Критическое замещение: какие риски могут возникнуть у компаний при переходе на российский софт
Москва. 23 июня. INTERFAX.RU - На прошлой неделе стало известно, что Минцифры готовится внести в правительство законопроект, распространяющий запрет на использование зарубежного программного обеспечения на любые объекты критической информационной инфраструктуры (КИИ), включая негосударственные.
Сейчас аналогичные требования действуют только для госзаказчиков: с 31 марта указом президента им запрещено закупать иностранный софт для объектов КИИ, а полностью отказаться от его использования они должны с 1 января 2025 года.
Опрошенные "Интерфаксом" эксперты полагают, что новые требования в первую очередь затронут телеком-отрасль и финансовую сферу, и указывают на отсутствие оборудования и программных продуктов, которые позволили бы полноценно провести импортозамещение, а также незавершенность процесса категорирования КИИ, запущенного еще в 2018 году.
Кому приготовиться?
Обсуждаемая редакция законопроекта предполагает, что он будет распространяться на перечень значимых объектов КИИ, реестр которых ведет ФСТЭК России, сообщили "Интерфаксу" в пресс-службе Минцифры. При этом в силу закрытости реестра сказать, какие именно объекты попадут в этот перечень, невозможно.
Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации", вступивший в силу с 1 января 2018 года, определяет лишь понятие субъектов КИИ - это организации и индивидуальные предприниматели, владеющие или арендующие информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети, функционирующие в 13 сферах: здравоохранение, наука, транспорт, связь, финансовая сфера, энергетика, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая, химическая промышленность и топливно-энергетический комплекс, а также те, кто обеспечивает взаимодействие таких систем. В то же время законодательство разделяет незначимые и значимые объекты КИИ (которые, в свою очередь, подразделяются на три категории в зависимости от масштаба потенциальной угрозы). Значимые объекты КИИ вносятся в реестр, который ведет ФСТЭК.
Таким образом, отмечает член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович, само определение КИИ в законодательстве обозначено очень широко. Объектами КИИ могут признаны любые информсистемы, ИТК сети, системы управления, если они функционируют в указанных в документе сферах. При этом неважно, кто именно владеет этими объектами: это может быть как госорган, так и коммерческая компания.
Под новый запрет могут попасть информсистемы операторов связи, банков, медицинских организаций, железнодорожных и авиакомпаний и другие, полагает эксперт.
Общее количество объектов КИИ в России составляет не менее 500 тыс. организаций, как частных, так и государственных, говорит бизнес-консультант по безопасности Алексей Лукацкий. При этом перечень объектов КИИ может пополняться, расширяться и изменяться, и под действие закона может попасть практически любое предприятие.
Крупный бизнес преимущественно относится либо к стопроцентному государственному участию, либо к частичному государственному участию. По оценкам руководителя департамента информационно-аналитических исследований компании T.Hunter Игоря Бедерова, негосударственные объекты составляют 30-40% от государственного сектора КИИ. В первую очередь к частным субъектам КИИ можно отнести операторов "большой четвёрки" (МТС, Билайн, Мегафон, Теле2) и частные банки ("Тинькофф", "Альфа Банк"), считает он.
По мнению замдиректора департамента консалтинга ГК Innostage Марата Залотдинова, в первую очередь действие закона распространится на компании, принадлежащие к одной из отраслей, обозначенных в 187-ФЗ. Речь о субъектах КИИ с высокими категориями значимости объектов КИИ. Такие объекты есть, к примеру, в сфере энергетики и телекома. Также под действие новой нормы попадут организации, работающие с мерами защиты объектов КИИ на иностранных продуктах, например с межсетевыми экранами и IPS\IDS и компании, использующие иностранные решения для объектов ИТ-инфраструктуры, задействованных в критических процессах, указывает эксперт.
Безопасности много не бывает
Ранее безопасности объектов КИИ не уделяли достаточно внимания, указывает Бедеров: на некоторых предприятиях военно-промышленного комплекса аудит информационной безопасности не проводился с момента создания, с 90-х – начала нулевых. "А эти предприятия у нас сейчас самые критичные. Это организации, проводящие радиолокационные приборы, радиосвязь – то, что применяется прямо сейчас, в рамках специальной военной операции. Они не защищены", - отметил Бедеров.
