А нам ПО! Минкомсвязи обязует владельцев критической инфраструктуры установить российский софт

Министерство коммуникаций и связи предложило перевести промышленные предприятия, кредитно-финансовые структуры и крупные государственные холдинги на отечественное программное обеспечение, а впоследствии и на российское оборудование. Речь идёт о тех организациях, которые входят в критическую информационную инфраструктуру (КИИ).  Проект указа президента уже направлен на согласование в Минпромторг, ФСБ и Федеральную службу по техническому и экспортному контролю (ФСТЭК). Обновить свой софт попавшие в список компании должны к 1 января 2021 года. Эксперты считают, что времени на реализацию «хотелки» не достаточно.

Объекты должны быть подключены к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и передавать в неё информацию обо всех без исключения инцидентах на объектах. Программа создана в ФСБ, а подключиться к ней будут вынуждены все те, кто входит в КИИ. К ним относятся сети и IT-системы госорганов, научных и кредитно-финансовых организаций, предприятия оборонной, топливной и атомной промышленности, транспорта, энергетики и другие компании. Разумеется, эта «перепрошивка» напрямую касается как РЖД, так и клиентов монополии.

Если страна хочет быть самодостаточной, должна уметь писать и использовать ПО. Эта обязанность стоит на одном уровне с умением самим делать самолёты, корабли и оружие.

На основе той информации, которая будет поступать от владельцев объектов КИИ, составят реестр значимости той или иной компании. Затем эксперты должны будут подсчитать, какой именно ущерб может нанести государству и гражданам, к примеру, хакерская атака на информационную систему той или иной структуры. Порядок перехода на отечественное ПО и требования к нему определят до 1 сентября в правительстве. Согласно подготовленному Минкомсвязью проекту постановления, владельцы КИИ смогут использовать только софт, который перечислен в реестрах российских и произведённых в ЕАЭС программ, и только оборудование, упомянутое в реестре российской радиоэлектронной продукции.

Немаловажный момент во всех этих нововведениях — сроки. Минкомсвязи, исходя из проекта, говорит о том, что ПО обязаны работать на всех объектах уже с 1 января 2021 года. Российское оборудование там должно быть установлено и работать ровно через год.

Непонятно, за чей счёт и кто всё это будет делать. Наш рынок слишком мал, чтобы «переварить» такое количество новых внедрений, рассказал vgudok.com IT-консультант Александр Москвинов.

«Думаю, что для такой операции минимум 10 лет надо. В такие сроки что-то можно будет изменить, поменять, внедрить, научить с новым ПО обращаться и сделать его безопасным. Государство хочет иметь собственную информационную безопасность, независимую от внешней поддержки и закупки лицензий с железом, что существует сегодня, — уверен эксперт. — Если ты в вялотекущем конфликте с соседом, ты же не предлагаешь ему поставить на этаже общий замок, при этом он тебе только ключ, а сам замок его, с тебя только деньги?

После новогодних праздников в дверь могут и постучаться дяди в одинаковых костюмах с неудобными вопросами про «национальность» софта. И отвечать придётся.

Вообще, если страна хочет быть самодостаточной, она должна сама уметь писать и использовать ПО. Эта обязанность стоит на одном уровне с умением самим делать самолёты, корабли и оружие. Думаю, ноги растут отсюда».

Предварительно владельцы КИИ должны провести аудит своего ПО и согласовать использование иностранных продуктов с ведомствами. Оставить зарубежный софт или оборудование они смогут в том случае, если эти продукты не имеют аналогов в реестрах отечественного софта и оборудования. ПО можно будет сохранить, если российский аналог из-за технических характеристик не позволит выполнить установленные законом цели и задачи. Однако в этих случаях за техподдержку и модернизацию софта и оборудования должны отвечать российские организации, не находящиеся под прямым или косвенным контролем иностранных компаний или физлиц.

В сложившейся ситуации, когда менять ПО заставляют фактически в приказном порядке, обязательно найдутся те, кто попробует «обойти» систему, найти лазейку, причём официальную, рассказал vgudok.com банковский программист Владимир А.

«Ключевое в этой схеме — это поставленные сроки. Если говорить о банках, то что-то ключевое поменять за полгода в своей «критической» инфраструктуре — это очень «стрёмно», я бы сам побоялся пойти на такое. Поэтому, скорее всего, не будут они этим заниматься. Тем более что есть вполне легальные варианты обхода этого указа.

Всегда можно доказать, что аналогов уже существующему и работающему на предприятии или в компании программному обеспечению попросту нет, — напоминает наш собеседник. — Потом можно показать, что у того же банка есть сопровождение, являющееся резидентом. Есть лазейки, которыми можно воспользоваться. С их помощью и будут выходить, по крайней мере, в этом году.

Надо ещё понимать, что сейчас все сидят на удалёнке, и когда из неё выйдут — вообще не понятно. Кто будет заниматься установкой, обучением, настройкой и так далее? Ощущение, что этой директивой бизнес и предпринимателей просто решили попугать».

Как выкручиваться из ситуации сейчас, когда под государственную гребёнку попали все крупнейшие предприятия?

По сути, всем замешанным в рокировке ПО осталось всего ничего, а именно 6 месяцев. Как именно справиться с такой задачей, ответить сложно. Участник этой операции в лице ОАО «РЖД», к примеру, пытается перейти на отечественный софт уже достаточно продолжительное время, но воз и ныне там. Более того, у холдинга всё заканчивается ещё на уровне закупок программного обеспечения и оборудования. Уже были и российские «Байкалы», и «Эльбрусы». Но дело всегда упиралось в ФАС, которая находила в документации монополии ошибки и недочёты. В итоге всё срывалось, переносилось, холдинг продолжал работать на том, что имел и имеет. Как выкручиваться из этой ситуации сейчас, когда под одну государственную гребёнку попали все крупнейшие предприятия страны, остаётся только гадать.

«Те компании и владельцы КИИ, которые заранее получили информацию о сроках и условиях, то есть хотя бы год назад, скорее всего, уже всё сделали или, как минимум, подготовились и смогут запуститься в срок и без проблем. Тем, кто узнал о новшествах только сейчас, сделать это не удастся», — рассказал vgudok.com Chief Technology Officer крупной IT-компании Алексей Кондратьев.

Картина вырисовывается простая: требования установлены, что именно менять и в какие сроки указано, а вот как именно решать поставленные задачи — не очень понятно. Это уже дело тех, кто попал в «список КИИ». И в долгий ящик эту новую обязанность фигурантам лучше не откладывать. После новогодних праздников в дверь могут и постучаться дяди в одинаковых костюмах с неудобными вопросами про «национальность» софта. И отвечать придётся. А ещё придётся привыкать. В первую очередь сотрудникам на местах. Чем заканчивается знакомство с новым ПО у работников стальных магистралей, мы рассказывали в нашем Telegram-канале @Vgudok.

Транспортные новости российских мегаполисов и мировых столиц ищите в нашем новом разделе ГОРОД

Захар Максимов