КИИ прописали на отечественном ПО
Подписан закон о переходе критической информационной инфраструктуры на использование российского программного обеспечения, включенного в единый реестр российских программ для ЭВМ и баз данных, которое используется в соответствующих требованиям о защите информации. Закон вступает в силу с 1 сентября 2025 года. Правительство установит требования к компьютерным системам, базам данных и радиоэлектронному оборудованию, а также порядок и сроки перехода критической инфраструктуры на российское ПО.
Отечественное программное обеспечение можно условно разделить на две категории: средства защиты информации (СЗИ), системное и прикладное ПО, уточнил руководитель направления развития бизнеса в Индид Игорь Тюкачев.
«В сфере информационной безопасности, регулируемой указом Президента №250, уровень развития российских решений уже достаточно высок, чтобы обеспечить решение задач бизнеса. Следовательно, в части информационной безопасности переход на отечественные продукты возможен. Однако с системным и прикладным ПО ситуация на текущий момент сложнее. Осуществить полное импортозамещение к 1 сентября без определенных издержек для бизнеса будет трудно, особенно для крупнейших российских компаний. Несмотря на то, что отечественные производители за последние годы успели совершить заметный технологический рывок, пока что не все зарубежные программные продукты могут быть полностью покрыты технологиями российских вендоров. Например, функциональность нового решения может не полностью дублировать существующий западный. Здесь важно понимать, что технологии иностранных разработчиков внедрялись и обкатывались не один год, прежде чем стать конкурентными на мировом рынке. Чтобы достичь такую конкурентоспособность, российским продуктам потребуется еще как минимум несколько лет тщательной доработки», — напомнил Игорь Тюкачев.
В каких-то сегментах рынка отечественного ПО российские решения действительно не уступают по качеству иностранным, однако пока сложно говорить о том, что сегодня все российское ПО соответствует по функциональности и зрелости зарубежным решениям, добавил эксперт. Сейчас российские разработчики сконцентрированы на том, чтобы реализовать в продуктах весь необходимый организациям функционал с учетом особенностей нашего рынка, и роль государства в этом вопросе остается одним из ключевых драйверов его развития, так как без поэтапного законодательного регулирования в этой сфере полный переход отечественное ПО так и останется нереализованным, резюмировал Игорь Тюкачев.
За последние годы отечественное ПО сделало большой скачок в развитии, особенно в таких ключевых сегментах как операционные системы, СУБД, решения класса ERP и системы управления данными, однако многие отраслевые или функциональные специализированные решения еще находятся на низком уровне зрелости, сообщил коммерческий директор ROXIT (ГК «КОРУС Консалтинг») Антон Колосов. Компании по-разному относятся к такой ситуации: кто-то занимает выжидательную позицию, кто-то создает решение самостоятельно или в партнерстве с интеграторами или вендорами, пояснил эксперт.
«Вопрос перехода на российский софт касается не только уровня зрелости отечественных ИТ-решений, но и готовности компаний организационно осуществить такой переход в заданные сроки, грамотно проработать целевую ИТ-архитектуру с учетом особенностей действующих систем и создать планомерную дорожную карту перехода, находя баланс между законодательными требованиям и потребностями бизнеса. Именно поэтому с 2022 года в России растет рынок ИТ-консалтинга, а крупные компании-интеграторы увеличивают долю этих услуг в структуре своей выручки», — отметил Антон Колосов.
В последние годы мы наблюдаем устойчивое развитие отечественного ПО и бизнес-приложений — на рынке появилось множество новых, современных ИТ-систем, подтвердил партнер и генеральный директор компании «1С ПРО Консалтинг», которая занимается системно-ориентированным консалтингом и внедрением корпоративных решений «1С» Владимир Бибанов. По его словам, традиционные игроки значительно укрепились и показывают активный рост, поэтому сегодня компании могут полноценно опереться на отечественный рынок ПО.
