Проблемы с безопасностью данных. Почему государственные IТ-сервисы не принадлежат Украине?

25 сентября 2020, 08:00

99% государственных органов заказывают разработку IT-продуктов у частных компаний. Это негативно влияет на IТ-безопасность государства. Можно ли избавиться от этой зависимости и каким образом?

Сегодня без IТ-поддержки невозможно представить ни одну частную или государственную компанию, ни один орган государственной власти. В украинском государстве IТ-услуги заказывают и крупные структуры вроде Единого государственного реестра, Нацполиции и министерств, и мелкие организации: ОТГ, школы, больницы. Как правило, речь идет как о масштабных IТ-проектах, так и о простой настройке серверов.

Видео дня

Безусловно, все было бы нормально, если бы эти услуги полностью не заказывали у частных компаний. А сегодня ситуация такова, что частные компании чуть ли не везде обслуживают государственный сектор.

Как результат: государство становится заложником частного бизнеса. Риски очевидны даже не специалистам: никогда нельзя быть уверенными, что разработчик IТ-услуги не передаст данные другим лицам, не уничтожит их, не внесет в них изменения или не увеличит стоимость своих услуг в несколько раз. Последнее, кстати, наиболее распространенное явление.

В мире эта проблема называется «Vendor lоck-in» и считается реальной угрозой для государственной IТ-безопасности. В Украине это колоссальная проблема, но о ней почему-то почти не принято говорить.

Денег нет, специалистов тоже

Недавно мы в ГП Прозорро провели дискуссию на тему вендор-лока в украинских государственных органах власти. От профильных специалистов я услышал неутешительные выводы. Развитие информационной безопасности финансируется государством по остаточному принципу — то есть когда средств особо и не остается.

Несоответствие зарплат государственного сектора рыночным — наверное, одна из самых больших проблем IТ-сектора. Об этом свидетельствует, в частности, статистика зарплат в частных компаний. Следовательно, государственным учреждениям сложнее привлекать IT-специалистов. Ситуация лучше у госпредприятий, которые могут устанавливать рыночные зарплаты и проекты, в которые можно привлечь донорское финансирование. Впрочем, там, где не удается установить рыночные заработные платы, госструктуры передают свои IT-процессы на аутсорсинг частным компаниям.

Зависимость от одного поставщика IТ-услуги — это фактически поглощение IТ-процессов государственного учреждения одним разработчиком. Зачастую только та компания, которая разрабатывала продукт / услугу, может в дальнейшем его поддерживать, ведь она с самого начала заинтересована в том, чтобы заказчик не мог ни самостоятельно обслуживать продукт, ни передал его другой компании.

Каждый раз рассчитывать на порядочность исполнителей — плохая стратегия. Однажды может не повезти

По словам Ольги Макогон, которая в 2019—2020 годах возглавляла Государственный центр занятости, 80% бюджета на закупку IT-решений направлялось на поддержку уже существующей IТ-системы ГЦЗ, а не на ее развитие. В связи с этим поставщик услуг не был заинтересован работать над улучшением продукта, поскольку текущие договоры все равно гарантировали оплату его услуг. Существующая IТ-зависимость от поставщика связана была с ограниченными финансовыми и кадровыми ресурсами службы.

poster
Дайджест главных новостей
Бесплатная email-рассылка только лучших материалов от редакторов НВ
Рассылка отправляется с понедельника по пятницу

Бывает немало случаев, когда поставщики IТ-услуг брали за любые дополнительные сервисы немалые деньги из госучреждений. «Случаи, когда работы на 10 минут, а счет — на $600 — весьма распространенные в государственном секторе», — говорит Евгений Поремчук, технический директор компании BWN Group LLC, занимающейся разработкой и внедрением решений в области e-government.

Что делать?

Для начала необходимо признать наличие проблемы вендор-лока и создать простые установки для государственных органов, что делать в том или ином случае. «Мне, как человеку без опыта, не хватает государственных рекомендаций относительно технических требований, реализации того или иного IТ-решения и вообще того, как избавиться от вендор-лока или как обращаться с частными исполнителями», — говорит Ольга Макогон. То есть нужен чек-лист, благодаря которому человек без технического бэкграунда мог бы определить, как предотвратить попадание в ловушку частного исполнителя при подписании договоров и как из нее выбраться, если уже попал.

Во-вторых, построить стабильные, защищенные и постоянные IТ-системы без финансирования и компетенций внутри просто невозможно. Система Prozorro была создана волонтерами почти бесплатно, и тот факт, что она сегодня полностью принадлежит и администрируется государством — заслуга честных и порядочных людей, которые создавали эту систему. Похожая ситуация с системой Дія, которую также на волонтерских началах создавала частная компания EPAM и которая отходит от ее разработки, передавая все права государственной компании DIIA.

Но каждый раз рассчитывать на порядочность исполнителей — плохая стратегия. Однажды может не повезти. Итак, вывод второй: государство должно обеспечить необходимое финансирование разработки и поддержки своих IТ-решений.

Хорошая практика — создать собственную IТ-команду и самостоятельно управлять всем процессом разработки. Именно так мы в Prozorro сделали в свое время, чтобы в решении наших текущих потребностей не зависеть от компании-подрядчика.

Но далеко не все министерства и ведомства могут создать собственный IТ-департамент. Это действительно сложно и порой просто не нужно: достаточно иметь в штате несколько хороших специалистов, которые смогут наладить работу с подрядчиком.

Для начала нужно юридически оформить права на доступ к исходному коду. К сожалению, у большого количества госучреждений исходный код не принадлежит государству. На самом деле заказчик должен обладать исключительными правами на код и хранить его на собственных серверах. И это второе условие: построение собственных серверов для хранения исходного кода.

И последнее: разрабатывайте свои IТ-системы таким образом, чтобы они были максимально независимы от платформ (операционных систем, систем управления базами данных и т. д.), которыми вы пользуетесь.

В целом государственные данные и IТ-системы — одна из составляющих нашей безопасности. Поэтому проблему вендор-лока необходимо решать централизованно и целостно.

Показать ещё новости
Радіо НВ
X