Согласно требованиям регулятора, субъекты КИИ обязаны перейти на отечественный софт к 1 января 2025 года. Однако, похоже, многие не успеют сделать этого. Их ждут огромные штрафы, а руководителей — уголовная ответственность? Или появились альтернативные пути? На событии IT Press Meeting, организованном компанией «Код Безопасности», своими мнениями делились отраслевые эксперты и представители АРПП «Отечественный софт».
- Введение
- Что должно произойти?
- Переход от планов к реальности
- Доверенные ПАКи помогут «отсрочить наказание»
- От замены продуктов к росту отрасли (на примере ИБ)
- Какой ценник на ИБ-продукты является справедливым?
- Необходимость консолидации ИТ и ИБ
- Выводы
Введение
Приближается рубеж, к которому российские субъекты КИИ согласно нормативным документам должны полностью заменить иностранный софт на отечественный. Хотя процесс идёт полным ходом, в отрасли возникает больше вопросов, чем ответов. С одной стороны, владельцы объектов КИИ рапортуют о шагах, которые предпринимаются для перехода на отечественное ПО. Очевидна их решимость сделать всё возможное для реализации намеченных планов. Но одновременно звучат оценки экспертов, говорящие о том, что рынок, похоже, готовится к появлению новых задач, а выполнение ранее поставленных будет частичным.
Какова же реальная ситуация с импортозамещением на объектах КИИ? По мнению экспертов, на текущий момент (осень 2024 года) достигнутый там уровень импортозамещения не превышает 30–40 %.
Что сделают регулирующие органы, если поставленная задача не будет решена к намеченному сроку? Речи о приостановке работы предприятий не идёт, но они могут столкнуться с высокими штрафами, которые негативно скажутся на их дальнейшем развитии.
Неужели регулятор пойдёт на ухудшение условий деятельности субъектов КИИ и сокращение их финансовых ресурсов, которые могли бы пойти на поддержку текущей деятельности или на будущую модернизацию? Возникает непростая ситуация: с одной стороны, нельзя не выполнить законодательные требования, с другой — наказание только усугубит ситуацию.
Чтобы разогнать туман вокруг перспектив, компания «Код Безопасности» провела в конце сентября мероприятие IT Press Meeting, куда пригласила экспертов из числа своих ключевых партнёров, а также представителей АРПП «Отечественный софт». Их мнения мы изложим далее.
Рисунок 1. IT Press Meeting
Что должно произойти?
Согласно Указу Президента РФ от 30 марта 2022 г. № 166 и выпущенным позднее Методическим рекомендациям, субъекты КИИ на значимых объектах КИИ должны до 1 января 2025 года перейти на отечественный софт. Это распространяется на государственные органы и учреждения, а также на юридических лиц и ИП в следующих сферах:
- топливно-энергетический комплекс;
- энергетика;
- горнодобывающая промышленность;
- химическая промышленность;
- здравоохранение;
- наука;
- транспорт;
- связь;
- государственная регистрация прав на недвижимое имущество и сделок с ним;
- банковская сфера и финансовый рынок;
- атомная энергетика;
- оборонная, ракетно-космическая, металлургическая промышленность.
При этом требования по переходу на отечественное ПО касаются не только объектов КИИ. Под них подпадают и те юридические лица и ИП, которые обеспечивают взаимодействие систем или сетей, т. е. на предприятия, которые занимаются, например, продажей лицензий или предоставлением услуг хостинга для объектов КИИ, а также на операторов связи.
Всё это свидетельствует о том, насколько масштабная миграция была намечена. Подобное осуществляется впервые. Однако происходящее знаменует собой начало ещё более масштабного перехода на отечественное ПО, который затронет многие другие компании.
По аналогичной схеме на российский софт должны перейти:
- Госкомпании, в отношении которых приняты решения о разработке стратегии (программы) цифровой трансформации, а также подведомственные им организации и внебюджетные фонды. Срок — до 2027 г.
- Заказчики, которые осуществляют закупки по 44-ФЗ и 223-ФЗ. Срок — тоже до 2027 г.
- Все государственные органы. Срок — до 2030 г.
Это заставляет иначе взглянуть на нынешние события вокруг указа № 166. Они должны привести к созданию «практической методики» перехода на отечественное ПО для большинства российских организаций.
Переход от планов к реальности
Незадолго до конференции «Кода Безопасности» ассоциация BISA провела опрос среди представителей компаний — субъектов КИИ, чтобы выяснить уровень выполнения требований указа № 166.