«По последним данным, объем российского ИТ-рынка вырос на 15 % и составил более 3 трлн рублей в 2024 году. Однако, процесс еще не завершен и, например, в части ИТ-инфраструктуры предстоит еще много работы. Требования к ПО и аппаратному обеспечению для предприятий критической инфраструктуры должны стимулировать процесс перманентного развития и улучшения, но в то же время не мешать непрерывному функционированию деятельности компаний, находящихся в процессе перехода на отечественные ИТ-системы и технологии», — считает Владимир Бибанов.
ИТ-рынок неоднороден, поэтому однозначно говорить о полной готовности к такому переходу было бы некорректно, полагает генеральный директор компании RooX, которая специализируется на управлении доступом и разработке веб-платформ для корпоративного сектора Алексей Хмельницкий. По его мнению, наиболее готовы ИТ-продукты из тех отраслей и сегментов, для которых импортонезависимость была актуальной еще до 2022 года. Например, кибербезопасность, в особенности, область аутентификации и управления доступом пользователей, давно была предметом регулирования, поэтому этот сегмент не только готов, но и активно ведет импортозамещение, в том числе, на объектах КИИ.
За последние несколько лет мы видели немало реальных кейсов перехода на российское ПО, на рынке появляются новые продукты, способные составить конкуренцию западному софту, тем не менее, принятие закона о переходе объектов КИИ на использование российского ПО – это еще и политическое решение, убежден Антон Колосов.
«Государство стремится к национальному ИТ-суверенитету, поэтому требования и критерии постепенно уточняются и усложняются. Также я вижу в этом поддержку российских разработчиков, интеграторов и вендоров, которые получат больше проектов и тем самым – больше возможностей для развития своих решения. В первую очередь важны требования к информационной безопасности. При обязательном переходе на российское ПО стоит учитывать особенности классов решений и отраслей – необходимо дать возможность компаниям перейти на новое ПО без потери бизнес-эффективности», — считает Антон Колосов.
Переход на отечественные технологии продолжается не первый год, однако текущих темпов для выполнения нормативов не хватает, напомнил заместитель генерального директора по инновационной деятельности «СёрчИнформ» Алексей Парфентьев.
«Для субъектов КИИ требования использовать российский софт стали актуальны давно. Однако, по данным исследования «СёрчИнформ», в 2024 году только 1 % организаций КИИ заменили иностранные операционные системы (ОС) и базы данных (БД) на отечественные. В процессе перехода находились 35 % опрошенных, в 47 % организаций его только планировали.
Отечественных СЗИ, ОС и СУБД достаточно, чтобы удовлетворить потребности рынка. Но процесс импортозамещения сложный, в нем важны совместимость, отладки, доработки, обучение пользователей работе с новыми инструментами и многое другое. Разработчики не успевают адаптировать прикладное ПО под отечественные ОС и СУБД. Поэтому темпы внедрения среди заказчиков такие низкие. Организации не будут внедрять ОС, если на ней не работает, например, корпоративная CRM или ПО для проектирования, или ее не поддерживают средства защиты информации. В 2024 году проблемы совместимости средств защиты информации (СЗИ) с другим ПО отмечали 66 % российских организаций, еще 33% – проблемы совместимости с аппаратными мощностями», — сообщил Алексей Парфентьев.
Он подчеркнул, что переход на отечественные решения напрямую связан с импортозамещением оборудования, ведь конечное решение состоит из прикладной и системной части, размещенной на конкретном оборудовании. Если проблемы совместимости разработчики активно решают прямо сейчас, то совместимость с оборудованием – это вопрос будущей перспективы, так как на данный момент темпов полного цикла производства российского оборудования недостаточно, чтобы закрыть потребности всех заказчиков на рынке, а значит нет и отраслевых лидеров, диктующих технологические стандарты.
