Российское ПО – критической инфраструктуре

КАК МЕНЯЛСЯ УКАЗ

Министерство цифрового развития, связи и массовых коммуникаций доработало проект указа президента РФ «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры». Документом скорректированы сроки перехода на отечественное ПО и оборудование.

К объектам КИИ могут быть отнесены IT-системы и сети связи, а также автоматизированные системы управления, функционирующие в сфере:

• здравоохранения;
• науки;
• транспорта;
• связи;
• энергетики;
• банковской и иных сферах финансового рынка;
• топливно-энергетического комплекса;
• атомной энергии;
• оборонной и ракетно-космической промышленности;
• горнодобывающей, металлургической и химической промышленности.

Такой перечень дает закон «О безопасности критической информационной инфраструктуры».

Впервые Минцифры опубликовало проект указа президента на федеральном портале проектов нормативных правовых актов в мае 2020 года. Он предусматривал переход субъектов КИИ на преимущественное использование отечественного ПО до 1 января 2021 года, еще через год – на российское оборудование. Однако в ходе общественного обсуждения эти даты были изменены и в октябре названы новые – январь 2024 года и январь 2025 года соответственно.

Но и эти сроки были скорректированы.

Как пояснили RSpectr в пресс-службе Минцифры,

проект указа был доработан с учетом предложений, поступивших в рамках общественного обсуждения, в том числе позиции российских разработчиков о готовности обеспечить отрасли экономики собственными решениями

Президент ГК InfoWatch, председатель правления АРПП «Отечественный софт» (АРПП) Наталья Касперская рассказала RSpectr о том, что 17 ноября 2020 года АРПП и Ассоциация российских разработчиков и производителей электроники (АРПЭ) направили в адрес президента РФ Владимира Путина письмо, в котором выразили обеспокоенность возможным переносом перехода объектов КИИ на российское ПО и оборудование на более поздние сроки.

Наталья Касперская, ГК InfoWatch, АРПП:

– Наши ассоциации твердо уверены: в любом движении важна системность и поступательность. Действия по принципу «шаг вперед – два назад» не могут привести к цели, как и метания из стороны в сторону, когда вчера замещают импортное ПО, а сегодня внедряют иностранное. Если уж наша страна взяла такой курс и хочет к чему-то прийти, то движение в сторону импортозамещения должно быть продолжено. Тем более что в настоящий момент отечественные разработчики и производители оборудования могут обеспечить российскую экономику решениями, уже готовыми к внедрению на предприятиях – субъектах КИИ.

По словам Н.Касперской, у АРПП «Отечественный софт» есть целый список подобных решений.

В то же время Российский союз промышленников и предпринимателей (РСПП) высказывал иную точку зрения. Как сообщал «Коммерсантъ», в РСПП считают нереалистичным внедрение отечественного софта и оборудования даже с 2024 и 2025 года соответственно, отмечая, что это потребует серьезных затрат.

ТРЕБОВАНИЯ И ПОРЯДОК

Минцифры также разработало требования к программному обеспечению и оборудованию, применяемым на объектах критической инфраструктуры, и порядок перехода.

Согласно первому документу, владельцы КИИ смогут использовать только софт, который включен в единый реестр российского ПО (РПО), или единый реестр евразийского ПО (РЕП), и (или) в единый реестр российской радиоэлектронной продукции (РРП).

Но для требований есть исключения:

• отсутствие в РПО или в РЕП соответствующего класса (типа), являющегося аналогом иностранного ПО, используемого субъектом КИИ;
• отсутствие в РРП сведений о телекоммуникационном оборудовании и радиоэлектронной продукции, являющейся аналогом иностранного оборудования, используемого субъектом КИИ;
• наличие сведений о телекоммуникационном оборудовании и радиоэлектронной продукции в РРП, не позволяющей по своим техническим характеристикам достичь определенных законодательством целей и задач субъекта КИИ.

Согласно порядку перехода,

владельцы КИИ должны будут провести аудит своего ПО и оборудования и утвердить план действий до 1 июля 2021 года

Использование иностранных продуктов необходимо будет согласовать с Минцифры и Минпромторгом.

