/ Регулирование

Импортозамещение ПО в самом важном

Сможет ли критическая инфраструктура РФ существовать преимущественно на отечественных IT-разработках?

ФСТЭК России опубликовала для публичного обсуждения до 20 февраля этого года проект приказа, который вносит изменения в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ) РФ. Поправки направлены на использование в КИИ преимущественно отечественного ПО и оборудования в целях защиты ее технологической независимости, а также создания условий для продвижения российской продукции. По просьбе RSpectr эксперты из отраслевых компаний проанализировали инициативу.


О ЧЕМ ДОКУМЕНТ?

Федеральная служба по техническому и экспортному контролю России (ФСТЭК) опубликовала на портале проектов нормативных правовых актов поправки, которые планируется внести в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Из проекта приказа ФСТЭК:

«В значимом объекте не допускается техническая поддержка программных и программно-аппаратных средств, в том числе средств защиты информации, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц».

В пояснительной записке к документу уточняется, что изменения направлены на использование в КИИ РФ преимущественно отечественного ПО и оборудования в целях обеспечения ее технологической независимости и безопасности, а также создания условий для продвижения российской продукции.

Приказы ФСТЭК являются нормативными правовыми актами, необходимыми для реализации закона о безопасности КИИ (187-ФЗ). Этот документ предполагает отнесение владельца КИИ к одной из трех категорий значимости (в зависимости от того, какой ущерб государству и людям будет нанесен, если его информационную систему взломают) на основе ряда показателей. Если предприятие, компания или ведомство не соответствует ни одному из установленных критериев, ему категория не присваивается. Остальные являются значимыми объектами КИИ.






























НУЖНА РОССИЙСКАЯ ТЕХПОДДЕРЖКА

Начальник отдела аудита и консалтинга центра компетенций по ИБ компании «Техносерв» Михаил Коптенков полагает, что проект документа ФСТЭК не запрещает объектам КИИ использовать зарубежные IТ-решения: «Иными словами, закупать иностранное ПО и оборудование можно, а поддержку должны осуществлять российские компании».

С этим мнением согласна исполнительный директор «Акронис-Инфозащита» Елена Бочерова, эксперт пояснила, что

техподдержку сможет оказывать российский интегратор или другой посредник

Главный архитектор департамента проектирования АО НИП «Информзащита» Павел Демидов уверен, что отказ от иностранного оборудования и ПО на текущий момент неприемлем: «У нас нет возможности обеспечить замену всех технических и программных средств без полной остановки всех технологических процессов». Поэтому, по его словам, единственная в настоящий момент возможность снизить риски возникновения инцидентов – «шлепнуть по рукам удаленной техподдержке из-за рубежа, которую невозможно контролировать даже теоретически».

Поддержка зачастую неотъемлема от продукта, поэтому новые ограничения, скорее всего, приведут к отказу от использования на объектах КИИ иностранных решений, отмечает директор по информационной безопасности компании «Новые Облачные Технологии» Александр Буравцов. Некоторые зарубежные вендоры смогут привлекать отечественные организации для оказания поддержки, впрочем, пока таких прецедентов не было, говорит эксперт.

Судя по всему, требования распространяются на любой софт и оборудование на объектах КИИ: и на прикладное, и на системное ПО, рассуждает руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Первому, по словам эксперта, техподдержка нужна, и она неотделима от самого продукта. «Но на объектах КИИ и так по большей части стоит отечественное прикладное ПО (в первую очередь для нужд безопасности). Это связано с тем, что ФСТЭК и ранее требовала, чтобы вендор передавал исходный код на анализ, на что иностранные разработчики не идут», – говорит А. Парфентьев.

Что касается системного ПО, в обычной практике закупка техподдержки на операционную систему (ОС) и базы данных – это исключение, а не правило, так как лицензии на такой софт бессрочные. Однако

по новым требованиям объекты КИИ рискуют столкнуться с тем, что не смогут организовать поддержку силами отечественных специалистов

Тогда придется делать выбор в пользу российских ОС и систем управления базами данных. Но полнофункционально заменить зарубежный системный софт пока не получится, предупреждает А. Парфентьев. Тем не менее эксперт считает, что «это ожидаемое решение и концептуально верное, так как доступ резидентов других стран к критической инфраструктуре, действительно, должен быть ограничен».

Павел Новожилов, эксперт Центра информационной безопасности компании «Инфосистемы Джет»:

– На практике могут возникнуть сложности, связанные с тем, что сегодня на внутреннем рынке очень мало организаций обладают компетенциями по самостоятельной поддержке решений без подключения вендора. Что касается перехода на российские IТ- и ИБ-продукты, в этом случае им потребуется потратить много времени на тестирование и поиск отечественных аналогов, которых в результате может вовсе не оказаться.

