Автор: Александр Ендальцев, аналитик УЦСБ

Импортозамещение стало важным событием на российском рынке, в том числе на рынке информационной безопасности. Хоть тема импортозамещения не нова, однако, современные реалии создали новые стимулы к использованию отечественных решений в области информационной безопасности.

Стимулы к импортозамещению

До недавних событий сильнее всего тенденция к импортозамещению была заметна в государственном секторе и на предприятиях, попавших под санкции. Так, например, согласно Постановлению Правительства РФ от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» с 1 января 2016 года установлен запрет на приобретение иностранного программного обеспечения (далее – ПО) и баз данных, а также прав на них в рамках закупок для обеспечения государственных и муниципальных нужд. Также в соответствии с Распоряжением Правительства РФ от 26 июля 2016 г. № 1588-р «Об утверждении плана перехода в 2016-2018 годах федеральных органов исполнительной власти и государственных внебюджетных фондов на использование отечественного офисного программного обеспечения» федеральные органы исполнительной власти и государственные внебюджетные фонды должны были перейти на отечественное офисное ПО в период с 2017 по 2018 годы. Минкомсвязи России в свою очередь разработали методические рекомендации по переходу государственных компаний, а также организаций, подведомственных федеральным органам исполнительной власти, органам исполнительной власти субъектов Российской Федерации (далее – РФ), органам местного самоуправления и государственным внебюджетным фондам на преимущественное использование отечественного ПО (приказы Минкомсвязи России от 20 сентября 2018 г. № 486 «Об утверждении методических рекомендаций по переходу государственных компаний на преимущественное использование отечественного программного обеспечения, в том числе отечественного офисного программного обеспечения» и от 8 мая 2019 г. № 184 «Об утверждении методических рекомендаций по переходу предприятий, учреждений и организаций, подведомственных федеральным органам исполнительной власти, органам исполнительной власти субъектов Российской Федерации, органам местного самоуправления и государственным внебюджетным фондам, на преимущественное использование отечественного программного обеспечения, в том числе офисного программного обеспечения» соответственно). В случае с вышеуказанными организациями планировалось достигнуть показателя доли закупок отечественного ПО, составляющего не менее 85% к 2021 году. Однако по словам Ильи Массуха – главы Центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий доля закупки отечественного ПО в государственных структурах и государственных компаниях составила всего 30-35%.

Сегодня тенденция на импортозамещение в сфере IT выходит на новый уровень, становясь прерогативой всего российского бизнеса вне зависимости от уровня государственного участия. Это в первую очередь связано с санкционным давлением и, как следствие, массовым уходом иностранных IT-компании, таких как Acronis, AMD, Autodesk, Cisco, Citrix, Dell Technologies, Fortinet, GitLab, HPE, IBM, Intel, MickroTik, Microsoft, NetApp, Nokia, Norton, Oracle, Red Hat, SAP, TeamViewer, VMware, Zabbix и др. (с более полным списком таких иностранных компаний можно ознакомиться на информационном портале safe-surf.ru). В отдельных случаях речь идет о полном прекращении деятельности иностранной IT-компании на территории России, чему сопутствует отключение сервисов обновлений и технической поддержки российских клиентов. Другие иностранные IT-компании не отказываются от взятых ранее на себя обязательств и продолжают оказывать услуги по сопровождению своих продуктов, но при этом останавливают продажи таких продуктов.

Также мы видим усиление тренда на импортозамещение и в нормотворческой деятельности государства, так согласно Указу Президента РФ от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – Указ № 166) с 31 марта 2022 года юридическим лицам, перечисленным в Федеральном законе от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», запрещено осуществлять закупки иностранного ПО, в том числе в составе программно-аппаратных комплексов, для использования на принадлежащих им значимых объектах критической информационной инфраструктуры (далее – КИИ) без согласования с уполномоченным Правительством РФ федеральным органом исполнительной власти. С 1 января 2025 года указанным заказчикам и органам власти нельзя будет использовать иностранное ПО на значимых объектах КИИ (с комментариями аналитического центра ООО «УЦСБ» к Указу № 166 можно ознакомиться по ссылке). Отдельно отметим инициативу в рамках Указа № 166 по выработке требований к ПО, используемому на значимых объектах КИИ. Ранее в нормативно-правовых актах требования к ПО в рамках мер по обеспечению технологической независимости и безопасности РФ сводились только к планированию закупочной деятельности в государственных структурах и государственных компаниях с целью последовательного увеличения доли закупаемого отечественного ПО. Поэтому ждем с нетерпением выхода соответствующего постановления Правительства, которое должно дать развернутый ответ с какими ограничениями столкнуться субъекты КИИ при выборе ПО для использования на принадлежащих им значимым объектам КИИ.

Со стороны ФСТЭК России также вводятся ограничения на использование иностранных средств защиты информации, так в марте текущего года было приостановлено действие 56 сертификатов средств защиты информации компаний Cisco, CyberArk, FortiGate, Microsoft, Oracle, Red Hat, SAP, SUSE Linux, VMware и др. (с полным списком можно ознакомиться на сайте anti-malware.ru).

