В мае этого года появился проект указа Президента, согласно которому объекты критической информационной инфраструктуры (КИИ) должны быть переведены на преимущественное использование российского программного обеспечения с 1 января 2021 г. и оборудования с 1 января 2022 г. В настоящее время проходит общественное обсуждение данного проекта. Требования к программному обеспечению и оборудованию, используемому на объектах КИИ, правительство должно утвердить до 1 сентября 2020 г.
Такой поворот событий означает существенное расширение программы импортозамещения, которая до сих пор в основном затрагивала госорганы и некоторые госкомпании, а теперь может распространиться на целые сектора экономики. Ведь к объектам КИИ относятся сети и ИТ-системы госорганов, научных и кредитно-финансовых организаций, а также предприятий оборонной, топливной и атомной промышленности, транспорта, энергетики и других отраслей. Всего под закон подпадают 13 секторов экономики, на которые приходится порядка 55% ВВП.
В данном обзоре представители ИТ-компаний обсуждают проблемы, которые могут возникнуть у владельцев КИИ при реализации этого указа, возможные способы их решения, а также то, на какие моменты следует обратить внимание в ходе общественного обсуждения проекта.
Готовы ли владельцев КИИ к переходу в заданные сроки?
Согласно проекту указа владельцы КИИ смогут использовать только софт, который перечислен в реестрах произведенных в России и странах ЕАЭС программ, и только оборудование, упомянутое в реестре российской радиоэлектронной продукции.
Смогут ли организации за полгода выполнить эти требования по софту и за полтора года по оборудованию?
«Со стороны ИТ-производителей ответ очевиден — да, смогут. Со стороны владельцев КИИ — ответ зависит от желания таких компаний заниматься вопросом. Российские производители давно ведут борьбу с зарубежными конкурентами. Есть успешные проекты, переход КИИ может быть осуществлён уже завтра», — считает Никита Шаблыков, коммерческий директор компании PROMT.
Другие наши эксперты сочли эти сроки слишком сжатыми, и на это есть целый ряд причин.
Важное значение имеет размер критической инфраструктуры конкретного предприятия, считает руководитель направления информационной безопасности отдела комплексных решений компании «Открытые технологии» Дмитрий Бурлаков: «В указанные сроки смогут уложиться лишь небольшие компании, а крупным организациям с высокой долей проникновения информационных технологий в критические процессы может потребоваться несколько лет».
Он также отметил, что процесс импортозамещения в различной степени затронул разные сектора экономики. Например, финансовой и телекоммуникационной отраслей этот процесс коснулся несильно, а многие организации госсектора и компании, подпавшие под западные санкции, уже активно реализуют переход на отечественное ПО и оборудование.
Это мнение разделяет Антон Ленский, заместитель директора департамента технического сервиса компании РАССЭ (ГК «АйТеко»): «Импортозамещение началось не в 2020 г. У большинства компаний объем отечественного ПО и оборудования вырос в разы, и они продолжают движение в этом направлении».
Однако целый ряд организаций не сможет быстро осуществить переход. Об этом, в частности, в середине июня заявила Ассоциация банков России: «Срок перехода на российское ПО недостаточен для того, чтобы успеть нарастить предложение для кредитных организаций, так как для подобного изменения банковского ИТ-ландшафта, по уточненным данным, потребуется не менее
Эту проблему отметил и Дмитрий Бурлаков, по мнению которого российские производители вряд ли обладают необходимым объемом мощностей и трудовых ресурсов, чтобы обеспечить оборудованием все объекты КИИ в сжатые сроки. Ведь по некоторым оценкам, в России насчитывается около миллиона объектов КИИ, на которых функционирует от нескольких десятков до нескольких десятков тысяч единиц оборудования.
