суббота, 16 января 2010 г.

Мои размышления на тему сомнений успеха СПО в госсекторе

    Поскольку у меня организовалось несколько больше свободного времени чем обычно, то я решил написать данную заметку, которая начала оформляться у меня в голове пару месяцев назад. Толчком подтолкнувшим к написанию данной записи послужила вот эта заметка.

    Мне бы хотелось высказать свою точку зрения о том, что в нашей стране СПО (свободное программное обеспечение) в государственных учреждениях если и будет внедрёно, то очень-очень нескоро.

    Чтобы вы поняли причину моего скепсиса, позвольте для начала внести в мой рассказ немного лирики.
    Дело в том, что я работал в последние несколько месяцев в очень плотном режиме над парой достаточно крупных проектов. Работал в должности технического эксперта совмещённого с менеджментом этого проекта. И варианты внедрения СПО в рамках данного проекта я тоже рассматривал, если что.
    Заказчиком всего этого дела была областная администрация и выполнялось это всё в рамках административной реформы направленной на улучшение работы органов власти.
    Одним из моих начальников был очень умный человек из департамента науки и инноваций обладминистрации. Несмотря на наши кардинальные расхождения во взглядах, мы с ним отлично общаемся и вообще устраивали занимательнейшие беседы на самые разные темы. Одной из таких бесед было внедрение СПО и операционной системы Linux в частности, в госучреждениях хотя бы в рамках пилотного проекта машин эдак на 15-30. Дабы можно было обкатать различные продукты и решения и выработать впоследствии рекомендации необходимые для успешного внедрения указанных продуктов в промышленных масштабах. Так вот. Ответ был получен чёткий и однозначный - нет. На вопрос "почему?" и последующего обсуждения вырисовалась следующая картина:
    