Основные вызовы, возникающие в условиях санкций

Возвращаясь к теме отключения сервисов и технической поддержки иностранных IT-компании для российских клиентов, стоит отметить такой важный для продуктов информационной безопасности аспект как обновление сигнатур для контентного анализа приложений, систем предотвращения атак, антивирусных средств. Помимо того обновлений требует URL-категоризация и базы индикаторов компрометации Threat Intelligence. Обеспечение безопасности без ежедневных обновлений баз сигнатур становится не тривиальной задачей для бизнеса и государственных органов. Проблемой является и то, что в России мало компаний, которые сами создают сигнатуры для решений классов «предотвращения вторжений» (Intrusion Prevention System, IPS), «обнаружения вторжений» (Intrusion Detection System, IDS), антивирусных средств, баз URL-адресов и баз данных об угрозах (Threat Intelligence).

Также отметим, что по данным компании «Аладдин Р.Д.» на данный момент более 90% информационных систем в России построены на Microsoft Active Directory и используют Microsoft Certificate Services из состава Microsoft Server в качестве сервиса генерации и управления цифровыми сертификатами (сертификаты доступа, PKI инфраструктура). Данный факт указывает на необходимость изоляции центра доменной инфраструктуры, а соответственно и самого Центра Сертификации от атаки извне (помним Ирак, когда отключалось оборудование и ПО по командам из США), т.к. он связан с каждым рабочим местом, с IDM системами, внутренними порталами и сервисами и т д.

Кроме этого, появляется все больше свидетельств об устремлении части неблагонамеренных разработчиков свободно распространяемого ПО нанести вред IT‑инфраструктуре российских компаний и организаций, а также обычным пользователям. Для этого злоумышленники вносят недокументированные изменения в разрабатываемое ими ПО, которое впоследствии может нести как просто деструктивный или меркантильный характер, так и вовлечь пользователя в осуществление вредоносной активности на различные российские информационные ресурсы.

Что делать организациям и что предлагают производители в России

Для компенсации некоторых IT-рисков, формирующихся в условиях санкционных ограничений, Национальный координационный центр по компьютерным инцидентам предлагает воспользоваться следующими рекомендациями:

1. Проверить, что инфраструктура (хостинг), на которых размещаются публичные ресурсы, находится на территории РФ.

2. В случае аренды вычислительных мощностей необходимо компенсировать риск, возникающий в случае отказа хостинга размещать публичный ресурс, имеющий отношение к компании, находящейся под санкциями.

3. Удостовериться, что используемые для корректной работы публичных ресурсов DNS-сервера размещены на территории РФ. Также убедиться в отсутствии в цепочке серверов различных публичных иностранных серверов, например, DNS forwarding 8.8.8.8.

4. Убедиться, что регистратор, который управляет доменными именами публичных ресурсов, находится в РФ. В противном случае передать управление доменными именами любому отечественному регистратору.

5. В случае использования для публичных ресурсов основных доменных зон .com, .org и прочих, следует рассмотреть вариант преимущественного использования доменной зоны .ru.

6. При наличии собственной автономной системы (AS) проработать вопрос ее связности.

7. Провести ревизию SSL-сертификатов, разработать план по переходу на самоподписанные сертификаты или выпущенные удостоверяющими центрами, находящимися на территории РФ.

8. Организовать инвентаризацию облачных решений и разработать план по переходу на российские аналоги или решения, разворачиваемые локально и неконтролируемые производителем извне. Это касается в том числе и решений, которые используются коммерческими предприятиями: мессенджеры, система управления взаимоотношениями с клиентами (CRM), средства коллективной работы, офисные пакеты, интегрированные среды разработки (IDE) и прочее.

9. Провести инвентаризацию продуктов, требующих проверку лицензии за рубежом. Предпринять меры по поиску альтернатив.

10. Создать локальные хранилища дистрибутивов программных продуктов и используемого в компании ПО с открытым исходным кодом. Не обновлять его до последней версии, а в случае уже произведенного обновления откатиться к версиям продуктов, выпущенных ранее 24 февраля 2022 года. В случае если обновление необходимо, по возможности, устанавливать его только после проверки в тестовой среде.

11. Минимизировать использование или полностью запретить пользователям использовать стороннее ПО с открытым исходным кодом, если в этом отсутствует прямая необходимость.

12. В случае если в IT-инфраструктуре используются комплексные программные решения отечественного производства, в состав которых входит ПО с открытым исходным кодом, проработать мероприятия по его безопасному обновлению, по возможности, совместно с разработчиком такого решения.

13. Оценить финансовые взаимодействия с контрагентами и выявить компании, которые не смогут принимать платежи с территории РФ и потенциально могут отказаться от дальнейшего сотрудничества.

