05 ноября, 10:54 / Тренды / Интервью

Наталья Касперская: «IT-зрелость – это не копирование, а создание своего»

Председатель правления АРПП «Отечественный софт» – о качестве импортозамещения, налоговом маневре и новых вызовах кибербезопасности

Мария Арялина

Карэн Эгнатосян для JetInfo

Повышение социальных налогов и эволюция кибератак ставят IT-отрасль перед новым этапом адаптации. Председатель правления Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт», президент ГК InfoWatch Наталья Касперская рассказала изданию «Ведомости. Технологии», как последние изменения влияют на рынок, почему реестр отечественного ПО нуждается в пересмотре и как кибератаки становятся частью гибридной войны.

– Давайте начнем с острых тем последних недель – обсуждения отмены льготы по НДС на отечественное ПО из реестра, которую в итоге сохранили, и повышения единого социального налога для IT-компаний. Как вы считаете, как это скажется на темпах роста отрасли, импортозамещения? И насколько болезненна грядущая налоговая трансформация?

– К сожалению, предлагаемые изменения были внесены министерством финансов России только в октябре. У компаний практически не оставалось времени, чтобы адаптироваться к введению 22% НДС на отечественное ПО и росту социального налога вдвое. Если бы повышение НДС объявили в начале 2026 г., то, возможно, разработчики хотя бы частично успели заложить это повышение в цены на ПО. Сейчас многие контракты на следующий год уже подписаны, изменить цены в них невозможно.

Если бы эти изменения приняли, то налоговая нагрузка на IT-компании выросла бы радикально. По подсчетам АРПП, она могла бы увеличиться с 5% до 30% от выручки. Поскольку у разработчиков мало закупок с НДС, а основной расход – до 80% – составляет зарплата программистов, то зачесть НДС, как делают торговые компании (когда компания производит продукт и со всей его цены должна оплатить НДС, но при этом может вычесть суммы НДС, которые оплатила поставщикам, в составе их цены за продукты. – «Ведомости. Технологии»), нельзя. НДС для айтишников является оборотным налогом. Мало компаний, которые могут заплатить с выручки сразу 22% (речь о размере ставки НДС с первого января 2026 г. – «Ведомости. Технологии».). Это означало бы массовое банкротство IT-компаний.

Все IT-ассоциации написали письма и президенту страны, и председателю правительства, предлагая различные варианты выхода из положения. Я рада, что правительство прислушалось к нам и НДС пока не введен. Что касается повышения социального налога – это, конечно, неприятно, но не смертельно для отрасли. Что делать? Будем снижать свою прибыль, мы понимаем ситуацию в стране.

«Вклад ИТ в ВВП России – 6%»

– С момента появления первого налогового маневра было введено большое количество льгот. Есть ли примеры компаний или сегментов рынка, где льготы действительно помогли?

– Безусловно, Россия сильно шагнула в цифровизацию, конечно, этому помогли льготы. Вклад IT-отрасли в ВВП по итогам 2024 г. составляет 2,4 %, а в 2019 он составлял 1,3%, согласно данным Института статистических исследований и экономики знаний НИУ ВШЭ. То есть рост почти вдвое. Согласно данным вице-премьера Дмитрия Григоренко, которые он озвучил на ЦИПР-2025, вклад IT в ВВП России – 6%. Расхождение вызвано тем, что Дмитрий Юрьевич, видимо, учел в статистике IT-дочки крупных компаний, включая государственные.

Если говорить о динамике IT-рынка, то, по данным АРПП, спрос на отечественное ПО за 2023 г. в некоторых классах ПО вырос в 10 и более раз. Например, госзакупки операционных систем выросли в восемь раз. Затраты госкомпаний на покупку отечественных СУБД (систем управления базами данных. – «Ведомости. Технологии») выросли как минимум в три раза, по данным Postgres Professional. То есть был сделан огромный шаг вперед.

