рис. 12:

Рис. 12. Типовые варианты импортозамещения для почты и офиса

В предыдущие лет пять ряд российских компаний повелись на простоту и дешевизну использования программного обеспечения, работающего по модели SaaS (Software as a service). Это действительно проще с точки зрения первоначальной установки. С точки зрения обмена данными с другими информационными системами вашей компании это обычно серьезная проблема.

Модель SaaS очень удобна разработчикам ПО, так как появляются регулярные платежи, а нелицензионное использование можно свести к нулю.

Вот возможные рекомендации, если ваша компания использует аренду американского ПО:

• Насколько возможно быстро вытащить данные из США, особенно критичные для вашей компании, в том числе электронную почту в Microsoft Exchange Server 365, пока вы не потеряли всю почту. Санкционные риски существенно меньше, если тот же Microsoft Exchange Server (не 365) будет находиться в России, в локальной сети вашей компании. Хотя такие переносы даже до 2014 года не были простыми и быстрыми. С точки зрения минимизации санкционных рисков хорошим вариантом может быть ведение электронной почты на «шароварных» почтовых системах, лучше даже на Unix, расположенных в российских ЦОДах. Хотя пользователи ИТ будут огорчены потерей при таком переходе множества сервисов типа организации встреч, бронирования переговорных комнат и т.д.
• Если когда то, послушав обещания хорошо обученных продавцов Microsoft, ваша компания перешла на MS Office 365, то вполне реально перейти на российские или «шароварные» офисные программы, благо они есть, и процентов 95 пользователей устоят, хотя радости от перехода у них не будет.

Кстати, можно сделать вывод, что если бы США не ввели санкции в 2022 году, то лет через 5-10 модель «аренды» программ просто позволила бы отключить санкциями любую страну мира. Просто движением руки рядового сисадмина где-то в США. А уж конкретную компанию или человека просто можно было бы «отменить», удалив из основных информационных систем.

Инфраструктура ИТ

Типовые варианты импортозамещения для инфраструктуры ИТ рассмотрены на Рис. 13:

Рис. 13. Типовые варианты импортозамещения для инфраструктуры ИТ

Так уж получилось, что последние лет тридцать используемая почти во всех российских компаниях инфраструктура ИТ (сервера, сетевое оборудование, системное ПО и др.) разработана в США. Хотя производство несложных технических средств, в том числе персональных компьютеров, уже лет пятнадцать как перенесено в Китай и другие азиатские страны.

Интересно, что еще до размещения заводов IBM в Китае, IBM пробовала в 1990-х годах развернуть производство персональных компьютеров в подмосковном Зеленограде, но завод вскоре закрыли, сославшись на невыполнение обязательств тогдашним мэром Москвы Лужковым.

Импортозамещение инфраструктуры ИТ не является простым и дешевым, тем более что американские технические средства (на момент написания данного текста) пока работают.

Вот что можно предложить по снижению санкционных рисков в инфраструктуре ИТ:

• Надо уйти от использования серверов IBM и HP, расположенных в США, перейдя на те же сервера, но в России. В принципе, есть сервера российского производства, но их мало, они дорогие, хотя переход на них вероятно уменьшит санкционные риски.
• С американского сетевого оборудования целесообразно перейти на китайское оборудование, российского скорее всего пока нет.
• Операционные системы лучше использовать «шароварные», заменив Windows на Linux, хотя это сложно и вряд ли приоритетно.

Часто есть и другие варианты импортозамещения конкретных элементов ИТ. Например, для американских серверов HP или IBM могут быть дополнительные варианты:

• договориться с российской ИТ-компанией, которая возьмет на себя поддержку ваших серверов и связанные с их неработой риски;
• арендовать вычислительные мощности у российских компаний, вообще уйдя от своих серверов и их поддержки;
• перейти на арифмометр и счеты (пока это шутка).

ИБ и СУБД

Типовые варианты импортозамещения для ИБ, СУБД и Active Directory рассмотрены на Рис. 14:

Рис. 14. Типовые варианты импортозамещения для ИБ и СУБД

На Рис. 14 рассмотрены варианты импортозамещения для ИБ и элементов инфраструктуры ИТ:

• С американских программных, а также технических средств по информационной безопасности лучше уходить. В отличие от большинства стран мира в России есть ряд своих решений по ИБ.
• Microsoft Active Directory используется в России очень широко. Варианты аналогичных «шароварных» решений есть, но многие из них работают под Unix, и в любом случае уход от Microsoft AD будет непростым. Не факт, что это самая приоритетная задача для российских ИТ-директоров.
• СУБД типа Oracle, MS SQL и других американских компаний используются в России часто, особенно MS SQL.