Как оказалось, полностью выполнили требования законодательства лишь 7 % опрошенных. Готовность всё сделать к 1 января 2025 года декларируют ещё 8 % компаний. 32 % смогут выполнить предписания только частично, т. е. им придётся сохранить программы иностранного производства в своих инфраструктурах. Речь в этом случае идёт не столько об отсутствии нужного софта среди российских продуктов, сколько о трудностях быстрой и масштабной замены ПО без ущерба для производственного процесса.
Если подвести итог, то успевают к намеченному сроку только 15 % компаний, частично справляются 32 %, а больше половины (53 % предприятий — субъектов КИИ) не смогут перейти на отечественное ПО к 1 января 2025 г. Это, конечно, экспертная оценка, а не фактический результат, но, скорее всего, именно так всё и будет.
Доверенные ПАКи помогут «отсрочить наказание»
Тема доверенных программно-аппаратных комплексов (ПАК) активно развивается с конца 2023 года. Отчётливо об этом было заявлено в постановлении Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры РФ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры РФ».
В чём смысл? Можно рассматривать это как попытку правительства предложить предприятиям альтернативные варианты, которые позволят отреагировать на требования Указа Президента № 166, но при этом не ломать производственные процессы и сохранить устойчивость бизнеса, двигаясь в сторону перехода на отечественный софт в будущем.
Рисунок 2. Ренат Лашин, исполнительный директор АРПП «Отечественный софт»
Как отметил Ренат Лашин, исполнительный директор АРПП «Отечественный софт», переход на российское ПО представляет собой «амбициозную, но трудную для реализации задачу. Достижение этой цели является значимым для отрасли».
Очевидно, что внедрение софта на объектах КИИ — это сложная проектная задача. Она требует высококвалифицированных кадров и серьёзной предварительной подготовки, в рамках которой должна быть проведена оценка совместимости новых инструментов, безопасности и надёжности работы новых решений в уже выстроенной ранее инфраструктуре.
В отношении софта, по словам спикера, всё относительно просто: количество решений растёт, они становятся более зрелыми. Однако внедрение нового оборудования без предварительной и тщательной подготовки недопустимо для объектов КИИ. Появление ПАКов позволяет устранить проблему, потому что решение вопросов совместимости и безопасности берут на себя интегратор и производитель.
В составе доверенных ПАКов можно использовать только российское ПО, включённое в единый реестр Минцифры. Есть и ряд других критериев:
- сведения о конкретном ПАКе должны содержаться в едином реестре российской радиоэлектронной продукции;
- всё ПО в составе ПАКа должно входить в реестр Минпромторга или сопровождаться заключением об отсутствии для него аналогов на территории РФ;
- в случае применения ПАКа для защиты информации он должен соответствовать требованиям ФСТЭК и / или ФСБ России и иметь сертификат, подтверждающий это соответствие.
В законодательных требованиях также указано, что все приобретённые после 1 сентября 2024 г. ПАКи подлежат дальнейшим проверкам на доверенность. Исключение может быть сделано только для иностранного ПО, у которого нет отечественных аналогов. Подтвердить такое исключение может Министерство промышленности и торговли РФ. Если же приобретённые ПАКи не получат нужного сертификата, то в дальнейшем их эксплуатация на объектах КИИ будет запрещена.
Процесс перехода на доверенные ПАКи должен завершиться к 1 января 2030 г.
От замены продуктов к росту отрасли (на примере ИБ)
Процесс создания доверенных ПАКов стартовал в начале 2024 г. Времени прошло не так много, поэтому предложение на рынке до сих пор недостаточно.
Более того, ПАКи создаются в первую очередь для типовых требований. Если в компании применяется специализированный софт или есть особые требования к ПО и его эксплуатации, то, скорее всего, подходящих доверенных ПАКов на рынке ещё нет.
Налицо явное изменение условий. «Неготовность» отдельных объектов КИИ к 1 января 2025 г. уже не выглядит такой катастрофической, потому что срок внедрения доверенных ПАКов — 1 января 2030 г.
Рисунок 3. Фёдор Дбар, коммерческий директор «Кода Безопасности»
Как отметил Фёдор Дбар, коммерческий директор «Кода Безопасности», страна готова к импортозамещению технически, т. е. для замены ранее установленных систем всё есть (с определёнными допущениями). Однако по некоторым направлениям это приведёт к ухудшению качества, пусть и некритическому. Сейчас, по словам спикера, главное — это не удобство, а сохранение функциональности.