«Несмотря на все сложности, отечественное системное ПО на деле оказывается и самым выгодным с точки зрения стоимости, а также гарантирует поддержку заказчикам и является наиболее безопасным. Более того, у отечественного системного ПО есть уникальная опция кастомизации, ведь разработчик имеет тесную связь с заказчиком. Ни Microsoft, ни свободно распространяемые ОС таких условий не предоставляли», — заключил Алексей Парфентьев.
Вопрос о переходе КИИ на российское ПО, безусловно, актуален и требует тщательной проработки, и отечественное ПО в целом готово к нему или будет адаптироваться по мере возникновения требований, считает CEO CodeInside Максим Семёнкин.
«Наш опыт, например, в портировании нейросетевой видеоаналитики Smart Traffic System на аппаратную платформу альтернативной NVidia показывает, что российские программные разработки могут быть оперативно и эффективно интегрированы в критическую инфраструктуру. Мы прошли путь, который включал не только адаптацию ПО, но и работу над совместимостью с аппаратной частью. Это дало нам четкое понимание всех сложностей, с которыми можно столкнуться, переходя к отечественным решениям. Однако стоит отметить, что с аппаратной частью и ПАК ситуация несколько сложнее. Вопрос сертификации и внесения оборудования в реестр Минпромторга — это дополнительный шаг, который мы проходим сейчас для нашего решения. Подобные процессы требуют времени и специфических знаний, поскольку требования к таким системам значительно выше», — сообщил Максим Семёнкин.
В базовых сегментах (офисные программы, операционные системы, СУБД, системы виртуализации, СРК, почтовые системы) есть зрелые решения, способные заменить иностранные аналоги, однако в специализированных областях (промышленное ПО, сложные ERP-системы) остаются пробелы, но за последние три года отечественное ПО очень сильно изменилось в лучшую сторону, как с точки зрения, надежности продуктов, так и с точки зрения, удобства их использования, отметил руководитель департамента инфраструктурного ПО «Системный софт» Тимур Бадретдинов.
«Основные сложности при переходе — это нехватка квалифицированных кадров, проблемы с совместимостью российских продуктов между собой и теми зарубежными приложениями, которые не имеют полноценных отечественных аналогов. Процесс миграции, в любом случае, потребует привлечения внешней экспертизы от интеграторов или вендоров. Данные законодательные требования призваны конкретизировать новые сроки и условия перехода на отечественное ПО, как организаций, которые уже относятся к субъектам КИИ, так и тех организаций, которые будут к ним добавлены в ближайшее время», — резюмировал Тимур Бадретдинов.
Сейчас российские решения уже достаточно развиты в основных направлениях — офисное ПО, антивирусы, базы данных и операционные системы, но в узкоспециализированных областях, особенно в промышленности, зарубежные продукты пока остаются более продвинутыми, подтвердила руководитель экспертно-аналитического отдела «АЛМИ Партнер», российского разработчика общесистемного и прикладного программного обеспечения Елена Куц.
В числе сложностей перехода она назвала нехватку полноценных российских аналогов для некоторых иностранных платформ, необходимость доработки и настройки новых систем, увеличивающая сроки внедрения, а также вопросы кибербезопасности и обучения персонала. Кроме того, не все отечественные решения прошли полноценную проверку на защищенность, а многие IT-специалисты еще не освоили российский софт.
«Принятие требований связано не только с улучшением качества российского ПО, но и с изменившейся геополитической обстановкой. Санкции и уход иностранных поставщиков заставили ускорить процесс импортозамещения. В последнее время ситуация заметно улучшилась. Российские разработчики предлагают более зрелые решения, появился реестр российского ПО, механизмы господдержки. Качество российских ИТ-продуктов выросло, но говорить о полной готовности всех отраслей использовать их еще нельзя. Полная замена зарубежных решений во всех сферах потребует времени и переход будет поэтапным.
