Российский бизнес прошел через пик вынужденного импортозамещения и входит в фазу новой ИТ-зрелости. Главный вопрос теперь не в том, чем заменить недоступный софт, а как заставить новую инфраструктуру работать эффективно и предсказуемо. При этом классическая модель аренды вычислительных мощностей (IaaS), казавшаяся еще не так давно универсальным решением, перестала быть панацеей. Компании обнаружили, что облака не избавляют от головной боли, а порой создают новую: вместо одного вендора приходится обеспечивать взаимодействие с несколькими, ответственность за безопасность остается на заказчике, а экономия на открытом ПО оборачивается непредсказуемыми расходами. Есть ли выход из данной ситуации, разбирались участники дискуссии, организованной РБК Петербург.
Гибридная реальность
Российский бизнес оказался в ловушке: отдавать все на аутсорс рискованно, но и содержать исключительно собственную инфраструктуру становится все дороже. Компании вынуждены балансировать между двумя полюсами, и этот баланс у каждого свой.
Директор по ИТ группы компаний «Латео» Иван Козлов убежден, что полный переход в облака для зрелого бизнеса — недостижимый идеал. По его словам, любая компания с историей неизбежно держит часть инфраструктуры у себя, и это не вопрос консерватизма, а объективная реальность. «Просто отдать все в облака сейчас не готов никто. Какую-то часть инфраструктуры неизбежно приходится держать своей — и дело не в нежелании, а в том, что полностью избавиться от собственных мощностей невозможно. Я не знаю ни одной компании с историей, кроме стартапов, которая ушла бы в облака на сто процентов».
Директор по ИТ «Автозавод Санкт-Петербург» Роман Цыганков добавляет, что выбор между облаком и собственной инфраструктурой — это вопрос не идеологии, а конкретных условий. «Универсальной таблетки нет. Есть технические ограничения, бюджетные ограничения, другие факторы, — рассуждает Роман Цыганков. — Ты всегда пытаешься найти баланс между облаками и тем, что делаешь у себя. Было несколько периодов: сначала все любили, когда все под боком, потом начали экстренно мигрировать в облака, а сейчас период гибрида».
Подтверждает эту мысль и директор по информационным технологиям METEOR Lift Антон Колганов: «Раньше мы все информационные системы держали в корпоративном периметре компании на собственных серверах. Однако практика показывает, что гибридные модели быстрее, проще, легче и экономически выгоднее, и поэтому часть сервисов (например, почту), мы развернули в облаках, установив для провайдеров строгие требования по информационной безопасности. При этом критически важные системы, как, например, управление заводом, остаются на внутренних мощностях. Оптимальное соотношение облачных и локальных решений каждая компания определяет самостоятельно, исходя из оценки критичности своих процессов», — отмечает он.
Плата за многовендорность
Уход западных поставщиков разрушил модель «единого окна» даже в том урезанном виде, в котором она была. Российские вендоры пока не закрывают стек и в том объеме, в котором это делали крупные иностранные компании — приходится собирать инфраструктуру из множества разных компонентов. Каждый новый продукт — это дополнительный контракт, дополнительная техническая поддержка и дополнительные риски на стыках технологий.
Заместитель генерального директора по цифровой трансформации Центра Алмазова Дмитрий Курапеев прошел путь от одного западного вендора к многокомпонентной российской инфраструктуре и признает, что управление таким разнообразием сервисов — это принципиально иная задача. «Когда решение зрелое и есть компетенции по всем направлениям, гораздо проще собрать единый сервис, — говорит Дмитрий Курапеев. — Сейчас же приходится увязывать решения разных вендоров между собой, и мы становимся интеграторами и тестировщиками в этом процессе, тратя время и ресурсы. На сборку такой инфраструктуры у нас ушло порядка 2 лет тестовых испытаний. В новой конфигурации задействовано порядка пяти вендоров, и это не предел».