Оценивая динамику роста отечественных решений, Фёдор Дбар назвал наиболее динамичным сегмент отечественных ИБ-решений: «по этому направлению наблюдается троекратный рост использования отечественных СЗИ». Он также отметил высокое качество разработки ПО в области защиты информации в сравнении с западными аналогами. Имеющиеся трудности в этой сфере обусловлены «качеством поддержки отечественных решений на всех этапах их жизненного цикла», а не особенностями самого ПО как такового.
Уход западных компаний позволил российским разработчикам осваивать новые ниши. По мнению Фёдора Дбара, в ближайшие год-два можно ожидать появления решений не только для небольших офисов, но и для крупных корпоративных структур, в том числе для работы в больших дата-центрах. Качеству российских решений можно дать высокие оценки, «а ошибки встречаются везде, в том числе и в западных решениях».
«Основные проблемы, сдерживающие переход, связаны с финансированием, — считает Фёдор Дбар. — Если у компании есть средства, она переходит на отечественные решения. Если бюджета нет, то нет и перехода».
Это мнение поддержал Василий Огнев, руководитель направления MFA в компании МТС RED. Он добавил: «Основные трудности наблюдаются в инфраструктурных и серверных решениях, где до сих пор велика доля Windows. Эти решения тяжело импортозамещаются, а их архитектура препятствует процессу. Но в целом тенденция положительная».
Рисунок 4. Василий Огнев, руководитель направления MFA в компании МТС RED
Какой ценник на ИБ-продукты является справедливым?
Одной из наиболее важных причин торможения перехода на отечественные продукты (в области ИБ) чаще всего называют цены. Как отметил Василий Огнев, некоторые вендоры действительно необоснованно завышали их в 2022 году. В то же время он дал объяснение этому: «Тогда не было понимания, что будет дальше. Компании выбирали стратегии выживания с учётом прошлого опыта».
По мнению Василия Огнева, устойчивость рынка удалось сохранить благодаря тем компаниям, которые не шли на раскачивание цен и рассчитывали на единство всех участников рынка в их готовности держаться вместе и выстоять, не позволить совершиться обвалу. С этим трудно не согласиться.
Игорь Кузнецов, руководитель направления Kaspersky GReAT в «Лаборатории Касперского», охарактеризовал нынешнее состояние цен. «Сейчас на рынке наблюдаются полярные оценки в отношении динамики изменения цен. Некоторые утверждают, что цены растут скачкообразно. Другие считают, что над ценами сохраняется полный контроль. Но в целом “ситуацию по больнице” можно рассматривать как находящуюся в пределах нормы. Поводов для паники нет». Рост цен эксперт связал с происходящей индексацией зарплат в отрасли, а также с необходимостью инвестировать в развитие продуктов.
Рисунок 5. Дмитрий Овчинников, руководитель аналитической лаборатории, «Газинформсервис»
С этим мнением согласился Дмитрий Овчинников, руководитель лаборатории стратегического развития ИБ-продуктов (аналитический центр кибербезопасности, «Газинформсервис»). По его словам, компаниям недостаточно только покрывать свои расходы. Они должны обеспечивать развитие, вкладываться в разработку, тестирование, поддержку своих продуктов. Поэтому разумный рост цен вполне обоснован — но именно разумный. Если компании следуют такой стратегии, то они работают в интересах развития отечественного рынка.
Фёдор Дбар добавил, что российские разработчики поставлены в более сложные условия, чем ушедшие западные вендоры. Им приходится параллельно развивать собственное ПО для работы в разных экосистемах, к числу которых относятся как импортозамещённая среда, так и платформы иностранных производителей. Более того, у каждой отечественной платформы Linux — собственная среда, которая отличается от других. Поэтому российским разработчикам приходится дополнительно контролировать возможности появления несовместимости и искать решения, даже когда импортозамещение уже проведено.
Необходимость консолидации ИТ и ИБ
Хотя о кибербезопасности знают уже многие, до сих пор направление ИБ остаётся «наложенным инструментом» для бизнеса. Деятельность ИТ- и ИБ-подразделений всё ещё ведётся порознь, хотя они активно взаимодействуют между собой при решении возникающих задач.