Для успешного перехода важно предусмотреть множество факторов — требования к безопасности, совместимости, обновлениям. В частности, необходим прозрачный контроль без излишнего административного давления. Это позволит компаниям адаптироваться к новым требованиям без резких скачков, сохраняя при этом стабильность работы критической инфраструктуры. Четкие и понятные правила проверок снизят бюрократическую нагрузку на бизнес, а гибкие сроки внедрения дадут возможность устранить недоработки. Баланс между контролем и гибкостью крайне важен при масштабных изменениях, когда на кону бесперебойная работа стратегически важных объектов», — подчеркнула Елена Куц.
Отечественное программное обеспечение достигло достаточно высокого уровня зрелости, особенно в базовых и массовых решениях, и законодательные инициативы были одной из причин взрывного роста отечественного ИТ-рынка, эксперт по продукту «Триафлай» Злата Шевчук. Однако в узкоспециализированных областях, таких как промышленное ПО или системы управления базами данных, все еще существует дефицит действительно зрелых решений, что объяснимо: у западных компаний были десятилетия на развитие своего ПО и обратная связь от тысяч пользователей со всего мира, поэтому отечественным решениям потребуются годы, чтобы достичь такого же уровня зрелости, пояснила Злата Шевчук.
«Важным нюансом является то, что даже в запросах клиентов мы часто сталкиваемся с формулировкой "отечественный аналог западного решения". То есть изменение еще не произошло внутри заказчиков. И это следствие того, что на российском рынке во многих сферах не появился тот бренд и решение, которое смогло бы вытеснить иностранное ПО, используемое на протяжение многих лет. У западных компаний были программы развития кадров. И это, во многом, определяло выбор заказчиков — то, что всегда найдется специалист, который знает как наладить работу, внести изменения в этом ПО. Российские компании активно работают над этим, но пока о массовости говорить не приходится. Самое важное — предусмотреть поэтапный переход субъектов КИИ на отечественное программное обеспечение. Многие начали этот переход в 2022 году, но все еще не закончили. И это не замедление процесса, а способ сделать его безопасным, предсказуемым и устойчивым. Критическая инфраструктура — это сложные технологические комплексы, которые не могут быть переведены на новое программное обеспечение одномоментно без рисков для безопасности и стабильности работы», — убеждена Злата Шевчук.
Отечественное программное обеспечение частично готово к такому масштабному переходу, поскольку сегодня в России существуют зрелые и апробированные решения, которые успешно используются в критически важных сферах: банковской отрасли, энергетической инфраструктуре и других объектах критической информационной инфраструктуры (КИИ), подчеркнул директор департамента реализации инфраструктурных проектов «Софтлайн Решения» Виталий Попов. Например, один из крупнейших банков уже сообщает о 96-процентном уровне замещения зарубежных систем управления базами данных. Достаточно хорошо развиты офисные пакеты и операционные системы на основе Linux с российскими сборками, а также сертифицированные средства защиты информации, одобренные ФСБ и ФСТЭК, пояснил эксперт.
«Тем не менее, при переходе могут возникнуть существенные нюансы и риски. Основной из них — недостаточная зрелость сервисной поддержки со стороны вендоров. Многие отечественные разработчики сталкиваются с трудностями в удовлетворении возросшего спроса на техническую поддержку и оперативную доработку программных продуктов, необходимых для специфических требований объектов КИИ. В результате у заказчиков возникают сложности с поддержкой нескольких экранов, совместимостью с проекторным оборудованием и другими специализированными задачами. Часто ответы вендоров сводятся к предложению ожидать следующей версии продукта, что не соответствует бизнес-ожиданиям заказчиков. Также существуют функциональные пробелы в некоторых специализированных или отраслевых решениях: CAD/CAM-системах, решениях для телекома, промышленной автоматизации. Отдельно стоит упомянуть кадровые риски, поскольку в России существует явный дефицит специалистов, обладающих необходимыми компетенциями в области внедрения и сопровождения отечественного ПО. Еще один значимый нюанс — совокупная стоимость владения (ТСО). Российские решения зачастую оказываются дороже зарубежных аналогов при более скромном функционале, что вызывает вопросы у бизнеса, даже при отсутствии альтернатив», — отметил Виталий Попов.