Как сообщил RSpectr генеральный директор ГК ИВК Григорий Сизоненко, переход на отечественное ПО и оборудование обеспечит технологически независимую цифровую среду таких стратегически важных объектов, как органы государственной власти, нефтепроводы и газопроводы, атомные электростанции, больницы, воздушный и железнодорожный транспорт, объекты оборонного комплекса.

Григорий Сизоненко, ГК ИВК:

– Если управление этими объектами будет перехвачено извне с помощью недекларированных возможностей зарубежного программного обеспечения, возникнут непоправимые риски. Если санкционная политика иностранных вендоров приведет к отзыву лицензий на используемое ПО и «железо», объекты КИИ не смогут функционировать. Поэтому переход на российскую программно-аппаратную платформу должен быть быстрым.

СРОКИ РЕАЛЬНЫЕ

Новые даты – это в любом случае сдвиг изначального срока внедрения отечественных решений, который планировался на 2021 год, сетует Н.Касперская.

Эксперт отмечает, что

переход на отечественное – это процесс, который занимает от года до трех лет. Отодвигать начало внедрения российских решений нецелесообразно

Кроме того, по словам Н.Касперской, сейчас активно реализуются программы цифровизации российской экономики. И если переход субъектов КИИ на преимущественное использование российского ПО и оборудования будет отложен, то она будет обеспечиваться закупкой иностранных решений, а потом предприятиям придется их все равно импортозамещать.

Наталья Касперская, ГК InfoWatch, АРПП:

– Есть масса примеров, иллюстрирующих, насколько глубока и опасна технологическая зависимость от иностранных производителей на предприятиях – субъектах КИИ. Например, в марте 2014-го платежные системы Visa и MasterCard без уведомления заморозили операции по картам ряда банков («Россия», Собинбанк, СМП-банк, ИнвестКапиталБанк). В результате пострадали не только эти банки, но и их клиенты – физические и юридические лица.

Исполнительный директор компании «Акронис Инфозащита» Елена Бочерова считает, что обозначенные в проекте указа сроки – вполне реальные. Тем более что переход на российский софт не означает безальтернативную замену всего иностранного ПО отечественным, а предполагает ряд действий, направленных на то, чтобы использование российского ПО стало преимущественным, сообщила она RSpectr.

«Также важно, чтобы этот процесс продолжился и после 2023 и 2024 годов, ведь ситуация с разработкой отечественного ПО будет развиваться», – подчеркивает Е.Бочерова.

Никто не обязывает владельцев КИИ заменить все компоненты IТ-инфраструктуры одномоментно, подтверждает Г.Сизоненко. По его словам,

можно провести миграцию на российское ПО и «железо» эволюционно, встраивая новые компоненты в уже существующую инфраструктуру

Для этого российские вендоры ПО разработали и опробовали на практике соответствующие инструменты и методики. Организации могут поэтапно переводить цифровую инфраструктуру на отечественные решения без риска для работоспособности всех компонентов и без большой единовременной финансовой нагрузки.

ЧЕМ ЗАМЕНИМ?

В Ростехе также считают, что задача импортозамещения выполнима. В пресс-службе госкомпании напомнили о том, что реестр отечественного ПО содержит большой объем российского софта и продолжает интенсивно пополняться. Поэтому владельцы критической инфраструктуры располагают всеми возможностями для перехода на продукты РФ.

По словам Г.Сизоненко, в России уже существует обширный пул отечественного системного и прикладного ПО. В настоящий момент в РПО уже более 5 тыс. продуктов, разделенных на 27 классов, и он ежедневно расширяется. «Есть надежная основа для построения технологически независимой инфраструктуры, – говорит Г.Сизоненко. – На этом фундаменте субъекты КИИ могут создавать доверенную цифровую среду любого масштаба и сложности».

Генеральный директор компании «Аэродиск» Вячеслав Володкович отмечает, что сегодня российские разработчики предлагают операционные системы, прикладное ПО, средства информационной безопасности, сетевое оборудование и многие другие программные и аппаратные компоненты.