При этом компании-разработчики в последние два-три года сильно вложились в развитие, в том числе наращивая штат разработчиков в несколько раз, что было бы невозможно без налоговых льгот.

– Можно ли сказать, что программа импортозамещения выполнена успешно и поэтому льготы можно отменить?

– Согласно 166-му указу президента («О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». – «Ведомости. Технологии»), к началу 2025 г. все объекты критической информационной инфраструктуры (КИИ) должны были перейти на отечественные решения. К этому сроку перешло лишь 20% компаний, сейчас, может, уже 30%. Но это значит, что еще 70% решений не замещено. Надо понимать, что импортозамещение – сложный, долгий, многоступенчатый процесс, так как требуется заменить весь стек технологий – от операционных систем до самого хитрого верхнеуровнего ПО. Пока с совместимостью и с функционалом отечественных решений есть проблемы. Отечественные решения созревают, но этот процесс не может быть мгновенным, требуется время. И этот процесс, в принципе, шел хорошо. Но если айтишники останутся без льгот, то процесс созревания, безусловно, замедлится.

Еще один аспект этой проблемы – кадровый. В 2022 г. много айтишников уехали из страны: по оценкам Минцифры, – около 100 000 человек, а по некоторым оценкам, и вовсе до 200 000. Но многие из них вернулись, потому что наши IT-компании и предприятия дают интересную, хорошую работу и платят высокие зарплаты. Если отменить разом все налоговые льготы, то компании будут вынуждены сокращать штат. Это крайне нежелательное последствие, учитывая, сколько сил и денег было потрачено на внедрение отечественных систем и цифровизацию.

«Реестр нужно почистить и привести к единому состоянию «отечественности»

– Как вам кажется, насколько сохраняется проблема копирования и воспроизведения иностранных решений или создания продуктов на базе open source с минимальной переработкой?

– Изначально, когда Реестр отечественного ПО только создавался, велись дискуссии, включать ли в него решения с открытым исходным кодом или нет. Тогда было принято решение о включении только тех решений на базе открытого кода, которые имеют отечественную поддержку: то есть те, у которых есть собственные команды разработки и поддержки в России. Но на практике эта формулировка расплывчата, поэтому в реестр пролезает много продуктов, практически не имеющих отечественной составляющей. До 2022 г. в нем было 6 000 продуктов, а сейчас уже больше 28 000. И проверить такое количество продуктов физически очень сложно, а сроки ограниченные, поэтому на глубокий анализ у экспертов просто нет времени. Это проблема. По идее, реестр надо почистить от подобных псевдороссийских решений и привести его к единому состоянию «отечественности». IT-зрелость – это не копирование, а создание своего.

– Почему только сейчас российские компании задумались о том, что разработка софта базово должна быть безопасной (Security by Design), что изменилось?

– Атак стало больше. Security by Design – это понятие, означающее, что защищенность будущей системы проектируется одновременно с ее разработкой. То есть мы не просто строим дом, а потом начинаем думать, как его защищать и укреплять, а изначально строим так, чтобы он был укреплен, закладывая в конструкцию усиливающие элементы. Это довольно очевидная вещь, так и надо строить систему безопасности, потому что так называемую «наложенную» (то есть внешнюю по отношению к системе) защиту в принципе сделать нельзя. Например, в 2016 г. появился вирус Mirai, это был первый вирус для интернета вещей. Он инфицировал по всему миру огромное количество устройств, в основном видеокамеры, так как они не имели встроенного шифрования. Но чтобы обезопасить эти камеры входа, нужно было физически заменить их на новые, так как систему защиты встроить в работающие и уже установленные камеры невозможно.

«У рынка повышается зрелость»

– Сейчас стали активнее говорить про патентование отечественных IT-решений, хотя эта проблема возникла еще три года назад. Почему сейчас вообще вспомнили об этом?