    1. Государство у нас крайне непоследовательно в своих действиях. Всё те же заявления насчёт поддержки открытых решений носят по большей части декларативный и ни к чему не обязывающий характер. Вот пример под руку попался. Я сильно сомневаюсь, что это будет сделано к 2014 году. Кстати, обратите внимание. Там говорится лишь о методических рекомендациях, которые к тому же согласование ещё нигде не прошли. Пример который послужил толчком к написанию данной записи вы уже, наверное, тоже видели. Если ссылку не смотрели, то рекомендую оценить сей шедевр юридической мысли наших законотворцев.
    Те кто сталкивались с проверками на легальность установленного ПО в организациях знают, что наши доблестные защитники правопорядка требуют "лицензий на линукс" и наличие голографических наклеек удостоверящих "подлинность" установленного дистрибутива. То есть то, о чём я говорил. Об СПО говорят потому что это модно. Но слова и дело расходятся в нашей стране, когда дело касается представителей власти.
    2. Ответственность даже за такой небольшой проект ляжет на моего вышестоящего начальника. А ему этот эти проблемы не нужны даже в минимальном виде. Данный проект ко всему прочему бы в любом случае потребовал некоторых финансовых вливаний, а в случае бюджетного учреждения это сделать не так-то просто. Кроме того,у чиновников нет понимания того, как работает модель СПО вообще. Это тоже сильно усугубляет проблему.
    3. Патологическая боязнь и нежелание изучать новое у пользователей. Достаточно пары десятка жалоб на то, что иконки OpenOffice Writer отличаются от привычной им иконки Microsoft Word или расположены не там, где они привыкли - и всё, приехали. Это повод для вызова меня на ковёр к начальству как саботажника. Чтобы понять серьёзность проблемы, представьте себе обычную блондинку-виндузятницу у которой уже есть некоторое представление о работе с этим странным и непонятным железным ящиком. Представили? А теперь вспомните, какое раздражение вы получаете от этих самых "тупых пользователей" и их не менее "тупых вопросов" и умножьте эти проблемы в десять раз. Именно с этим вам придётся столкнуться при внедрении подобных вещей. Вы видели другое? Ваши пользователи пользуются СПО и довольны? Я аплодирую вам стоя, но вы, скорее всего, исключение из правил. Моя очень широкая практика как эникея так и системного администратора показывает, что большинство людей очень плохо приспосабливается к чему-то кардинально новому. Не забываем ещё о том, что мы имеем дело с госслужащими, которые внедрению чего-то нового противятся ещё больше.
    4. Организационные проблемы связанные с внедрением. У госсектора очень замечательные и тёплые отношения с проприоретарщиками. Не только Майкрософтом, кстати. Ряд решений используемых для того же портала для предоставления госуслуг базируются на программных продуктах Adobe, например. Уже отлажена цепочка взаимодействия между этими компаниями и их заказчиками в лице государственных учреждений. Переход на СПО потребует очень многих изменений в этом плане. В том числе в головах тех, кто этим будет заниматься.
    5. Нет чёткой законодательной политики в отношениях дистрибутивов и других программных продуктов с открытыми исходными кодами. То есть нет документов, которые бы говорили о том, что дистрибутив Икс, Игрек и Зет можно использовать, а вот дистрибутивы Альфа, Бета и Гамма - нет. И пока этой бумажки не будет - ничего не изменится. Потому что если внедрят где-нибудь дистрибутив Икс, а выйдет некий регламент или приказ указывающий, что надо использовать дистрибутив и программы из пакета Зет - кого-то поимеют. В том числе того, кто эту идею внедрению дистрибутива Икс предложил. И поимеют сурово. Потому как начнётся вой на тему "а вот теперь всё переделывать надо под дистрибутив такой-то и приделывать фичи такие-то".
    6. Наличие специалистов. И причём неплохих специалистов за нормальные, вменяемые деньги. Потому что студенты-мышкокликатели в случае внедрения и обслуживания подобного проекта не катят. Объяснять почему, надеюсь, никому не надо? А вопрос стоимости в данном случае стоит очень остро. Да, продукты M$ стоят порядочно, но найти дешёвого спеца по ним -  если не раз плюнуть, то вполне возможно за достаточно короткие сроки. Худо-бедно, но эта тактика работает и будет работать. Причём нужны не только системные администраторы, но и программисты которые будут вносить необходимый функционал. Ещё будут нужны специалисты по внедрению и тестированию. Помимо вышеупомянутых проблем, такая крайне неприятная особенность, что очень много специализированного госсофта под wine не пойдут, слишком уж плотно увязаны с использованием библиотек и особенностей API ОС Windows. Некоторые наработки и вовсе пришли из времён DOS. Эту проблему в лоб не решить, тут надо думать. И хорошо думать. Должен заметить, что один из наиболее серьёзных проектов которые я довёл до стадии промышленного использования в рамках работы на государство - кроссплатформенный. Серверная часть использует в основном именно СПО. Но это был проект совсем новый. Аналогов ему практически нет. И кроссплатформенность с переносимостью были заложены ещё на этапе формирования технического задания.
