Наталья Касперская - о болевых точках российской IT-отрасли

Наталья Ивановна, давайте начнем с кадров. С 2022 года много говорили о дефиците айтишников, но сейчас от отрасли слышно обратное: рынок сжимается, компании оптимизируются, на одно место приходит уже не два человека, а пятьдесят. При этом часть специалистов пытается вернуться после отъезда 2022-2023 годов, но их далеко не везде готовы брать. В то же время продолжает считаться, что дефицит есть. Как все выглядит на самом деле?

Наталья Касперская: Я бы не стала говорить о классическом дефиците кадров, картина гораздо более неоднородная. С одной стороны, мы наблюдаем некоторый избыток предложения низкоквалифицированных или самообразованных специалистов, которые вышли с трехмесячных курсов, такие люди никому не нужны, потому что за три месяца айтишником не становятся. Также на рынке много так называемых программистов-джуниоров, которые либо еще учатся, либо только что закончили вуз и не имеют практики. В этом сегменте число вакансий в 4-5 раз меньше числа соискателей.

А что с более опытными - "мидлами" и "синьорами"?

Наталья Касперская: По среднему звену ситуация ближе к балансу, примерно 50 на 50 между вакансиями и резюме. А вот по старшим и ведущим специалистам дефицит никуда не делся: количество вакансий стабильно превышает количество кандидатов. При этом у таких специалистов высокие зарплатные ожидания, что тоже воспринимается как нехватка. В итоге нельзя сказать, что проблемы уже нет или, наоборот, что есть кадровая катастрофа, просто картина радикально разная для разных уровней квалификации.

В то же время государство продолжает активно продвигать меры по подготовке кадров, взять хотя бы инициативу о 3‑процентных отчислениях на обучение в вузах. Многим кажется, что это напрямую связано с кадровым дефицитом. Так ли это и как бизнес воспринимает эту норму?

Наталья Касперская: Нет, 3% - это вообще про другое. В 2022 году с рынка ушли все крупные иностранные производители, которые активно продвигали в вузы свои обучающие программы: у Microsoft, Oracle, Siemens, SAP и других были свои кафедры и учебные комплексы, на этом строилась вся практическая подготовка студентов. Когда они ушли, вузам просто не на чем стало строить практику. Эту проблему заметило и Минцифры и пытается решить её стимулированием отечественных компаний-разработчиков к преподаванию в вузах и сузах.

То есть Минцифры предложило IT-компаниям самим закрыть этот разрыв?

Наталья Касперская: Да, логика была именно такая: "Российские компании с оборотом больше 1 млрд рублей в год должны преподавать в вузах". Но у бизнеса в это время возник резкий рост требований со стороны заказчиков из-за объективной необходимости импортозамещения. Бизнесу было объективно не до преподавания, поэтому большинство компаний энтузиазма преподавать не испытывали. Тогда Минцифры решило применить "кнут" - норматив об обязательных образовательных услугах со стороны ИТ-компаний в размере 5% от полученных от государства налоговых льгот (потом, правда, ставку снизили до 3%). Для компаний с миллиардными оборотами это суммы от нескольких миллионов рублей до десятков миллионов. Причём компания не может просто заплатить эти деньги вузу или потратить их, например, на оргтехнику или ремонт аудиторий. Компания должна прислать в вуз своих преподавателей, и их время будет зачитываться по средней ставке региона.

Для нас это требование не стало шоком: у нашей группы компаний уже много лет есть кафедра во ВШЭ, есть готовые образовательные лабораторные комплексы, которые мы поставляем вузам. Основная проблема - учебные часы: Минцифры требует минимальный фиксированный объем преподавания (вычисляемый из тех самых 3%). Но в компании всего 4 преподавателя, которые при этом заняты основной работой. Так что мы планируем нанимать дополнительных преподавателей.

Как отреагировали сами университеты? Они готовы реально впускать компании внутрь учебных программ?