Источник RSpectr в компании, занимающейся информационной безопасностью (ИБ), говорит, что одна из основных сложностей для РФ при довольно высоком уровне цифровизации предприятий – это риск введения эмбарго на поставку и техподдержку вычислительной техники и софта. Государство пытается создать условия, при которых IТ-инфраструктура объектов КИИ сохранит работоспособность даже в случае ухода с российского рынка иностранных вендоров. Поэтому последним ставится ультиматум: «Хотите продавать свой софт и свое железо в критические секторы экономики – создавайте на территории РФ независимые от вас сервисные компании». Требование, по мнению эксперта, справедливое, но, например, для организаций, ориентированных на американский рынок, по ряду причин невыполнимое, им придется или уйти из России, или организовать кооперацию с отечественными IТ-компаниями.


БЕЗОПАСНОСТЬ ВЫШЕ, КОНКУРЕНЦИЯ НИЖЕ

Курс на замену иностранных решений для ИБ отечественными в области КИИ взят уже давно, отмечает технический директор компании TESSIS Михаил Рожнов.

У этого процесса, по его словам, есть свои плюсы и минусы.

Из плюсов:

действительно будет снижена степень угрозы, исходящей от зарубежных организаций и их властей, то есть угрозы международного (в том числе государственного) промышленного шпионажа и саботажа

Кроме того, эксперт отмечает, что «переход на отечественные решения в области, которая сейчас находится под пристальным вниманием регуляторов и, как следствие, порождает спрос на эти решения, даст хорошую подпитку российским компаниям, занимающимся информбезопасностью, привлечет им денежные и человеческие ресурсы». Возможно, усилится и конкуренция между отдельными отечественными разработчиками, что опосредованно приведет к повышению качества их продуктов, полагает М. Рожнов.

Но, с другой стороны,

перекрытие кислорода зарубежным решениям компаний, которые являются мировыми лидерами в ИБ, приведет к тому, что реальная конкуренция снизится, качество лучших из оставшихся доступных решений упадет

Как следствие, уязвимость перед другими угрозами (например, международными и отечественными киберпреступниками-шантажистами) только повысится, предупреждает эксперт. «Разумеется, наши регуляторы хорошо понимают это, и вот почему железный занавес перед иностранными решениями пока окончательно не опущен (хотя, очевидно, при желании это можно было бы сделать очень быстро). Можно надеяться на то, что взвешенный, консервативный подход к решению этой проблемы пойдет всем (кроме злоумышленников, конечно) только на пользу», – говорит М. Рожнов.

На проблему снижения конкуренции также обращает внимание руководитель департамента продуктовой экспертизы Axoft Евгений Куртуков. По его мнению, в тех областях, где российские технологии уже созданы и есть несколько конкурирующих вендоров, ситуация не поменяется, прежде всего это касается области обеспечения ИБ. Потенциальная проблема может быть в тех сферах, где собственные технологии только зарождаются, и тут государству придется не только создать рынок, но и искусственно наращивать конкуренцию. «Иначе есть риск скатиться в технологическую яму, когда решения извне мы не потребляем, а собственные разработки доходят до минимально приемлемого уровня и останавливаются в развитии», – сказал Е. Куртуков.

Что касается формирования нового рынка для отечественных разработчиков, то его может ускорить господдержка.

Евгений Куртуков, Axoft:

– Разрабатывать собственные решения очень дорого, инвестиции со стороны государства для многих компаний – практически единственный способ профинансировать создание технологий и обеспечить их поддержку.

М. Коптенков отмечает такое преимущество отечественных производителей, как понимание российской специфики и регуляторных требований (в том числе в части сертификации по требованиям безопасности информации), а также защита интересов компании в условиях политических конфликтов и санкций. Наряду с этим у множества отечественных решений по ИБ невысокая по сравнению с зарубежными аналогами стоимость владения.

По мнению П. Демидова,

предлагаемые изменения могут породить на рынке ИБ новое направление: сертифицированные/аккредитованные/отечественные организации, осуществляющие поддержку огромного пула технических средств

Павел Гончаров, руководитель направления ГосСОПКА, «Ростелеком-Солар»:

– Существует расхожее опасение, что заградительные меры хороши для производителя, но могут оказаться губительными для рынка из-за отсутствия конкуренции. Но сегодня на отечественном рынке в каждом сегменте ИБ-решений (антивирусы, сканеры уязвимостей, средства криптографической защиты и др.) есть из чего выбрать – даже в рамках защиты КИИ никто из российских вендоров не является монополистом в своей области, а значит, они продолжат конкурировать и развивать свои продукты.


ЕСТЬ НА ЧТО ЗАМЕНИТЬ?

Ряд экспертов полагает, что процесс замены зарубежных решений на отечественные не станет слишком болезненным для владельцев КИИ.

Так, сооснователь компании Postgres Professional Иван Панченко отмечает, что уже сейчас российские разработчики могут составить достойную конкуренцию иностранным коллегам. Развитию сферы способствуют и принимаемые меры господдержки – финансы (госзакупки, налоговые льготы, субсидии), развитие науки и т. д. «Важно дополнить эти меры, которых до недавних пор очень не хватало для выпуска качественной продукции, работой с будущими кадрами на начальном этапе – возрождением математического образования, поиском новых форм обучения. Для формирования устойчивого тренда развития отечественной IT-сферы важно решить проблему утечки мозгов. Это можно сделать, создав все условия для возвращения специалистов и предотвращения трудовой миграции в другие страны», – говорит И. Панченко.

