Сукупна вартість володіння оборонним ПЗ: посібник із закупівель

Оборонна програма закладає у бюджет €2,4 млн на платформу ситуаційної обізнаності. Через два роки після розгортання загальні витрати становлять €6,1 млн. Різниця — €3,7 млн — ніколи не фігурувала в жодному бюджетному рядку. Вона накопичилася через витрати на інтеграцію, ротаційне навчання, три цикли повторної акредитації безпеки, міграцію на нову основну версію та власний проміжний рівень постачальника, який той вимагав, але не розкрив у первинній комерційній пропозиції.

Ця закономірність достатньо поширена, щоб вважатися структурною, а не випадковою. Сукупна вартість володіння (TCO) оборонним програмним забезпеченням систематично і часом суттєво недооцінюється на етапі закупівлі — не тому, що офіцери із закупівель недбалі, а тому, що модель витрат, яка застосовується на момент придбання, є неповною за своєю природою. Цей посібник надає методику для формування обґрунтованої оцінки TCO до укладення контракту.

Чому TCO оборонного ПЗ систематично недооцінюється

У комерційних закупівлях ПЗ вартість придбання та TCO достатньо близькі, щоб використання одного як замінника іншого було прийнятним. Середовище інтеграції відносно стандартизоване, навчальна база — це загальна робоча сила, а темп технічного обслуговування відповідає передбачуваним комерційним нормам.

Оборонні закупівлі функціонують в іншому середовищі за кожним із цих параметрів. Інтеграційний рівень підключається до засекречених мереж, власних військових форматів даних і застарілих систем, що існують десятиліттями та передують сучасним конвенціям API. Навчальна база складається з військових операторів із визначеними рольовими профілями та високою щорічною ротацією. Процес технічного обслуговування включає повторну акредитацію безпеки перед розгортанням будь-якого патча в засекреченій системі — процедура, яка додає тижні або місяці до кожного циклу оновлення.

На структурному рівні проблема посилюється організацією оборонних бюджетів. Вартість придбання фігурує у закупівельному бюджеті. Витрати на інтеграцію — у інженерному бюджеті офісу програми. Навчання — у навчальному фонді підрозділу. Супровід — у багаторічному рядку обслуговування, що погоджується окремо від початкового контракту. Жоден бюджетний власник не має видимості по всіх чотирьох статтях. Результат: постачальники систематично виграють конкурси на основі низької вартості придбання, а потім відновлюють маржу за рахунок витрат, які ніхто не закладав у бюджет.

П'ять компонентів TCO та їх вага

Повна модель TCO оборонного ПЗ охоплює п'ять категорій витрат. Їх відносна вага варіюється залежно від програми, але розподіл нижче відображає типові 10-річні програми, спостережувані у закупівлях оборонного сектору Європи:

Вартість придбання (15–25% від 10-річного TCO)

Це число з комерційної пропозиції постачальника: ліцензійні платежі, абонентська плата, плата за місце та одноразові платежі за налаштування. Для постійних ліцензій це переважно витрати першого року. Для моделей підписки спроектуйте щорічний платіж із застосуванням договірного максимуму підвищення цін постачальника — зазвичай 3–8% на рік для оборонного ПЗ — і приведіть до теперішньої вартості протягом терміну дії програми.

Зверніть увагу на ціноутворення за місцем, яке несподівано масштабується. Платформа вартістю €40 000 на рік для 50 користувачів може досягати €320 000 на рік, якщо програма розширюється до 400 користувачів у коаліції. Моделюйте реалістичну максимальну кількість користувачів, а не пілотну кількість.

Вартість інтеграції (25–35% від 10-річного TCO)

Інтеграція є найбільшим єдиним джерелом недооцінки TCO в оборонних програмах. Вона охоплює трудові та інфраструктурні витрати на підключення нового ПЗ до наявного операційного середовища: системи C2, сенсорні потоки, розвідувальні бази даних, логістичні платформи, управління ідентифікацією та мережеву інфраструктуру.

Оборонна інтеграція — не типова робота. Кожна точка підключення передбачає власне перетворення даних (військові формати даних не є REST-сумісними), медіацію рівня безпеки (кожне підключення через межі режиму секретності потребує криптографічного розділення) та тестування на реальних або репрезентативних оперативних даних. Документація інтеграції постачальника написана для комерційних середовищ. Адаптація її для засекреченого оборонного середовища зазвичай множить задокументовані зусилля на 1,5–2.

