Федеральная служба по техническому и экспортному контролю (ФСТЭК) отзовет сертификаты более 50 продуктов иностранных разработчиков, остановивших работу в России, если они в течение 90 дней не гарантируют обеспечение техподдержки своих решений. Хотя некоторые вендоры заявили, что сохранят поддержку уже работающих систем, решение о прекращении сертификации может носить политический характер, считают эксперты. В результате государственным информационным системам (ГИС) и объектам критической информационной инфраструктуры (КИИ) придется еще быстрее искать замену зарубежным системам.
Фото: Юрий Мартьянов, Коммерсантъ
“Ъ” обнаружил в реестре ФСТЭК, что служба временно приостановила действие сертификатов на программные продукты иностранных компаний, включая решения от IBM, Microsoft, Oracle, SAP, Vmware, ESET, Trend Micro и другие. По данным на 25 марта, приостановлено уже 56 сертификатов, уточнил руководитель отдела консалтинга и аудита информационной безопасности Step Logic Денис Пащенко. ФСТЭК начала замораживать сертификаты после того, как перечисленные иностранные компании объявили об уходе из России из-за военной операции на Украине. В Microsoft и ESET отказались от комментариев, остальные компании и ФСТЭК не ответили на запросы “Ъ”.
Разработчики программных продуктов проходят сертификацию ФСТЭК для подтверждения, что они соответствуют требованиям по безопасности информации по разным классам защищенности и могут использоваться в ГИС, автоматизированных системах управления технологическими процессами или на значимых объектах КИИ. Речь может идти о продуктах для управления предприятием, облачного хранения, аналитики, кибербезопасности и других.
Согласно требованиям ФСТЭК, заявитель должен обеспечивать техническую поддержку средств защиты информации, проходящих сертификацию в России, в том числе и устранять выявляемые уязвимости, пояснил независимый эксперт по информационной безопасности Алексей Лукацкий: «ФСТЭК запросила у зарубежных компаний пояснения относительно техподдержки уже работающих решений».
Если они не возобновят поддержку продуктов в течение 90 дней со дня приостановки сертификатов, их действие будет прекращено, уточнил эксперт.
Системы SAP и Oracle используют почти вся российская промышленность, энергетика, транспорт, банки и другие отрасли. Пока только SAP 4 марта публично заявила, что «продолжает поддерживать всех действующих клиентов в рамках договорных обязательств в той мере, насколько это позволяют санкции и ограничения экспортного контроля».
Будет ли такой поддержки достаточно для сохранения сертификата, пока неясно, отмечает собеседник “Ъ” на IT-рынке: «В конце 2021 года ФСТЭК также ввела требование, что вендор не должен ограничивать свои продажи на всей территории страны, включая Крым». Это означает, что окончательное решение о сертификации зарубежного софта будет, скорее всего, носить политический характер, считает источник “Ъ”.
В таком случае пользователям зарубежного софта придется искать сертифицированные альтернативы и проводить переаттестацию систем, отмечает Денис Пащенко. По его словам, в России есть сертифицированные отечественные альтернативы, например, продуктам по кибербезопасности, однако найти альтернативу продуктам Vmware, IBM, Microsoft, Oracle без потери производительности или функционала будет непросто: «Это займет много времени, потребует изменения IТ-архитектуры и серьезных финансовых затрат».
Несмотря на требования по использованию сертифицированного ПО, многие компании и банки пока продолжают работу на зарубежных продуктах, которым ФСТЭК приостановила лицензии, говорит руководитель направления информационной безопасности Itglobal.com Александр Зубриков.
Сейчас регулятор не дает четких сроков, когда заказчики должны будут заменить несертифицированные продукты в своих IT-системах, отмечает источник “Ъ” на IT-рынке: «Более того, в силу вступивших в силу послаблений в части проверок выявить факт использования несертифицированного решения регулятор может не скоро».