Наталья Касперская: В целом вузы рады, особенно региональные: к ним приходят крупные компании, которых они раньше вообще не могли к себе затащить. Но есть и конфликт интересов: вузы не любят отдавать свои часы и программы, потому что по этим программам работают штатные преподаватели и впускать "чужих" на их место вузам невыгодно. Да и количество часов в существующих программах ограничено, так что приходится выискивать возможности упаковать новые практические программы в существующую программу обучения.

К реестру отечественного ПО. В профессиональной среде звучит критика: в реестр попало десятки тысяч продуктов, много "перелицованных" решений с высокой долей open source, а в некоторых отраслях, например в телевидении, реестр вообще не привязан к критической инфраструктуре. Что там происходит - реестр стоит выкинуть или его еще можно починить?

Наталья Касперская: Да, реестр отечественного программного обеспечения не привязан к критической инфраструктуре. У него другое назначение. Он должен устанавливать, является ли данный программный продукт российским. Далее законы о госзакупках и критической инфраструктуре (КИИ) накладывают требование закупать российское ПО. При этом для ПО в КИИ есть дополнительные требования от ФСТЭК, ФСБ и других структур.

В общем, реестр свою задачу стимулирования госзакупок отечественного ПО выполняет. Конечно, его можно совершенствовать, улучшения идут постоянно. Например, в следующем году добавятся новые классы ПО, будут ужесточены требования к работе на российских программных и аппаратных платформах.

Что касается заимствования открытого кода, то многие продукты в реестре действительно содержат значительную долю готовых библиотек с открытым исходным кодом. Но найти сегодня продукт, в котором нет открытых библиотек, практически невозможно - даже коммерческое, "закрытое" программное обеспечение неизбежно опирается на открытые библиотеки. Вопрос только в объеме заимствований и в том, выдержит ли продукт отключение этих внешних библиотек, если, например, какое-то открытое сообщество разработчиков (а все они давно уже финансируются и управляются американскими ИТ-гигантами) решит отключить от сервиса российских разработчиков.

В отрасли спорят о стратегии: либо минимизировать долю open source и наращивать собственный код, его долю в коде продуктов, либо, наоборот, максимально контрибьютить в открытые проекты, чтобы иметь в них голос и влияние.

Наталья Касперская: Идея максимального участия отечественных разработчиков в открытых сообществах как способ получить там право голоса не выдерживает проверки реальностью. Фактически только в одном сообществе по разработке - PostgreSQL - российские разработчики участвуют во втором (не первом!) круге принятия решений. Во всех остальных случаях влияние российских разработчиков на принимаемые решения о развитии чрезвычайно мало или отсутствует. А во многих сообществах после начала СВО российских разработчиков начали ущемлять в правах. Попытка "обогревать улицу" идеологически провальна и экономически бессмысленна: мы должны решать прежде всего свои внутренние задачи и отвечать за работоспособность своих продуктов, а не за чужие репозитории кода.

Нужно ли чистить реестр?

Наталья Касперская: Я уже сказала, что чистка реестра происходит постоянно. Например, в реестре от 30 до 60 операционных систем, хотя столько стране не нужно. Раньше многие разработчики брали открытую платформу Linux, добавляли несколько модулей и подавали её в реестр, как отечественную. Сейчас эту лазейку прикрыли. Вообще на рынке уже определились лидеры продаж среди настольных операционных систем - ОС "Альт", ROSA, Astra Linux и РЕД ОС, плюс две мобильные системы - Kaspersky OS и "Аврора". Остальным разработчикам, видимо, придётся заняться чем-то другим.

Во многих крупных компаниях регулярно звучит аргумент: мы лучше напишем свое, потому что понимаем собственные процессы, а чужое сюда не пристыкуется. Насколько это жизнеспособный путь?

Наталья Касперская: Этот путь чаще всего тупиковый. Компания делает для себя внутреннюю ИТ-систему. А потом её разработчики уходят или их сокращают за ненадобностью. Система начинает устаревать, а документация неполная, код не документирован, дополнения и изменения вносятся бессистемно. В итоге никто не понимает, как система работает, сисадмины молятся, чтобы она не рухнула.

