Проблемы перехода к облачным технологиям в государственных организациях
PC Week/RE №1 (878) 27 января 2015
Николай Носов | 09.12.2014
Облачные технологии — одно из магистральных направлений развития ИТ в мире. С этим сейчас уже никто не спорит. Общий принцип — не бурить каждому жильцу многоквартирного дома свою скважину, а просто открывать на кухне кран, вполне убедителен. И для бизнеса и для органов государственной власти. Особенно для органов государственной власти. Ведь у этого «многоквартирного дома» хозяин, по большому счету, один — государственный бюджет и вполне понятные потребности обитателей «квартир»
В теории — все понятно. Но вот на практике внедрение облачных технологий в государственных организациях буксует. Что-то давно не слышно о идеологически правильном подходе — «русском облаке» О7, проект создания которого вызывал такой энтузиазм в 2013 г. Да и на уровне «подъездов» — министерств, все идет не так бодро, как ожидалось. Хотя, конечно, прогресс есть.
Давайте рассмотрим проблемы, мешающие быстрому переходу на облачные технологии государственных организаций.
Психологические факторы. Консерватизм
Помните старого дворецкого Чарли Карсона из английского сериала «Аббатство Даунтон»? Как смешно выглядели его попытки препятствовать внедрению в поместье электричества?
— Зачем электричество, если есть свечи? — резонно возражал он.
— Зачем нам компьютер? Я все балансы отлично считаю на деревянных счетах, — заявляла главный бухгалтер организации, куда я пришел работать айтишником всего двадцать лет назад.
Человеку трудно переходить на новые технологии. Трудно вообще отважиться на что-то новое. Ведь старое уже работает, а как будет с новым еще не известно.
Эпизод из сегодняшнего времени. В организации нужно опросить сотрудников — где и когда они хотят провести новогодний корпоратив.
Айтишник быстро делает опросник на базе облачного сервиса. Сотрудники могут легко заполнить анкету с любого компьютера и мобильного устройства, анкета мгновенно анализируется и выдаются таблицы с результатом.
Гордый айтишник показывает свой продукт шефу. Тот его хвалит, копирует экран опросника в Word и рассылает файл сотрудникам по электронной почте. Те распечатывают анкету, заполняют и относят секретарю. Через несколько дней шеф разбирает собранную пачку бумаги, анализирует результаты и выносит решение. Проблема, для решения которой могли понадобиться минуты рабочего времени, отняла часы.
Есть и другая проблема. Что, после появления электричества, будут делать люди, работой которых было зажигание вечером в аббатстве свечей? Новые технологии часто делают ненужными целые профессии и сокращают количество рабочих мест. С внедрением новых информационных технологий процессы, меняющие общество, стремительно ускоряются. Мир будущего, описанный в романе Курта Воннегута «Утопия 14», стремительно приближается. Это, конечно, чувствуют и сотрудники ИТ-служб. Даже те, кто не читает фантастику. Будет ли нужна их работа, если ИТ-сервисы перенесут в облако?
Как результат — подспудное сопротивление внедрению облачных технологий. Да, эти проблемы типичны для всех нововведений, но нельзя и забывать, что они есть.
Ведомственность
Внедрение облачных технологий в государственных органах неизбежно приводит к перераспределению финансовых потоков между ведомствами. Например, в пользу Минкомсвязи. Понятно, что один из главных стимулов внедрения облачных технологий — экономия. Экономия за счет общего использования вычислительных мощностей, за счет отказа от дублирования работ в разных ведомствах. Но экономия — это снижение финансирования.
Снижение объемов финансирования вряд ли может нравиться. Тем более, что многие ведомства и другие отдельные звенья государственного управления уже вложили огромные средства во ставшие теперь не современными технологии, в свои дата-центры, в свои ИТ-службы, которые требуют денег. Да и здравый смысл подсказывает неразумность отказа от уже сделанных инвестиций.
Одно дело — удаленный райцентр, с практически отсутствующей ИТ-службой. Для него появление государственного облака означает возможность подтянуться к общегосударственному уровню стандартов работы при минимальных затратах.
Другое — огромное министерство с уже сложившейся инфраструктурой и своими ЦОДами. Конечно, не стоит все это бездумно выбрасывать. Нужны компромиссы, решения, интегрирующие старые системы с новыми платформами, а не просто их автоматический перенос в облака.
Еще один момент — отсутствие желания делиться данными с другими ведомствами. Каждое ведомство сидит на своей информации и верит своим данным.
Безопасность
Многие не доверяют облачным технологиям из-за проблем безопасности. Эти опасения охотно подогревают СМИ, периодически раздувая информационные компании по поводу хищения паролей в таких облачных сервисах, как почта и социальные сети.
Иногда складывается впечатление, что работа в облачной среде несет слишком много рисков безопасности и проще ее вообще запретить. Однако такой запрет приведет лишь к появлению «теневых ИТ» и использованию в служебных целях публичных облаков, зачастую расположенных заграницей.