Что касается ПО, то не по всем классам у нас есть достойные российские продукты, считает Лев Матвеев, председатель совета директоров компании «СёрчИнформ»: «В каких-то секторах, например в информационной безопасности, мы занимаем лидирующие позиции, тут даже импортозамещать особенно нечего. Но в каких-то, например в ОС и БД, мы сильно отстаем. Относительно сроков — одного года точно будет мало».
Однако Андрей Евдокимов, генеральный директор компании Baikal Electronics, указал на то, что на рынке уже есть российские продукты, в частности процессоры, которые позволяют закрыть большую часть потребностей компаний в российском аппаратном обеспечении: «Программная экосистема тоже активно развивается, и хотя о полном переходе на российское ПО и оборудование говорить пока рано, начать предпринимать активные шаги в этом направлении — более чем реально. Но на полную перестройку всей ИТ-инфраструктуры и перезапуск внутренних процессов понадобится явно больше времени, чем один-два года».
Это мнение разделяет и Кирилл Уголев, руководитель направления информационной безопасности компании Tegrus, который полагает, что принимая во внимание количество затронутых отраслей и задействованных в них предприятий, этот процесс займет более пяти лет.
По мнению наших экспертов, одним из способов решения перечисленных проблем мог бы стать более гибкий подход к реализации перехода на российское ПО и оборудование, учитывающий особенности отраслей и масштаб компаний и растянутый по времени.
Кроме того, было бы целесообразно распространить действия указа только на вновь создаваемые или модернизируемые объекты КИИ. Тогда организации смогли бы избежать значительных трат и осуществлять замену оборудования и ПО в рамках запланированных процессов модернизации и развития. При таком варианте постепенная замена заняла бы несколько лет.
Что следует уточнить или изменить
В проекте указа говорится, что владельцы КИИ должны провести аудит своего ПО и оборудования, а иностранные продукты можно будет применять, только если они не имеют аналогов в отечественных реестрах. При этом за техподдержку и модернизацию софта и оборудования должны отвечать российские организации, не находящиеся под прямым или косвенным контролем иностранных компаний или физлиц.
Такая формулировка вызывает ряд вопросов. Как следует проводить аудит? Что имеется в виду под аналогами? Неясным является и термин «преимущественное использование». Эксперты указывают на то, что уточнения позволят значительно снизить количество конфликтных ситуаций.
Дмитрий Бурлаков считает, что одно из основных положений концепции импортозамещения — это определение критериев для наличия или отсутствия отечественных аналогов импортной продукции. С ним согласен Антон Ленский, который также указал на то, что четкие формулировки безусловно важны, как в любом нормативно-правовом акте. Если не будет точного определения, что считается российским аналогом зарубежного ИТ-продукта для проведения аудита КИИ, то появится возможность различных вариантов трактовки определения.
Четкие критерии необходимы и для преодоления рисков, на которые указал Андрей Волков, руководитель отдела развития доверенной платформы компании «Аладдин Р.Д.»: «Здесь возникает огромная ниша для разного рода дельцов, предлагающих „отечественный“ продукт, но не несущих практически никаких затрат на его создание и разработку. Насколько будет „русифицированный“ китайский маршрутизатор третьего эшелона лучше продукта Cisco или Juniper? Честно ли давать преференции компании, которая переименовывает Linux или LibreOffice и даже не способна обеспечить качественную поддержку своего продукта? Куда в итоге уходят деньги, которые государство в виде льгот и субсидий хотело дать настоящим отечественным разработчикам? Думаю, в этой ситуации и операторы КИИ, и отечественные разработчики только потеряют».
А вот Никита Шаблыков считает, что «есть достаточно понятное определение российского ПО, оно закреплено в реестре отечественного ПО. Думаю, им можно руководствоваться».