Есть ряд «шароварных» СУБД, например, PostgreSQL, переход на них вполне реален, есть даже российская версия.

Управление ИТ и ИТ в целом

Типовые варианты импортозамещения для управления ИТ и ИТ в целом рассмотрены на Рис. 15:

Рис. 15. Типовые варианты импортозамещения для управления ИТ и ИТ в целом

Управление ИТ в России последние лет тридцать развивается на базе международных методик, в том числе ITIL. Санкции сильно ограничили сертификацию по этим методикам, но вряд ли реально запретить использование методик, тем более что в России есть ряд ИТ-компаний, проводящих и обучение и консалтинг.

Импортозамещение в управлении ИТ (и ИТ в целом) целесообразно проводить по направлениям:

• Разработать план постепенного ухода с программных и технических средств недружественных для России стран, в первую очередь, США. Такой переход видится сложным, долгим и дорогим. Лучше запланировать его в рамках ИТ-стратегии, так как бессистемные метания в разные стороны будут стоить очень дорого.
• ИТ-услуги американских компаний лучше не использовать. Консалтинг международных (американских) компаний может довести российские компании с госучастием до разбирательств с правоохранительными органами по поводу возможной утечки конфиденциальной информации. Да и просто неэтично платить компаниям стран, которые ввели жесткие антироссийские санкции.

Этапы 4-6

После выявления возможных проектов по импортозамещению в различных областях ИТ нужно проанализировать их все вместе.

На Рис. 16 рассмотрен пример проектов по импортозамещению в ИТ, которые должны уменьшать санкционные риски, а также учитывать имеющиеся возможности по импортозамещению:

Рис. 16. Пример проектов по импортозамещению в ИТ

Возможные проекты по импортозамещению стоит поделить на:

а) срочные: их хорошо бы выполнить в ближайшие недели или несколько месяцев;
б) среднесрочные: до 1 года;
в) долгосрочные: на 1 год и более.

Безусловно, при выборе проектов, которые будут включены в план проектов (и на которые будут выделены ресурсы), нужно оценить не только выгоды от проектов, но и затраты на них, а также реальность выполнения этих проектов в вашей компании.

Для выбора проектов и разработки плана проектов можно использовать разработанную автором этого текста методику выбора проектов и разработки плана проектов: www.info-strategy.ru/publications/it-projects

Этап 5. Разработка проектов по поддержке новых возможностей, появившихся после санкций

Проекты по поддержке новых возможностей должны поддерживать требования бизнеса по ИТ-поддержке возможностей для бизнеса, появившихся после санкций. Пример рассмотрен на Рис. 17:

Рис. 17. Пример проектов по поддержке новых возможностей

Проанализировать новые возможности для бизнеса и для ИТ очень важно, многие компании об этом не думают, а зря. Стоит отметить, что проекты по поддержке новых возможностей могут быть и очень выгодны бизнесу, и очень рискованны. Например, у конкурентов IKEA есть шанс перехватить бизнес IKEA, хотя велики риски, что не удастся получить заказчиков IKEA, а также поставщиков и всю схему производства и продаж.

Со стороны ИТ тоже есть риски, что не удастся за приемлемое время автоматизировать новые бизнес-процессы, интегрировав их заодно и с уже используемыми информационными системами, данными, инфраструктурой ИТ, ИБ, персоналом ИТ.

Новые возможности для ИТ после санкций тоже могут быть (хотя проблем, конечно, больше):

• перейти на новые версии информационных систем (хотя только российских);
• упростить схему инфраструктуры ИТ и связей информационных систем;
• перейти на единую модель данных, вводя единые классификаторы и уйдя от множества дублирующих баз данных;
• получить одобрение руководства на серьезную оптимизацию ИТ, лучше оформив это в виде проекта по разработке ИТ-стратегии.

Этап 6. Интеграция проектов по импортозамещению и поддержке новых возможностей в план проектов по ИТ

Кроме выявления проектов по снижению санкционных рисков, а также проектов по ИТ-поддержке новых возможностей для бизнеса, появившихся после санкций, нужно согласовать эти проекты с уже имеющимися проектами по ИТ, разработав новый план проектов минимум на один год.

Интеграция проектов по импортозамещению в ИТ-стратегию рассмотрена на Рис. 18:

Рис. 18. Интеграция проектов по импортозамещению в план проектов по ИТ

На Рис. 18 нарисовано много блоков, но все не так сложно.