Закон о переходе КИИ на отечественное ПО направлен скорее на решение стратегических задач, включая необходимость обеспечения информационной безопасности и защиты от геополитических и санкционных рисков, добавил эксперт. С учетом нарастающих угроз кибербезопасности, переход на российское ПО становится критически важным, особенно ввиду прекращения поддержки западных решений и невозможности получать своевременные обновления безопасности. Кроме того, принятие таких мер отражает стремление предприятий и государства к стратегической автономии и технологическому суверенитету. Дополнительно, подобный шаг можно рассматривать как способ поддержки отечественной ИТ-индустрии, обеспечивающий гарантированный спрос на российские разработки и стимулирующий дальнейшее развитие отрасли. Хотя качество ПО играет роль, законодательство, скорее, фиксирует стратегическое направление развития отрасли, чем исключительно реагирует на текущий уровень технической зрелости программных продуктов.
«При подготовке требований необходимо уделить внимание нескольким критически важным пунктам. Во-первых, совместимость с российским программным обеспечением и подтверждение наличия соответствующих решений в едином реестре отечественного ПО. Во-вторых, наличие официальных заключений разработчиков о совместимости программных продуктов. В-третьих, обязательное наличие драйверов, поддерживающих российские операционные системы и программные решения. В-четвертых, сертификацию в соответствии с требованиями информационной безопасности, включая требования федеральных законов №152-ФЗ и №187-ФЗ, а также наличие различных профилей защиты информации. В-пятых, требования к жизненному циклу продуктов, гарантиям и сервисному обслуживанию оборудования (гарантия не менее трех лет, поддержка — не менее пяти лет). Наконец, в-шестых, наличие сервисных центров для аппаратных средств», — перечислил Виталий Попов.
Касаемо порядка перехода на российский софт, необходимо разработать четкую методологию и планы миграции для каждого объекта критической инфраструктуры с указанием контрольных сроков, важно предусмотреть создание базы знаний, лучших практик и различных сценариев миграции, чтобы облегчить и стандартизировать этот процесс для предприятий, минимизировав риски самостоятельного неудачного внедрения решений, резюмировал Виталий Попов.
Банк паспорта не спросит, если есть биометрия
С 1 апреля банки, которые для идентификации клиентов применяют биометрию, не имеют права требовать другие документы, подтверждающие личность, в том числе паспорт.
«Паспорт обычно применяют для удостоверения личности, а использование нескольких факторов дает полную гарантию так как биометрия — технология достаточно новая, не обкатанная, и дополнительный документ позволяет минимизировать шанс ошибки, например, в случае с сиамскими близнецами, либо из-за сбоя в программном обеспечении, на котором работает биометрическая система», — пояснил ведущий инженер CorpSoft24 Михаил Сергеев.
С точки зрения разработчиков системы контроля доступа, мера выглядит вполне логичной: она позволит исключить необходимость передавать паспорт или его скан через сотрудника банка или информационную систему и тем самым снизит риск утечек важных персональных данных, считает генеральный директор компании RooX, которая специализируется на управлении доступом и разработке веб-платформ для корпоративного сектора Алексей Хмельницкий.
«Главное, чтобы информация из Единой биометрической системы и Единой системы идентификации и аутентификации (ЕСИА) применялась именно для целей идентификации, оставляя свободу компаниям и гражданам на использование дополнительных средств подтверждения личности при аутентификации. Как мы помним, стандарты и практики говорят нам о том, что биометрию нельзя использовать как единственный фактор подтверждения личности», — предупредил Алексей Хмельницкий.
Если банки применяют Единую биометрическую систему и прошли весь путь по сбору и передачи биометрии клиента в ЕСИА, то паспорт не должны требовать, если же банки используют только свою внутреннюю биометрию, либо не передавали ее в ЕСИА, то запрашивают удостоверение личности для идентификации, уточнил председатель правления Контур.Банка Денис Бабушкин.