Сейчас использование иностранного софта на объектах КИИ влечёт реальные риски для предприятий, указывает президент "Руссофт" Валентин Макаров. Вмешательство через импортный софт может полностью остановить работу этих организаций, что приведёт к серьёзным социальным и технологическим последствиям. В этой связи переход на отечественное ПО неизбежно. При этом Макаров подчеркивает, что отечественные решения наравне с американскими и китайскими гарантируют паритет по степени защиты: "они могут атаковать нас, мы можем атаковать их; мы защищаемся, они защищаются".
ИТ-инфраструктура многих компаний сегодня имеет разные слабые места, возникшие под влиянием тех или иных факторов в прошлом, например, резкого роста бизнеса, слияния или разделения, а импортозамещение требует от компаний замены значительной части ИТ-инфраструктуры, отмечает Залотдинов. По его мнению, прежде чем приступить к процессу, необходимо провести аудит. "Не производить замену "1 в 1" , а постараться выстроить обновленную ИТ-инфраструктуру правильно: в каких-то зонах - исправить ошибки, в каких-то - заложить возможность развития и масштабирования. Ещё одно обязательное условие - обеспечить высокий уровень базовой безопасности ИТ инфраструктуры", - указывает он.
На что замещать будем?
Ещё в марте глава Минцифры Максут Шадаев заявлял, что наибольшую тревогу в плане импортозамещения в РФ вызывает специализированное, графическое и инженерное ПО. Позднее министр сообщил о появлении отраслевых консорциумов, в рамках которых обсуждаются альтернативные варианты российских решений, и заверил, что отечественные компании не останутся без софта.
Макаров отмечает, что в России уже есть ПО, которое частично замещает функционал популярных иностранных продуктов. Однако некоторым программным продуктам аналогов пока нет.
По словам Макарова, промышленные предприятия преимущественно используют импортный софт для ERP-систем (управление процессами) и зарубежный инженерный софт (проектирование сложных изделий). Доминирующая ERP-система на российских предприятиях – немецкая SAP. На ней работают, например, "Газпром", частично "Росатом" и Минобороны. После начала спецоперации SAP объявила о полном прекращении работы в России и решила не продлевать контракты на облачные сервисы с российскими компаниями. Замещение SAP, по словам Макарова, сейчас вызывает наибольшие затруднения, но в этом направлении уже работает компания 1С.
Ещё один программный продукт, замена которого пока проблематична - свободная объектно-реляционная система управления базами данных (СУБД) Oracle, на которой работают банки. Её производитель также объявил об уходе из России. Сейчас Oracle на средних задачах можно заместить софтом Postgres, но на доработку полного функционала продукта потребуется время.
"Что касается банков, то многие из них используют Microsoft, и его уже сейчас можно заместить, например, софтом Postgres. А вот с Oracle сложнее. Я думаю, что лицензии будут работать ещё около года. Пока они действуют, вполне можно наш софт доработать, чтобы он заместил Oracle", - сказал Макаров.
Сейчас большинство объектов КИИ продолжают работать на зарубежном софте, поскольку действуют приобретённые до спецоперации лицензии. Существовать исключительно на иностранном ПО они смогут ещё год-полтора, и за это время российским разработчикам нужно создать достойные аналоги, указывает Макаров.
Телеком-компании, как и большинство коммерческих организаций, достаточно активно используют решения, основанные на иностранных компонентах, указывает Марат Залотдинов. Например, информация о клиентах хранится в базах данных, которые исторически реализовывались на иностранных решениях, в том числе Oracle и Microsoft. Поскольку объемы информации, количество запросов и уровень критичности этих систем важны для бизнеса, нужно крайне аккуратно и грамотно подходить к реализации проектов по миграции на российские решения, предупреждает эксперт. "Простой фигурирующих в них систем может принести компании больших убытков. Просто "взять и перейти" - не получится. Такой подход может привести разве что к выполнению приказов ради "галочки", при котором иностранные решения будут продолжать использоваться дальше", - говорит Залотдинов.
