Федеральная служба по техническому и экспортному контролю (ФСТЭК) предлагает полностью отказаться от иностранных IТ-решений на объектах критической инфраструктуры (КИИ). Эксперты объясняют инициативу борьбой со шпионажем и коррупцией. Но, предупреждают они, такой «технологический расизм» может ухудшить качество поддержки информационных систем госорганов и оборонных предприятий, а также спровоцировать ответную реакцию других стран.
Рисунок: Виктор Чумачев, Коммерсантъ
ФСТЭК опубликовала проект поправок в приказ о защите объектов КИИ на regulation.gov.ru 6 февраля. К ним относятся критически важные сети и информационные системы госорганов, банков, предприятий оборонной, топливной и атомной промышленности и энергетики.
Новые требования ФСТЭК запретят организациям, находящимся под контролем иностранных физических и юридических лиц, заниматься поддержкой программно-аппаратных средств в объектах защиты КИИ.
Они подготовлены по поручению президента РФ Владимира Путина «по обеспечению технологической независимости и безопасности КИИ путем использования преимущественно отечественного программного обеспечения», о котором “Ъ” сообщал 3 июля 2019 года.
Поскольку поддержка неотъемлема от продукта, это означает фактический запрет на использование любых иностранных решений и требование проверки гражданства владельцев всех подрядчиков таких сетей, констатировал в своем Telegram-канале эксперт по кибербезопасности Алексей Лукацкий. Действующая версия приказа предполагает обязательность гарантийной или технической поддержки, поэтому новые ограничения приведут к отказу на объектах КИИ от иностранных решений, согласен директор по продажам и развитию бизнеса «КриптоПро» Павел Луцик.
Впрочем, для техподдержки возможен вариант с привлечением отечественных организаций, которые готовы стать посредниками между субъектами КИИ и иностранными производителями, полагает он.
Ужесточение требований ожидаемо, считает руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Он связывает новые требования с «необходимостью защиты от атак через цепочку поставок зарубежного оборудования». Для экспертов по вопросам защиты КИИ проект ФСТЭК оказался неожиданным, возражает Павел Луцик. Он видит причину ограничений иностранных подрядчиков в желании властей сократить риски шпионажа со стороны других государств. При этом достойные отечественные аналоги уже успешно используются в средствах антивирусной или криптографической защиты, а иностранные решения задействованы в тех случаях, когда отечественных аналогов нет или они неэффективны, отмечает господин Луцик.
В России есть немало отечественных решений, которые «дешевле, качественнее и надежнее зарубежных, поэтому их закупают и другие страны», говорит замгендиректора завода «Физприбор» Вадим Подольный. Недопуск иностранного оборудования он связывает с борьбой с коррупцией. «Наши чиновники, заказывая оборудование у иностранных поставщиков, позже могут оказаться владельцами активов в Европе»,— не исключает он.
Но ограничение допуска иностранного оборудования — это «технологический расизм», ведь критерием оценки должно быть качество, а не происхождение «железа», настаивает господин Подольный. Запрет на закупку иностранного оборудования может вызвать ответные меры, которые обернутся финансовыми потерями для страны, предупреждает эксперт. «Например, "Росатом" сейчас законтрактован на строительство 36 энергоблоков АЭС за рубежом, средняя стоимость одного блока — $6 млрд. Но их уже начинают заставлять проходить сложнейшие сертификации — это ответная мера»,— уверен он. Специалист по информационной безопасности компании Oberon Георгий Хандога соглашается, что допуск иностранных решений стимулировал здоровую конкуренцию, а их ограничение может вызвать качественный спад.