Тем российским компаниям, которые продолжают использовать иностранные решения для обеспечения информационной безопасности, стоит учитывать, что даже в случае, когда ПО продолжает работать, но при этом обновить непосредственно само ПО или используемые им базы сигнатур не представляется возможным, рекомендуется отказаться от использования такого решения. Неактуальные версии ПО могут содержать уязвимости, а отсутствие возможности обновлять сигнатуры негативно влияет на эффективность его работы. Для наглядности, ниже приведена сводная таблица с российскими аналогами зарубежных продуктов в сфере информационной безопасности. С наиболее полным списком российского ПО для импортозамещения можно ознакомится на сайте Ассоциации разработчиков ПО «Отечественный софт».

Таблица 1. Российские аналоги зарубежных продуктов в сфере информационной безопасности (Источник: safe-surf.ru)

Также добавим, что эксперты с информационного портала safe-surf.ru рекомендуют при выборе замены иностранному продукту отталкиваться от набора функциональных возможностей, которые вам нужны, а не из названий продуктов. Одну функцию может выполнять несколько продуктов, и наоборот, одно решение может поддерживать несколько функций.

Государственная поддержка импортозамещения

По данным информационно-правового портала «Гарант.ру» (garant.ru) в сложившейся ситуации существенно упрощаются условия использования инструментов государственной финансовой поддержки цифровой трансформации на основе преимущественно отечественных IT-решений, которые были запущены в 2019 году в рамках реализации федерального проекта «Цифровые технологии» национальной программы «Цифровая экономика Российской Федерации».

Так, с 300 млн. до 500 млн. руб. увеличен максимальный размер грантов на разработку и внедрение российских IT-решений (в том числе с целью импортозамещения), предоставляемых российским юридическим лицам Российским фондом развития информационных технологий (далее – РФРИТ) в соответствии с Постановлением Правительства РФ от 3 мая 2019 г. № 550 «Об утверждении Правил предоставления субсидии из федерального бюджета Российскому фонду развития информационных технологий на поддержку проектов по разработке и внедрению российских решений в сфере информационных технологий». А для реализации особо значимых проектов, разработка которых направлена на устранение рисков и последствий ограничительных мер, предпринятых иностранными государствами в отношении России, и обеспечение ускоренного развития отечественной IT-отрасли (перечень таких проектов будет утвержден Минцифры России), можно получить до 6 млрд. руб. (на каждый проект). Минимальный размер гранта составляет 20 млн. руб. При этом доля софинансирования проекта за счет собственных средств получателя гранта снижена с 50 до 20%. Конкурсная документация, содержащая подробную информацию об условиях получения грантов, размещена на сайте РФРИТ в разделе «Конкурсы». Отбор проектов стартовал 27 апреля, и, как сообщает пресс-служба РФРИТ, подано уже более 100 заявок – больше, чем за несколько месяцев с момента старта конкурса в прошлом году.

Компаниям, являющимся субъектами малого и среднего предпринимательства, Фондом содействия развитию малых форм предприятий в научно-технической сфере (далее – Фонд содействия инновациям) предоставляются гранты на реализацию проектов по разработке, применению и коммерциализации российских цифровых решений в соответствии с Постановлением Правительства РФ от 3 мая 2019 г. № 554 «Об утверждении Правил предоставления субсидии из федерального бюджета некоммерческой организации на предоставление грантов юридическим лицам на финансовое обеспечение проектов в целях реализации национальной программы «Цифровая экономика Российской Федерации». Размер гранта – до 20 млн. руб., объем внебюджетного финансирования – не менее 25% суммы гранта. Подробные условия конкурсного отбора таких проектов и порядок участия в нем размещены на сайте Фонда содействия инновациям.

В этом году для реализации указанных программ дополнительно из резервного фонда Правительства РФ будет выделено 10,8 млрд. руб. РФРИТ на поддержку не менее 20 проектов по разработке и внедрению российских IT-решений, 1,2 млрд. руб. – фонду «Сколково» на поддержку как минимум 4 проектов первого масштабного внедрения российских решений в сфере IT, 2 млрд. руб. – Фонду содействия инновациям на поддержку не менее чем 107 проектов малых предприятий по разработке, применению и коммерциализации российских цифровых решений (Распоряжение Правительства РФ от 1 апреля 2022 г. № 714-р «О выделении в 2022 году из резервного фонда Правительства Российской Федерации бюджетных ассигнований»).

Также 11 июля 2022 года Правительство сообщило о намерении выделить 37,1 млрд. руб. на софинансирование импортозамещения цифровых решений.

Заключение

Резюмируя вышеописанную ситуацию импортозамещения на рынке информационной безопасности, можно отметить, что данный процесс ускорился, хоть и до недавних событий он имел фрагментарный характер, ввиду того, что на российском рынке было представлено большое количество зарубежных решений безопасности, в том числе прошедших сертификацию. Однако с уходом иностранных IT-компаний у российских пользователей остается широкий выбор отечественных продуктов в сфере информационной безопасности и все российские корпоративные пользователи будут вынуждены перейти на них. Для органов власти и государственных компаний это, как отмечалось ранее, будет нормативно установленным требованием, что касается остальных организаций, то к полной замене иностранного ПО их должна сейчас подтолкнуть позиция его разработчиков, которые отказываются от продажи программных продуктов российским пользователям или перестают обслуживать ранее проданное ПО и программно-аппаратные комплексы.