Есть у проблемы и другая сторона. Как рассказал руководитель направления по разработке программного обеспечения АО «Лазерные системы» Павел Ладнов, для производителей промышленного оборудования для 3D-печати создание «облачной розетки» для клиента — это колоссальная работа, которая требует специалистов высочайшей квалификации. «Сейчас глобальный тренд — это переход к распределенному производству и цифровым складам, — объясняет Павел Ладнов. — А значит, необходимо выпускать продукты, которые будут работать в облаке. Однако при этом возникает множество вопросов: как передавать данные с завода, как обеспечить работу при обрыве сети и так далее. В текущих условиях это вопросы без ответа. К тому же нужны не просто программисты, а архитекторы систем, которые могут выстроить нужную логику, а с поиском таких специалистов есть трудности».
Экономия на дорогом
В 2022–2023 годах многие компании смотрели на Open Source как на спасательный круг — бесплатный, не требующий лицензионных отчислений. Но вскоре выяснилось: бесплатное решение требует огромных затрат на поддержку, к тому же надо учитывать риски, связанные с уязвимостями и закрытием проектов, что меняет экономику разработки. Но если подходить к вопросу вдумчиво, перспективы видятся неплохими.
Например, директор СПб ГКУ «МФЦ» Максим Александров рассказал, как государственная организация — 69 клиентских офисов, 4319 сотрудников, 370 госуслуг — разработала собственную систему дистанционного обучения, мониторинга печати и софт для оформления госуслуг на рабочих станциях самообслуживания МФЦ. Все это — на Open Source и силами штатных сотрудников. Максим Александров подчеркивает: «Двигаться по пути цифровизации важно, но и задача экономии бюджета не менее важна. Коммерческие решения стоят дорого, поэтому мы разрабатываем сами. Раз уж делаем для себя, то сразу эффективно. Например, мониторинг печати: раньше, контроль расходных материалов был субъективен, а теперь видим каждый отпечатанный лист и остаток тонера в картридже. Точность учета — вход сразу в несколько процессов: управление запасами, техобслуживание техники, закупки и контроль целевого использования расходников. Мы прекрасно понимаем риски: если ключевой разработчик уйдет из компании, система может встать».
И. о. директора СПб ГУП «АТС Смольного» Дмитрий Василец подтверждает, что Open Source — это инструмент, который удобен для внутренних задач, но для определенных видов деятельности (например, в случае, когда оператор связи обязан использовать сертифицированное ПО) он не подходит. При этом отказываться от него полностью тоже нерационально. «Операторы, которые работают с госзадачами, обязаны использовать сертифицированное ПО для всего, что связано с оказанием услуг. Это железное правило, — отмечает Дмитрий Василец. — А Open Source — для внутренних вспомогательных задач, которые никак не пересекаются с лицензируемой деятельностью. Например, для мониторинга или тестирования. Постепенно идет переход на российское ПО, но там, где это допустимо и удобно, решения на открытом ПО остаются — никакого нарушения в этом случае нет, просто разные инструменты для разных задач».
Где брать инженеров, когда все хотят быть программистами?
Проблема поддержки создания и развития инфраструктуры своими силами упирается в дефицит кадров. Рынок перенасыщен «кодерами», но катастрофически не хватает инженеров, понимающих, как работает сеть, СХД, виртуализация и железо на физическом уровне. Особенно остро эта проблема стоит в госсекторе и промышленности, где зарплаты не могут конкурировать с коммерцией.
При этом за последние годы сформировалось поколение айтишников, для которых работа с «железом» оказалась непрестижной, и это серьезная проблема, отмечает директор Санкт-Петербургского ГКУ «Санкт-Петербургский информационно-аналитический центр» Денис Улесов. «Сформировалось поколение IT-специалистов эпохи «лавандового рафа» и работы на пляже с ноутбуком, — говорит Денис Улесов. — Кодинг — пожалуйста, а разбираться в железе и в его администрировании у нового поколения АйТи-шников интереса значительно меньше. Даже в компаниях топливно-энергетического комплекса, где зарплаты соответствующие, найти молодых людей, которые качественно работают именно с железной инфраструктурой, очень тяжело. Программирование проще и финансово выгоднее. Как решить проблему нехватки специалистов — пока неясно, и даже облака полностью не устранят ее, потому что весомая часть поддержки ИТ в крупной организации все равно останется на ее сотрудниках, а не на подрядчике».
