КИИ в тренде
Собственная разработка, экосистемы и ускоренный переход на российские продукты — новые тренды импортозамещения КИИ
Сегодня вопрос безопасности критической информационной инфраструктуры (КИИ) встал остро: кратно увеличилось количество хакерских атак, целями которых выступают банки, госучреждения и прочие организации, относящиеся к КИИ. Помимо этого, многие иностранные вендоры отказались продлевать российским компаниям лицензии на свое ПО или оказывать его техподдержку, предоставлять обновления, что тоже ставит под угрозу работу объектов таких структур. Поэтому отечественные компании ради обеспечения безопасной и стабильной работы своих ИТ-систем продолжают активный переход на российское ПО и оборудование.
Фото: Евгений Павленко, Коммерсантъ
Тренды импортозамещения
Согласно указу президента России Владимира Путина от 30 марта 2022 года №166, госорганам и госкомпаниям запрещается использовать иностранное ПО на объектах КИИ с 1 января 2025 года. Помимо этого, переход на доверенные программно-аппаратные комплексы (ПАК) должен завершиться к 1 января 2030 года. Уже с 1 сентября текущего года субъекты КИИ не смогут использовать на значимых объектах недоверенные ПАКи, приобретенные после 1 сентября. Это следует из постановления правительства от 14 ноября 2023 года №1912 «О порядке перехода КИИ на преимущественное применение доверенных ПАКов на принадлежащих им значимых объектах КИИ».
К субъектам КИИ относятся важные для жизни граждан госорганы, телеком-компании, организации здравоохранения, науки, транспорта, топливно-энергетического комплекса, банки и другие организации из значимых отраслей экономики. Объекты КИИ — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
«Субъекты КИИ продолжают замещать иностранное ПО в ускоренном режиме»,— рассказал заместитель генерального директора РЕД СОФТ Рустам Рустамов. При этом все чаще заказчики отмечают необходимость «плавной» и бесшовной миграции с сохранением гетерогенной среды, отметил он: «Именно этот тренд сейчас наиболее актуальный».
На объектах КИИ произошло первичное насыщение обеспечивающих (вспомогательных) подсистем, в том числе наложенных механизмов информационной безопасности, считает заместитель генерального директора компании «Аладдин» Сергей Минаков. «По сути, ранее используемую инфраструктуру обеспечения объектов КИИ прикрыли лоскутным одеялом различных российских или open source решений,— продолжил он.— Настала очередь импортозамещения ключевых технологий на объектах КИИ, использующихся в специализированном программном обеспечении». А это, по мнению господина Минакова, более сложно и дорого.
По данным опрошенных изданием экспертов, сейчас на отечественном рынке появляется все больше интегрированных решений — когда один вендор предлагает сразу несколько продуктов (виртуализация, почта, сервис видео-конференц-связи и т. д.). Еще один ощутимый тренд — это появление ПАКов, которые состоят из отечественного софта и оборудования. Крупные игроки разрабатывают продукты для своих нужд, вместо того чтобы покупать готовые решения: они либо используют базу в виде open source или пишут софт «с нуля».
«Пока нет импортозамещения ключевой технологии или задачи, которую реализует объект КИИ, заказчики будут сдерживать такой переход,— отметил господин Минаков.— В первой фазе компании частичное импортозамещение провели. Но немногие готовы вкладываться в заказные импортозамещенные outdoor-решения, хотя во внутренние indoor-решения по импортозамещению вкладываются».
По словам господина Рустамова, по определенным классам зрелых аналогов специализированного ПО на российском рынке пока нет. Еще одна проблема — это наличие целого ряда продуктов из реестра Минцифры, которые не совместимы с отечественными ОС, потому что изначально разрабатывались под Windows.
Есть ли чем заменять иностранные решения
В большинстве случаев мы имеем конкурентоспособные аналоги как по программному обеспечению, так и по ПАКам, рассказали “Ъ” в Минпромторге. «Вместе с тем есть направления, над которыми мы активно работаем и развиваем существующие решения до уровня потребности, а по отсутствующим обеспечиваем приоритет для ускоренной разработки»,— подчеркнули в министерстве.
Сегодня реестр отечественного ПО уже насчитывает 21 тыс. программных продуктов, программно-аппаратных комплексов и решений с искусственным интеллектом, уточнил исполнительный директор АРПП «Отечественный софт» Ренат Лашин.
Данные мониторинга закупок ПО, который ведет Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий (ЦКИТ), свидетельствуют об активном планировании перехода организаций на российские операционные системы, базы данных, системы хранения данных, системы виртуализации, а также системы резервного копирования.
