Во многих сегментах российского рынка программного обеспечения до сих пор используется так называемое «трофейное» ПО — от решений с утраченной правовой базой до откровенно пиратских копий. Такая ситуация создаёт целый спектр рисков, включая те, что не лежат на поверхности.
- Введение
- Почему выбирают трофейное ПО
- Трояны, инфостилеры, НДВ и прочие угрозы
- Проблемы регулирования
- Выводы
Введение
Трофейным называют ПО, которое, в силу разных причин, утратило лицензионную чистоту. Обычно этот термин применяют к продукции зарубежных вендоров, которые ушли с российского рынка в 2022 году.
Данная ситуация оголила многие сегменты рынка ПО, где предложение российских альтернатив в то время было фрагментарным или вообще отсутствовало (рис. 1). Это, например, ряд секторов рынка САПР, в частности, CAE (Computer-Aided Engineering, автоматизированная среда для инженерных расчётов) и BIM (ТИМ в русской аббревиатуре от «технологии информационного моделирования»). Почти та же ситуация — на рынке издательского и графического ПО.
Рисунок 1. Российский рынок инженерного ПО и услуг
Купить или продлить лицензии оказалось невозможно для большинства потребителей. Тем более что многие из них попали под западные санкции, и продажа им профессионального ПО создавала серьёзные риски для продавцов из третьих стран. Хотя есть примеры, когда некоторым компаниям удавалось приобрести новые копии ПО и обновления через зарубежные филиалы.
«Все лицензии на соответствующее ПО западных вендоров (все виды САПР) были объявлены вне закона: какие-то — в 2023 году, какие-то в — 2024. Та же Autodesk в начале 2024 года разослала всем российским заказчикам письма о том, что всё её ПО, которое они используют, теперь нелицензионное. Соответственно, все заказчики, которые после этого продолжают использовать ПО Autodesk, впрочем, как и других иностранных вендоров, перешли в серую зону: де-факто стали "пиратами", даже несмотря на то, что ранее заплатили деньги за этот софт», — так прокомментировал ситуацию «Интерфаксу» генеральный директор «Нанософт» Андрей Серавкин.
В итоге некоторые компании прибегали к использованию ранее купленного ПО без продления лицензий, сохраняя его работоспособность различными методами. Кто-то вернулся к практике применения нелицензионных копий, благо что способы их найти являются тайной Полишинеля. При этом российские правоохранительные органы начали закрывать глаза на такие нарушения, а в Госдуме даже начались призывы полностью узаконить использование зарубежного нелицензионного ПО.
Юрист в области авторского права Дмитрий Загайнов в комментарии для «Российской газеты» отметил, что дел по статье 146 Уголовного кодекса (нарушение авторских и смежных прав) действительно возбуждается не так много. По его оценке, российские правообладатели предпочитают подавать иски в арбитражные суды и взыскивать компенсацию.
Косвенным признаком уменьшения дел о компьютерном «пиратстве» стало резкое снижение в 2022 году количества дел по статье 273 УК РФ (создание и распространение вредоносных программ) – рис. 2. Это связали как раз с тем, что по этой статье привлекали «чёрных внедренцев», которые применяли разного рода активаторы и генераторы ключей, многие из которых действительно были заражены зловредами.
Рисунок 2. Общее количество судебных приговоров по статье 273 УК РФ за 2019–2024 гг.
Однако заражённые «кряки» и «ключеделки» — лишь вершина айсберга. Только возможностью подцепить зловред перечень опасностей не исчерпывается. Разбору таких рисков был посвящён вебинар комитета РУССОФТ по малому и среднему предпринимательству «Использование трофейного научно-инженерного ПО системного моделирования», который прошёл 18 ноября.
По данным отраслевых ассоциаций, доля трофейного ПО в ряде отраслей, в частности, в строительстве, близка к 100 %. Схожая ситуация во многих видах машиностроения, например, автомобилестроении. На демодне профильного индустриального центра компетенции данную ситуацию объяснили тем, что в России работает мало компаний данного профиля, и российским вендорам экономически нецелесообразно разрабатывать ПО под их нужды. Это касается не только САПР, но и ПО автоматизации бизнес-процессов и аналитики.