Директор по информационным технологиям Solopharm Павел Ададуров считает, что содержать команду разработки Open Source-решений невыгодно, поэтому Solopharm выбирает стандартные платформы — с ними проще искать специалистов на рынке и обеспечить необходимую поддержку.
«В нашей компании ИТ-подразделение недостаточно крупное, чтобы выделять продуктовую команду под Open Source, — говорит Павел Ададуров. — Поэтому мы используем только те решения с открытым кодом, которые уже стали стандартом рынка, — например, системы мониторинга. Они готовы к применению, их не нужно дорабатывать и постоянно поддерживать силами своей команды».
Отвечать всегда будет заказчик, сколько ни пытайся делегировать
Еще один важный вопрос — безопасность облаков. Многие бизнесмены наивно полагают, что если они купили облачный сервис, то провайдер должен решать все вопросы с защитой. Эксперты единодушны: это опасное заблуждение, облачные провайдеры в лучшем случае компенсируют месячный платеж, а не миллиардные убытки или уголовное наказание.
При этом эксперт по информационной безопасности Аллаяр Атаев ставит точку: безопасность в облаке — это не добавка, а совместная ответственность, но основная нагрузка лежит на заказчике. Даже если в SLA [Service Level Agreement, соглашение об уровне обслуживания — ред.] написано «мы обеспечиваем безопасность», это не означает, что провайдер возьмет на себя ответственность за ошибки клиента. «Информационную безопасность в облаке контролирует сам бизнес-пользователь. Всегда, — заявляет Аллаяр Атаев. — Облачные провайдеры берут на себя защиту своей инфраструктуры и предоставляют инструменты для обеспечения безопасности. Но если инцидент произошел на стороне заказчика — из-за неправильных настроек, несанкционированного доступа или действий сотрудников — это уже не зона ответственности провайдера. И переложить ее на плечи поставщика облачной платформы бывает крайне сложно: у провайдера своя логика аудита и своя экспертиза, которая может отличаться от ожиданий клиента. Именно поэтому выбирать поставщика сервиса надо очень придирчиво — но еще важнее правильно настраивать и управлять им».
Директор по ИТ ПАО «Судостроительный завод ОСК «Северная верфь» Евгений Горелов подтверждает: в оборонной промышленности есть данные, которые в принципе нельзя выносить в облако за контур. Но даже для менее чувствительных систем полностью переложить ответственность на провайдера не получится. Выход — сегментировать инфраструктуру и четко разделять, что можно отдать наружу, а что должно оставаться под полным контролем.
«Наша сфера накладывает дополнительные ограничения, но это не значит, что облака для нас закрыты полностью, — поясняет Евгений Горелов. — Мы можем вынести туда то, что не является критичным: сайт, какие-то вспомогательные сервисы. А все, что связано с производством или данными, требующими защиты, остается внутри. Это сознательное сегрегирование: мы не пытаемся запихнуть в облако то, что может создать риски. И в этом смысле облака даже удобны — они не требуют от нас усилий по развертыванию и поддержке того, что имеет второстепенные функции».
Директор по виртуализации и облачным сервисам «Группы Астра», генеральный директор Astra Cloud Денис Мухин признает: российское законодательство оставляет финальную ответственность за информационную систему на заказчике. Вопрос не в том, можно ли ее тоже «делегировать» провайдеру, а как в этих жестких рамках поставщику сделать инфраструктуру максимально безопасной и простой для его клиента.
«Вендор — если он, конечно, ответственно подходит к своим решениям — может предоставить инфраструктуру, где риски для клиента сведены к минимуму. Сертифицированные продукты, совместимость с СЗИ, аттестованные контуры под ключ — это то, что позволяет заказчику получить защищенную среду без необходимости самостоятельно проходить долгий путь интеграции и аттестации. Он по-прежнему отвечает за свою систему, но технологическая сложность уже снята», — объясняет Денис Мухин.
Не враги, а строгие партнеры
Еще один важный фактор, влияющий на эффективность использования облаков — позиция контролирующих органов. Вопреки распространенному мнению, ФСТЭК и ФСБ не сдерживают распространение облаков. Да, требования ведомств жесткие, аттестация может длиться полтора-два года, и это, по мнению экспертов, несколько снижает преимущества в скорости развертывания такой инфраструкутуры. Но проблема не в запретах регулятора: далеко не каждый провайдер готов вкладываться в сертификацию, а заказчик — проходить долгие процедуры.