По оценке главы Минцифры Максута Шадаева, 85% ИТ-расходов в госкомпаниях идет на закупку российского оборудования и ПО. Об этом он заявил в апреле по итогам совещания правительства с президентом Владимиром Путиным. По его словам, в общей сумме госкомпании вложили в цифровизацию почти 1 трлн руб. на 2022–2024 годы.
На российском рынке уже есть большое количество софта, часть из которого полностью соответствует по функциональности иностранным решениям, рассказала “Ъ” директор по маркетингу и коммуникациям цифровой платформы для организации командировок и управления расходами «Ракета» Дарья Зубрицкая. Однако с «железом» или оборудованием ситуация в стране чуть сложнее, так как в России не было развито производство многих технологий, продолжает эксперт. Сейчас большинство продуктов из этой области построено на базе иностранных решений и зарубежных компонентов (в частности, китайских), и пока в этом сегменте вендорам сложно удовлетворить потребности отечественного рынка.
Почему импортозамещение в КИИ важно
Как подчеркивают в Минцифры, от устойчивого функционирования КИИ напрямую зависит работоспособность платежных систем, услуг связи, транспортной и энергетической систем, ЖКХ и др. Ранее иностранные ПО и ПАКи реализовывали многие ключевые технологии объектов КИИ, обеспечивали безопасность информационной технологии самого КИИ, отметил Сергей Минаков.
Главные риски санкционного режима — это ограничение на покупку ПО, отказ в продлении лицензии, отзыв действующей лицензии как на системное ПО, так и на прикладное, отметили в Минпромторге. «Отключение от технической поддержки или ограничение ее действия правообладателями ПО приводит к невозможности своевременного обновления ПО и оборудования»,— продолжили в ведомстве.
В Минпромторге посоветовали не забывать, что внешние нарушители могут использовать внедренные уязвимости на иностранных решениях, что может привести к полному или частичному выходу из строя ПО и оборудования. Использование зарубежных решений также чревато полной или частичной потерей или искажением данных, содержащихся в импортном ПО или на импортном оборудовании в результате внешнего воздействия.
В отличие от иностранных вендоров, отечественные готовы оказывать техподдержку своих решений круглосуточно, своевременно их обновлять и дорабатывать свои решения как с точки зрения функциональности, так и безопасности.
На что обратить внимание при переходе
Безусловно, заказчики при выборе новых продуктов ориентируются на реестры ПО Минцифры и радиоэлектронного оборудования Минпромторга. При этом многие решения из реестра софта построены на open source. Поэтому в первую очередь необходимо проверять, действительно ли разработчик обеспечивает полноценную поддержку продукта и устранение возможных уязвимостей, считает заместитель генерального директора Postgres Professional Иван Панченко. «Если решение основано на ПО с открытым исходным кодом, то важно понять, насколько вендор владеет кодом: понимает ли его устройство, способен ли при необходимости вносить исправления и внедрять в продукт нужные функции»,— продолжил он.
Также стоит обратить внимание на наличие сертификации Федеральной службы по техническому и экспортному контролю. Эксперты в том числе посоветовали проводить пилотные внедрения новых решений, обращать внимание на их совместимость с другими российскими решениями и запрашивать у вендоров успешные кейсы.
Закручивание гаек
В марте в Госдуму был внесен законопроект Минцифры о переходе субъектов КИИ на отечественное ПО и радиоэлектронную продукцию. Он предлагает поправки к закону «О безопасности критической информационной инфраструктуры РФ» №187. Согласно документу, министерство предложило наделить правительство полномочиями определять по каждой отрасли типы информсистем, которые необходимо будет относить к значимым объектам КИИ с учетом отраслевых особенностей (категорирование). Значимые объекты КИИ — это программы и информационные системы, атаки на которые повлекут социальный, экономический или экологический вред.
Сейчас относить или нет объект КИИ к значимому определяет собственник той или иной информсистемы. «Зачастую компании этим пренебрегают и минимизируют количество систем, которые определяются как значимые объекты КИИ»,— отмечали в Минцифры. Предполагается, что по таким объектам КИИ установят сроки перехода на российские продукты. Правительство также будет определять случаи использования на объектах КИИ радиоэлектронной продукции и ПО из «иностранных государств», а также сроки импортозамещения этой продукции на российские решения. Сроки будут связаны с готовностью отечественных решений, а сам переход и соблюдение сроков будут контролироваться отраслевыми ведомствами.
Проект федерального закона направлен на обеспечение технологической независимости и безопасности КИИ в условиях введенных в отношении России санкций и при наличии рисков нарушения работоспособности объектов КИИ по причине введения таких санкций. В случае принятия закон вступит в силу 1 марта 2025 года.