Защита IT-сетей: безопасность против формальности

Со вступлением на путь импортозамещения критическая информационная инфраструктура (КИИ) оказалась меж двух огней: с одной стороны — жесткие сроки, фигурирующие в проектах постановлений регулятора, с другой — стабильность налаженных, преимущественно на иностранном программном обеспечении и оборудовании процессов оказания услуг. Вместо того чтобы повысить безопасность IT-сетей, импортозамещение может стать лоббированием продукции отечественного производства, а сроки перехода — очередным рычагом влияния на крупные компании, к которым относится большая часть объектов КИИ, опасаются эксперты.

Понятие «критическая информационная инфраструктура» появилось в 2018 году со вступлением в силу ФЗ №187. Попытки принять его были и ранее, но острая необходимость регулирования сферы критически важных IT-сетей стала очевидной после масштабной атаки вируса-шифровальщика WannaCry в 2017 году, ликвидация последствий которой обошлась каждой зараженной государственной компании от 3 млн до 5 млн руб. без учета стоимости восстановления программного обеспечения и информации, следует из материалов на regulation.gov.ru.

Согласно закону, к объектам КИИ относятся госорганы, банки, объекты транспорта, связи, здравоохранения, предприятия оборонной, топливной и атомной промышленности и энергетики. Большая часть объектов КИИ находится в частной собственности. Совет федерации предлагал причислить к КИИ и госкомпании, и госкорпорации. Объекты КИИ разделены по категориям значимости и передают информацию об инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), созданную ФСБ по поручению президента.

Сроки преткновения

Перейти на преимущественное использование отечественного софта для обеспечения технологической независимости и безопасности объектов КИИ поручил президент Владимир Путин 3 июля 2019 года. Исполняя поручение, Федеральная служба по техническому и экспортному контролю (ФСТЭК) предлагала полностью отказаться от иностранных IТ-решений на объектах КИИ. В проектах Минцифры говорится о том, что при наличии выбора между российским и иностранным продуктом приоритет должен отдаваться российскому. Сроки перехода, предлагаемые Минцифры, вызвали возмущение отрасли.

21 мая Минцифры опубликовала на regulation.gov.ru проекты указа президента и постановления правительства о переходе владельцев КИИ на преимущественное использование отечественного ПО с 2021 года, российского оборудования — с 2022 года. Финансовые организации заявили, что такие сроки перехода ставят под угрозу стабильность их работы и оказания услуг, а Ассоциация банков России обратилась к главе правительства Михаилу Мишустину с просьбой отсрочить переход на четыре года.

В доработанном по итогам обсуждения проекте постановления Минцифры смягчило сроки перевода КИИ, сдвинув их с 2021 на 2024–2025 годы. Отсрочка вызвала возмущение IT-ассоциаций: за три года будут реализованы программы цифровизации экономики, а значит, зависимость российских компаний от зарубежного софта и электроники только усилится, следует из письма ассоциации разработчиков программных продуктов «Отечественный софт» и Ассоциации российских разработчиков и производителей электроники президенту Владимиру Путину.

Российские банки также остались недовольны отсрочкой, заявив, что на переход им нужен срок как минимум до 2027–2028 годов, следует из письма ассоциации банков «Россия» заместителю председателя ЦБ Дмитрию Скобелкину, сообщал РБК 11 ноября. На подобный переход банкам нужно минимум шесть лет, так как в среднем доля используемого иностранного ПО и IT-оборудования составляет 85%, а затраты на реализацию этих требований превысят 700 млрд руб. по всей банковской системе, говорилось в документе.

Для крупной системы разработка и внедрение продукта в течение трех лет далеко не редкость. Цикл перехода включает в себя формирование функционально-технических требований, выбор оптимального варианта, проведение пилотных проектов, проектирование, тестирование, опытную эксплуатацию и приемку, миграцию со старой системы — и все это сопровождается длительными процессами согласования и контрактования, говорит руководитель отдела консалтинга и аудита информационной безопасности Step Logic Денис Пащенко. Причем в рамках импортозамещения компаниям придется вести проекты по всем системам сразу и при этом поддерживать непрерывность операционной деятельности и работоспособность текущих решений, указывает он. По его словам, с аппаратными решениями дела обстоят еще сложнее: собственного производства элементной базы в России нет, поэтому его запуск и доведение до уровня, закрывающего основные потребности промышленных секторов, займет не менее десяти лет с учетом активного участия самих отраслей.