– Патентование – это, по сути, процесс фиксации технологического приоритета со стороны разработчиков, в частности технологии, продукта. Поскольку у рынка повышается зрелость, то растет и желание защищать свою интеллектуальную собственность. У нас, например (у InfoWatch – «Ведомости. Технологии»), в 2013 г. было шесть патентов, а сейчас 25. Это хороший, действенный инструмент защиты. Хотя в России, в отличие от США, патентные войны не очень распространены

– Использование low-code-, no-code-решений для IT-отрасли – это помощь или вред?

– Принцип low-code предполагает использование уже написанных готовых компонентов. Но вопрос, что считать no code, довольно спорный. Так как сейчас практически ни одна компания уже не пишет софт с нуля. В любом ПО, входящем в реестр, можно найти какое-то количество опенсорс-библиотек. Мы в свое время посчитали и в одном из наших старых продуктов нашли 358 различных библиотек с открытым кодом. У крупных компаний типа 1С их должны быть тысячи. Есть операции, которые нет смысла писать с нуля, проще взять уже готовые элементы кода. Это сильно экономит время и позволяет ускорить разработку.

Принцип no-code вообще не предполагает собственной разработки, только готовые компоненты. Насколько это хорошо – однозначного ответа нет. Использование no-code ограничено применением: так можно написать веб-сайт, но не какую-то серьезную корпоративную систему. Я бы не стала покупать разработку корпоративной системы, написанной по принципу no-code, потому что подобные приложения обычно не рассчитаны на большую нагрузку. И более того, при использовании системы под нагрузкой часто требуется полное переписывание кода. А для маленького стандартного веб-сайта принцип no-code отлично подходит.

– Как вы считаете, использование и появление таких инструментов открывает дорогу для людей, у которых есть идея, но нет технического образования?

– Теоретически – да. Но мне все равно кажется, что для того, чтобы создавать какую-то систему, нужно иметь навыки программирования, понимать, как устроен софт и алгоритмы. Да и писание при помощи no-code тоже неочевидно для простых гуманитариев. В мире даже появилась отдельная профессия – специалист по low-code. Эти люди знают, какие существуют библиотеки, умеют легко ими оперировать, подбирают аналоги или лучший вариант для определенной системы. Это хороший драйвер для отрасли с точки зрения создания быстрых решений.

– Грешат ли сейчас айтишники использованием искусственного интеллекта? Объясню, почему спрашиваю, потому что, например, у нас в журналистике по определенным паттернам легко считывается применение ИИ, если ты знаешь, что искать. Насколько это порочная практика?

– Вы знаете, разный опыт здесь есть. Какие-то простые задачки ИИ довольно хорошо пишет. Но чем сложнее задача, тем меньше шансов, что искусственный интеллект сделает то, что тебе нужно. Поэтому я думаю, что ситуация абсолютно симметрична тому, что, как вы говорите, существует в журналистике. Если вы хотите написать хорошую статью, ее нельзя поручать ИИ, иначе получится гладкий текст, в котором взгляд ни за что не цепляется, совершенно непонятно, о чем он. Так и тут. Получается какой-то код, который непонятно что делает: вроде работает, но не так. Мы пробовали у себя использовать ИИ в разработке, но очень быстро отказались.

«Защищаться надо лучше»

– С начала года на российские компании было совершено большое количество кибератак, в частности, наиболее резонансные истории случились в июле: атаки на «Аэрофлот», «Винлаб», аптечную сеть «Столички». Как вы считаете, как вообще изменился ландшафт кибератак по сравнению с прошлым годом? Стали ли атаки мощнее и за счет чего?

– Кибератаки – это часть гибридной войны против нашей страны. Летом должна была состояться встреча Дональда Трампа и Владимира Путина, на линии фронта не было перемен, поэтому начались атаки на массовую IT-инфраструктуру. Ответственность за атаки взяли как украинские группировки, так и международные. Если еще три года назад значительная часть атак осуществлялась с целью монетизации, то теперь целями являются остановка работы, выведение из строя, разрушение инфраструктуры компании или предприятия. Причем атаки ведутся на предприятия, обслуживающие массовый сектор: не случайно была выбрана самая крупная авиакомпания, крупная аптечная сеть, сеть клиник и магазинов.

