Блок-схема буксует: что тормозит IT-импортозамещение

Российские бизнес и государственные учреждения не смогли выполнить указы президента, касающиеся запрета на использование иностранных IT-решений для объектов критической инфраструктуры. На сегодняшний день около 40% из них продолжают работать на западных продуктах, а в 95% случаев для контроля объектов КИИ применяется иностранное программное обеспечение (ПО).

В ближайшее время ситуация вряд ли изменится в корне, особенно учитывая, что за нарушение указов не предусмотрено прямых наказаний. При этом власти планируют принудительно расширить список важнейших объектов КИИ.

Указы президента

В 2023 году были изданы три указа президента:

1. № 166 запрещает с 1 января 2025 года органам государственной власти и государственным компаниям использовать иностранное ПО на объектах КИИ.
2. № 250 вводит аналогичные запреты для бизнеса и охватывает примерно 500 тысяч компаний.
3. Дополнение к указу № 250 расширяет его действие на стратегические и системообразующие организации, которым также запрещено закупать и использовать иностранные ИБ-сервисы и услуги.

Разработка отечественных решений

К 1 января текущего года в России должны были быть разработаны собственные IT-решения и оборудование для замены западных продуктов. Однако на практике это не удалось: пользователи жалуются, что импортозамещенное ПО не соответствует требованиям по надежности и эффективности. Эти данные были получены ИТ-компанией «Монк Диджитал Лаб» в ходе опроса 152 представителей операторов объектов КИИ из разных экономических секторов.

Но это еще не все: оказалось, что параллельно с импортозамещением привычного оборудования и ПО в российских компаниях стало расти число и продолжительность сбоев в IT-системах.

Все в той же «Монк Диджитал Лаб» подсчитали, что количество сбоев за прошлый год выросло на 22%, а средняя продолжительность простоя из-за IT-неполадок достигла четырех часов, это +20% к 2023 году. В среднем каждый подобный случай обходится бизнесу в 2 млн рублей. Аналитики отмечают, что с серьезными инцидентами (они затрагивают критически важные сервисы) столкнулись 93% компаний и организаций. В целом же на долю тяжелых сбоев, которые ведут к длительному параличу ключевых IT‑систем, за 2024 год пришлось около 12% от всех случаев, на долю серьезных – 28%, ощутимых – 36%, незначительных – почти 24%.

А вот еще одна интересная цифра: на российские компании пришлось 8,5% всех случаев утечки данных, в итоге РФ заняла второе место в мире по количеству таких инцидентов, а в рейтинге по утечкам персональных данных поднялась с седьмой на пятую строчку, подсчитали аналитики ЭАЦ InfoWatch. Первое место прочно и с большим отрывом удерживают США, на которые пришлось более 36% всех утечек. 

Получается, что объявленный переход на отечественную IT-продукцию не просто задерживается, но и сопровождается ростом инцидентов. 

По данным Минцифры на 2024 год, которые озвучил на заседании Госдумы в июле замминистра Сергей Кучушев, к значимым объектам КИИ в России относится около 18 тыс. объектов инфраструктуры. 

Пока принадлежность объекта к КИИ определяют сами собственники систем. Разумеется, им невыгодно вносить свои сети и оборудование в список, к фигурантам которого государство предъявляет повышенные требования. Чтобы упорядочить эту сферу, Минцифры решило отдать государству полномочия на определение типов таких систем с учетом отраслевых особенностей, порядок перехода на российские продукты, мониторинг и определение сроков. Так, предполагается, что к 2030 году на КИИ должно использоваться не менее 95% российского ПО в организациях госсектора и с госучастием и не менее 80% – для бизнеса. 

Планируется, что новый законопроект должен вступить в силу с 1 сентября 2025 года. Если законопроект будет принят, список критически важных объектов информационной инфраструктуры значительно расширится, а компаниям придется срочно искать решения для импортозамещения. Однако пока неизвестно, когда документ будет рассмотрен во втором чтении.

Практика запрета использования иностранного программного обеспечения на критически важных объектах инфраструктуры не нова. В США, например, под запрет попадают не все зарубежные IT-разработки, а только продукция «ненадёжных иностранных компаний» из определенных стран, таких как Китай и Россия. Но даже там этот запрет не всегда соблюдается. Например, осенью 2022 года американский Центр по безопасности и новым технологиям опубликовал отчет, согласно которому государственные учреждения почти в каждом штате использовали и продолжали закупать иностранные технологии, запрещённые федеральным законодательством. Незаконных закупок такого ПО за год не было только в одном штате – Вермонте.

Однако есть один важный момент: в США по программам «rip and replace» государство возмещает провайдерам расходы на создание безопасных и надежных сетей связи. Выплаты покрывают не только стоимость самого оборудования, но и расходы на его демонтаж и замену. Для получения возмещения оборудование или сервисы должны быть включены в специальный федеральный список.