Почему выбирают трофейное ПО
Причин того, почему, несмотря на все усилия по импортозамещению, выбирают зарубежное ПО, в том числе массовое, включая операционные системы и офисные приложения, довольно много. И все они значимы для компаний, которые выбирают «трофеи».
Недостаточная функциональность российского ПО
Многие предпочитают использовать зарубежное ПО просто потому, что российское их не удовлетворяет по функциональным возможностям. Однако данная проблема довольно тесно переплетена с другими, включая файловый обмен, обучение и переподготовку кадров.
Так, заместитель генерального директора по науке и развитию АО «ИВК» Валерий Андреев прокомментировал эту ситуацию так: «Что остаётся делать инженерному составу, если функциональность российских решений пока не соответствует потребностям, а работать нужно прямо сейчас? Ответ очевиден: использовать зарубежное ПО, которое обеспечивает возможность решать поставленные задачи в полном объёме и с нужным уровнем качества. Я готов применять любое российское решение, лишь бы оно работало как надо. А если оно так не работает, я его использовать не буду».
По мнению Валерия Андреева, среди необходимых функций далеко не последнюю роль играет защита данных от несанкционированного доступа и изменения.
Не менее важно обеспечить доверие к продукту. Его, по мнению руководителя отдела аналитики в компании SimbirSoft Константина Шакурова, нельзя навязать, его можно только заработать. По оценке Константина, для того чтобы достичь такого доверия, необходимы следующие условия:
- Упреждающая разработка (создание отечественных решений на ранних стадиях популярности разных digital‑продуктов мирового уровня).
- Приоритет пользовательского опыта (разработка должна вестись с ориентацией на создание удобного, надёжного и функционального продукта, а не формальной копии зарубежного аналога).
- Поэтапное внедрение (постепенная интеграция отечественных решений позволяет отработать технологии и собрать обратную связь, обеспечивая плавный и комфортный переход для пользователей).
- Фокус на безопасности.
Особенно это касается проблемных сегментов, где предложение российских продуктов недостаточно, прежде всего, CAE и ТИМ. Тут есть заметный прогресс, но вендорам предстоит ещё очень много работы.
Учитывая опыт проектов миграции, по оценке директора по технологическому консалтингу Axiom JDK Алексея Захарова, необходима помощь потенциальным заказчикам, включая субсидии, налоговые льготы и практическое содействие при миграции старых проектов и данных в новые системы. Судя по различным конференциям, в которых автору довелось участвовать, как раз проблемы миграции данных, включая различные библиотеки элементов, действительно являются сложной и довольно болезненной темой.
Инерция и сопротивление персонала, долгий срок проектов
Не менее значимой причиной использования зарубежного ПО остаётся инерция и сопротивление персонала. Это касается всех видов ПО, от общесистемного и офисного до узкопрофессионального.
Так, например, в ходе проектов по импортозамещению операционных систем часто возникает ситуация, когда, например, бухгалтерия говорит, что работа в российской системе приведёт к тому, что расчёт заработной платы будет происходить на неделю позже. Такие примеры приводили на различных конференциях все российские вендоры ОС из «большой четвёрки».
И в целом, как показало исследование компании «Ноукодинг», процесс усугубляется нехваткой квалифицированных кадров, недостаточной функциональностью российских решений и проблемами с совместимостью ПО. В итоге проекты растягиваются на долгие месяцы. Так, по данным «МойОфис», средняя длительность проекта по миграции на российский офисный комплекс составляет 2 года.
На конференции «ТИМИ–2023. Технологии информационного моделирования и инжиниринга», которая состоялась в мае 2023 года, проекты по миграции на российские САПР назвали сложными и болезненными для персонала. В ходе них производительность труда проектировщиков может падать вдвое, что вряд ли обрадует руководство компании.