При этом часто разработчики убеждают руководство, что они смогут сделать из внутренней системы коммерческий продукт и вывести её на открытый рынок, окупив расходы. Однако это почти невозможно: самоделка, работающая на одном предприятии, с разными подставками и костылями, при массовой эксплуатации начинает сбоить. Как правило, оказывается, что архитектура системы для массового использования непригодна и её нужно полностью переписывать. А материнская компания уже и денег не дает, потому что это теперь как бы отдельный бизнес. Я такую историю наблюдала несколько раз. Даже у очень крупных госкорпораций с ИТ-продуктами для рынка получается не очень.

Но на уровне государства все равно звучали посылы: пишите свое и идите на рынок.

Наталья Касперская: Да, есть теория, что корпоративные ИТ-решения нужно выводить на внешний рынок. Но, если компания льет металл или строит дороги, она не может по мановению руки топ-менеджера превратиться в разработчика ПО: это другая квалификация, другие каналы продаж, совершенно иная бизнес-модель.

Когда все пытаются стать многопрофильными холдингами и "заниматься всем", то результат не может быть одинаково высоким везде. В итоге на рынке появляются неконкурентоспособные низкокачественные продукты, которые крупные холдинги пытаются продвигать за счет большого бюджета на рекламу, а то и просто за счёт административного ресурса. Мне кажется всё-таки, что сапоги должен тачать сапожник, а пироги печь пирожник.

На медиафоруме в Сколково много говорили о том, что разработка требует денег, но бизнес не хочет идти за государственным финансированием: звучало буквально, что "за эти деньги потом очень не хочется сидеть". Что сейчас с ИЦК и ЦКР, которые изначально выглядели стройной системой поддержки?

Наталья Касперская: В индустриальных центрах компетенции по импортозамещению (ИЦК) жизнь была: за несколько лет суммарно потратили, думаю, до ста миллиардов рублей, выпустив несколько десятков отраслевых решений. Деньги давались под проекты создания специализированного ПО для нужд конкретной индустрии. Результаты оценить трудно, так как я не видела, чтобы они были где-то опубликованы. При этом некоторые компании активно брали деньги и создавали свои проекты с участием госфинансирования.

А ЦКР?

Наталья Касперская: С центрами компетенций по развитию российского общесистемного и прикладного программного обеспечения (ЦКР) ситуация следующая: государственных денег разработчикам напрямую не дали, было решено, что получать деньги на разработку нужных отраслевых продуктов будет заказчик, который в свою очередь будет платить разработчикам. Однако, например, общесистемное ПО, наподобие СУБД и операционных систем, а также ПО, которое нельзя привязать к конкретной отрасли - скажем, к информационной безопасности - в эту схему не вписались, так как у них нет конкретного заказчика.

Разработчики по направлению ИБ, по сути, как жили за свой счет, так и живут, а импортозамещение в этом сегменте произошло за счет обычных рыночных продаж заказчикам, которые сначала неохотно, а потом все активнее переходили на отечественные решения. То есть дополнительного стимулирования не получилось.

Где при этом мы находимся по уровню импортозамещения?

Наталья Касперская: Процесс идет, хотя неровно и не всегда радостно. Даже те, кто долго тянул с переходом, сейчас начинают заказывать отечественные решения, в том числе потому, что поддержка западного ПО деградирует, свежие версии с исправленными уязвимостями в России найти все труднее. При этом американские ИТ-гиганты ограничивают доступ к своим средствам разработки, что делает невозможной поддержку российских решений, например, для Microsoft Windows. Это значит, что даже российское ПО, работающее на иностранных операционных системах, будет постепенно умирать. Это значит, что направления развития иностранных и российских ИТ расходятся.

По многим направлениям, например в нашей сфере информационной безопасности, основные потребности рынка закрыты полностью. Кое-где наши решения даже обгоняют западные аналоги по функционалу. Хотя есть сегменты ПО, где отставание сохраняется и даже усугубляется в связи с относительно малым размером российского рынка.