Характерный пример — взлом хакерами этим летом почтовой переписки одного из наших вице-премьеров. Впечатлило не то, что такой высокопоставленный российский чиновник обсуждал детали бюджета страны по электронной почте, а то, что в переписке использовалась американская почтовая система gmail ! Интересно, как часто с госчиновниками проводится инструктаж по информационной безопасности?
В реальности риски информационной безопасности при работе с облаками не выше, чем при обычной работе в Интернете. А зачастую риски даже ниже. Например, связанные с защитой ЦОДа от аварий по электропитанию, с потерей данных, с природными катаклизмами.
Пример — работа одной из западных компаний, имеющей свои облака в дата-центрах Японии и Англии. Когда цунами уничтожил дата-центр в Японии, в фирме никто этого и не заметил, так как вся обработка перешла в дата-центр в Англии. Более того, когда через две недели сгорел и дата-центр в Англии, работа не остановилась, так как специалисты успели подключить еще один дата-центр.
Провайдерам облачных услуг проще решить вопросы привлечения высококвалифицированных специалистов, сертификации систем, выполнения требований регуляторов, в том числе и по ИБ, чем отдельным органам государственной власти.
Конечно, проблема безопасности существует. У государственных органов хватает закрытой информации. Не буду даже касаться вопросов, связанных с секретностью и государственной тайной. Этим пусть занимаются соответствующие службы. Но есть много информации служебного пользования, которая циркулирует в госучреждениях, не имеющих первых отделов. Например, адреса съемных квартир сотрудников силовых органов. Понятно, что такая информация тоже не должна попадать в общий доступ.
Никто не призывает переводить все системы в публичные облака. Для конфиденциальной служебной информации стоит использовать частные, где благодаря четкой настройке можно выделить контуры с существенными ограничениями прав доступа в соответствии с принятой политикой информационной безопасности.
Частное облако решит и другую проблему — необходимость наличия сертифицированного канала связи. В конце концов, что мешает разместить вам в ЦОДе провайдера свой криптошлюз? Например, VIPNET для связи со СМЭВ. Разве что ваши службы ИБ. Но и с ними можно договориться, если выполнить все их требования, что не кажется невозможным.
Сложнее с публичным облаком. В публичном облаке в принципе отсутствует понятие защищенного периметра. И ответственность за защиту конфиденциальной информации размывается между государственным органом и провайдером.
И хотя на практике в России уже во всю внедряются облачные технологии, более того, используют облака даже для обеспечения информационной безопасности, например с помощью сервера облачной электронной подписи Криптопро DSS, хранящего ключи и сертификаты пользователей, существуют определенные юридические проблемы, которые надо решать.
Законодательство
Плавно переходим к юридическим проблемам. Пока облачные технологии практически никак не регулируются российским законодательством. Конечно, уже есть законы, которые непосредственно влияют на развитие облачных технологий. Например, закон «О персональных данных» обязал хранить персональные данные россиян на территории России. Или принятый Госдумой «антитеррористический пакет» поправок к ФЗ «Об информации, информационных технологиях и о защите информации», согласно которому интернет-сервисы электронной почты и обмена мгновенными сообщениями будут обязаны обеспечивать хранение данных об активности своих пользователей в течение полугода и обязательно на территории России.
С отечественными компаниями все ясно. Используемые ими облака, содержащие такую информацию, должны переплыть в российские дата-центры. А вот что делать с Фейсбуком и Гуглом? Блокировать их сервисы на территории России? Впрочем, для госорганов эти проблемы не критичны. Они вполне могут ограничиться использованием сервисов, реализованных на дата-центрах России и внутренней электронной почтой.
Актуальней другие проблемы. Например, как уже было отмечено, слабо проработаны вопросы применения облачной электронной подписи. Разработчикам приходится ориентироваться на требования к серверу подписи, разработанные Европейским комитетом по стандартизации (CEN), что, конечно, не нормально.
Нужно разрабатывать законодательство, определяющее зоны ответственности при использовании облачных вычислений. В 2012 г. были попытки провести через Госдуму закон «Об облачных вычислениях». Противники закона возразили, что облачные вычисления — «это всего лишь технологический уклад, а не новый способ ведения бизнеса» и что «излишнее госрегулирование в некоторых случаях может стать фактором, замедляющим развитие», приводя в пример интернет-телефонию.
Потом появилось обсуждение проекта «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений».
Сейчас идет публичное обсуждение внесения в закон «Об информации, информационных технологиях и о защите информации» положений, касающихся облачных вычислений.
Предлагается внести новые определения, такие как «облачные вычисления» и «облачная инфраструктура». Поставщиком облачных услуг для государственных органов сможет быть только российское юрлицо или ИП, а сама облачная инфраструктура должна будет находиться на территории России. Причем провайдер облачных услуг должен будет пройти аккредитацию, правила которой будут разработаны правительством РФ.
После принятий поправок будет выпущено отдельное постановление правительства, которое определит требования и порядок предоставления услуг облачных вычислений. В общем, работа над законодательством идет, но не так быстро, как бы хотелось.
