Для импортозамещения программного обеспечения (ПО) и оборудования на объектах критической информационной инфраструктуры (КИИ) могут установить единый срок — с 1 января 2023 года. При этом важные для страны сети будут переходить на отечественные продукты только при наличии соответствующих аналогов и после окончания сроков эксплуатации текущего оборудования и лицензий на иностранный софт. Из-за этого условия исполнение требований может затянуться, в частности, на промышленных предприятиях, которые обычно используют бессрочные лицензии, предупреждают эксперты.
Рисунок: Виктор Чумачев, Коммерсантъ
“Ъ” ознакомился с проектом указа президента об экономических мерах обеспечения технологической независимости и безопасности объектов КИИ. Документ разработан Минцифры, 28 октября замруководителя аппарата правительства Леонид Левин направил его на согласование в государственно-правовое управление президента. В Минцифры отказались от комментариев. Господин Левин не ответил на звонки и сообщения “Ъ”.
Объекты КИИ — это госорганы, банки, объекты транспорта, связи, здравоохранения, предприятия оборонной, топливной и атомной промышленности и энергетики. Их технологические сети относятся к критически важным для страны.
Проект устанавливает единый срок перехода КИИ на отечественное оборудование и ПО — 1 января 2023 года. Контролировать импортозамещение в части софта будет Минцифры, а в части оборудования — Минпромторг. В банковской сфере процесс будет согласовываться с ЦБ, следует из документа. В нем отмечается, что организации должны будут преимущественно перейти на российское ПО после окончания срока действия прав на используемый софт и при наличии отечественных аналогов. В телекоммуникационном оборудовании и радиоэлектронной продукции переход произойдет по истечении сроков амортизации существующей техники.
Сроки импортозамещения на объектах КИИ были предметом острой дискуссии.
В 2020 году Минцифры предлагало перейти на преимущественное использование отечественного ПО с 2021 года, а на российское оборудование — с 2022 года. Это не устроило Ассоциацию банков России, которая попросила председателя правительства Михаила Мишустина отсрочить переход до 2025–2026 годов (см. “Ъ” от 17 июня 2020 года). В следующей версии проекта Минцифры согласилось сдвинуть сроки на 2024–2025 годы (см. “Ъ” от 2 ноября 2020 года), что вызвало недовольство уже IT-ассоциаций (см. “Ъ” от 20 ноября 2020 года).
«В результате мы с Минцифры пришли к компромиссу — январь 2023 года»,— пояснила председатель правления АРПП «Отечественный софт» Наталья Касперская. Переход на преимущественное использование российского ПО после окончания срока действия прав на текущий софт является «смягчающим» условием, полагает исполнительный директор АРПП «Отечественный софт» Ренат Лашин.
Реальный срок перехода на российское ПО будет зависеть от того, какая лицензия у объекта КИИ на его текущий софт — бессрочная или по подписке, отмечает заместитель управляющего директора «Ланит-Интеграции» Олег Головко. В первом случае, по его оценке, на объекте придется обновлять ПО через пять-семь лет, подписка же в среднем действует от года до трех лет. «Сложнее обстоят дела с лицензиями на прикладное программное обеспечение промышленных систем (АСУТП). Они обычно бессрочные и поставляются иностранными компаниями вместе с их оборудованием»,— отмечает господин Головко. По его словам, эксплуатационный цикл АСУТП может составлять до 30 лет.
В случае с долгосрочными лицензиями есть риск, что их могут внезапно отозвать, предупреждает господин Лашин.
Бессрочная лицензия позволяет долгое время не менять ПО, признает эксперт, «разорвать этот круг и компенсировать новую норму» может обязанность создавать новые системы под отечественное оборудование.
Основные сложности в процессе перехода, скорее всего, испытает промышленность, полагает консультант по информбезопасности компании «Инфосистемы Джет» Николай Скварский. Стоимость полного одномоментного перехода на отечественные аналоги для крупных организаций может достигать 3 млрд руб., уточняет глава отдела консалтинга информационной безопасности Step Logic Денис Пащенко. Реализовать задачу в указанные сроки невозможно, уверен директор технического департамента RTM Group Федор Музалевский: «Если в части софта у нас еще есть задел, то понимания, как решить вопрос с необходимым железом, пока нет». По его мнению, КИИ потребуется не менее пяти лет для полного перехода на отечественное оборудование и ПО.