Он также указывает, что с трудностями в импортозамещении столкнется не только телеком-отрасль - различаться будут лишь наиболее критичные компоненты ИТ-инфраструктуры. "В каких-то случаях наиболее болезненна замена вычислительных мощностей, где-то - сетевого оборудования или информационных систем. Учитывая неясные перспективы поставок телеком-оборудования отдельными вендорами и сценарии, при которых происходит некорректная миграция либо российские решения имеют слабый функционал, качество связи может стать ниже", - полагает он.
Бизнес-консультант по безопасности Алексей Лукацкий, со своей стороны, сомневается, что софт на всех объектах КИИ в обозримом будущем возможно импортозаместить: "Это нереально в принципе. Тот же Siemens или Windows заменить - задача на десятилетия; не говоря уже о замене аппаратной начинки критической инфраструктуры", - считает он.
Схожего мнения придерживается и Бедеров. По его словам, в России нет оборудования и программных продуктов, которые могли бы полноценно провести импортозамещение. "Это прямое следствие того, что долгое время не было инвестиций, развития стартапов и технологий", - уточнил он.
Переход объектов КИИ, в том числе систем телеком-операторов на отечественное ПО неизбежен, однако на это потребуется много времени и денег, причем в конечном счете заплатить за это придется потребителям, полагает генеральный директор ГК "Эдит Про" Дмитрий Кичко. "Это будут длительные проекты, учитывая их масштаб. Для телеком-отрасли это означает, что потребуется еще больше ресурсов, и в этом процессе будет задействовано большое число интеграторов, что может привести к повышению цен на данные услуги", - отмечает эксперт.
Как пояснил "Интерфаксу" источник в телеком-отрасли, к КИИ операторов связи относятся ядро сети, ЦОДы, центральные узлы и так далее, для их защиты на 99% используется иностранное оборудование. "Импортозаместить в перспективе можно, например, "Протей" предлагает хорошие решения, но их все равно нужно дорабатывать под нашу инфраструктуру, поскольку прежде все операторы использовали импортное оборудование. Так что в части сетевого оборудования идея установить запрет губительна для отрасли", - говорит он. При этом российские решения уже применяются для отдельных элементов IT-инфраструктуры, например, для SMS-центров.
Определиться категорически
Прежде чем приступить к замещению иностранного ПО, субъектам КИИ нужно пройти категорирование, указывает Бедеров. Согласно постановлению правительства РФ N 127 от 8 февраля 2018 года, категорирование объектов КИИ проводят сами субъекты, которые ими владеют, то есть компании, корпорации, ведомства. Объектам присваивается одна из трех категорий согласно критериям социальной, экономической, политической, экологической значимости, а также значения для "обеспечения обороны страны, безопасности государства и правопорядка". Специальная комиссия оценивает тип и способ хранения данных на объекте КИИ, секретность этих сведений и количество работающих с ними сотрудников. Заключение комиссии относительно категории критичности передается в ФСТЭК России. Чем выше категория, тем более серьёзные оборудование и софт нужны субъекту КИИ.
Бедеров обращает внимание, что задача провести категорирование объектов КИИ была поставлена ещё два года назад, но этого сделано не было, и срок продлили до начала 2023 года. "Вероятно, еще продлят, потому что сдача категорирования пока рьяно не выполняется. Было два года, чтобы государственные КИИ откатегорировались. За это время, по-моему, откатегорировались два предприятия", - уточнил Бедеров.
Помимо этого, эксперт видит в процедуре категорирования коррупционные риски.
"История с категорированием и отнесением частного бизнеса к объектам КИИ может повлечь за собой излишнюю коррупционную нагрузку на и без того забитый бизнес и стать довольно печальной нотой. "Давайте вас откатегорируем по меньшей категории? Платите деньги. А давайте сделаем спецтехусловия, чтобы вы не соответствовали (категории)? Платите деньги", - говорит Бедеров.
По его словам, любая категория по КИИ будет обязывать предприятия закупить программные продукты и аппаратные средства, и это может стать для компаний значительной статьёй расходов. "А требовать за это будут и потом выставлять штрафы, вероятно. Поэтому здесь возникает высокий риск коррупционной ёмкости", - заключил эксперт.