Вартість навчання (20–30% від TCO першого року; 10–15% щорічно надалі)

Початкове навчання охоплює операторів, системних адміністраторів і офіцерів безпеки. Для середнього розгортання в трьох підрозділах це зазвичай 400–800 людино-годин інструктажу плюс накладні витрати інструктора та приміщень. Число, яке систематично відсутнє у закупівельних кошторисах, — це витрати на повторне навчання, зумовлені ротацією особового складу.

Операційні військові підрозділи щорічно замінюють 20–35% особового складу. Для системи з 200 активними користувачами це означає 40–70 нових операторів щороку — безстроково, протягом усього терміну програми. Навчальні матеріали також потребують обслуговування: кожна зміна основної версії ПЗ робить наявні матеріали застарілими та потребує циклу ревізії документації, який постачальники не фінансують і рідко підтримують.

Витрати на технічне обслуговування та підтримку (20–30% від 10-річного TCO)

Щорічні платежі за обслуговування оборонного ПЗ зазвичай становлять 15–22% від первісної вартості ліцензії на рік. Ці платежі покривають розробку патчів на стороні постачальника та доступ до підтримки. Вони не покривають внутрішні трудові витрати на валідацію, тестування та розгортання цих патчів у засекреченому середовищі — процес, що є суттєво дорожчим за комерційний аналог через вимоги повторної акредитації.

Рівні SLA мають більше значення в оборонному контексті, ніж у комерційному, оскільки наслідки простою є оперативними. Оцінюйте зобов'язання щодо часу реагування підтримки для інцидентів P1, задокументовані потужності підтримки постачальника (кількість персоналу та шлях ескалації) і тривалість вікна довгострокової підтримки відносно операційного строку програми. Постачальник, який пропонує 5-річну підтримку для 15-річної програми, створює структурну прогалину, яку закупівельні контракти рідко закривають.

Витрати на розвиток (10–20% від 10-річного TCO)

Оборонні програми ПЗ зазнають щонайменше двох переходів між основними версіями протягом 10-річного строку. Кожен перехід у засекреченому середовищі передбачає: трудомістку міграцію, повторну акредитацію (перевірка безпеки та офіційний дозвіл на експлуатацію нової версії), повторне навчання та повторне тестування інтеграції. Професійні послуги постачальника з міграції систематично недооцінюються у початкових кошторисах, оскільки складність міграції не є повністю відомою на момент укладення контракту.

Закладайте резерв на повторну акредитацію в розмірі 40–80% від початкових зусиль з інтеграції для кожного переходу між основними версіями. Це число найчастіше відсутнє у кошторисах офісу програми.

Модель вартості інтеграції: оцінка трудомісткості до укладення контракту

Попередня оцінка вартості інтеграції неминуче є приблизною, але порядок величини значно кращий, ніж відсутність будь-якої оцінки. Наступна модель надає структуровану відправну точку.

Для кожної точки інтеграції присвойте показник складності API від 1 до 5 на основі чотирьох факторів: складність протоколу (REST/JSON — оцінка 1; власні бінарні протоколи — оцінка 5), вимоги до автентифікації (API-ключ — оцінка 1; взаємний TLS з інфраструктурою PKI — оцінка 4–5), складність перетворення даних (пряме відображення полів — оцінка 1; семантичний переклад між моделями даних — оцінка 4–5) та наявність SDK (SDK від постачальника — оцінка 1; відсутність документації — оцінка 5).

Базова оцінка трудомісткості: (показник складності × 20 годин) на кінцеву точку, плюс фіксоване доповнення 80 годин на перевірку безпеки на точку інтеграції у засекреченому середовищі, плюс 40 годин на приймальне тестування на кінцеву точку. Для системи з 8 точками інтеграції із середнім показником складності 3 базова оцінка становить (3 × 20 × 8) + (80 × 8) + (40 × 8) = 480 + 640 + 320 = 1 440 годин до застосування непередбачених витрат.

Застосуйте коефіцієнт непередбачених витрат 1,3–1,5 для засекреченої інфраструктури, де доступ до інструментів, сегментація мережі та процеси затвердження обмежують продуктивність. Скоригована оцінка в 1 872–2 160 годин (приблизно 12–14 людино-місяців) є реалістичним плановим показником для інтеграції оборонної системи середньої складності.