Риски для безопасности стали возникать систематически. Времена «залётных» хакеров давно ушли. Теперь угрозы создают не просто «чудики», а крупные группировки злоумышленников с развитыми инфраструктурами разработки и распространения вредоносных инструментов. Кроме того, этой деятельностью всё чаще занимаются структуры с государственной поддержкой.
Как отметил Игорь Кузнецов, «Лаборатория Касперского» ежедневно детектирует 411 000 уникальных вредоносных объектов. За 2024 год компания остановила 60,1 млрд кибератак, а в Сети было обнаружено 106 млн уникальных вредоносных ссылок. За это время удалось защитить от прямых атак, связанных с кражей денежных средств, около 325 000 уникальных российских пользователей.
Рисунок 6. Основная часть атак направлена против мобильных пользователей (Kaspersky)
За последние полтора года (январь 2023 г. — август 2024 г.) 56 % пользователей в России столкнулись с кибератаками в той или иной форме (шпионское ПО, стилеры, мобильные угрозы). Если оценивать ситуацию в целом, то важное значение приобретает не столько «популярность» той или иной кибератаки, сколько динамика изменения угроз.
Игорь Кузнецов отметил: несмотря на устоявшееся мнение о популярности шифровальщиков, их рост за указанный период ограничился 8 %. В то же время число атак с эксплойтами выросло на 30 %. К числу наиболее распространённых сценариев эксперт отнёс взлом удалённого доступа (85 млн случаев).
Рисунок 7. Угрозы от стилеров растут наиболее быстро (Kaspersky)
Важный элемент динамики — резкий рост числа кибератак с эксплуатацией уязвимостей «нулевого дня». Спикер отметил, что прежде этот вид атак был характерен только для группировок связанных с государственным шпионажем, а теперь вошёл в арсенал и других киберпреступных объединений.
Это не просто отдельное направление, которое следует учитывать при реализации программы импортозамещения, считает Игорь Кузнецов. Киберугрозы в области ИБ не только мешают производственной деятельности и бизнесу, если речь идёт об объектах КИИ. Самым тревожным является то, что из-за возросшей сложности ПО обнаружение кибератак постепенно выходит за границы специализированных лабораторий. Требуется привлечение информации из ИТ-подразделений, а также активное участие последних в поиске «необычных явлений».
Это отчётливо показал недавний инцидент, связанный с атаками на модуль XZ — давно используемую в дистрибутивах Linux (Debian) библиотеку для сжатия данных. Инцидент стал публичным в марте 2024 года, когда ошибку обнаружил инженер Microsoft, случайно обративший внимание на замедление операций после установки обновления.
Хотя ошибочный код был быстро найден, расследование выявило бэкдор, проникший в официальные дистрибутивы Debian более двух лет назад. Кто внедрил его и с какой целью — это главный вопрос, которым сейчас занимаются исследователи.
Как отметил Игорь Кузнецов, всё указывает на то, что противодействие киберугрозам является теперь не только делом ИБ-подразделений: оно становится также важной функцией в эксплуатации ИТ-инфраструктуры и разработке ПО. Пересмотр подхода к ИБ и внедрение новых принципов в рамках программы перехода на отечественный софт — не только требование времени, но и важная часть развития ИТ в целом.
Рисунок 8. Игорь Кузнецов, руководитель Kaspersky GReAT
Добавим также, что этот изменённый подход является уже не локальным, а глобальным феноменом. Например, в США требование о соответствии всего оборудования, применяемого на местных объектах КИИ, принципу Zero Trust было закреплено указом президента в начале 2022 года. В России регуляторы тоже ужесточают предписания. Поэтому с точки зрения компаний переход на отечественный софт не означает просто замену продукта: речь идёт о смене требований по ИБ.
Выводы
Как отметил Василий Огнев, до сих пор у части российского общества сохраняется ментальная зависимость от Запада. В отношении импортозамещения это выражается в том, что они ждут отката к прежним позициям в случае восстановления прежних взаимоотношений между странами. Люди считают, что всё связанное с безопасностью вернётся в прежние рамки.
Как показало обсуждение, организованное компанией «Код Безопасности», переход на отечественное ПО на объектах КИИ запущен. Удастся ли завершить его к намеченному сроку, пока неясно. Но важно другое: в ходе начатых работ выявляются новые задачи и возможности, реализация которых нацелена на достижение российскими компаниями технологического суверенитета. Эта цель является значимой не только для выживания, но и для развития. Поэтому, какой бы результат ни был достигнут к 1 января 2025 г., польза стартовавшего процесса очевидна.
