Пятая часть "критических" компаний не успеет перейти на российский софт

Каждая пятая компания, владеющая критической инфраструктурой, призналась, что не успеет перейти на российский софт к 2025 году, как того требует указ президента. Главная проблема — найти подходящий аналог зарубежным продуктам

Каждая пятая компания, владеющая критической информационной инфраструктурой (к ней относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных, медицинских, телекоммуникационных и ряда др. компаний), призналась, что не успеет полностью перейти на российское программное обеспечение к 2025 году, как того требует указ президента России от марта 2022-го.

Такой вывод приводится в исследовании "К2 Кибербезопасности" (подразделение компании "К2Тех") и издания Anti-Malware.ru, с которым ознакомился РБК. Авторы исследования в июне—августе этого года опросили 108 руководителей по ИТ и информационной безопасности российских компаний с выручкой более 5 млрд руб. и госкорпораций в электроэнергетике, медицине, фармацевтике, финансах, транспорте, логистике, металлургии и др. отраслях, а также представителей разработчиков аппаратного и программного обеспечения для информационной безопасности.

В 2022 году указ президента России запретил закупать иностранный софт для использования на значимых объектах критической информационной инфраструктуры, а также услуг по его использованию без согласования с уполномоченным органом. Этот же документ запретил использование иностранного софта на подобных объектах с 2025 года. К значимым объектам критической информационной инфраструктуры относятся те, которым присвоена одна из трех категорий. Согласно принятому в 2017 году закону, все владельцы критической информационной инфраструктуры должны присвоить своим объектам одну из трех категорий (например, первая категория присваивается тем объектам, атаки на которые могут нанести наиболее существенный урон) и процесс "идентификации" еще продолжается. За нарушение требований по обеспечению информационной безопасности подобных объектов полагаются штрафы в размере от 10 тыс. до 500 тыс. руб., административная и уголовная ответственность.

Основные выводы исследования:

• к настоящему времени лишь 7% российских компаний завершили переход с иностранного на российское программное обеспечение. Еще 14% находятся на завершающей стадии. У остальных работа находится на начальной или чуть более продвинутой стадии. При этом 10% не приступали к переходу;
• 24% респондентов не понимают, какие решения нужны для выполнения указа, а 31% считают, что отечественные решения не способны справиться с предъявляемыми требованиями;
• среди наиболее востребованного софта назывались межсетевые экраны (так ответили 54% респондентов), антивирусная защита (33%), сетевое оборудование (29%) и средства криптографической защиты (25%);
• главной проблемой в процессе реализации проектов 27% опрошенных назвали подбор и закупку отечественного софта и оборудования. 14% опрошенных были вынуждены увеличить бюджет на информационную безопасность в десять раз.

Тем не менее директор по развитию бизнеса "К2 Кибербезопасность" Андрей Заикин настаивает, что, несмотря на серьезные трудности, с которыми сталкивается бизнес, большинство опрошенных воспринимают сроки выполнения поставленных государством задач как оптимальные и выполнимые. "Но не стоит забывать, что в контексте критической инфраструктуры речь идет о сотнях тысяч организаций. По нашему опыту, большое количество предприятий для защиты таких учреждений все еще используют зарубежные решения и только часть за полтора года начала процесс импортозамещения", — сказал Заикин.

Выполнимы ли требования

Коммерческий директор "Кода безопасности" Федор Дбар согласен с выводами исследования. По его словам, те заказчики, которые имели довольно высокий уровень зрелости или начали заниматься импортозамещением намного раньше 2022 года, справятся с выполнением требований. Проблемы возникают у той части организаций, которая сильно затянула с решением вопроса. "Отчасти нежелание идти по пути импортозамещения оправдывалось тем, что в России нет идеального софта или оборудования, но из-за этого образовался замкнутый круг: отечественные заказчики не покупают российские продукты в нужных объемах, у вендоров не хватает денег на развитие решений, и эти решения не становятся лучше. С другой стороны, если бы процесс перехода на отечественные продукты начался хотя бы пять-шесть лет назад, то сейчас, к острой фазе противостояния в киберпространстве, вендоры успели бы пройти два-три цикла переработки своих решений по желаниям заказчиков, и те получили бы законченные, рабочие инструменты", — рассуждает Дбар.

Руководитель отдела консалтинга и аудита Angara Security Александр Хонин отметил, что проблемы с выполнением законодательства в области критической информационной инфраструктуры связаны с тем, что многие владельцы подобных объектов не знают о своем статусе и не занимаются присвоением категорий, что является нарушением требований законодательства. По его словам, проблема актуальна и для госорганизаций, и для крупного бизнеса, банковской сферы, ТЭК, атомной, металлургической, химической промышленности, и других отраслей — там, где используется важная информация, требующая защиты от кибератак.

Директор по развитию бизнеса центра противодействия кибератакам компании "Солар" Алексей Павлов среди основных проблем в выполнении требований назвал дефицит бюджетов и кадров, а также тот факт, что зрелость отечественных продуктов в некоторых классах (например, в сетевом оборудовании) пока отстает от иностранных аналогов и не всегда может решить задачи заказчиков. По его мнению, эти проблемы более актуальны для зрелых компаний, которым важен функционал, а малые компании в первую очередь сталкиваются с проблемой кадрового дефицита. "Рынок информационной безопасности перегрет зарплатами, поэтому небольшие организации не способны обеспечить достойный уровень зарплат и разнообразие задач для профильных специалистов", — пояснил Павлов.

По мнению главного архитектора решений по информационной безопасности Positive Technologies Михаила Кадера, основная проблема состоит в том, что многие организации подходят к соблюдению законодательства в области критической информационной инфраструктуры формально: не тестируют механизмы и подходы к безопасности, то есть не обеспечивают реальную защиту, тогда как изменения в законодательстве были направлены на обеспечение практической и результативной кибербезопасности.