Если говорить о промышленности, оттуда часто звучит скепсис: главное, чтобы металл лился, а ваше ПО - вторично, и импортозамещение там продвигается тяжело. Насколько действительно промышленность готова к переходу на отечественный софт?

Наталья Касперская: Даже металл сегодня льется с активным использованием цифровых технологий: системы управления производственными процессами, мониторинг параметров, автоматизация - это все ИТ, и, если они не будут работать, металл в какой‑то момент просто перестанет литься. На современных производствах вы уже не увидите классическую открытую домну, как на старых картинках: все процессы в закрытом цикле, огромные цеха управляются из операторской одним человеком, который смотрит на показатели и нажимает кнопки.

Но непрерывный цикл ведь усложняет внедрение отечественных решений вместо имеющихся?

Наталья Касперская: Да, это сложность, но не тупик: сейчас внедрение ПО идет поэтапно - сначала на менее критичном участке, затем на более ответственных сегментах. Компетенции по установке ПО в условиях непрерывного производства растут. И в любом случае, нужно двигаться, тогда через несколько лет мы придем к 100% замещению, а если сидеть и ждать появления идеальных продуктов, ничего не получится.

Мы с вами примерно месяц назад написали почти одинаковые посты в Telegram про идею регистра медицинских состояний, который сейчас обсуждается. С негативной оценкой инициативы. Какие угрозы вы видите в этой истории?

Наталья Касперская: Совет по правам человека недавно собрал заседание как раз по этой теме. Туда пригласили заместителя министра здравоохранения, который пояснял цели создания и принципы функционирования регистра. К сожалению, между декларируемыми целями и способом исполнения обнаружился серьёзный разрыв. Целью объявлены сбор общей медицинской статистики населения и общие слова про "улучшение жизни", а делается это путём ущемления конституционных прав граждан. При этом в постановлении правительства и пояснительных записках утверждается, что данные будут защищены, хотя практика утечек за последние несколько лет показывает прямо противоположное. Из государственных информационных систем утечки происходят постоянно, сотнями миллионов записей.

Речь идет не только о защите, но и о правовых последствиях для людей, попавших в такие базы. Кроме того, есть ощущение, что за счет обогащения этими данными ранее утекшей информации могут быть скомпрометированы и такие деликатные вещи, как, например, тайна усыновления.

Наталья Касперская: Именно. Это нарушение конституционных прав, врачебной тайны и права человека на тайну частной жизни, особенно когда речь о психических состояниях или беременности, которая вообще не должна интересовать МВД и Минздрав.

Человек может один раз пережить тяжелый нервный срыв, попасть к психиатру, а потом всю жизнь числиться в регистре психов. Его данные уйдут в МВД, где нет врачей, и по факту попадания в регистр человека могут лишить, например, прав на управление автомобилем или владение оружием.

Если это нужно для статистики, то зачем тогда передавать ФИО - достаточно просто передавать факт наличия заболевания. Кроме того, можно использовать распределенные базы: данные хранятся в медучреждении, а наверх уходят только агрегированные цифры по диагнозам и состояниям.

Вместо этого пытаются создать единый массив очень чувствительных данных, который потом с большой вероятностью всплывет в даркнете, будет соединён с другими базами и использован для втюхивания лекарств шарлатанами, мошенниками и вербовщиками.

Сегодня мы фактически видим уже целую индустрию вокруг утечек: от "Глаза бога" до десятков подобных сервисов. Есть ли вообще основания верить заявлениям, что "все защищено"?

Наталья Касперская: Сайт Глаз Бога закрыли, но он работает в Telegram, а кроме того, есть еще десятки таких же сервисов.

По оценке экспертно-аналитического центра InfoWatch, только за прошлый год в открытом доступе в даркнете оказалось более 1,5 млрд записей персональных данных - это в 10 раз больше населения России, то есть данные каждого (!) гражданина в среднем украли 10 раз. Ведь телефонные мошенники звонят не наугад: они называют ваше имя, недавние действия, например, оформление кредита, а далее ловят жертву на эмоциональные крючки вроде того, что "деньги ушли на СБУ". Это возможно только потому, что мошенники знают ваши данные.