    7. Из вышестоящего пункта вытекает вопрос о технической поддержке таких решений. Да, я знаю, что Novell, RedHat и Mandriva имеют в России свои представительства. Не знаю только как обстоят дела у Canonical (примечание для школоты и прочих незнающих: это контора, которая занимается созданием и поддержкой дистрибутива Ubuntu Linux) в России. Допустим, пилотную стадию пройдём. Начнём продвигаться к стадии реального промышленного использовния. Тут же встаёт вопрос о:
а) ресурсах на поддержку у компании-внедренца. Скандал с записью дисков "школьного линукса" и ситуацией, когда у компании выигравшей второй тур конкурса "Школьный линукс" не хватает людей могущих заняться обучением, а те что есть - недостаточно компетентны, это крайне наглядно показал.
б) наличии качественной техподдержки за пределами Москвы и Питера если не напрямую, то через представительства.
И тут мы получаем следующую ситуацию - у компании Microsoft свои представительства или партнёры есть даже в глубинке, а не только в центральной части России. А у внедряющих СПО? А в случае госсектора этот вопрос очень-очень критичен. Потому что органы власти не только в крупных городах находятся.
    8. Почти нет по-настоящему грамотных людей могущих выработать регламенты и стандарты по использованию тех или иных технологий, протоколов или форматов обмена данными. Пожалуйста, анонимных аналитиков с одного известного ресурса мне не предлагайте. Это фанатики испортят даже то, что испортить казалось бы невозможно. И это, между прочем, тоже серьёзный вопрос. Так как здесь стоит проблема межведомственного взаимодействия и кучи других вещей требующих тщательного согласования между различными департаментами и органами власти.
    9. Российское сообщество делающее бизнес на СПО крайне разрознено и занято исключительно вопросами "распиливания" денег и устраиванием подлостей конкурентам или кого оно за конкурентов держит, как ни печально. И это несмотря на то, что места хватит всем. Ибо рынок непаханый, только успевай работать. И пока эти товарищи занимаются устройством пакостей друг-другу. А в это время та же компания Microsoft занимается тем, что делает значительно более выгодные предложения своим покупателям. Это и более подъёмные цены на их продукцию, включение всевозможных бонусов в виде бесплатных переходов на новые версии продуктов, неограниченное использование и передача их третьим лицам после полной оплаты лицензий на софт и так далее. Делаем выводы.
    10. Все мы знаем, что одним из плюсов решений основанных на СПО является их бОльшая безопасность и защищённость в отличие от некоторых других проприоретарных решений. В связи с наличием в нашем законодательством 152-ФЗ "О защите персональных данных" возникает проблема сертификации СПО-решений которые можно использовать в информационных системах обработки персональных данных (ИСПДН). Если до второй категории можно хоть и с большим трудом, но сделать реализацию на Linux можно, то для первой категории таких решений на текущий момент нет вообще. А сертификация таких решений стоит очень немаленьких денег. Спрашивается, кто это всё оплатит? Нужно ещё учитывать тот факт, что сертификат действует определённый срок. То есть раз в три года необходимо будет проходить сертификацию по-новой. Ещё одним требованием к ИСПДН К1 является обязательное наличие дополнительных средств защиты помимо встроенных в систему. И их тоже надо сертифицировать. Существующие в настоящий момент на рынке решения сделаны под сами-знаете-какую систему ну ещё немножко под Solaris есть. Интересующихся отсылаю к сайту ispdn.ru и перечню сертифицированных ФСБ устройств и программных продуктов предназначенных для работы с конфиденциальными данными. Вся эта информация лежит в  Сети в открытом виде. Таким образом, в настоящий момент наиболе критичная к проблемам информационной безопасности социалка и медицина переведена на Linux-инфраструктуру быть не может. По крайне мере легко и просто организовать переход не выйдет.
    11. Наличие уже имеющейся инфраструктуры построенной на Windows-решениях. По своему опыту я могу сказать, что я собственными глазами видел сложные и разветвлённые инфраструктуры построенных на AD+Novell eDirectory. В короткие сроки подобного рода системы перевести на СПО не получится. Сразу же возникнет вопрос о её удобном централизованном управлении. Novell eDirectory, кстати, гораздо сложнее в управлении, чем Active Directory. Хотя и не спорю, гораздо функциональнее. Хотя должен сказать, что мне поступали сведения о достаточно больших проблемах при работе с большим количеством доменов, субдоменов и синхронизации между ними. Подробностей мне, к сожалению, не сообщали. Продаю то, что купил.
    Да, есть другие продукты предназначенные для управления групповыми политиками и реализации сервера каталогов aka LDAP. На ум сразу приходят продукты от компании Likewise, Centrify, Sun DSEE. Ну ещё Puppet вдогонку. Но скажите, кто реально пробовал это в нашей стране на количестве компьютеров  больше 200-300 штук? Кстати, большинство подобного рода продуктов не бесплатны, ибо энтерпрайз. А бесплатные продукты брать никто будет по приине отсутствия адекватной технической поддержки по ним. Таким образом, менять шило на мыло так просто не станут, тем более, что в эту инфраструктуру вложено очень много наших с вами денег. Кстати, практически такая же ситуация наблюдается в достаточно крупном бизнесе по большей части. Теперь, надеюсь, понятно почему именно Windows-решения правят балом, а не какие-то другие? Ситуация из-за нынешней финансовой ситуации в мире меняется, конечно, но очень медленно.