Атаки нарастают, а защищаться нечем

В 2024 году наблюдается значительный рост количества и мощности атак со стороны хакеров и мошенников. Согласно статистике отечественного разработчика StormWall, количество только DDoS-атак в мире увеличилось на 108%. Однако основной прирост пришелся не на Россию, а на США (14,3% от всех подобных инцидентов), Китай (12,8%), Индию (10,2%) и страны ЕС, где в прошлом году проходили выборы.

Россия же за год сместилась с седьмого на восьмое место в мире по количеству атак, потеряв 7,3% позиций. Однако общее количество таких инцидентов возросло на 45%. Наиболее уязвимыми для хакеров стали компании и учреждения из сфер телекома, госсектора и ритейла, то есть те, которые относятся к критической информационной инфраструктуре (КИИ).

Во-вторых, многие компании и учреждения сталкиваются с проблемой, когда у них нет достаточно ресурсов, чтобы отражать подобные атаки. Они продолжают использовать устаревшее оборудование и программное обеспечение, которое не получает необходимой поддержки и обновлений. Это связано с тем, что западные вендоры ушли с рынка, а альтернативные российские решения либо не доступны, либо стоят слишком дорого.

По данным «Монк Диджитал Лаб», около 20% зарегистрированных сбоев происходят именно по этой причине. Поскольку перспективы восстановления доступа к западным разработкам остаются туманными, бизнесу и учреждениям рано или поздно придётся перейти на отечественные решения.

Эксперты с самого начала предупреждали о возможных трудностях, связанных с выполнением указов президента. В сентябре прошлого года Ассоциация по защите информации провела анонимный опрос на тему: «Успеваете ли вы выполнить требования 166-го и 250-го указов президента к 1 января 2025 года?» Результаты опроса показали, что только 7% респондентов уже завершили работу по 166-му указу, а еще 8% уверены, что будут готовы к началу нового года. Однако никто не стал откладывать сроки выполнения.

Решение задачи

Чтобы ускорить переход на отечественные IT-решения, Минцифры еще в прошлом году предложило ввести так называемые форвардные контракты. Министр Максут Шадаев пояснял, что компании, которые не успевают заменить ПО до 1 января 2025 года, должны будут взять на себя «определенные юридически значимые обязательства».

Однако форвардный контракт лишь фиксирует цену товара: покупатель обязан уплатить определенную в контракте сумму за продукцию после того, как она будет произведена. Для этого не предусмотрено никакого гарантийного обеспечения, и сделка может не состояться. Для компаний это может быть удобным способом не попасть в список нарушителей, но вряд ли эта мера значительно ускорит переход отрасли с импортного на российское.

Сейчас реестр российского ПО насчитывает более 25 тыс. программ, куда входят операционные системы и базы данных. Кроме того, Ассоциация разработчиков программных продуктов «Отечественный софт» ежегодно формирует список отечественных программных продуктов для использования на объектах КИИ, публикует его на своем сайте и направляет в Минцифры, Минпромторг, Минэкономразвития и ФСТЭК России.

В 2023 году АРПП сформировала список из 430 наименований, в 2024 году он уже содержал более 520 российских программных продуктов, в этом году – 680. В кризисном для отрасли 2022-м в список было включено более чем 330 наименований импортозамещенного ПО.

Однако, несмотря на почти трехлетний период, ожидаемого прогресса в области внедрения российского программного обеспечения не наблюдается. Ни бизнес, ни государственные компании не спешат активно переходить на такие системы по нескольким причинам:

• Ограниченность ресурсов для закупок.
• Высокая стоимость продуктов.
• Невозможность прервать работу для полной замены систем.
• Отсутствие прикладного программного обеспечения для отечественных операционных систем.
• Необходимость тестирования новых разработок и так далее.

Например, операционная система «КОБАЛЬТ», вошедшая в список 2022 года, не поддерживает программное обеспечение для Microsoft Windows, хотя многие компании все еще используют популярный офисный пакет. Чтобы обеспечить совместимость с «КОБАЛЬТОМ», необходимо использовать средства эмуляции, такие как Wine, что требует дополнительных затрат на обучение персонала и дополнительные расходы.

Еще один продукт из списка, RED OS, сами специалисты в области информационных технологий считают сырым. Он предлагает ограниченный выбор приложений, что характерно для всех разработок на базе Linux. При этом стоимость лицензии составляет 3-6 тыс. рублей за одно рабочее место в год, что выше, чем у других дистрибутивов Linux и Windows.