Вартість навчання: моделювання повторюваного навантаження

Моделювання вартості навчання починається з диференціації ролей. Не всі користувачі мають однакові вимоги до навчання. Оператори потребують функціонального навчання за їх конкретними робочими процесами. Системні адміністратори потребують повного навчання з платформи, включаючи налаштування безпеки. Офіцери безпеки потребують навчання з акредитації щодо функцій безпеки системи та процедур аудиту.

Для розгортання 200 операторів, 10 адміністраторів і 3 офіцерів безпеки базовий бюджет навчання на перший рік може виглядати так: 200 операторів по 16 годин кожен (3 200 годин), 10 адміністраторів по 40 годин кожен (400 годин), 3 офіцери безпеки по 24 години кожен (72 години) плюс витрати на інструктора та матеріали — загалом приблизно 3 700 людино-годин прямого інструктажу плюс накладні витрати.

Щорічні поточні витрати при 25% ротації становлять 50 операторів по 16 годин (800 годин) плюс пропорційна ротація адміністраторів і офіцерів безпеки — приблизно 900 годин на рік. Протягом 10-річного терміну програми поточні витрати на навчання перевищують початкові інвестиції до 4 року. Програми, що бюджетують лише початкове навчання, виявляють цю невідповідність на третьому або четвертому році експлуатації.

Обслуговування навчальних матеріалів є окремою статтею витрат. Кожен основний випуск ПЗ — зазвичай кожні 18–24 місяці — потребує ревізії матеріалів. Закладайте 200–400 годин технічного написання та педагогічного дизайну на кожен цикл основного випуску.

Технічне обслуговування та підтримка: рівні SLA та ризик життєздатності постачальника

Оцінка SLA підтримки оборонного ПЗ потребує розгляду трьох вимірів, які стандартні комерційні закупівельні переліки упускають.

Перший — темп патчів проти накладних витрат на повторну акредитацію. Постачальник, який випускає патчі безпеки щомісяця, створює щомісячне навантаження на повторну акредитацію для засекречених розгортань. Квартальний темп патчів — з аварійними патчами для критичних CVE — є більш операційно сумісним із обмеженнями засекреченого розгортання. Оцінюйте історичну частоту випуску патчів постачальника відносно акредитаційних потужностей вашої організації.

Другий — ризик життєздатності постачальника. Постачальники оборонного ПЗ на європейському ринку включають значну частку малих і середніх компаній з обмеженою фінансовою глибиною. Постачальник із 40 співробітниками, що забезпечує критично важливу платформу, являє собою ризик концентрації: залежність від ключових осіб, ризик поглинання та потенційне припинення розвитку продукту. Оцінюйте фінансовий стан постачальника, структуру власності та довгострокові зобов'язання щодо підтримки в контракті. Стандартне пом'якшення — умовне депонування вихідного коду: постачальник розміщує вихідний код і інструкції зі збирання у нейтрального агента умовного депонування з вивільненням при настанні визначених подій щодо безперервності діяльності.

Третій вимір — вплив компонентів з відкритим кодом. Більшість оборонного ПЗ включає бібліотеки з відкритим кодом, обслуговування яких фінансується спільнотою. Значні компоненти з відкритим кодом, підтримка спільноти яких занепадає, створюють майбутні витрати: або постачальник бере на себе внутрішні витрати на обслуговування (що зрештою перекладається на плату за підтримку), або компонент стає загрозою безпеці. Запитуйте перелік матеріалів ПЗ (SBOM) і перевіряйте стан основних залежностей з відкритим кодом як частину належної перевірки постачальника.

Для детальної методики оцінки можливостей постачальника до укладення контракту дивіться оцінку постачальника оборонного ПЗ: посібник із технічної перевірки для офіцерів із закупівель.

Розробити, купити чи COTS: коли власна розробка виграє за TCO

Стандартне закупівельне припущення полягає в тому, що програмне забезпечення COTS (комерційне готове) дешевше за власну розробку, оскільки амортизує витрати на НДДКР серед багатьох клієнтів. Це припущення справедливе в комерційних середовищах і руйнується в конкретних оборонних контекстах.