Импортозамещение для субъектов КИИ: как российские лингвистические технологии сокращают риски утечек данных
Субъекты критической информационной инфраструктуры (КИИ) могу обязать перейти на российское ПО с 1 января 2021 года — соответствующий законопроект был опубликован в конце мая на сайте Минкомсвязи. В документе отмечается, что эта инициатива обеспечит безопасность и технологическую независимость информационных систем и сетей, а также автоматизированных систем управления, функционирующих в здравоохранении и науке, на транспорте, в отраслях связи, финансов и энергетики, в том числе атомной, в топливно-энергетическом и оборонно-промышленном комплексах, в горнодобывающей, металлургической и химической промышленности.
Единый подход или индивидуальный?
Проект указа затрагивает широкий круг предприятий из самых разных отраслей, но очевидно, что требования к КИИ атомной станции гораздо выше, чем, скажем, к информационной системе ломбарда. В
«Требования и правила должны быть не только едиными, но и чёткими и понятными для всех участников процесса», — полагает Никита Шаблыков.
Лев Матвеев также считает, что нет никакой объективной необходимости в уникальных правилах для разных объектов КИИ, объясняя это тем, что не надо смешивать цели импортозамещения с сутью КИИ. Главные задачи импортозамещения — технологическая независимость и рост экономики, а основное требование к КИИ — безопасность.
С ними не согласен Кирилл Уголев, который уверен, что уровень значимости КИИ безусловно должен учитываться и, кроме того, необходимо оценивать экономическую целесообразность подобных правил для разных предприятий. А Дмитрий Бурлаков указал на то, что из-за широкого диапазона систем, подпадающих под критерии КИИ, разработка единых правил импортозамещения скорее всего приведет лишь к постоянно растущему числу обоснованных исключений. По его мнению, подходы должны зависеть от отраслевых и функциональных характеристик систем, степени их критичности, требуемых показателей уровней сервиса и обеспечения ИБ.
За индивидуальный подход также выступил Антон Ленский, отметив, что нужно учитывать не только значимость КИИ, но и особенности компании, ее процессов, инфраструктуры, так как импортозамещение не должно нанести вред владельцам КИИ.
Финансовый вопрос
Очевидно, что такой масштабный переход потребует от владельцев объектов КИИ колоссальных инвестиций. Так, по оценке Ассоциации банков России, замещение всего ПО и ИТ-оборудования обойдется банкам более чем в 700 млрд. руб., причем сумма может вырасти, если выполнять перевод в сжатые сроки. А переход на отечественное ПО одних только госкомпаний будет стоить порядка 150 млрд. руб. Каким образом может быть организовано финансирование таких преобразований и смогут ли владельцы КИИ выделить на это дополнительные деньги в нынешних сложных экономических условиях?
«Российские ИТ-компании готовы к диалогу, поэтому переход может быть осуществлён в рамках НИРов и пилотных проектов, когда за символическую плату разработчик предоставляет искомый аналог ПО, а владелец КИИ видит результат использования системы и принимает решение — внедрять или нет. В случае одобрения схемы — финансирование с зарубежного продукта переводится на российский аналог, — предлагает Никита Шаблыков. — Для такого подхода не требуется большого дополнительного финансирования. В первую очередь важно желание владельца КИИ рассматривать российские аналоги».
Другие наши эксперты выразили надежду на помощь со стороны государства. Так, Лев Матвеев предположил, что с учетом кризиса этот проект хотя бы частично будет финансироваться государством. Такие вливания пригодились бы ИТ-отрасли, которая пусть и не больше всех, но пострадала в последние месяцы.
Эту идею развил Дмитрий Бурлаков, отметив, что поддержку компаниям могло бы оказать как государство, так и сами производители отечественных решений: «К примеру, российские вендоры могли бы предложить льготные условия для организаций при закупке лицензий и оборудования. Государство тоже могло бы предоставить компаниям дополнительные налоговые льготы при переходе на российские решения, хотя такой вариант кажется маловероятным в текущих экономических условиях».