В заключение хотелось бы сказать, что несмотря на все эти проблемы, success story внедрения СПО в органах власти таки имеются. Чтобы далеко не ходить дам ссылки. Раз, два, три, четыре. Есть вроде и другие. Это я назвал то, что смог найти по памяти.
Но как я уже сказал, без чёткой, грамотной и последовательной политики как нашей власти так и представителей бизнеса реализовать подобное в больших масштабах не получится. А надо бы.

10 комментариев:

  1. Принципиально, все эти проблемы вполне решаемы. Достаточно навыка убеждения.

    ОтветитьУдалить
  2. Скажите честно, вы хоть раз работали в очень больших организациях? А в госучреждениях? Так вот. Специфика работы подобного рода учреждений такова, что помимо убеждения там ещё надо иметь очень большой вес (в плане авторитета) и предоставить серьёзные обоснования, чтобы всё это реализовать. Но этого мало - вам ещё потребуется пройти через уйму совещений и согласований, прежде чем вообще какой-то результат появится. В федеральных масштабах это выливается в очень большой объём работы.
    И перечитайте внимательно текст ещё раз.

    ОтветитьУдалить
  3. извините, но читать белое на чёрном...чуть эпилептиком не стал

    ОтветитьУдалить
  4. >6. Наличие специалистов.

    Это действительно проблема для гос./муниципалов

    >3. ....
    Моя очень широкая практика как эникея так и системного администратора показывает, что большинство людей очень плохо приспосабливается к чему-то кардинально новому. Не забываем ещё о том, что мы имеем дело с госслужащими, которые внедрению чего-то нового противятся ещё больше.

    М.б. здесь 152-ФЗ и сможет как-то помочь. Т.к. работать на раельно защищаенных форточках будет гораздо неудобнее, чем на сертифицированном Линуксе.

    Другой вопрос, что бизнес будет гораздо труднее переводить т.к. перестраивать уже существующие системы, которые делались на форточках будет весьма дорого...

    >10. ... В связи с наличием в нашем законодательством 152-ФЗ "О защите персональных данных" возникает проблема сертификации СПО-решений которые можно использовать в информационных системах обработки персональных данных (ИСПДН). Если до второй категории можно хоть и с большим трудом, но сделать реализацию на Linux можно, то для первой категории таких решений на текущий момент нет вообще.

    Не сказал бы, что для ИСПДн К2 так уж трудно найти - см. http://community.livejournal.com/personal_data/tag/linux

    Для К1 действительно труднее. Но на 3А/2А/1В итак немного решений - не исключаю, что спрос породит и предложения...
    Пока это только МСВС
    И здесь уже следует работать с производителями ПО для соответствующеих секторов экономики - т.к. на К1 одной ОСи мало, требуется совместимое ППО и СПО

    ОтветитьУдалить
  5. 2toparenko:
    Что-то я вас вижу чуть ли везде, где мелькают слова ИСПДН, 152-ФЗ и всё что связано с ПД :)

    М.б. здесь 152-ФЗ и сможет как-то помочь. Т.к. работать на раельно защищаенных форточках будет гораздо неудобнее, чем на сертифицированном Линуксе.
    Помнится в ru_sysadmins я поднимал эту тему, вы вроде мне тогда ответили, что сделать защищённую систему на никсах можно, тот тот ещё секс в отлчие от форточек. Что-то поменялось за эти пару месяцев?

    Другой вопрос, что бизнес будет гораздо труднее переводить т.к. перестраивать уже существующие системы, которые делались на форточках будет весьма дорого...
    А кто бы, собственно, спорил? Всё так. Очевидно же.

    Не сказал бы, что для ИСПДн К2 так уж трудно найти
    По ИСПДН К2 как раз проблем нет, о чём и речь.

    на К1 одной ОСи мало, требуется совместимое ППО и СПО
    Есть очень хорошие решения для защиты Linux-серверов и рабочих станций, но это индивидуальные проекты. Тут скорее встаёт вопрос, кто бы профинансировал тому же "Эшелону" проверку этих средств и сертифицировал их. Я говорю например о том же SELinux, grsecuriry, RSBAC и других полезных штуках.