На этом фоне развивается и ЕБС, и новые схемы дистанционной идентификации. Насколько они устойчивы?

Наталья Касперская: Да, нам рассказывают про очень высокую защищенность биометрии, но в реальной жизни массовые устройства для идентификации по лицу имеют дешевые камеры и слабые процессоры. Например, знакомая регулярно платит в супермаркете "улыбкой", просто это улыбка не её, а мужа, записанного на видео на смартфоне. Если так легко можно воспользоваться чужим лицом, то понятно, что мошеннические сценарии будут множиться, и разговоры о сверхнадежности биометрии выглядят, мягко говоря, преждевременными.

Но ведь теоретически биометрия может быть надежной.

Наталья Касперская: Технологически да: в пример часто приводят Face ID от Apple, где лицо сканируется по десяткам тысяч точек, анализируется "живость", объем, микродвижения, и просто фотографией систему не обманешь, но цена вопроса - огромные затраты на точный слепок и хранение. У нас же часто стремятся сделать дешево и быстро. Например, создание селфи для получения ID через мессенджер. И никто не удостоверяет, что на фото именно вы, а не ваш сосед. Я уже не говорю про качество камеры и фото - какая уж там "живость" и тысячи точек! Я читаю форумы разработчиков - они сейчас вовсю обсуждают возможности обхода системы: "Буду теперь за водкой брата посылать".

Перейдем к налогам. Как отрасль в итоге входит в новую налоговую конфигурацию, насколько она для IT‑компаний приемлема?

Наталья Касперская: Льготный режим был, конечно, комфортнее, но важно различать налоги "смертельные" и просто болезненные: то, что в итоге осталось, отрасль переживет, пусть и с падением прибыли. А вот введение 22% НДС на программное обеспечение с той скоростью, с которой это первоначально планировалось, могло бы привести к череде банкротств и фактическому схлопыванию ИТ-рынка России. Потому что многие контракты уже заключены на следующий год, суды не позволяют менять цену из‑за изменения налогов, и НДС превращался бы для разработчиков в чистый оборотный налог, забирая 20-22% из выручки.

То есть именно НДС называли самым опасным?

Наталья Касперская: Да, потому что основные расходы разработчиков ПО - до 80% оборота - это фонд оплаты труда. А закупок, на которые можно зачесть НДС - мало, поэтому почти весь НДС шёл бы к уплате налоговой - у большинства компаний просто нет такой прибыли. Я очень рада, что отрасли удалось отстоять нулевую ставку НДС. Что же касается повышения налогов на ФОТ, то это уменьшит прибыли компаний, но не является смертельным.

А снижение порога для упрощенной системы налогообложения?

Наталья Касперская: Для небольших компаний и стартапов это болезненно: налоговая нагрузка резко возрастает в момент перехода из категории с УСН на полную систему налогообложения, и часть компаний просто не переживет этот внезапный переход, к которому они не готовились. В нашей Ассоциации разработчиков программных продуктов "Отечественный софт" больше средних и крупных компаний, поэтому выборка по маленьким не слишком репрезентативна, но в целом понятно, что такое решение будет для них тяжелым ударом. Такое чувство, что правительству мелкий бизнес не нужен. А многие инновационные продукты возникают именно в маленьких компаниях.

Если смотреть вперед, чего отрасль ждет от 2026 года?

Наталья Касперская: Почти все готовятся к кризису и снижению бюджетов: я последнее время много общаюсь и с коллегами, и с заказчиками. Пока никто не сказал, что ждет от будущего года чего‑то хорошего. Многие компании уже сейчас думают о сокращениях или, как минимум, о заморозке найма, при этом рост зарплат не остановился полностью, а просто притормозился, и соискатели по‑прежнему ищут работу на повышенных ставках, так что давление высоких зарплат на работодателей сохраняется.