Поскольку законодатели вынуждают компании инвестировать в техническое переоснащение в краткосрочном периоде, причем во время экономического спада, то логично было бы продлить сроки или предоставить владельцам КИИ льготное кредитование на разработку или профинансировать создание базового продукта, тем самым снизив финансовую нагрузку, считает исполнительный директор компании Artezio (ГК ЛАНИТ) Павел Адылин.
С ним согласен Андрей Евдокимов, который отметил, что любая помощь государства была бы очень полезна: субсидии, ускоренная амортизация российского оборудования, льготные кредиты и т. д.
Олег Головко, первый заместитель управляющего директора компании «ЛАНИТ-Интеграция», уточнил, что поддержка и развитие российских продуктов может осуществляться через субсидии на приобретение технических комплексов, таким образом стимулируя процесс замены не только зарубежных компонентов сложного промышленного оборудования, но и ПО для управления этим оборудованием. Он надеется, что ряд отраслей с КИИ, рассмотрев общую стоимость владения, придут к переходу на российские продукты, особенно если им поможет снижение курса рубля и рост предложения на внутреннем рынке.
Охота пуще неволи
Изначально владельцы КИИ ориентировались на зарубежное ПО, опираясь на стоимость самого решения и его интеграции. Потом начался процесс импортозамещения. Но он был инициирован государством и им же регулировался, а ведь, как известно, добровольные действия гораздо эффективнее принуждения. Какие стимулы, кроме принудительных, могли бы подстегнуть процесс импортозамещения на объектах КИИ? Наши эксперты предложили несколько идей.
Главный мотив — экономический. Ведь переход на отечественную инфраструктуру — это очень дорогой проект, поэтому самое важное — сделать покупку российского ПО и оборудования выгоднее, чем иностранного, считает Андрей Евдокимов. Как полагает Дмитрий Бурлаков, затраты, понесенные компаниями от замены иностранных решений и оборудования, должны полностью окупиться. Здесь пригодятся налоговые льготы на длительный срок, беспроцентные кредиты, существенное снижение стоимости владения отечественными решениями и т. д.
При этом стимулировать следует не только владельцев КИИ, но и отечественных разработчиков. Ведь многие продукты в стране не разрабатываются и не производятся, сказал Андрей Волков: «Их создание с нуля потребует значительного времени и затрат. К тому же продукт, созданный только с расчетом на отечественный рынок, может оказаться слишком дорогим, поскольку зачастую лишен возможности выхода на международный рынок, так как вынужден решать узкоспецифические задачи, поставленные текущим законодательством. Из-за этого расходы на его разработку сложно будет восполнить продажами по привычным нам ценам импортных продуктов».
По словам наших экспертов, стимулом для разработчиков может стать предоставление более доступных льготных финансовых инструментов для разработки и внедрения отечественных ИТ-продуктов, сохранение нулевой ставки НДС и проработка вопросов, касающихся увеличения закупок отечественного ПО госструктурами.
Важную роль могли бы сыграть современные методы продуктового маркетинга, такие как всевозможные реестры, содержащие описание российских продуктов и контакты соответствующих организаций, а также консультационные центры, субсидируемые государством или отраслевыми сообществами.
Эту идею развил Павел Адылин, указав на то, что стимулирование отечественной разработки способно дать серьезный долгосрочный эффект, так как компании смогут инвестировать не только в разработку решений, но и в исследования для повышения их надежности и качества. В результате в России может сложиться конкуренция среди разработчиков, что позволит владельцам КИИ выбирать наиболее подходящие решения, а также сделает разработку подобных продуктов более интенсивной, поскольку ИТ-компании будут соперничать друг с другом.
Такое развитие событий будет способствовать появлению отечественных решений, превосходящих зарубежные аналоги функционально, технологически и по стоимости. И тогда процесс импортозамещения может пойти добровольно.
«Думаю, кроме регулирования достаточно рыночных условий. Импортозамещение будет выгодно и владельцам КИИ, и отечественным разработчикам», — уверен Никита Шаблыков.