С 31 марта по указу президента госкомпаниям требуется согласовывать с Минцифры закупки иностранного софта для критически важных для страны IT-сетей. Госорганам запрещено использовать иностранный софт и программно-аппаратные комплексы (ПАК) с 2025 года. Принятие указа и сроки импортозамещения обсуждались в отрасли уже несколько лет, но на фоне военных действий на Украине документ принят аврально и в жестком для заказчиков варианте. Эксперты говорят, что в ряде отраслей реализовать требования будет сложно.
Фото: Олег Харсеев, Коммерсантъ
Президент Владимир Путин подписал указ, по которому с 1 января 2025 года органам государственной власти и другим заказчикам запрещается использовать иностранное программное обеспечение на принадлежащих им объектах критической информационной инфраструктуры (КИИ). Также госкомпаниям с 31 марта текущего года запрещено закупать иностранный софт, в том числе в составе ПАКов, для использования на объектах КИИ без согласования с профильным министерством.
К объектам КИИ относятся критически важные для страны IT-сети, в том числе госорганов, предприятий оборонной промышленности, объектов транспорта, здравоохранения и др.
В соответствии с указом правительство должно в течение месяца утвердить требования к ПО, которое используют госорганы, и правила согласования закупок иностранного софта госкорпорациями. В течение полугода правительство должно реализовать комплекс мер, направленных на обеспечение преимущественного использования отечественной радиоэлектроники и телеком-оборудования в КИИ, обеспечить создание научно-производственных объединений для разработки и производства доверенных ПАКов.
Перейти на отечественный софт для обеспечения технологической независимости и безопасности объектов КИИ президент поручал еще 3 июля 2019 года. Сроки импортозамещения долго были предметом дискуссии в отрасли. Федеральная служба по техническому и экспортному контролю в феврале 2020 года предлагала полностью отказаться от иностранных IТ-решений на объектах КИИ, Минцифры — перевести владельцев КИИ на преимущественное использование отечественного ПО с 2021 года, а на российское оборудование — с 2022 года. Но после обращения Ассоциации банков с просьбой отсрочить переход сдвинуло сроки на четыре года. В ноябре 2021 года в очередном проекте указа Минцифры предлагало единый срок импортозамещения в значимых для государства сетях — с 1 января 2023 года. Против тогда выступило Государственно-правовое управление президента.
Под действие указа президента попадают не все субъекты КИИ, а организации, осуществляющие закупки по 223-ФЗ, в их числе госкорпорации, монополии, сбытовые, государственные унитарные предприятия, подчеркивает руководитель отдела консалтинга и аудита информационной безопасности Step Logic Денис Пащенко: «По данным портала госзакупок, заказчиков по 223-ФЗ около 90 тыс., но неизвестно, сколько из них имеют объекты КИИ».
Указ президента требует пояснений и вызывает много вопросов, говорят эксперты. «Не ясно, что конкретно понимается под импортным ПО.
В отличие от бытовых представлений, к ПО относятся не только операционные системы или офисные приложения, но и, например, микропрошивки контроллеров, средства разработки и отладки, библиотеки, компиляторы языков»,— отмечает директор центра противодействия кибератакам IZ:SOC «Информзащита» Иван Мелехин.
Если все это необходимо будет импортозамещать, то потребуются колоссальные затраты, чтобы реализовать указ к 2025 году, полагает он.
На уровне таких решений, как виртуализация, резервное копирование, операционные системы, перевести КИИ на российские сервисы можно уже сейчас, но на уровне прикладных систем, а также аппаратной составляющей это будет напряженная работы для всей отрасли, согласен директор департамента вычислительных систем Step Logic Сергей Каплий. Альтернативы иностранному ПО в КИИ есть далеко не по всем категориям продуктов, говорит партнер департамента управления рисками «Делойт» в СНГ Сергей Кудряшов: «Например, системы виртуализации и контейнеризации приложений в России находятся на стадии разработки, и нужно время, чтобы их масштабировать».
Не понятно, попадают ли под новые требования банки, но для них требования выглядят труднореализуемыми, отмечает управляющий RTM Group Евгений Царев: «Сейчас нет альтернатив некоторым ушедшим игрокам, таким как Microsoft или IBM». Как сообщили «Ъ» в крупном банке, пока выполнение требований в кредитных организациях не выглядит реалистичным: «Например, в обычных сетевых принтерах есть зашитое ПО, так что получается, что банку потребуется получать согласование уполномоченного органа?» Также возникают вопросы о возможности использования приложений мобильного банка, которые ставятся на иностранные операционные системы, поскольку других просто нет.
Госкомпании и госорганы и так не могут закупать иностранный софт из-за санкций, подчеркивает Денис Пащенко. В марте из-за военной операции России на Украине в стране приостановили работу Microsoft, IBM, Oracle, SAP, Fortinet, ESET, Avast и многие другие компании. По мнению эксперта, запрет на закупки без согласования с профильным министерством связан с угрозами безопасности: «IT-системы требуют постоянного внимания, в том числе установки обновлений, но, если они не продаются в России, это невозможно».