Критически сжатые сроки
Министерство цифрового развития (Минцифры) форсирует переход компаний, работающих с критической IT-инфраструктурой, на российское ПО и оборудование. И сами игроки рынка, и часть представителей власти признают, что многие сферы, к примеру банковская система, в случае аврального перехода могут просто перестать функционировать.
Что такое КИИ
КИИ — критическая информационная инфраструктура — это информационные и телеком-системы, выход из строя которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, а также нарушить обороноспособность страны, иметь последствия для безопасности государства и правопорядка.
КИИ может быть и у государственных органов, и у юридических лиц, и у индивидуальных предпринимателей, которым эти информационные системы и принадлежат либо на праве собственности, либо на праве аренды. Это касается практически всех сфер экономики: здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, финансовых рынков, топливно-энергетического комплекса, проектов и предприятий в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Также под действие закона попадают юрлица, которые обеспечивают взаимодействие таких систем или сетей.
Объекты КИИ делятся на категории. Например, если хакерская атака может поставить под угрозу жизнь и здоровье более 500 граждан, то объекту присваивается первая категория, максимальная. Если же отключение системы затронет не более 50 человек, то компания, эксплуатирующая такую систему, получает третью категорию КИИ.
Является ли та или иная компания объектом КИИ, решает Федеральная служба по техническому и экспортному контролю (ФСТЭК). Например, такими объектами по умолчанию считаются все морские и речные порты, все операторы связи, транспортные компании, авиакомпании, банки, больницы и т.д. Однако сводных данных о количестве компаний с КИИ в России, а также доле в них частного бизнеса, нет. Эту информацию ФСТЭК хранит в закрытом доступе, хотя сам реестр существует с 2017 года.
«Нет какого-то критерия по размеру компании, другое дело, что, конечно, в крупном бизнесе закономерно больше значимых объектов КИИ, к защите которых предъявляются специальные требования», — отмечает исполнительный директор компании «Акронис Инфозащита» Елена Бочерова.
ФСБ давно на страже
Первые проекты законов, регулирующие защиту IT-инфраструктуры критически важных объектов в России, представила в 2013 году ФСБ. С тех пор государство пытается применять разные механизмы, стимулирующие переход на российское ПО различных организаций.
«В отношении ПО для госорганов действует национальный режим закупок, и постановление правительства устанавливает, с некоторыми исключениями, запрет на закупку ПО, происходящего из иностранных государств, — перечисляет Елена Бочерова. — Для компаний, в которых доля государства более 50%, пока еще действуют директивы правительства, так называемые директивы Силуанова, вышедшие в 2018 году. Они предписывают в таких организациях и их дочках принять планы мероприятий по импортозамещению, следовать методическим рекомендациям Минцифры и отчитываться за выполнение планов. Правда под эти директивы попадают не все госкомпании, есть специальный перечень, утверждённый распоряжением правительства от 23 января 2003 года №91-р».
Новость заключается в том, что теперь речь идет о том, чтобы все без исключения субъекты критической информационной инфраструктуры перешли на использование российского ПО.
Всё упирается в сроки
Первый проект указа президента, где были озвучены сроки перехода объектов КИИ на российское ПО и оборудование, Минцифры опубликовало в мае прошлого года. По этим планам перейти на российское ПО компании должны были уже с 1 января 2021 года, а на оборудование — через год после «первого старта».
Однако в ходе общественного обсуждения этого вопроса поднялась волна недовольства, и в октябре прошлого года были названы новые даты: январь 2024 года для ПО и январь 2025 года для оборудования. Однако перенос на 3 года, видимо, показался регулятору чрезмерным, хотя, например, Ассоциация банков России просила государство не торопиться, аргументируя свою позицию тем, что речь идет о замене 85% технических решений.
По данным компании «Техносерв», отечественными аналогами можно заместить только 15–20% ПО, используемого на объектах КИИ. «Для примера можно привести межсетевые экраны или контроллеры АСУ ТП, у которых практически нет отечественных аналогов, — говорят в «Техносерве». — Для расширения базы оборудования, применяемого на объектах КИИ, требуется развитие отечественной элементной базы (электронных компонентов, необходимых для его производства)».