Александр Буравцов, «Новые Облачные Технологии»:

– Сегодня существует достаточно большое количество отечественных решений, которые не уступают по качеству и могут считаться полнофункциональными аналогами зарубежных продуктов. В первую очередь речь идет о рынках средств защиты и общесистемного ПО. В последние годы в нашей стране активно развиваются операционные системы, почтовые сервисы, офисные программные продукты и другие решения смежных классов.

Вопрос замены прикладного ПО стоит не очень остро – по многим классам решений зарубежное программы имеют вполне жизнеспособные отечественные аналоги, подчеркивает А. Парфентьев: «Это, например, можно сказать про инженерное ПО и софт для навигации. А в ряде сегментов российские разработки на голову выше (речь про антивирусы, DLP-системы, средства криптографической защиты). Там, где замена невозможна (нет отечественных аналогов), предположу, организации будут выводить процесс из контура КИИ».

Другие опрошенные RSpectr специалисты не разделяют оптимизма коллег.

Так, Е. Бочерова считает, что экосистема отечественных продуктов, способных заменить зарубежные решения в КИИ, развивается недостаточно быстро. Зачастую это связано с тем, что

сертификация ФСТЭК – непосильная задача для многих российских разработчиков, которая требует значительных ресурсов как денежных, так и человеческих

По мнению эксперта, было бы правильным разработать комплексные меры поддержки компаний, которые готовят свои продукты для использования в КИИ и нуждаются в соответствующей сертификации, например, помог бы механизм субсидий.

Со своей стороны, специалист по защите критической инфраструктуры компании Softline Максим Прохоров опасается того, что в случае, если будут приняты рекомендации по полному переходу субъектов КИИ на ПО российского производства, организациям придется пересмотреть существующую IТ-инфраструктуру и скорректировать бюджеты на внедрение, а уже реализованные решения иностранного производства – заменить российскими аналогами. Это может доставить неудобства тем, кто уже успел перейти к этапу проектирования и внедрения средств защиты информации в рамках реализации проектов по исполнению требований 187-ФЗ.

Максим Прохоров, Softline:

– Отмечу, что в условиях, когда законодательство в области КИИ находится в стадии доработки, особенно важно начинать реализацию проекта с проведения полноценного аудита, в идеале – с привлечением опытного IТ-провайдера. Глубокий анализ структуры организации и ее бизнес-процессов даст возможность быстрее адаптироваться к новым требованиям с минимальными временными и финансовыми затратами.

Е. Куртуков считает, что переход на отечественные средства ИБ в КИИ можно осуществить в довольно короткий срок, от одного до двух лет. «Другое дело, что эксплуатация решений потребует непрерывного процесса доработок, улучшений и поддержки. И это будет более сложным вызовом», – отмечает эксперт.

А. Парфентьев прогнозирует, что переход на отечественные решения возможен через пять-десять лет, потому что для этого потребуется напряжение всех ресурсов: «Просто залить программистов деньгами, чтобы получить на выходе код, не получится. Нет ни таких денег, ни такого числа специалистов».

Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП:

– В крупнейших организациях промышленности, энергетики, транспорта, топливно-энергетического комплекса и связи повсеместно применяются зарубежные решения как для автоматизации производства (Siemens, Rockwell, Schneider Electric и др.), так и для построения сетевой инфраструктуры (Cisco, Checkpoint, Huawei). Они обеспечиваются технической поддержкой производителя, который находится под прямым или косвенным контролем иностранных юридических лиц. В данном случае реализация рассматриваемых требований крайне затруднительна ввиду отсутствия всего спектра аналогов на рынке.

Поскольку пока речь идет о проекте изменений, можно рассчитывать, что в ходе общественного обсуждения и экспертизы все аспекты такого решения будут рассмотрены и приняты во внимание. Возможно, будет предложена альтернативная, более мягкая формулировка. Например, требование будет распространено только в части средств защиты информации, среди которых уже много сертифицированных отечественных решений, не затрагивая иные типы программно-аппаратных средств.


___

СПРАВКА

Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» № 187-ФЗ вступил в силу 1 января 2018 года.

Он является базовым документом и создает основу правового регулирования этой сферы, закрепляет основные понятия, обязывает владельцев КИИ защищать ее от кибератак и передавать в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) информацию обо всех инцидентах, вводит механизмы госконтроля.

Основные функции контроля в области обеспечения безопасности КИИ и подготовки подзаконных нормативных правовых актов возложены на ФСТЭК и ФСБ.

Согласно закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сферах:

  • здравоохранения;
  • науки;
  • транспорта;
  • связи;
  • энергетики;
  • банковской и в иных сегментах финансового рынка;
  • топливно-энергетического комплекса;
  • атомной энергии;
  • оборонной и ракетно-космической промышленности;
  • горнодобывающей, металлургической и химической промышленности.

Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.

Изображения: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Объект, знай свою категорию

С какими трудностями столкнулись компании, выполняя требования закона о безопасности критической информационной инфраструктуры