Политические риски
Проект «облачных» поправок к закону «Об информации, информационных технологиях и о защите информации», в какой-то мере является ответом на новый вызов, с которым столкнулись государственные органы — войну санкций.
Если еще год назад о проблемах импортозамещения почти не задумывались, то сейчас многие считают ее самой важной. Присоединение к режиму санкций компаний Microsoft и Hewlett-Packard наглядно показало зависимость гигантов ИТ-индустрии от политики и вновь высветило риски использования западных технологий.
В свете нарастания напряженности представляется целесообразным ориентироваться на отечественные разработки в области программного обеспечения и свободное ПО с открытым кодом. Проще говоря, использовать госорганам облачный софт не от Microsoft Azure, а от Parallels и размещать свои облака только в дата-центрах на территории России.
Говоря об импортозамещении, нужно уточнять, что речь в настоящее время идет о «западозамещении». Наша микроэлектроника находится в плачевном состоянии и при закупке серверов и другого аппаратного обеспечения придется зачастую ориентироваться не на российского производителя, а на азиатские рынки, прежде всего Китай.
Для организации облачных вычислений не обязательно иметь серверы наивысшей производительности, которые, как правило, первыми попадают под санкции. Это также является преимуществом облачных технологий во времена надвигающейся холодной войны.
Деньги
«Война санкций» обостряет еще одну проблему — финансовую. Не секрет, что стоимость услуг у зарубежных облачных провайдеров часто ниже, чем у отечественных. Невозможность аренды облачных сервисов за рубежом снизит уровень конкуренции в нашей стране и, как следствие, приведет к росту цен на услуги российских дата-центров. А это уже скажется и на государственных организациях, которым, скорее всего, работа с сервисами, хранящими данные вне территории России, и так будет законодательно запрещена.
Стоимость построения частых облаков достаточно высока. И с точки зрения конкретного органа государственной власти не всегда очевиден финансовый выигрыш от перехода к облачным технологиям, особенно, если организация недавно ввела в действие свой новый центр обработки данных.
В принципе понятно, за счет чего получается финансовый выигрыш на общегосударственном уровне. Консолидация вычислительных ресурсов и средств хранения данных позволяет сократить совокупную стоимость владения ИT-инфраструктурой благодаря возможности эффективного использования технических средств, например перераспределения нагрузок, а также за счёт сокращения расходов на администрирование. Но на практике на более низких уровнях госаппарата не все так просто. Конечно сама идея ИТ как централизованного сервиса, типа газа, электричества или горячей воды в кране очень привлекательна. Но если стоимость «газа» слишком высока, клиент предпочтет не подключаться к «горячей воде», а греть воду для мытья в тазике на дровяной печке.
Второй момент — сбережение сделанных инвестиций в свою серверную. Просто психологически жалко выбрасывать еще работающее оборудование. Вспомните свой 386-й ноутбук. Когда-то вы отдали за него целое состояние. А сейчас он ничего не стоит, хоть и отлично работает. Можно использовать его как печатную машинку, но зачем? И выбросить рука не поднимается. Вот и пылится в чулане.
Следующая проблема, присущая государственным организациям — механизм выделения средств. Во-первых, средства бюджета появляются в лучшем случае в феврале. А работать нужно и в январе. А кто за это будет платить? За услуги облачных провайдеров, за каналы связи? ИТ-службам госпредприятий приходится буквально уговаривать провайдеров не отключать их сервисы в январе, обещая заплатить позже. Но вот смогут ли они это сделать? Согласно 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» каждый год должны проводиться конкурсы. И совершенно не очевидно, что ваш провайдер опять окажется победителем. И что тогда? Как ему возвращать долги? И сколько проблем будет у организации, которая будет каждый год менять облачного провайдера и переносить свои облачные системы и виртуальные СХД на новые дата-центры?
Может лучше как-то подкорректировать законодательство в этой области? Например, проводить конкурсы на предоставление услуг в области облачных вычислений и каналов связи раз в три года?
Технологические проблемы
Хотелось бы упомянуть и о технологических проблемах. Не секрет, что госорганы используют самые разнообразные программные средства и перевод всего этого «зоопарка» в облака представляет определенную проблему. Разные системы, разные форматы данных — все это создает сложности для фирм, внедряющих облачные технологии в органах государственной власти.
Другой важный момент — адаптация существующих программных комплексов госучреждений к использованию в облаках. Возможность использования некоторых систем становится неочевидной.
Еще один тренд в развитии современных информационных технологий — мобильность. Все хотят иметь доступ к облачным системам со своих мобильных устройств. Это приводит к дополнительным технологическим проблемам — необходимости создания соответствующего ПО для мобильных устройств и обеспечения их информационной безопасности.
В заключение хотелось бы подвести некоторые итоги. Да, переход к новым технологиям не всегда прост и вызывает много проблем, часть которых была перечислена в этой статье. Эти проблемы надо решать. Но их наличие не отменяет главного — общей тенденции к переходу органов государственной власти к использованию облачных технологий.
Автор статьи — к.т.н., член Russian Cloud Computing Professional Association.