    ОтветитьУдалить
  6. Остался не отвеченным только один вопрос, а зачем переводить имеющиеся системы на СПО? Только вот не надо бред про защищенность и т.д, если будет распространение Линуха (или любой другой оси) достигать 90% в течении 20 лет, то будут для него (нее) теже 110000 уязвимостей (а то и больше) как щас на винду. Стройте новые решения на СПО, а дальше уже будет видно кто круче.

    ОтветитьУдалить
  7. 2Mikkey:
    Хороший, годный вопрос. Но ответ на него состоит из двух частей.

    Во-первых. Вопрос защищённости:
    В ответе ЖЖ-юзеру toparenko чуть выше я дал ему описание таких вещей как RSBAC, grsecurity, SELinux. почитайте внимательно ЧТО это такое и каков их функционал. Заметьте, ничего подобного под Windows нет даже близко. Хотя нет, вру. "Песочницу" для запуска потенциально небезопасных приложений Microsoft наконец-то вкрутило. Через одно место оно работает, ибо уже тут же нашли уязвимости, но сам факт, что они наконец-то начали это понимать радует.
    А подобного рода средств под Windows нет потому, что это требует очень глубоких изменений в ядре системы. Как вы понимаете, закрытое ПО таким образом пропатчить нельзя.
    ещё одна штука касающаяся безопасности - это так называемые hardened-сборки Linux. предназначенные как раз для эксплуатации в системах, в которых требуется высокая защищённость. Если отвлечься от Linux, то есть такая система как OpenBSD. Разработчики этой системы как никто смотрят в сторону параноидальной безопасности, и поэтому очень тщательно следят за кодом. Какие возможности по безопасности предлагает OpenBSD Вы можете найти сами. Список их таков, что любая форточка даже с дополнительными СЗИ отсосёт не разгибаясь и очень громко причмокивая. Кстати, большая часть коммерческих продуктов наработки всфере безопасности тырит почему-то именно у СПО. Нет, у них и свои ноу-хау есть. но тем не менее.

    Вторая часть. А нафига оно надо? Отвечаю. В случае с ППО (проприоретарным программным обеспечением) мы имеем дело с зарубежными компаниями. И покупая у них данную продукцию мы отдаём деньги совершенно другой стране и спонсируем экномику совершенно другой, нередко чуждой нам страны.
    Ещё одним ключевым моментом является формат данных применяемых в этих программах. В этом случае мы наблюдаем так называемый vendor lock-in. Другими словами - привязку к производителю. подсаживая на свою продукцию производитель опять же надёжно прикручивает нас к своему карману и может устанавливать какие угодно цены. Если бы не СПО, кстати, ценники на туже продукцию Microsoft до сих пор пор были бы просто астрономическими. Польза от конкуренции налицо. :)
    Туда же можно отнести большие проблемы при взаимодействии и обмене данными. Ибо та же майкрософт сама же является притчей во языцех, когда её не в первый раз ловят на том ,что она собственные же спецификации не соблюдает. В случае СПО такого не будет ,поскольку будет единый открытый документ описывающий необходимое и не допускающий разночтений.
    Ещё один момент - настраиваемость. В случае с ППО вы обязаны кушать то, что вам дают. На запрос о новом функционале вы обязаны милостиво ждать, когда барин соизволит что-то сделать. Ну, или платите огромные суммы за премиум поддержку, чтобы получить нужное. Вопрос ,у вас есть эти деньги? может лучше эти суммы потратить на что-то другое? В случае с СПО мы берём программиста на окладе и поддерживаем открытое решение, которое можно сделать таким, каким оно нужно именно Вам. Вы можете доработать необходимую программу по своему вкусу. Были бы спецы.
    Всё это способствует тому ,что у нас появятся свои специалисты, свои технологии, свои идеи. И у будет куда большая независимость в сфере электронных технологий. Банально, заезжено, но увы - это факт.