Что касается национального поисковика «Спутник», на который к 2017 году было потрачено более 2 млрд рублей, то в 2018 году его разработчика обанкротил Ростелеком, который ранее его купил. Проект был признан убыточным и провалился. Ростелеком сохранил домен и превратил «Спутник» в корпоративный поисковик, но он не смог произвести фурор на рынке.

О стоимости перехода на отечественное ПО можно судить по примеру компании «ВТБ Арена», которая в прошлом году заключила договор с единственным контрагентом на оказание услуг миграции 283 почтовых ящиков c Microsoft Exchange на RuPost и WorksPad (разработчик – отечественная компания «Рупост»): это обошлось в 5,7 млн рублей. Не каждый бизнес сможет бескровно изъять такую сумму из оборота.

Еще один важный разговор, который начался год назад, был инициирован представителями банковского сообщества. Выяснилось, что в России нет специализированного программного обеспечения для высоконагруженных банковских систем, а на его разработку вендоры должны потратить около двух лет.

Банковские IT-команды создают часть программного обеспечения самостоятельно, но по закону кредитные учреждения могут использовать только те разработки, которые внесены в реестр Минцифры. Для этого необходимо, чтобы ПО было свободно доступно для продажи в России. Однако банки не спешат выставлять свои решения на всеобщее обозрение, в том числе из соображений безопасности.

Импортное ПО: закупки продолжаются

По мнению экспертов, полный переход с одной системы на другую может произойти в течение двух лет. Однако это возможно только в том случае, если отечественное программное обеспечение будет готово, протестировано и удовлетворять всем требованиям покупателей. Пока же в системе государственных закупок регулярно проводятся тендеры на поставку импортного оборудования.

Так, уже в этом году закупки оборудования от Cisco Systems объявили ПАО «Московская биржа» и ее ООО «МБ Защита Информации», крупный угольный холдинг «Колмар», одна из масштабных угольных компаний России «Сибантрацит», крупный «южный» банк «Кубань Кредит», АО «Торговый дом Перекресток» и другие. В 2023 году тендеры на поддержку и решения от Palo Alto Networks объявляли ПАО «Московский кредитный банк», в прошлом году – золотодобывающая компания МКАО «Хайлэнд Голд». На решения от Oracle в прошлом году объявляли запрос предложений банк Уралсиб, ОТП банк, Московский кредитный банк и другие.

Департамент Москвы по конкурентной политике в тендере на развитие платформы «Мос.Вирт» («Платформа для создания виртуальных серверов») требует от подрядчика оптимизировать ПО под Rancher Kubernetes Engine от калифорнийской компании Rancher Labs. И даже аппарат Совета депутатов московского Кунцево требует адаптировать поставляемый «Консультант плюс» под ОС от Microsoft и веб-браузеры Internet Explorer, Microsoft Edge, Mozilla Firefox, Google, Chrome, Opera. Браузера от Yandex в этом списке почему-то нет. ФГУП «Главный центр специальной связи» и вовсе, судя по открытым данным закупки, использует серверы электронной почты Microsoft Exchange.

Новые запреты и скудный выбор импортозамещенного ПО вызвали закономерный всплеск жалоб антимонопольщикам на ограничения в закупочной документации, а это затягивает процесс, поскольку на время разбирательства ФАС его приостанавливает. К примеру, один из крупнейших отечественных вузов – МГУ им. Ломоносова – в марте объявил закупку ОС спецназначения. Не прошло и недели, как она была заморожена ФАС из-за жалобы предпринимателя, который проанализировал требования к ОС, сопоставил их с реестром Минцифры и выяснил, что под жесткие условия вуза подходит единственная ОС в мире – Astra Linux Special Edition от ООО «РусБИТех-Астра».

Только за неполные три месяца этого года, судя по данным портала Госзакупок, по тем или иным причинам было отменено более 270 закупочных процедур/результатов определения поставщика, в документации которых шла речь о программном обеспечении. Год назад за этот же период отменено было менее 200.

Причины этого носят системный характер: от нехватки качественных аналогов до высокой стоимости существующих продуктов и их слабой совместимости с уже внедренными системами. В условиях ограниченного бюджета и высокой ответственности за стабильность инфраструктуры заказчики предпочитают продлевать поддержку хотя бы части старых решений.

В перспективе ближайших двух лет ситуация вряд ли кардинально изменится без дополнительных стимулирующих мер и пересмотра подходов к развитию отечественной IT-отрасли. Либо будет найден компромисс в виде гибридной модели, допускающей использование проверенного импортного программного обеспечения при одновременной поддержке отечественных разработчиков, либо ужесточение требований к закупкам приведет к увеличению затрат и рисков для устойчивости систем.

В любом случае, эффективное внедрение отечественного программного обеспечения и оборудования требует не столько запретов и законов, сколько долгосрочного стратегического планирования, развития всей экосистемы и готовности бизнеса инвестировать в переходные процессы.