Власна розробка стає TCO-конкурентною з COTS, коли збігаються три умови. По-перше, модель даних COTS-продукту є архітектурно несумісною з системою обліку, що потребує проміжного рівня, який сам є значним програмним проектом. Проміжний рівень додає вартість інтеграції, обслуговування та є єдиною точкою відмови — і він невидимий у ціноутворенні COTS-постачальника. По-друге, власний інтеграційний рівень COTS-продукту створює прив'язку до постачальника, яка накопичується з часом: майбутні міграції версій стають залежними від інструментів міграції постачальника, а альтернативні постачальники стикаються з тією самою проблемою проміжного рівня з нуля. По-третє, функціональний обсяг є вузьким і стабільним. Спеціалізований інструмент, що добре виконує одне завдання — наприклад, злиття треків для конкретного типу сенсора — може бути розроблений, протестований і обслугований невеликою командою за нижчою 10-річною вартістю, ніж широка COTS-платформа з 80% невикористаного функціоналу.

Розрахунок точки перетину: якщо витрати на інтеграцію COTS у першому році перевищують 150% вартості ліцензії, щорічна плата за обслуговування перевищує 20% ліцензії, а термін програми перевищує 8 років — моделюйте власну розробку як конкурентний варіант до укладення контракту. Порівняння повинне включати повну вартість власної розробки (не лише початкове створення — поточне обслуговування, патчування безпеки та розвиток), спроектовану на той самий горизонт.

Для програм, де COTS є правильним вибором, але закупівельні умови потребують ретельного структурування, посібник із оборонних закупівель від RFP до контракту охоплює структури контрактів, що захищають від ескалації вартості після укладення угоди.

Складання моделі: практичний приклад

Розглянемо тактичну платформу злиття розвідувальних даних, закуплену для штабу бригадного рівня. Комерційна пропозиція постачальника: €1,8 млн за 5-річну ліцензію для 150 користувачів. Повна модель TCO для 10-річного терміну програми:

Придбання (10 років): Ліцензія на роки 1–5 €1,8 млн, поновлення на роки 6–10 за оцінкою €2,2 млн (застосована 3% річна ескалація). Разом: €4,0 млн.

Інтеграція: 10 точок інтеграції із середнім показником складності 3,5, коефіцієнт непередбачених витрат для засекреченої інфраструктури 1,4. Оцінена трудомісткість 2 100 людино-годин за ставкою €120/год. Плюс інфраструктура (сервер проміжного ПЗ, засоби безпеки): €180 тис. Разом: €432 тис.

Навчання (10 років): Початкове навчання 3 700 людино-годин по €85/год = €315 тис. Щорічне повторне навчання €80 тис./рік × 9 років = €720 тис. Обслуговування матеріалів 3 цикли основних випусків по €35 тис. = €105 тис. Разом: €1,14 млн.

Технічне обслуговування та підтримка (10 років): Щорічні платежі за підтримку 18% від початкової ліцензії (€324 тис./рік) × 10 = €3,24 млн. Внутрішні трудовитрати на управління патчами €60 тис./рік = €600 тис. Разом: €3,84 млн.

Розвиток (2 основні оновлення): Трудомісткість міграції 2 × 1 000 год по €120/год = €240 тис. Повторна акредитація 2 × 600 год по €120/год = €144 тис. Разом: €384 тис.

10-річний TCO: приблизно €9,8 млн проти заголовної вартості придбання €1,8 млн. Вартість придбання становить 18% від загальної вартості програми. Решта 82% ніколи не фігурувала у комерційній пропозиції постачальника.

Структурування закупівель для контролю TCO

Модель TCO корисна до укладення контракту. Після укладення контроль витрат залежить від структури контракту. Кілька механізмів суттєво знижують ризик ескалації вартості після підписання угоди.

Обмеження ескалації абонентської плати запобігають ефекту нарахування відсотків від щорічного підвищення платежів протягом тривалого строку програми. Ставки на професійні послуги з інтеграції повинні фіксуватися при укладенні контракту, а не залишатися на майбутні переговори, коли постачальник має важелі впливу. Право власності на навчальні матеріали повинно належати організації-закупівельнику — навчальні матеріали у власності постачальника є постійним центром витрат. Зобов'язання щодо підтримки міграції повинні бути визначені: що надає постачальник, за якою ставкою, для кожного переходу між основними версіями. А довгострокові зобов'язання щодо вікна підтримки повинні бути явними — постачальник, що бере зобов'язання на 10 років підтримки при укладенні контракту, суттєво відрізняється від того, хто зобов'язується на 5 років з поновленням на власний розсуд.

Моделювання TCO не є гарантією від перевищення кошторису. Програми змінюються, вимоги еволюціонують, а постачальники поглинаються. Але рішення про закупівлю, прийняте на основі повної картини витрат, — а не замінника у вигляді вартості придбання — починається з позиції структурної обізнаності, а не структурної сліпоти.