Ограничения на использование зарубежного трафика могут привести к кризису в ИТ–отрасли Петербурга.
Ужесточающиеся меры по контролю иностранного интернет–трафика вызывают тревогу у представителей IT–отрасли. Эксперты предупреждают: слишком строгие ограничения могут увеличить издержки, замедлить разработку и усилить давление на компании, работающие на глобальном рынке. В самом плохом варианте это способно привести к новой волне "утечки мозгов".
Импортный фундамент
Зависимость IT–компаний от зарубежной цифровой инфраструктуры остаётся значительной, несмотря на развитие отечественных решений. Речь идёт не только о доступе к отдельным сервисам, но и о работе всей цепочки создания программных продуктов.
“
"Это не просто вопрос удобства, это вопрос базовой работоспособности процессов", — подчёркивает руководитель совета по противодействию технологическим правонарушениям КС НСБ РФ Игорь Бедеров.
По его словам, CI / CD–пайплайны (системы непрерывной интеграции и доставки) постоянно взаимодействуют с внешними репозиториями, контейнерными хранилищами и облачными API. Значительная часть разработки опирается на международную экосистему open source. Даже если код хранится локально, команды регулярно загружают библиотеки, обновления и контейнерные образы из внешних источников.
"В типичном процессе разработки доля зарубежного трафика может доходить до 70–90%, особенно в современных проектах", — подтверждает ведущий инженер CorpSoft24 Михаил Сергеев.
Особенно чувствительна к международному взаимодействию разработка базовых компонентов ПО. Например, участие в open–source–проектах требует постоянного обмена кодом с глобальными репозиториями.
"Если посмотреть на разработчиков баз данных, которые участвуют в международных проектах в качестве контрибуторов, то без доступа к зарубежному трафику они не смогут ни отправить свой код в общий репозиторий, ни получить его обратно", — поясняет технический директор компании "Хи–Квадрат" Константин Ващенков.
ИТ–директор ГК "КОРУС Консалтинг" Максим Копов отмечает, что зачастую дело не в объёме трафика, а в самом факте подключения и степени его критичности для бизнеса.
"Например, чтобы запустить какое–либо устройство, работающее на зарубежном софте, нужен код производителя. Но при отсутствии связи получить его невозможно", — говорит он.
По словам Игоря Бедерова, наибольшая зависимость от внешних сервисов наблюдается на этапах сборки и тестирования продуктов.
“
"Оценить долю зарубежного трафика в типичном проекте сложно. Но можно с уверенностью сказать, что она доминирует на начальных этапах (сборка, тестирование) и при активном использовании внешних библиотек и open–source–компонентов", — полагает эксперт.
Старший партнёр IT–интегратора "Энсайн" Алексей Постригайло добавляет, что зависимость затрагивает не отдельные сервисы, а всю технологическую цепочку разработки.
"Да, часть компаний уже перешла на локальные решения. Но в реальных проектах мы регулярно видим смешанную модель, когда критически важные элементы разработки завязаны на внешнюю инфраструктуру", — подчёркивает он.
Плата за риск
Сама идея отслеживания трафика, идущего через VPN, вызывает у экспертов скепсис. Технически это довольно сложно осуществить. К тому же с увеличением количества способов контроля неминуемо растёт и количество способов его обхода.
"Современные VPN могут маскироваться под обычный HTTPS. Без глубокого анализа определить VPN очень сложно", — подчёркивает Михаил Сергеев.
Игорь Бедеров считает, что современные системы анализа трафика способны выявлять аномалии поведения. Однако внедрение таких решений требует значительных инвестиций и не исключает ошибок.
В случае введения лимитов или платы за зарубежный трафик бизнесу придётся адаптировать архитектуру IT–систем и пересматривать организацию процессов разработки.
По словам Михаила Сергеева, дополнительные ограничения приведут к росту расходов, особенно в проектах с активным использованием облаков и автоматизированных процессов сборки. Наиболее чувствительными остаются сборка проектов, загрузка зависимостей, работа с контейнерными образами и CI / CD–процессы.
"Кроме того, компаниям придётся пересмотреть работу с распределёнными командами, особенно если часть специалистов находится за рубежом", — дополняет Игорь Бедеров.
Компании, ориентированные на экспорт, могут начать переносить инфраструктуру за пределы страны или создавать локальные зеркала репозиториев и контейнерных образов, что потребует дополнительных вычислительных мощностей и затрат на поддержку. Впрочем, Максим Копов сомневается, что бизнес будет принимать резкие решения.
"Компании, вероятно, займут выжидательную позицию, поскольку перенос инфраструктуры требует значительных инвестиций и осложняется санкционными ограничениями на поставку оборудования", — прогнозирует он.
Константин Ващенков указывает на ещё одну фундаментальную технологическую зависимость отрасли — это зарубежная микроэлектроника.
"Поверх импортной микроэлектроники в Россию импортируются операционные системы, поверх них — драйверы и остальное ПО. Уйти от этой зависимости невозможно до тех пор, пока не появится отечественная микроэлектроника", — говорит эксперт.
Разлетятся кто куда
Наиболее чувствительными к ограничениям могут оказаться экспортно ориентированные компании, а также сегменты аутсорсинга, геймдева и продуктовой разработки.
"У них плотная ежедневная работа с внешними сервисами, это играет решающую роль", — поясняет Алексей Постригайло.
По словам экспертов, ограничения могут замедлить разработку, увеличить стоимость проектов и снизить их конкурентоспособность на международном рынке.
"Предложения лишать IT–компании аккредитации за пропуск VPN–трафика создают для бизнеса колоссальные риски и могут привести к тому, что многие проекты, особенно в чувствительной сфере, будут просто заморожены", — считает Бедеров.
По словам Михаила Сергеева, часть специалистов уже рассматривает переезд в страны с более стабильным доступом к глобальной инфраструктуре.
“
"Интересно, что даже в самом Минцифры признают, что ограничения передвижения IT–кадров могут деструктивно отразиться на отрасли. Когда для эффективной работы нужно физически находиться вне юрисдикции со свободным доступом к GitHub и Docker Hub, многие компании примут это решение, несмотря на все льготы, оставшиеся в России", — комментирует Бедеров.
С точки зрения информационной безопасности последствия будут зависеть от того, какие решения компании будут использовать для адаптации к новым условиям.
"Если компании не будут скачивать VPN–решения с непонятных сайтов, а сделают всё правильно, то новых рисков по сравнению с имеющимися не будет. Но правильный подход присущ обычно крупным и средним компаниям. Малый бизнес может пойти по пути наименьшего сопротивления, а это влечёт и новые уязвимости", — объясняет бизнес–консультант по безопасности Positive Technologies Алексей Лукацкий.
Использование непроверенных решений может увеличить вероятность утечек данных и компрометации корпоративной инфраструктуры.
При самом пессимистическом исходе все эти факторы с вероятностью 99% заставят распрощаться с мечтами о Петербурге будущего, которые рисовали в своём воображении IT–специалисты 2010–х годов.