Реестр российской промышленной продукции также оперативно наполняется, но есть ограничивающие производителей факторы, рассказали RSpectr в Ростехе.

В частности,

важным вопросом, требующим решения, является совместимость существующих информационных систем и их компонентов с добавляемыми

«Весь мир работает на стандартных архитектурах, под которые разрабатываются программные модули, на базе них создаются комплексные платформы. Этот вопрос должен решаться в плотном взаимодействии производителей оборудования, разработчиков ПО и потенциальных эксплуатантов. Такой положительный опыт уже есть, в частности, его продемонстрировала реализация федерального закона №374 “Яровой – Озерова”», – отмечают в концерне «Автоматика» госкорпорации «Ростех».

ПОДДЕРЖКА ДЛЯ ОТРАСЛИ

Ускорение сроков перехода КИИ на российское ПО поддержит IT-отрасль в среднесрочной и долгосрочной перспективах. В первую очередь, за счет развития конкуренции на внутреннем рынке, считает технический директор компании «Номикс» Аркадий Оверин.

С ним согласны и другие опрошенные RSpectr эксперты.

Елена Бочерова, «Акронис Инфозащита»:

– Для IТ-компаний это может стать не только расширением рынка, но и поводом для корректировки своих программ развития. Ведь им придется конкурировать по функционалу как с зарубежными вендорами, так и со своими коллегами на внутреннем рынке. Появляется все больше российских разработчиков, и эта борьба обостряется.

Для промышленности, в свою очередь, это создает долгосрочный рынок, который будет способствовать наращиванию объемов производства имеющейся номенклатуры, а также инвестированию в создание новых продуктов и решений, добавляют в «Ростехе».

«Сегодня наши предприятия уже производят продукцию, которая по цене и потребительским свойствам может успешно конкурировать с импортными образцами. В частности, мощности российских компаний позволяют полностью удовлетворить спрос на компьютерное оборудование со стороны федеральных и региональных органов власти», – прокомментировали RSpectr в холдинге «Росэлектроника».

ТРУДНОСТИ ПЕРЕХОДА

Ведущий менеджер по продвижению Crosstech Solutions Group Ильяс Киреев в разговоре с RSpectr указывает на то, что новые требования отразятся на бюджетах субъектов КИИ: «Сегодня они осуществляют только продление лицензий ПО (в среднем это 30% от первоначальной стоимости проекта) существующих систем безопасности объектов КИИ, а переход потребует покупку лицензий за полную стоимость аналогичных отечественных решений».

Кроме того, потребуется обучение специалистов, а это время и дополнительные затраты, считает И.Киреев.

Эксперт по информационной безопасности Алексей Лукацкий полагает, что основная трудность – это отсутствие полного спектра аналогов, которые не только менее функциональны, чем уже используемые решения, но и в 1,5–3 раза дороже их. «Если с госкомпаниями все затраты будет компенсировать государство, то у коммерческого предприятия путь один – переложить все расходы на потребителя», – предупреждает он.

Директор по ИТ компании Oberon Дмитрий Пятунин рассказал RSpectr, что необходимо провести подготовку для замещения высокоэффективных ОС и систем управления базами данных. Они являются платформой для целых комплексов IТ-систем, которые придется единовременно заменять, а эта задача потребует колоссальных ресурсов на этапе создания и серьезных административных мер на этапе внедрения.

В.Володкович согласен с тем, что замена технологических решений – это всегда стресс, финансовые и временные затраты. Однако это не уникальные проблемы:

если заменить одно зарубежное решение на другое, сложности будут аналогичными

«При этом зачастую получить поддержку от отечественного разработчика намного проще и дешевле, чем от крупной зарубежной корпорации. Иностранные игроки мало заинтересованы в российских заказчиках, так как они занимают небольшую часть от его портфеля клиентов. В то время как отечественные поставщики технологий будут всеми силами стараться, буквально “вцепляться в землю”, чтобы внедрение прошло успешно – ведь от этого зависит их бизнес», – резюмирует В.Володкович.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

КИИ-объекты под прикрытием
Промышленность получила отечественный продукт для защиты от кибератак и отсрочку по внедрению таких решений