Фактически перед отечественными компаниями будет стоять задача за три года догнать, а в идеале превзойти мировых лидеров по разработке программных бизнес-решений, солидарен исполнительный директор Artezio (входит в группу компаний «Ланит») Павел Адылин. При этом разработчики должны обойтись без эволюционного пути развития своих продуктов, а сразу предоставить весь набор функций, который имеется в аналогичных импортных продуктах, которые, в свою очередь, продолжают постоянно развиваться, указывает он.

«Очень сложно одной взятой стране создать свою альтернативу тому, чем пользуется весь мир и что создают сильнейшие экономики мира — это сверхамбициозная задача, учитывая такой короткий срок»,— согласен основатель и генеральный директор оператора дата-центров и облачных сервисов Oxygen Павел Кулаков. Создание отечественного софта — это и новые операционные системы под открытым кодом, и своя российская система виртуализации, и системы ПО, обработки и баз данных — речь идет, по сути, о формировании новой отрасли экономики, полагает он.

Сроки перехода нужны в первую очередь правительству, чтобы поставить компанию в позицию, в которой будет возможность сильнее ее наказывать, например, из-за того, что причиной аварии стало невыполнение закона о КИИ, полагает эксперт по промышленной кибербезопасности Вадим Подольный. Не исключено, что сроки перехода устанавливались с целью запустить процесс перехода, а в будущем они могут быть сдвинуты в зависимости от результатов и проблем на последнем этапе, рассуждает Павел Адылин, отмечая, что срок перехода в 2024 году «очень оптимистический».

Выполнить требования регуляторов по переходу на российское ПО и оборудование в заявленные сроки будет нелегко. «Но возможно, если организации начнут работу по перестройке IT-инфраструктуры уже в следующем году»,— полагает эксперт Softline по защите КИИ Максим Прохоров. Softlinе рекомендует своим заказчикам провести подробный аудит и составить план-график перехода на отечественное ПО и оборудование. Если же по итогам испытаний для какого-то участка IT-инфраструктуры не нашлось подходящего российского решения, то необходимо подготовить обоснование для того, чтобы отложить вопрос до появления на отечественном рынке новых качественных разработок, поясняет он.

Объем работы

На начало 2020 года, по данным Минцифры, в значимых объектах КИИ, завершивших категорирование, используется около 20% российского оборудования и ПО, однако категорирование прошли далеко не все субъекты. Например, в сфере связи этот этап выполнен лишь на 2%, поэтому более правдоподобной видится оценка на уровне 10%, говорит Денис Пащенко. В закупке телекоммуникационного оборудования в рамках 223-ФЗ в первой половине 2020 года объем отечественной продукции составил менее 1%, а по отзывам представителей ТЭКа, в объектах КИИ используется менее 10% отечественных компонентов, указывает он.

К концу 2019 года доля российских продуктов в общем объеме софта, используемого в госкомпаниях, составляла 10%. Государство же считает, что комфортным, безопасным и суверенным уровнем, позволяющим стране быть самостоятельной в этой области, будет доля в 60%, отмечает руководитель центра IT-консалтинга компании МДТ «Цифра» Ольга Молярчук. Она напоминает, как в 2019 году на конференции «Антисанкции. В чем выгода импортозамещения в сфере IT» директор АНО «Центр компетенций по импортозамещению в сфере ИКТ» Илья Массух заявил, что госкомпании заплатят 180 млрд руб. за российское ПО в 2020 году. Таким образом, совокупная стоимость перехода только для госорганов и компаний с госучастием приблизится к 1 трлн руб., рассуждает госпожа Молярчук.

Импортозамещение потребует крупных финансовых затрат со стороны не только организаций, но и государства, несмотря на то что в тексте проекта указано, что его реализация «не потребует дополнительных расходов бюджетов бюджетной системы РФ». Это доказал опыт реализации 187-ФЗ в части защиты значимых объектов КИИ: расходы субъектов могут составлять от десятков и сотен тысяч рублей на консалтинг по категорированию и организацию работ по взаимодействию с ГосСОПКА до сотен миллионов на крупные проекты с внедрением средств защиты, поясняет господин Пащенко. Часть субъектов являются бюджетными предприятиями, поэтому затраты ложатся в том числе и на бюджетную систему РФ, добавляет он.

