Минцифры предложило отложить переход на отечественный софт и оборудование для операторов связи, банков и других владельцев критической информационной инфраструктуры. Последние по-прежнему считают переход труднореализуемым
Минцифры предложило перенести переход на «преимущественное использование» российского программного обеспечения для владельцев критической информационной инфраструктуры на 1 января 2024 года, а переход на отечественное оборудование — на 1 января 2025 года. Это следует из опубликованного министерством проекта указа президента. К владельцам критической информационной инфраструктуры относятся, в частности, госорганы, ТЭК, финансовые, транспортные, телекоммуникационные и ряд других компаний, повреждение сетей связи которых может привести к серьезным последствиям.
Предыдущий дедлайн, который предлагало министерство, — 2021 год для внедрения софта и 2022-й — для оборудования. Но предложение раскритиковали владельцы подобной инфраструктуры. В частности, банковская ассоциация предупредила Банк России, что ее реализация создаст риски масштабных перебоев в работе систем. В итоге в августе ЦБ извещал ассоциацию, что намерен предложить правительству перенести перевод на отечественное программное обеспечение и оборудование на 1 января 2025 года.
Требования к владельцам критической информационной инфраструктуры
Согласно вступившему в силу в 2018 году закону «О безопасности критической информационной инфраструктуры», всем подобным объектам должна быть присвоена первая, вторая или третья категория в зависимости от того, насколько сильный ущерб будет нанесен стране, если этот объект атакуют хакеры. Владельцы критической информационной инфраструктуры должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и передавать в нее информацию обо всех инцидентах. За нарушение правил эксплуатации, которое повлечет вред для критической информационной инфраструктуры, предусмотрена уголовная ответственность.
Как указано в пояснительной записке к проекту указа, он подготовлен во исполнение поручения президента России от 2 июля 2019 года в целях обеспечения технологической независимости критической информационной инфраструктуры. Для этого ее владельцы должны в приоритетном порядке использовать российские аналоги иностранного программного обеспечения и оборудования «в случае, если они позволяют по своим техническим характеристикам в полной мере» обеспечить безопасность подобных объектов. Речь идет о включенных в реестр отечественного ПО продуктах и реестр евразийского ПО, а также оборудования из включенного в реестр российской радиоэлектронной продукции. К софту и оборудованию, предназначенному для обнаружения, предупреждения и ликвидации последствий компьютерных атак и обмена информацией о них будут предъявляться дополнительные требования, которые должна будет утвердить Федеральная служба безопасности (ФСБ). Утвердить план перехода на преимущественно отечественное ПО и оборудование владельцы критической информационной инфраструктуры должны до 1 июля 2021 года.
Использовать зарубежное ПО и оборудование возможно, если для него нет отечественных аналогов. Владелец критической информационной инфраструктуры должен будет согласовывать использование иностранного софта с Минцифрой, а оборудования — с Минпромторгом. При этом он должен будет «обеспечить возможность» модернизации, гарантийного обслуживания и технической поддержки зарубежного ПО и оборудования российскими компаниями.
В июле президент Российского союза промышленников и предпринимателей (РСПП) Александр Шохин в письме главе Минцифры Максуту Шадаеву (копия есть у РБК, ее подлинность подтвердил представитель союза) указывал, что формулировки приказа приведут к необходимости не преимущественного, а всеобъемлющего перехода на отечественное оборудование и ПО. Указанное в проекте условие о модернизации, гарантийном и техобслуживании иностранного оборудования и софта российскими компаниями практически невозможно обеспечить. «Импортируемое промышленное оборудование чаще всего оснащено проприетарным ПО (несвободным, принадлежащим правообладателю. — РБК), замена или негарантийное оборудование которого автоматически означает отказ от какой-либо поддержки производителя, что может привести к сбоям или остановке производственных процессов», — писал Шохин. «Там, где переход на отечественные аналоги все же возможен, процесс займет много времени и потребует вложения значительных финансовых ресурсов, переобучения персонала, изменения внутренних процессов», — указывалось в письме.
Эксперт по информационной безопасности Cisco Systems Алексей Лукацкий ранее говорил РБК, что многие непрерывные производства, например, нефтедобывающие или сталелитейные предприятия, не смогут перейти целиком на отечественные продукты в ближайшие пять-десять лет. Полностью остановить их деятельность для замены оборудования технически невозможно, пока не пройдет его жизненный цикл, который может составлять 10–20 лет. Кроме того, он отмечал, что неизвестно, как на производство повлияет такая замена. Два источника РБК из числа владельцев критической информационной инфраструктуры также указали на незрелость рынка отечественного ПО и оборудования. «Зачастую есть единственный разработчик или поставщик софта или оборудования определенного класса, что негативно влияет на ценообразование», — говорит один из собеседников РБК. У этого единственного поставщика не будет мотивации повышать качество, добавил второй собеседник.
Старший вице-президент, руководитель департамента организации и управления ИТ ВТБ Сергей Безбогов назвал «позитивным сигналом» предложение о переносе сроков перехода на преимущественное использование отечественного ПО и оборудования для владельцев критической информационной инфраструктуры. Но, по его мнению, и в новые сроки реализовать такой масштабный проект — это «трудно осуществляемая задача». Представитель «Русской стали» сообщил РБК, что при наличии на рынке качественных конкурентоспособных аналогов они готовы их рассматривать. По его словам, компания уже использует отечественное оборудование. «Что касается объектов критической информационной инфраструктуры, то кроме формальных критериев каждое предприятие оценивает для себя самостоятельно степень риск-ориентированности и способы защиты программного обеспечения. Главное, чтобы межведомственные решения не сдерживали развитие и не ограничивали конкурентоспособность отрасли как в части качества, так и гарантии», — сказал он.
Представители «Ростелекома», МТС и «ВымпелКома» (бренд «Билайн») отказались комментировать новую версию проекта указа президента. РБК направил запрос в «Мегафон», крупнейшие банки, а также энергетическим и топливным компаниям.
Авторы
Анастасия Скрынникова, Светлана Бурмистрова, Владислав Скобелев, Евгения Чернышова
Источник.