Я думаю, что предприятиям надо перестать думать, что они не будут атакованы. Атаковать сейчас могут любого. И важно иметь план на случай, когда это произойдет. «Аэрофлот» – хороший пример: хотя атака была серьезная и ошибок компанией до атаки было допущено много, компания не дала атаке распространиться дальше, очень грамотно отработала и смогла поднять работу своих критических систем за сутки.

Я бы судила не по тому, как компанию смогли атаковать, а по тому, как она смогла восстановиться после атаки. Возможность восстановления инфраструктуры становится критичной, и это основное различие с ситуацией, которая была раньше. Доля деструктивных атак неизменно растет последние годы и сейчас достигает 40% от всех атак.

– Почему совпали по времени атаки на аптеки, «Винлаб» и «Аэрофлот»?

– Это не случайно, там был единый координатор. Причем в основном это были массовые сервисы, чтобы граждане возмутились, чтобы рейсы встали или лекарства нельзя было купить. И чтобы получить большой медийный эффект.

– Могут ли такие скоординированные атаки на массовые сервисы стать трендом?

– Думаю, что такое может быть. Защищаться надо лучше. Нам всем сейчас нужно немножко встряхнуться и проверить по пунктам: все ли закрыто, заменены ли пароли и т. д. Это, конечно, не гарантирует безопасности во время атаки, потому что атака всегда на порядок дешевле, чем защита. Перекрыть все возможные каналы нападения очень дорого, поэтому этого никто никогда не делает. Закрывают наиболее вероятный, а про остальные планируют, что будет, если все-таки атакуют.

– Эта летняя волна кибератак как-то простимулировала рынок и заказчиков? Наблюдали ли вы скачок спроса на ИБ-решения?

– В целом по рынку заказчики озаботились безопасностью, это совершенно точно. Мне несколько человек позвонили и сказали: «Что-то тревожно. Антивирус у нас вроде есть, файрвол тоже есть, что еще надо сделать?» Но защита собственных систем – это комплексное мероприятие. Нельзя поставить защиту от утечек и считать, что ты в безопасности. Комплексность решений, как никогда, становится актуальной. Перефразируя пословицу безопасности мало не бывает. При этом, конечно, спрос на ИБ-решения за последние три года вырос очень сильно. Понимание того, что защищаться надо, у предприятий страны точно есть.

«Атаки, скорее всего, будут нарастать»

– Как ИИ меняет ландшафт угроз?

– В частности, ИИ может использоваться как новый канал утечки данных. Например, некоторые руководители в компаниях используют модель генеративного ИИ для быстрой сортировки сообщений почтового ящика. То есть вся почта – все корпоративные секреты, переписка о ноу-хау и т. д. – улетает в интернет, в какой-нибудь условный ChatGPT или DeepSeek. Если подобную выгрузку система защиты от утечек еще может перехватить, то как справляться с промптами, которые будут выдавать заранее некорректный или подмененный ответ, непонятно. Это другая модель угроз.

– Прогнозирование трендов, конечно, дело неблагодарное, но, если посмотреть на грядущий 2026 г., есть ли у вас уже представление, как будут меняться векторы атак, на что будут смотреть злоумышленники?

– Вы знаете, где-то в конце девяностых появились макровирусы. И Евгений Касперский тогда предсказал, что в будущем основу для атак будут составлять именно они. После чего этот тип вирусов развиваться перестал. Стали ли причиной этому слова Касперского или же это просто так совпало?

То, что злоумышленники читают все подобные прогнозы экспертов, это безусловный факт. Я не люблю предсказывать тренды, потому что мое предсказание может послужить руководством к действию. Единственное, что я могу сказать: атаки, скорее всего, будут нарастать, и нужно к этому готовиться.