    ОтветитьУдалить
  8. Roger DeeGreeze,
    По поводу безопасности спорить не буду, ибо проверить по факту - невозможно, было бы 50% пользователей иксов, 50% винды, во тогда была бы статистика, а пока это просто теория, будет спрос на взлом юникс систем, будут дыры, щас же легче найти лазейку через неопытного пользователя с паролем "123" или отключенным фаервалом, под виндой и через него попасть в сеть.
    Скажу не как программист, а как менеджер, программиста на оклад взять - замечательно, только мы завязываем нашу систему на конкретном человеке. Такая же ситуация сейчас с 1С - разрабатывают на предприятие систему, потом уходят, в итоге предприятие у разбитого корыта - не может обновить базу. А если 2-3 программиста пройдет через предприятие, то в базе откровенный бардак. Это еще одна причина для директора или менеджера выбрать проприетарное решение.
    Так вот к чему это я веду. Это не Российские предприятия не готовы к СПО, это СПО на данный момент не готово к Российский предприятиям. Вот когда в самом СПО будет какая-то система управления, тогда вот эти проблемы о которых вы говорите они уйдут сами собой. Упрощаю совсем - нужно одно ООО, которое ообъединило бы несколько СПО проектов, для совместного продвижения, обучения, саппорта, соответсвенно для нескольких программных продуктов, что создало бы определенный бренд. Иначе в СПО сообществе получается либо лебедь, рак и щука либо Греция до н.э, кому что нравится.

    ОтветитьУдалить
  9. будет спрос на взлом юникс систем, будут дыры
    В том-то и весь цимес. К таким ситуациям СПО готово лучше, чем ППО. Уязвимости отслеживаются в открытом софте гораздо быстрее и латаются оперативнее. Ну и в силу архитектуры последствия таких вломов не такие страшные. Хотя взлом редхатовских серверов показал, что даже в серьёзной инфраструктуре бывают дырки. Но заметьте, они извлекли из этого урок и провели серьёзнве мероприятия. Майкрософт же ничему не учится. Хотя, возможно, они просто пали жертвой своей же стратегии. По признанию одного из главных разработчиков ядра Windows "мы уже сами не понимаем как оно работает".

    замечательно, только мы завязываем нашу систему на конкретном человеке
    Это другой плюс СПО. Это как раз уход от vendor lock-in. Вы всегда можете выбирать поставщика услуг. Поскольку код открыт, то и шанс найти человека который с этим работал гораздо выше. Ну и в нормальных конторах когда человек уходит, он санчала себе замену ищет и вводит её в курс дела.
    Ну и в большинстве случае так называемый "человеческий фактор" про который любят все говорить - банальнейшая жадность работодателя.

    А если 2-3 программиста пройдет через предприятие, то в базе откровенный бардак.
    Вот для этого, кстати, некоторые компании вроде Google выпускают специальные инструкцию по стилю программирования. Что есть верный подход.

    Упрощаю совсем - нужно одно ООО, которое ообъединило бы несколько СПО проектов
    Ни в коем разе. Лучше иметь несколько крупных компаний и кучу мелких. Собственно, именно так дело сейчас в СПО и обстоит. Есть монстры типа IBM, RedHat, Novell и есть компании помельче. Выбирайте по соотношению цена/качество. Но как верно заметили, да для бизнеса проще иметь какую-то мегаконтору,которая будет поддерживать этот софт даже в случае ядерного удара. но интероперабельность в этом случае дико страдает.

    ОтветитьУдалить
  10. >Что-то я вас вижу чуть ли везде, где мелькают слова ИСПДН, 152-ФЗ и всё что связано с ПД :)

    Тема стоит на мониторинге Сети ;)

    >Тут скорее встаёт вопрос, кто бы профинансировал тому же "Эшелону" проверку этих средств и сертифицировал их.

    Мало профинансировать, тут еще надо в серию пустить. Например Информзащита делала СекретНет для ЦБ под Unix - но все права у ЦБ и больше никто этим не воспользуется.

    Т.ч. скорее всего это должны будут оплатить интеграторы. Например тот же Эшелон, или Инфосистемы Джет (которые с *nix-ами давно работают), или Информзащита (которая сейчас активно продвигает Linux XP)

    ОтветитьУдалить