Как следствие, миграция на российские САПР с привычных зарубежных может занять ещё больше времени, чем в случае замены офисного набора. На конференции «ТИМИ–2023» президент НОТИМ (Национальное объединение организаций в сфере информационного моделирования) Михаил Викторов заявил, сославшись на опыт проектов, что такая миграция занимает 3–5 лет.
Как отметил коммерческий директор компании «ГАММА Тех» Евгений Васильев на вебинаре РУССОФТ «Использование трофейного научно-инженерного ПО системного моделирования», положение усугубляет жёсткий дефицит квалифицированных инженеров-конструкторов и проектировщиков. Многие из них диктуют руководству, в каком ПО они будут работать, и им идут навстречу. Это не новая практика, раньше выбор учётной системы часто зависел от мнения бухгалтеров.
С другой стороны, как отметил Константин Шакуров, пиратство, как ни парадоксально, может стимулировать развитие альтернативных продуктов, пусть и косвенно. Задача разработчиков состоит в том, чтобы трансформировать эту динамику в правильное русло.
Трояны, инфостилеры, НДВ и прочие угрозы
В целом для ПО, которое принято называть трофейным, характерны те же угрозы, что и для любого другого нелицензионного. Но учитывая то, что речь идёт о профессиональных продуктах, добавляются и специфические риски, влияние которых не исчерпывается одной компанией и даже отраслью.
Эксплуатация уязвимостей
Прежде всего, ПО, которое не обновляется, уязвимо. Редко обновляемое специализированное ПО назвали одной из причин резкого роста количества атак на российскую авиацию.
По оценке пресс-службы TrueConf, издержки использования редко обновляемого ПО намного превышают возможный юридический и репутационный ущерб. Пользователи «трофейного» ПО лишены доступа к обновлениям и патчам, которые не только добавляют новые функции, в том числе важные и востребованные, но и закрывают обнаруженные прорехи в безопасности.
«Без регулярных обновлений уязвимости остаются открытыми, а эксплойты давно известны злоумышленникам. Компания становится лёгкой мишенью: возможны масштабные кибератаки, шифровальщики и полная остановка бизнеса. Такое ПО быстро теряет совместимость с новыми ОС, базами данных, криптографией и облачными платформами. Уже через 1–2 года система превращается в технологический «могильник»: её нельзя интегрировать, развивать или безопасно использовать», — прокомментировала исполнительный директор ELMA Наталия Долженкова.
Заражение вредоносным кодом
Смежной угрозой является заражение вредоносными программами. Основных возможных путей тут 4:
- Заражение инсталляторов.
- Модификация кода программ.
- Имитация легитимных сайтов.
- Встроенная реклама и реферальные ссылки.
Популярность таких методов со временем может меняться. Есть зависимость от классов ПО. По наблюдениям ныне покойного белорусского влогера Алексея Лещенко, известного своими ироничными обзорами пиратских сборок Windows, встроенная реклама и реферальные ссылки на рубеже десятых и двадцатых годов встречались в двух третях популярных вариантов ОС от Microsoft. Также в то время было очень популярно заражение зловредами генераторов ключей, активаторов продуктов Microsoft, а также инструментов для модификации (читерства) в играх.
В 2023–2024 годах больше половины зловредов в нелицензионном ПО приходилось на стилеры. Были популярны майнеры, что обуславливалось ростом стоимости ключевых криптовалют. Сейчас тенденция обратная из-за падения курсов криптовалют.
По оценке руководителя отдела реагирования на инциденты «Бастион» Семёна Рогачёва, именно инфостилеры наиболее часто встраиваются в нелицензионное ПО — как для непосредственного использования в атаках на компании, так и для перепродажи. Обычно они предназначены для кражи различных паролей.
Юридические риски
Несмотря на резкое сокращение активности российских правоохранительных органов, никуда не исчезли и юридические риски. По мнению генерального директора ЦИТМ «Экспонента» Никиты Богославского, которое он высказал на вебинаре РУССОФТ, зарубежные вендоры могут инициировать волну исков против тех, кто использует их продукты незаконно, а значит, фактически всех организаций, которые их применяют после определённой даты. Причём это может случиться до официального возвращения вендора на российский рынок.