Работа субъектов КИИ по приведению ИБ-инфраструктуры в соответствие с ФЗ-187 и Приказом ФСТЭК №31 была начата два года назад, и на первоначальном этапе она производилась без оглядки на импортозамещение, отмечают эксперты. Многие крупные организации успели реализовать этапы категорирования и проектирования систем информбезопасности, а кто-то уже перешел к закупкам и внедрениям зарубежных решений, имеющих сертификацию ФСТЭК либо прошедших испытания на совместимость. «Сегодня им придется выполнить часть работ заново»,— указывает господин Прохоров.

Однако давать оценки по затратам субъектов КИИ на импортозамещение рано, считает Денис Пащенко. По его словам, для их правильного расчета регуляторы должны дополнить проект информацией о том, будет ли требоваться «импортозамещение» уже реализованных и внедренных систем и возможно ли будет использовать варианты с локализацией иностранного производства.

На низком старте

Сами объекты КИИ уже готовятся к переходу на отечественное ПО. ВТБ активно прорабатывает разные варианты интенсивной реализации программы перехода на преимущественное использование отечественного ПО и оборудования в части КИИ, рассказал руководитель департамента организации и управления IT ВТБ Сергей Безбогов. В Россельхозбанке план мероприятий по переходу действует с 2019 года, отмечают там: «После того как Минцифры установит ключевые показатели эффективности для субъектов КИИ до 2024 года, план будет актуализирован». Прогнозировать степень влияния импортозамещения на работу банка в настоящий момент сложно, а реалистичность сроков будет определяться способностью отечественных производителей удовлетворить потребности субъектов КИИ, полагают в организации.

Аналоги есть для 95% софта, но ситуация сильно разнится в зависимости от класса ПО и отрасли, в котором оно применяется, полагает управляющий директор «Техносерв Консалтинг» Кирилл Булгаков. Есть множество примеров, в которых отечественные разработки не уступают зарубежным — например, западные ERP (системы управления ресурсами предприятия) играют на равных с решениями отечественной компании 1С, отмечает он, добавляя, что в таких случаях новые регуляторные требования дадут дополнительный стимул для развития российского софта.

Переход на преимущественное использование российского инфраструктурного ПО потянет за собой всю остальную экосистему, продолжает исполнительный директор «Акронис Инфозащита» Елена Бочерова. «Перевод КИИ на ПО и оборудование, которое мы контролируем, дает карт-бланш российским разработчикам, но на Западе этот вопрос не закреплен на законодательном уровне, а является бизнес-правилом, очевидным для всех участников рынка»,— рассуждает Вадим Подольный. Нужно мотивировать объекты КИИ вкладываться в модернизацию, но при этом важно не скатиться в лоббирование низкокачественной продукции, указывает он.

Если бы все отечественное ПО и оборудование было конкурентоспособным, вряд ли надо было бы применять такие меры: все российские юридические лица и так бы его закупали, как, например, 1С, антивирусы Kaspersky или решения Acronis, перечисляет Ольга Молярчук. Для эффективного импортозамещения в информационных технологиях было бы целесообразно стимулировать разработчиков к выходу на международные рынки — тогда бы и на российском рынке их ожидала большая востребованность.

Впрочем, нет никаких гарантий, что отечественные продукты смогут качественно заменить зарубежные аналоги, в разработку которых были инвестированы сотни миллионов долларов за длительный период их развития, говорит Павел Адылин. Получается, что, исполняя требования законодательства, направленные на повышение надежности функционирования, организации должны внедрять потенциально менее надежные решения, рассуждает Денис Пащенко.

На рынке сейчас нет всех необходимых решений, а сделать их «на скорую руку» из opensource-решений, как это бывает сейчас для вхождения в реестр отечественного ПО, не получится — бизнес не захочет внедрять такое ПО даже под угрозой штрафов: «Как минимум телеком и финансовый сектор использует передовые высокопроизводительные компоненты, разработка которых на отечественной базе пока не предвидится». Кроме того, «поголовное» импортозамещение может стать причиной глобального отставания, так как компаниям не будут доступны новые разработки и технологии, используемые на Западе, предупреждает он.

Читать статью на сайте ИД «Коммерсантъ».