Тем не менее новый срок назначен, и теперь времени у участников рынка на год меньше. «На сегодняшний день Минцифры располагает сведениями о готовности отрасли, что позволило скорректировать сроки», — прокомментировали причины сокращения сроков в Минцифре.
Что конкретно
Минцифры вот уже несколько лет создает и ведет реестр отечественного ПО. На сегодняшний день в нем насчитывается около 9 тыс. продуктов. Осенью прошлого года регулятор принял решение внести в реестр иностранные разработки. Это офисный пакет AlterOffice разработчика «Алми партнер». Годом ранее тот же самый продукт исключался из реестра, так как при разработке ПО компания брала программные коды у авторов LibreOffice, исключительные права на который принадлежат сообществу разработчиков The Document Foundation. В реестре есть и ПО российских компаний, имеющих в цепочке владения иностранных лиц. Таких продуктов насчитывается 38, среди них, например, ПО маркетплейса «ДокДок», геосервиса «Яндекс Авто», «Кинопоиска», лингвистические программы Abbyy и т.д.
«Нужно признать, что не все сегменты российского ПО развиты одинаково хорошо, но во многих есть игроки, достойно конкурирующие с зарубежными вендорами, — говорит Елена Бочерова. — Можно выделить сегменты информационной безопасности, офисного ПО, систем электронного документооборота, управления предприятиями, где достаточно сильных отечественных производителей. Мы видим примеры, как всё больше инфраструктурного и системного ПО российского производства приходит на смену зарубежному».
И тем не менее участники рынка не разделяют оптимизма Минцифры по поводу сроков перехода. Какое именно ПО и оборудование и в каком количестве необходимо владельцам КИИ, на сегодняшний день не ясно. Какие именно IT-системы компании должны поменять в своей инфраструктуре на российские аналоги, также остается под вопросом. «Требования к субъектам КИИ в настоящий момент не утверждены», — подтвердили в Минцифры.
Из конкретики пока известно, что используемое программное обеспечение и оборудование должно быть включено в единый реестр российских программ для электронных вычислительных машин и баз данных. Исключения из правил возможны только в тех случаях, когда ПО не имеет отечественных аналогов.
«Использование зарубежных продуктов возможно в случае, если аналогов данного ПО и оборудования нет в реестрах отечественного ПО и оборудования, — отмечает ведущий консультант Центра компетенций по информационной безопасности компании «Техносерв» Евгений Воробьев. — Но и в этих случаях за техподдержку и модернизацию софта и оборудования должны отвечать российские организации, не находящиеся под прямым или косвенным контролем иностранных компаний или физлиц».
Зато уже точно ясно, что, переходя на преимущественное использование российского ПО, компаниям придется заново проводить аудит. «Первое, что предстоит сделать, — это аудит уже используемого ПО, на основании которого потом субъекты КИИ должны разработать план перехода на российские аналоги, реализовать его и отчитаться, — согласна Елена Бочерова. — Конечно, не для любого ПО удастся найти аналог, но планы нужно будет согласовать и обосновать».
Банковские страдания
«Впервые регулирование импортозамещения касается коммерческого сектора, поэтому общественные обсуждения были очень напряженными, — вспоминает Елена Бочерова. — За и против высказывались отраслевые ассоциации и сообщества, которые представляли целые сегменты отраслей экономики».
Летом прошлого года председатель комитета Государственной думы по финансовому рынку Анатолий Аксаков, ссылаясь на данные опроса Ассоциации банков России, говорил, что потенциальные затраты отдельных участников рынка на замену ПО и оборудования варьируются от 80 млн до 150 млрд рублей. Итоговая сумма затрат по всей банковской системе может превысить 700 млрд рублей.
«Если мы поторопимся, то можем столкнуться с массовыми ошибками, сбоями работы систем безопасности, отказом от ряда сервисов. Это грозит не только утечкой данных, пониженной устойчивостью к взломам, потерей денежных средств клиентами и, как следствие, потерей доверия ко всей финансовой системе, но и остановкой банковской системы страны на неопределенный срок. Важна физическая готовность всего рынка к реализации рассматриваемых требований», — заявлял Анатолий Аксаков и указывал, что для перехода только банковской системы на российское ПО в реальности понадобится не менее 5–6 лет.