Тренд перехода на российский софт на объектах КИИ появился задолго до февральских событий 2022 года и последующего демарша вендоров промышленного ПО. Еще в 2017-м был принят закон «О безопасности критической информационной инфраструктуры Российской Федерации», который обязал владельцев КИИ подключить свои объекты к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, которую курирует ФСБ, и передавать в нее данные обо всех инцидентах с КИИ. В отношении критической информационной инфраструктуры были выработаны четкие критерии для определения значимости возникшей опасности при хакерской атаке. В 2020 году появился проект указа президента, согласно которому предполагалось, что госорганы, банки и другие владельцы объектов КИИ должны с 1 января 2021-го перейти на российский софт, а с 1 января 2022 года — на отечественное оборудование. Однако сам этот документ (указ президента РФ от 30.03.2022 N 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», — прим. ред.) появился только в марте 2022-го. Таким образом, сроки внедрения инициативы в правовое поле сдвинулись на год, а в самом указе дата запрета на использование иностранного ПО на объектах КИИ — 1 января 2025 года.
Критическая информационная инфраструктура — это информационные системы и телекоммуникационные сети, которые критически важны для работы ключевых сфер государства и общества: здравоохранения, науки, связи, транспорта, энергетики, финансового сектора и городского хозяйства, а также в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Несмотря на то, что министерства и ключевые ведомства, такие как Минцифры, Минпромторг, ФСБ, ФСТЭК и другие, получили достаточно большой запас по времени на смену иностранного ПО на отечественное, эти сроки не являются окончательными, реальное положение дел может их сдвинуть и дать компаниям отсрочку на внедрение российского софта.
Изначально предполагалось, что в тех случаях, когда зарубежному софту или оборудованию не находилось отечественных аналогов или если российские продукты не позволяют компаниям КИИ выполнять необходимые цели и задачи последние смогут продолжить использовать иностранные продукты, согласовав это с профильными ведомствами. И тогда техподдержку и модернизацию зарубежного софта и оборудования должны оказывать отечественные организации, которые не контролируются иностранными компаниями или гражданами.
Позднее российские компании нашли обходной путь для закупки иностранного ПО — перечень требований к нему был настолько обширным, что аналога просто не находилось. В 2022 году позиции были значительно усилены, а лазейка для иностранного софта закрыта. 31 августа правительство утвердило методические рекомендации по формированию отраслевых планов мероприятий для перехода на отечественный софт, из которых следует, что даже в случае отсутствия аналогов компании больше не смогут закупать иностранное ПО, для решения функциональных задач им придется приобретать комбинации российских программных продуктов, сведения о которых включены в единый реестр российского ПО или единый реестр евразийского ПО. При этом проверку совместимости всех компонентов такого набора, тестированием и анализом работоспособности заявленного функционала производители раньше не делали. То есть переход на новые решения, которые связаны с другой архитектурой решения и, следовательно, с иной логикой работы, неизбежно приведет к определенным проблемам у заказчиков.
Замена программного обеспечения на объектах КИИ затронет не только верхний уровень систем управления предприятием, где внедрение российских аналогов может пройти относительно безболезненно, даже с учетом необходимой кастомизации под каждого конкретного клиента. Совершенно другая ситуация может сложиться на уровне автоматизированной системы управления технологическим процессом, где смена софта так или иначе коснется производственных процессов и здесь важно понимать, что потребуется не только ПО, но и программно-аппаратные комплексы, «железо», вплоть до программируемых логических контроллеров на производстве. Нужно будет обеспечить в целом производственную связанность вендоров софта и производителей промышленной электроники для предприятий. Отдельно будет стоять вопрос о необходимости безопасной разработки программного обеспечения, когда производители промсофта смогут оперативно закрывать возникающие уязвимости, как на этапе разработки, так и промышленной эксплуатации.
В методических рекомендациях правительства говорится также, что доля российского и евразийского ПО на объектах КИИ к концу 2022 года должна вырасти на 10 % по сравнению с показателями августа. К концу 2023-го превышение исходных показателей должно достичь 40 %. По плану правительства, весь софт на объектах КИИ в 2024–2027 годах должно быть отечественным.
По оценкам экспертов, с весны 2022-го спрос на российские продукты в сфере программного обеспечения вырос в 10 раз. Основными заказчиками выступают промышленные предприятия, которые стремятся заместить ПО иностранных компаний, ушедших с российского рынка. Наиболее востребованным становится системный софт: операционные системы, базы данных, системы хранения данных и резервного копирования. Представители промышленных предприятий отмечают, что программное обеспечение является вопросом стратегическим, российское прикладное ПО и ранее применялось в ряде компаний. Так, многие компании из сегмента КИИ уже после 2014 года начали изучать возможности отечественных вендоров как софта, так и оборудования, к примеру, так поступил «Газпром».
В одном из своих выступлений глава Минцифры Максут Шадаев заявил, что определены около 400 категорий корпоративного и промышленного софта, необходимого российским компаниям, при этом для 80 % из них есть конкурентные аналоги. Следует понимать, что речь идет обо всем ПО, которое предназначено для бизнес-сегмента, и данная цифра — некая «средняя температура по палате», которая хоть и является показателем, но не отражает в полной мере реального положения вещей. В заявленных аналогах нет конкретного решения для замены иностранного ПО, которое предприятие заказывало и разрабатывало, что называется под себя, с учетом специфики своего бизнеса, производственных нюансов и особенностей регулирования.
Выступая в июне на форуме ЦИПР – 2022, премьер-министр Михаил Мишустин заявил, что доля российского ПО на отечественных промышленных предприятиях составляет 23 %. Таким образом, можно говорить об общей зависимости российских промышленных предприятий от иностранного ПО на величину 77 %.
Годом ранее президент Российского союза промышленников и предпринимателей (РСПП) Александр Шохин оценил затраты российских промышленных предприятий, банков и ИТ-компаний из-за требований Минцифры по переходу на российское программное обеспечение и оборудование в более чем 1 трлн рублей. В письме на имя Мишустина глава РСПП также не согласился с данными Минцифры о наличии на российском рынке аналогов иностранного оборудования и программного обеспечения. В 2021 году он указывал на то, что только 49 из 3827 позиций перечня российской радиоэлектронной продукции теоретически могут быть использованы на производстве, исходя из анализа, проведенного представителями промышленности.
Несмотря на разногласия в оценках, представители бизнеса и власти сходятся во мнении, что использование иностранного ПО на объектах критической инфраструктуры связано с большими рисками, особенно после отказа вендоров от техподдержки и обновлений. На установку нелегальных обновлений и патчей никто не решится, использовать различные консалтинговые компании, которые неофициально занимаются сопровождением корпоративного ПО, тоже вряд ли возможно. Остается только путь, обозначенный в президентском указе № 166, который поделил все на «до» и «после». Вот только путь этот займет гораздо больше времени. При смене зарубежного ПО на российских предприятиях придется прибегнуть еще не к одному «костылю», пройти тернистый путь перманентных «допиливаний» и патчей, создать или развить сферу промышленной электроники, чтобы в итоге получился продукт достойного качества для сферы КИИ. И тогда, примерно лет через 8–10, российские ИТ-разработчики смогут выйти с ним на дружественные международные рынки. К этому времени они будут иметь накопленную экспертизу, более совершенное решение и опыт, которого нет у других стран, — смена всего программного стека на объектах критической информационной инфраструктуры.