Начальник сектора ИТ Государственного Эрмитажа Дмитрий Буданов делится опытом взаимодействия с надзорными органами в федеральном музее. По его словам, ФСБ в их случае — не карательный орган, а помощник, который помогает выстраивать защиту и закрывать уязвимости. «У нас есть кураторы от надзорных ведомств, и мы продуктивно с ними общаемся, они дают рекомендации, где усилиться, помогают с процедурой расшифровки трафика. Количество инцидентов у нас не растет, хотя количество атак увеличивается с каждым годом — и во многом это положительный результат работы с регулятором», — рассказывает Дмитрий Буданов.
Все когда-нибудь станет сервисом?
Вопрос о будущем on-premise инфраструктуры вызвал оживленную дискуссию. Мнения разделились, но большинство сошлось на том, что отказа от инфраструктуры в периметре компании не произойдет никогда, особенно в стратегических отраслях. И дело не только в консерватизме, но и в чисто практических рисках — от геополитических блокировок до роста цен на оборудование.
Глобальный опыт показывает: проблемы со стабильностью и непрерывностью интернет-соединения становятся реальностью. Компании, целиком ушедшие в облака, в случае проблем со связью на несколько дней теряют способность работать, тогда как организации с собственной инфраструктурой продолжают работу. Иван Козлов называет такую предусмотрительность не паранойей, а разумной осторожностью. Однако, по его словам, на практике уже есть те, кто готов отдавать в облака все, что не связано напрямую с основной операционной деятельностью — в тех случаях, когда специфика бизнеса этой позволяет. В опыте эксперта такие примеры есть — и они успешны.
Тем не менее тренд на переход в облака необратим. Экономика говорит сама за себя: содержание собственных дата-центров становится год от года дороже. Российское серверное железо за последний год подорожало кратно, и, по оценкам участников рынка, эта динамика сохранится. Плюс к этому — расходы на электроэнергию, охлаждение, штат инженеров, обновление софта.
Денис Мухин приводит жесткую цифру: за год цены на серверы выросли в три раза, и в ближайшее время ожидается новый скачок. По его словам, эта арифметика становится решающим аргументом для пересмотра стратегии в пользу облаков, особенно если речь идет о масштабировании или замене устаревшего оборудования. «При этом надо учитывать, что вендорские облака, построенные на едином технологическом стеке, дают дополнительную оптимизацию — например, при работе с отечественной микроэлектроникой. Мы, к примеру, уже тестируем доверенное облако на чипах Baikal, и это открывает новые возможности для безопасности и производительности», — отмечает эксперт.
Именно в этой логике рождается и запрос на те самые вендорские облака — готовые, предсказуемые среды, где технологический стек собран, протестирован и поддерживается одним разработчиком. Полноценная экосистема, в которой компоненты изначально спроектированы для совместной работы, безопасность встроена на этапе проектирования, а на вендоре лежит гораздо большая ответственность за базовую инфраструктуру, выходит за рамки простой аренды мощностей — уже привычной инфраструктуры как сервис, IaaS.
Что касается модели «все как сервис» (XaaS), то к ней российский бизнес пока движется осторожно. Западный опыт показывает, что модель работает, когда компания концентрируется на своем профиле, а все остальное — от ИТ до бухгалтерии — покупает как сервис. В России до такого уровня зрелости пока далеко, но тренд уже задан. Более того, в теории компании готовы покупать не мощности, а готовый бизнес-результат. Но на практике упираются в несовпадение картин мира: вендор, ИТ-директор и собственник по-разному видят и цели, и способы их достижения. ИТ-директора, в свою очередь, не всегда заинтересованы в упрощении — их роль во многом держится на способности быть переводчиком между бизнесом и технологиями.
Таким образом, российский облачный рынок входит в фазу гибридной зрелости, где выбор варианта становится прагматичным расчетом: TCO, риски простоев, доступность кадров.