По горизонтали рассмотрены группы проектов:

а) уже имеющиеся проекты по ИТ;
б) проекты по импортозамещению в ИТ, нужные для минимизации санкционных рисков;
в) проекты по ИТ-поддержке новых возможностей для бизнеса, появившихся после санкций.

По вертикали рассмотрено:

а) требования к ИТ как со стороны вашей компании, так и со стороны государства;
б) группы проектов по ИТ (уже имеющиеся проекты, проекты по импортозамещению, проекты по поддержке новых возможностей);
в) недостатки в ИТ; риски в ИТ, появившиеся после санкций; возможности по импортозамещению в ИТ.

Может показаться, что многовато всяких блоков, но подумайте, произойдет что-либо хорошее при не учете хотя бы одного из них? А произойдет годик развития ИТ в направлении, не оптимальным для вашей компании, с последующей возможной сменой ИТ-директора.

Пример плана проектов по ИТ, который учитывает не только проекты по импортозамещению, но и уже запланированные проекты по ИТ, а также проекты по поддержке новых возможностей, рассмотрен на Рис. 19:

Рис. 19. Пример интеграции плана проектов по импортозамещению в план проектов по ИТ

По опыту других компаний проекты по импортозамещению в ИТ будут составлять только 20% от всех проектов по ИТ. Хотя, конечно, в каждом из проектов по ИТ нужно учитывать и санкционные риски, и возможности импортозамещения.

Этап 7

В предыдущих частях этой публикации рассмотрено, что никак не реагировать на санкционные риски явно неверно. Однако и рассматривать хотя бы только пару десятков санкционных рисков и еще больше вариантов уменьшения рисков явно непросто и долго.

Многие российские ИТ-директора соглашаются, что возможные проекты по импортозамещению надо интегрировать в ИТ-стратегию. Но это еще сложнее.

Для планирования долгосрочных, а также среднесрочных изменений можно использовать уже имеющиеся известные методики разработки ИТ-стратегий, например, методику, предложенную автором этой статьи в книге на 450 страниц («ИТ-стратегия: лучшие международные и российские практики»). Конечно, импортозамещение нужно рассмотреть в виде большой и важной части ИТ-стратегии, не забыв про то, что нужно запланировать развитие всех основных элементов ИТ (информационные системы, инфраструктура ИТ, управление ИТ, план проектов по ИТ, бюджет ИТ):

Рис. 20. Структура ИТ-стратегии с учетом импортозамещения

В ИТ-стратегии с учетом импортозамещения надо рассмотреть как обязательные для ИТ-стратегии разделы, так и разделы по:

а) оценке санкционных рисков;

б) выявлению возможностей по импортозамещению;

в) определению приоритетов импортозамещения;

г) разработке проектов по импортозамещению;

д) разработке проектов по ИТ-поддержке новых возможностей для бизнеса, появившихся после ухода конкурентов из недружественных стран.

Примерная структура такой ИТ-стратегии приведена во врезке:

Обсуждения основных санкционных рисков и планов импортозамещения с ИТ-директорами российских компаний показали, что можно выделить несколько этапов импортозамещения (см. Рис. 21):

а) Нужно быстро делать работы по срочному импортозамещению (перенести в свою компанию данные из американских «облаков», сделать все копии данных, усилить ИБ и т.д.).

б) Параллельно работам по срочному импортозамещению целесообразно спланировать среднесрочные и долгосрочные проекты по импортозамещению (по постепенному уходу от американского ПО, а возможно, и от технических средств). Очень желательно интегрировать проекты по импортозамещению в общий план проектов по ИТ, а также в ИТ-стратегию. На эти работы может уйти 1-3 месяца.

в) После срочного импортозамещения и разработки планов по импортозамещению надо эти проекты выполнять. Скорее всего, это проекты на 1-2 года, непростые, но похоже уже реально необходимые практически для всех компаний.

Рис. 21. Этапы импортозамещения

Выводы по планированию импортозамещения в ИТ

1. Риски, возникающие в ИТ из-за антироссийских санкций, сильно различаются для разных компаний. Точнее, разные оценки вероятностей возникновения рисков и их воздействия.
2. Проекты по импортозамещению лучше рассмотреть сразу все, но сразу делать только самые срочные.
3. Целесообразно рассматривать не только риски в ИТ, но и новые возможности для бизнеса, и новые ИТ-технологии.
4. Проекты по импортозамещению нужно интегрировать в план всех проектов по ИТ, а еще лучше в ИТ-стратегию. Нужно учитывать стоимость простоя бизнеса из-за его приостановки по причине возникновения санкционных рисков в ИТ.