Риски (не)миграции
В середине июня эксперт «Нетрики» Дмитрий Косарев участвовал в вебинаре с IT-специалистами частных клиник и разработчиков медицинских информационных систем, где обсуждались различные аспекты миграции СУБД. По итогам дискуссии и заданных вопросов и появилась идея этого материала. Сегодня мы снова затронем тему миграции СУБД и на этот раз расскажем об основных предпосылках и мотивах запуска этого процесса.
Большие массивы данных есть практически в каждой компании. Часть из них относятся не просто к персональным данным, но и являются элементами критической информационной инфраструктуры (КИИ) государства.
Критическая информационная инфраструктура (КИИ) — совокупность информационных систем и телекоммуникационных сетей, критически важных для работы ключевых сфер жизнедеятельности государства и общества: здравоохранения, промышленности, связи, транспорта, энергетики, финансового сектора и городского хозяйства.
Государство в стремлении обезопасить свои данные и данные граждан, активно работает над формированием требований к IT-инфраструктуре органов государственной власти, в том числе обязывая использовать решения отечественной разработки. Сначала это касалось государственных услуг – Единый портал госуслуг, потом единый сегмент здравоохранения, типовые решения по контрольно-надзорной деятельности, градостроительству.
На очереди – коммерческие информационные системы, обладающие персональными данными пользователей, и мы ожидаем, что регуляторные требования перехода на российское программное обеспечение, в первую очередь коснутся медицинских данных, возможно, уступив место лишь банковскому сектору.
На фоне этих процессов мы наблюдаем серию крупных утечек персональных данных из этих самых коммерческих информационных систем, в числе последних – база аптеки «Вита» (870 тыс. строк), производителя товаров для сна «Аскона» (около 2 млн. строк), Ренессанс Страхование (737 тыс. строк) – и это лишь часть подобных новостей на июнь 2023 года.
Год назад, когда существенно возросло число запросов от компаний, стремящихся обезопасить свои данные, мы приняли решение создать в нашей компании отдельное направление по миграции данных и приложений с зарубежных ИТ-решений на российские.
За прошедшее время пообщались со значительным количеством представителей бизнеса по вопросам миграции, и живой интерес к тематике проявляли не только медицинские организации, но также и предприятия сектора промышленного производства, представители банковского сектора (более трети от всех, с кем мы взаимодействовали).
На основе часто задаваемых вопросов расскажем про риски для организации, эксплуатирующей зарубежное ПО, по которому на сегодняшний день прекращены продление лицензий, поддержка и техническое сопровождение, а также обновления:
1) Принятие регуляторных актов, обязывающих организации переходить на отечественное ПО и ужесточающих ответственность при работе с персональными данными.
Два проекта об ужесточении порядка работы с персональными данными россиян уже внесены в профильный комитет Госдумы. Один из них вводит оборотные штрафы за утечку данных, другой вносит изменение в УК.
Внесённые в Госдуму поправки в части штрафов предусматривают за первичную утечку данных фиксированный штраф, а за повторную — оборотный. Законопроект предусматривает оборотный штраф для компаний в размере 5–500 млн руб., при этом максимальный штраф компания получит, если допустила утечку данных повторно с момента вступления закона в силу.
Во втором случае речь идёт о внесении изменений в ст. 272, 273 и 274 УК, которые касаются неправомерного доступа к компьютерной информации, распространения вредоносных программ и нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации.
2) Отсутствие обновлений. Это способствует снижению защищённости ПО, так как обновления, в первую очередь, предусматривали меры по борьбе с уязвимостями систем. Длительное отсутствие таких обновлений, в том числе, приводит к хищениям или потере персональных данных клиентов. Про ужесточение ответственности мы уже сказали.
3) Потенциальная возможность лишиться всех данных по причине блокировки ПО разработчиком такого ПО. Пока таких примеров на нашей практике не было, но это вполне реальный риск, имеющий все шансы на появление.
4) Использование «пиратского» ПО. В данном случае количество рисков даже сложно предсказать, при этом вся ответственность за использование такого ПО и возможные потери персональных данных ложится на пользователя, и помочь с решением таких проблем будет просто некому.
Есть и другие риски, перечисленные являются наиболее типовыми и серьёзными.
В случае возникновения любого из перечисленных рисков, устранение их последствий повлечёт за собой большие затраты — как временные, так и финансовые. При этом никак не избавляя компанию от перспективы миграции баз данных, только уже в значительно более жёстких условиях и с большими трудностями.
Понимаем, что перспектива потратить от полугода до года на миграцию, которая пока вроде бы и не нужна, не выглядит привлекательной для бизнеса, так как может накладывать ряд ограничений на устоявшиеся отработанные процессы в организации, но если посмотреть на проблему с точки зрения вышеуказанных рисков и сроков, то можно сделать вывод, что сейчас самое время начинать её решать.
Представьте, какие затраты бизнес может понести в случае, если весь процесс миграции компании придётся проходить в авральном режиме: в неудобное время, в сжатые сроки, пренебрегая качеством оценки команды партнёра по миграции, закрывая глаза на отладку и тестирование. И тут уже не будет идти речи о бесшовной миграции, потребуются технологические простои, сроки которых будет сложно спрогнозировать, объём команды в связи со сжатыми сроками может вырасти очень значительно, а соответственно поплывёт и бюджет проекта, конечно же, в большую сторону.
Поэтому, на наш взгляд, разумным выбором для компании, использующей в своей работе MS SQL или Oracle Database, является, не дожидаясь проблем и ужесточения законодательства, инициировать процесс миграции СУБД.
Как происходит сама миграция, мы подробно рассказывали в предыдущем материале на VC.ru на примере одного из наших последних проектов.
И если у вас после прочтения этой статьи возникла необходимость в консультации, остались вопросы как спланировать процесс миграции СУБД, или вы всё ещё сомневаетесь, а точно ли уже пора мигрировать, то мы охотно развеем ваши сомнения – обращайтесь! Ждём ваших писем на products@netrika.ru.