Так, Autodesk открыто заявила, что считает нарушителями своих лицензионных соглашений всех, кто продолжал использовать её продукты после марта 2024 года. А возможность отследить факт такого использования у вендоров есть.
Пакеты САПР дорогостоящи, и для возбуждения уголовного дела достаточно одной копии продукта сомнительной лицензионной чистоты. Для возбуждения уголовного дела по статье 146 УК РФ (нарушение авторских и смежных прав) не требуется заявление правообладателя. К слову, значительная часть дел по этой статье в 2021 году и раньше возбуждалась как раз за установку пиратских копий того же AutoCAD (несколько реже — продуктов Adobe). А вот дел за установку пиратских продуктов Microsoft было не так много.
Недекларируемые возможности
Но наиболее серьёзной угрозой являются недекларированные возможности, или НДВ. Прежде всего, это сбор телеметрии, в том числе в целях проверки соблюдения лицензионных соглашений. Как напоминает Наталья Долженкова, такой подход используют многие зарубежные решения, причём то, какие данные они собирают и передают, трудно проверить. В число таких данных могут входить те, оборот которых регулируется: например, персональные. Это чревато проблемами с регуляторами.
Что более серьёзно, ряд вендоров систем для проведения расчётов, включая CAE и проприетарные системы компьютерной алгебры, включает в нелицензионные версии своих продуктов такую НДВ, как случайное искажение результатов. Об этом рассказал один из участников вебинара РУССОФТ. Такие искажения обнаружили не только в России, но и в других странах. Вендоры данную ситуацию никак не комментируют. Генеральный директор «ГАММА Тех» Роман Тихонов назвал невоспроизводимость в результате НДВ существенным риском для технологических процессов.
Риски для экономики в целом
Использование «трофейного» ПО, как подчеркнул Никита Богославский, является системной блокировкой стимулирования экономики через научно-исследовательские и опытно-конструкторские разработки. А по их уровню Россия находится на 43 месте в мире, уступая не только США и Китаю, но и Турции.
«Для отрасли в целом массовое пиратство создаёт «эффект колеи», замедляя инвестиции в инновации и разработку полноценных национальных аналогов. Поэтому ключевой задачей становится создание такой рыночной среды, где легальная отечественная разработка будет дешевле, чем нелицензионный продукт», — считает Константин Шакуров.
Роман Тихонов назвал рисками для экономики снижение устойчивости технологических процессов и ограничение дальнейшего развития продуктов. Всё это напрямую отражается на темпах инноваций и качестве инженерных решений.
Проблемы регулирования
Однако одни запреты и директивные требования по переходу на российское ПО проблему не решат даже в такой зарегулированной отрасли, как оборонно-промышленный комплекс, и в отраслях критической информационной инфраструктуры (КИИ), где установлены жёсткие сроки по переходу на российское ПО.
Сложность применения требований к КИИ
Как отметил Никита Богославский, все требования к сфере критической информационной инфраструктуры со строгими рамками импортозамещения и жёсткими дедлайнами просто неприменимы к сегменту САПР. Их эксплуатантами являются подразделения, которые не подпадают под определение объектов КИИ.
Это касается и таких сфер, как авиа-, автомобиле-, двигателе- и судостроение, чья продукция относится к категории двойного назначения и связана жёсткими условиями по обязательной сертификации. Однако, как подчеркнул Никита Богославский, ведомства, занимающиеся такой сертификацией, включая Министерство обороны, не обращают внимания на лицензионную чистоту ПО, которое используется для проектирования такой продукции.
Показателен пример киноотрасли, где обязательным требованием для произведений является в явном виде указывать ПО, которое использовалось при его создании. Речь идёт не только о системах для монтажа видео и звука, но и ПО для создания цифровых эффектов и моделирования. После забастовки голливудских сценаристов 2023 года в этот перечень добавили также инструменты генеративного искусственного интеллекта. Причём для всех этих программных средств требуется подтвердить лицензионную чистоту.
