Про разработчиков, российское ПО, ИТ-компании и образование
Еще на ЦИПР, в Нижнем Новгороде, коротко пообщались с High-tech Mail.ru. Разговаривали об ИБ-рисках для промышленности, проблемах разработчиков, ограничении доступа к open source-библиотекам и компонентам, а также об ИТ-компаниях и образовании и искусственном интеллекте — куда же без него! Перескажу основное из нашей беседы, возможно, кого-то давно интересуют эти вопросы.
Про генеративный ИИ, его устройство и основные риски
Генеративный ИИ устроен как «черный ящик»: есть большая база данных, которую нейросеть по запросу перемешивает и выдает ответ. «Черный ящик» — это не баг, а атрибут этой технологии. Объем данных в этой базе настолько велик, что их невозможно проверить, а система может выдавать разные ответы на один и тот же запрос, и никто — даже разработчики — не может объяснить почему выдан тот или иной вариант. То есть, ИИ — технология вероятностная
Главный риск генеративных ИИ-моделей — утечка данных. Все, что попадает в модель, там и остается. Например, конкурент вашей компании или геополитический противник страны могут составить хитрый запрос и вытащить документы, составляющие коммерческую, производственную или даже государственную тайну. То есть, риск компрометации, подсовывания ложной информации, вычисления российских пользователей есть всегда и серьезный.
Про доступ к Open Source и VPN
Все программное обеспечение так или иначе пишется с использованием компонентов Open Source. Возьмите любой продукт — найдете от нескольких десятков до нескольких тысяч иностранных библиотек, используемых при его создании. Запад в свое время подсадил мир на бесплатные технологии. Следствие этого — технологическая зависимость от Запада. И возможность отключить все технологии, которыми пользуются зависимые страны, в любой момент, по щелчку пальцев.
Когда на Западе начали блокировать российских разработчиков программного обеспечения, выяснилось, что разработчики не могут работать без VPN. Если ты заходишь как русский в зарубежные модели — тебя определяют и выбрасывают оттуда. Сейчас добавили проверки с подписанием драйверов. Нужно доказывать, что ты не русский разработчик.
Соединенные Штаты давно взяли курс на технологическое удушение стран, являющихся их идеологическими противниками. Open Source прикрыть нельзя, но доступ российской разработке к инструментам и библиотекам перекрывают. Переписать все с нуля невозможно — это откатит страну на десятилетия. Поэтому мы вынуждены использовать иностранные библиотеки. Но для разработки отечественного программного обеспечения нам нужны VPN. И это проблема, которую надо решать.
Про угрозы для промышленности
Существует целый спектр угроз для промышленности, связанных с ИТ: атаки на данные, на цепочки поставок, человеческий фактор, зависимость от зарубежных компонентов. Говоря о наиболее недооцененных и дорогих из них, следует исходить из целей, нужд и приоритетов конкретного предприятия. Для доменной печи остановка — это катастрофа, ее нельзя перезапустить. Для секретного предприятия такая катастрофа — утечка данных. Для крупной организации — репутационный ущерб и потеря клиентов. В каждом случае — свое.
Про импортозамещение
Импортозамещение идет, и мы продвинулись там, где могли. Грубо говоря, 80% импортозаместили, потратив 20% усилий. Но на оставшиеся 20% нужно потратить 80% усилий — это разрозненные узкие сектора, маленькие рынки. Стопроцентное импортозамещение невозможно, и это надо осознать.
Про ИТ-компании и образование
Появилось требование от Минцифры России — крупные ИТ-компании должны тратить на образование не менее 3% от сэкономленных льгот. Для нас это около 20 млн рублей. Но категории, которые идут в зачет, очень ограничены — только преподавание и написание программ. Передачу софта или спонсорство олимпиад, например, не учитывают. А часов для преподавания у нас нет — люди должны работать, а не преподавать за 4 тысячи рублей в час. И требования меняются каждый месяц. Как мы успеем выбрать 20 млн до конца года — я просто не понимаю.
Вообще у InfoWatch много соглашений с вузами — мы давно занимаемся практическим образованием в информационной безопасности. Передаем лабораторные комплексы бесплатно, обучаем преподавателей. На ЦИПР-2026 подписали соглашение с университетом Лобачевского, а на днях — с Югорским государственным университетом.