Минкомсвязь предложила обязать владельцев элементов, входящих в критическую информационную инфраструктуру (КИИ), "преимущественно использовать" российский софт с 1 января 2021 года и российское оборудование — с 1 января 2022 года. Это следует из проекта указа президента, который замглавы министерства Алексей Соколов отправил на согласование в Минпромторг, ФСБ и Федеральную службу по техническому и экспортному контролю (ФСТЭК). Копия документа есть у РБК, подлинность его подтвердили два участника рынка.

Готовы ли владельцы КИИ к подобному переходу, разбирался РБК.

Что такое критическая инфраструктура

Согласно вступившему в силу с 2018 года закону "О безопасности критической информационной инфраструктуры": 

- К объектам КИИ относятся сети и ИТ-системы госорганов, научных и кредитно-финансовых организаций, а также предприятия оборонной топливной и атомной промышленности, транспорта, энергетики и другие компании.

- Владельцы должны подключить свои объекты КИИ к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и передавать в нее информацию обо всех инцидентах на объектах.

- Власти на основе информации от владельцев объектов КИИ должны составить их реестр, разделив на незначимые и значимые — в зависимости от того, какой ущерб стране и людям будет нанесен, если эту информационную систему атакуют хакеры.

- За нарушение правил эксплуатации, которое повлечет вред для КИИ, предусмотрена уголовная ответственность для сотрудников компаний, управляющих объектами КИИ.

Как КИИ переводят на отечественное

Порядок перехода на отечественное оборудование и ПО, а также требования к ним до 1 сентября должно утвердить правительство. Согласно подготовленному Минкомсвязью проекту постановления, владельцы КИИ смогут использовать только софт, который перечислен в реестрах российских и произведенных в ЕАЭС программ, и только оборудование, упомянутое в реестре российской радиоэлектронной продукции. 

В подготовленных Минкомсвязью проектах говорится, что владельцы КИИ должны провести аудит своего ПО и оборудования и согласовать использование иностранных продуктов с ведомствами. Оставить зарубежный софт или оборудование они смогут в том случае, если эти продукты не имеют аналогов в реестрах отечественного ПО и оборудования. "Железо" также можно будет сохранить, если российский аналог из-за технических характеристик не позволит выполнить установленные законом цели и задачи. Однако в этих случаях за техподдержку и модернизацию софта и оборудования должны отвечать российские организации, не находящиеся под прямым или косвенным контролем иностранных компаний или физлиц.

Вице-премьер Юрий Борисов, курирующий оборонную промышленность, еще несколько месяцев назад дал поручение подготовить изменения в закон "О безопасности КИИ", которые позволят поэтапно заместить использование иностранного оборудования на таких объектах. В ответ на него Минэкономразвития предлагало обязать владельцев элементов КИИ использовать только российское оборудование и софт, а также запретить иностранным компаниям обеспечивать взаимодействие с сетями и информационными системами критической инфраструктуры. 

В аппарате вице-премьера Юрия Борисова сообщили РБК, что знакомы с инициативами Минкомсвязи и поддерживают их. "Сам документ пока не видели", — отметил представитель вице-премьера.

Представитель Минпромторга отказался от комментариев. РБК направил запрос в Минкомсвязь, Минэкономразвития, ФСБ и ФСТЭК.

Готовы ли владельцы КИИ к такому переходу

Представители владельцев объектов КИИ из числа топ-5 банков России и крупнейших операторов связи и промышленных компаний не стали комментировать проект Минкомсвязи. Ранее эксперты рынка предлагали наделить правительство правом устанавливать порядок и правила использования отечественного ПО и оборудования на объектах КИИ. В частности, с таким предложением в конце апреля выступили участники одной из рабочих подгрупп Госсовета, однако они настаивали, что эти правила должны зависеть от уровня значимости объекта критической инфраструктуры. "Очевидно, что за безопасностью атомной станции, от взрыва которой пострадают все, и научного подведомственного института, который скорее формально считается КИИ, следить нужно по-разному", — объяснила участница той встречи, председатель совета Ассоциации электронной аппаратуры и приборов Светлана Апполонова.

Эксперт по информационной безопасности Cisco Systems Алексей Лукацкий объяснил, что даже требования безопасности ФСТЭК, основного регулятора в этой сфере, не распространяются на владельцев незначимых объектов КИИ. "Сейчас к таким объектам относится даже ломбард, потому что он работает в кредитно-финансовой сфере. И в случае принятия предложенного проекта они, например, тоже должны будут использовать только отечественное оборудование и ПО", — отметил Лукацкий.

Он добавил, что в феврале 2020 года Минпромторг и ФСТЭК разработали проект документа, согласно которому владельцы КИИ должны использовать средства защиты информации только на отечественной аппаратной части и микроэлектронике с 2024 и 2028 года соответственно. "Такие сроки даются на довольно узкий сегмент КИИ. Минкомсвязь же хочет установить для всех одинаковые требования и установить для всех единые и очень сжатые сроки", — размышляет эксперт. 

По словам исполнительного директора компании "Акронис Инфозащита" Елены Бочеровой, принятие проекта в текущем виде "может означать качественный поворот в программе импортозамещения, так как выйдет за пределы существующих критериев, которые затрагивают преимущественно госорганы и некоторые госкомпании, на целые секторы экономики". 

Возможно ли уложиться в указанные сроки

Руководитель направления "Информационная безопасность" ИТ-компании КРОК Андрей Заикин рассказал, что среди специалистов по информационной безопасности планы по переводу объектов КИИ на отечественное ПО и оборудование обсуждались давно, поэтому для большинства владельцев таких объектов они не должны стать новостью, ставящей в тупик. Он заметил, что сложнее всего их выполнить будет представителям энергетической, металлургической и химической промышленности, а также компаниям ТЭКа и атомной энергетики, поскольку установленные в них системы имеют длительный и сложный цикл, быстро вмешаться в который будет проблематично.

По словам Лукацкого, многие непрерывные производства, например нефтедобывающие или сталелитейные предприятия, не смогут перейти целиком на отечественные продукты в ближайшие пять-десять лет. Полностью остановить их деятельность для замены оборудования технически невозможно, пока не пройдет его жизненный цикл, который может составлять 10–20 лет. "Кроме того, неизвестно, как на производство повлияет такая замена. Даже если бы в России было необходимое оборудование и ПО, его нужно было бы предварительно протестировать, не вносит ли оно задержки и ошибки", — считает Лукацкий.

"Мы видим, что многие решения ПО создаются в отрыве друг от друга, что мешает их взаимной интеграции и бесконфликтной работе. Среди иностранных вендоров десятилетиями выстраивались горизонтальные связи. Сейчас иностранное ПО в большинстве своем представляет экосистемы вокруг операционных систем", — подчеркнул Заикин, отметив, что российские разработчики ОС работают в этом направлении с переменным успехом. 

Светлана Апполонова обратила внимание, что в подготовленных проектах не расшифровано, что именно считается российским аналогом, поэтому при проведении аудита ситуация будет аналогичной госзакупкам: компании будут устанавливать требования к оборудованию, под которые будут подходить только конкретные иностранные решения. Она также указала, что в документе не сказано, на чьи деньги будет проходить переход на российские аналоги, и неизвестно, смогут ли компании выделить на эти цели дополнительные средства. По словам Лукацкого, в прошлом году представитель одного из крупных госбанков заявил, что полный переход на отечественное ПО обойдется ему в 400 млрд руб.