«Кроме того, постановлением №408 от 01.04.2024 правительство определило, что биометрией является изображение лица человека, полученное с помощью фотовидеоустройств и запись голоса человека, полученная с помощью звукозаписывающих устройств. Если его нет в первоначальном слепке, то банк должен его получить. Нововведение позволит банкам удаленно предлагать новые банковские продукты, а клиентам удаленно получать все банковские услуги в любых банках, идентифицирующих клиентов с помощью биометрии ЕСИА. Однако, банкам придется вложиться в оборудование и ПО для обеспечения сбора и передачи биометрии. Инцидентов, связанных с биометрией, в нашей практике не было», — сообщил Денис Бабушкин.
Криптобиржа для суперквалифицированных инвесторов
Минфин совместно с Банком России рассматривают возможность запуска криптобиржи, на которой смогут торговать криптовалютой суперквалифицированные инвесторы. Как сообщал министр финансов Антон Силуанов, произойдет легализация криптоопераций, которые были пройдены в рамках экспериментального правового режима (ЭПР).
В настоящее время Центральный банк подчеркивает, что термин «суперквалифицированный инвестор» в законе не установлен, а из отрывочных данных СМИ возможно только предположить, что статус суперквалифицированного инвестора предоставят лицам, чьи инвестиции в ценные бумаги и депозиты превышают 100 млн рублей или их доходы за прошлый год составили более 50 млн рублей, следовательно, сделки на первой российской криптобирже будут доступны ограниченному кругу лиц, что не добавляет ей привлекательности в глазах потенциальных инвесторов, отметила адвокат, руководитель практики разрешения споров юридической компании «ССП-Консалт» Дарья Титкова.
«Криптобиржа в России создается, прежде всего, как инструмент для тестирования гипотез регулирования и практической обкатки механизмов обращения криптовалют в контролируемой среде. Это позволит регуляторам сформировать базу для будущего законодательства и накопить опыт. Однако с точки зрения рыночной конкуренции ее перспективы ограничены: в условиях строгого регулирования и ограниченного доступа криптобиржа вряд ли сможет соперничать с уже существующими зарубежными платформами, обладающими более широкой ликвидностью, номенклатурой активов и свободой операций. Уже сейчас юрисдикции ближнего зарубежья — Беларусь, Казахстан и Киргизия — обеспечивают регулируемую инфраструктуру, в рамках которой российские физические и юридические лица могут на законных основаниях совершать операции с криптовалютами через лицензированных операторов, с соблюдением норм валютного законодательства», — пояснила Дарья Титкова.
Она сомневается в эффективности данной криптобиржи, прежде всего из-за отсутствия понимания, откуда будет формироваться ликвидность: в условиях ограниченного круга допущенных участников, невозможности свободного притока капитала и конкуренции с глобальными платформами остаётся неясным, кто и в каком объеме будет обеспечивать торговую активность. Даже при наличии правового режима и институциональной поддержки со стороны государства биржа может остаться формальным механизмом без реального рыночного веса.
Что же будет с остальными инвесторами, смогут ли они, как и прежде, покупать и продавать криптовалюту? Не подразумевает ли появление криптобиржи для миллионеров дальнейшего запрета на деятельность всех прочих площадок? Подобными вопросами задался первый заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин в своем телеграм-канале.
«Насколько мне известно, Министерство финансов еще не сформировало однозначной позиции по этому вопросу. Не исключено, что кроме площадки для суперквалифицированных инвесторов в ЭПР появится еще несколько криптобирж, с более демократичными условиями», — отметил Антон Горелкин.
Он считает, что все сервисы для проведения криптоопераций, находящиеся сейчас в «серой зоне», должны иметь возможность перейти в экспериментально-правовой режим.
Ранее «Телеспутник» писал о том, что компромиссные решения предложили к законопроекту об обязательном получении прокатных удостоверений.