О роли образования
Роль образования сложно переоценить. Однако российские учебные заведения всех уровней до сих пор ориентируются на зарубежные продукты. По оценке Евгения Васильева, навыки работы в продуктах той же Autodesk до сих пор являются стандартом во всех без исключения вузах строительного профиля. В других технических вузах есть примеры, когда обучение проходит на российских продуктах, в их числе МГТУ им. Н. Э. Баумана и МИФИ, но в основном учебные программы до сих пор базируются на иностранных САПР. Как подчеркнул Евгений Васильев, это консервирует ситуацию и тормозит продвижение российских продуктов.
В итоге вчерашние студенты просто ничего не знают об отечественных альтернативах и, соответственно, не готовы работать в них. По мнению отраслевых ассоциаций, это является важным сдерживающим фактором для распространения российского ПО, причём не только комплексов САПР.
Алексей Захаров обратил внимание на интеграцию российского ПО САПР в учебные программы образовательных учреждений всех уровней, включая вузы и различные курсы повышения квалификации.
Константин Шакуров предложил создать краудсорсинговый проект по обмену опытом успешных проектов внедрения российского ПО, в том числе и САПР. Также силами сообществ возможно раннее тестирование продуктов, которое поможет упростить вендорам работу над ошибками и подсветить не вполне удачные моменты, которые потом всё равно придётся исправлять.
Стимулирование спроса
По мнению Никиты Богославского, тем, кто эксплуатируют зарубежные решения из-за отсутствия полноценных аналогов российских продуктов, необходимо установить специальные меры экономического стимулирования. Это могут быть выплаты в специальный фонд, средства из которого пойдут на инвестиции в разработку отечественных продуктов. Выплаты не должны быть неподъёмными, но при этом — достаточно чувствительными, их нужно постоянно пересматривать в сторону увеличения. Возможна привязка к размеру капитальных затрат компании.
Это не постоянная мера и ни в коем случае не индульгенция на право использования ПО с сомнительной лицензионной чистотой.
«Эффективная регуляторная политика должна фокусироваться не только на запретах, но и на создании условий для практического внедрения отечественного ПО. Важны поддержка рабочих процессов инженерных команд, обеспечение технологической преемственности, а также инициативы, которые стимулируют переход на легальные инструменты без ущерба для производственных задач», — резюмировал Роман Тихонов.
По оценке Константина Шакурова, необходимо формирование благоприятной среды для роста и развития российских продуктов. Этого можно добиться через:
- стимулирование новых разработок (поддержка фундаментальных и прикладных исследований, а также налоговые льготы для компаний, инвестирующих в глубокую разработку);
- независимую сертификацию (создание прозрачной системы тестирования и сертификации ПО, которая будет подтверждать его качество, безопасность и совместимость);
- поддержку «здорового» спроса (реализация мер, которые мотивируют бизнес и госсектор выбирать легальные отечественные решения исходя из их конкурентных преимуществ).
Таким образом, вопрос имеет решение, хоть и достаточно непростое.
Выводы
Дополнительно к общим рискам, связанным с использованием нелицензионного ПО, в профессиональных решениях появляется дополнительный фактор — недекларированные возможности. В случае систем класса CAE или компьютерной алгебры это влечёт невоспроизводимость результатов вычислений.
Многие популярные зарубежные продукты используются по той причине, что компании боятся столкнуться с сопротивлением персонала и значительным падением производительности труда в ходе миграции. Серьёзный блокирующий фактор — инерция системы образования, где до сих пор в основе программ лежат зарубежные продукты. Особенно тяжёлая ситуация сложилась в строительных вузах. Для устранения данной ситуации необходимы системные меры.
Но одних только запретов недостаточно. Регулирование должно быть выверенным и «умным», способствующим развитию российских аналогов популярного профессионального ПО и тех пользователей, кто его эксплуатирует.
