Цифровой суверенитет откладывается на завтра

Банки и промышленные корпорации отчаянно сопротивляются внедрению Российского ПО

Программа импортозамещения информационных технологий увязла в зоне влияния иностранных IT-корпораций. Донкихотские планы перевода критической инфраструктуры, госорганов и узловых точек экономики на отечественный софт разбились о реальный рынок и банальную жадность местных менеджеров. В июле стало известно, что условия перехода на российское ПО заметно ослабили для банковского сектора, после полугода осады они сумели снять самые жесткие требования.

Решение принято на итоговом заседании рабочей группы по переходу российских финансовых организаций на отечественное ПО и оборудование. Сообщается, что они добились права на «плавный переход без привязки к конкретным датам». В переводе на русский это значит – получили амнистию. Известно, что цифровых послаблений требовал для себя «Газпром». В марте глава компании Алексей Миллер предупредил, что «Газпром» ждут большие проблемы в случае перехода на российское ПО на общих основаниях. Для госкорпораций никаких обязательств даже не предполагается.

Напомним, что в первых версиях закона Минцифры собиралось, как требовал президент страны Владимир Путин, перевести кредитные организации на отечественное ПО с 1 января 2021 года, а оборудование — с 1 января 2022-го. Все уже привыкли, что требования президента – это что-то вроде патриотического шумового фона. Поэтому новый формат программы предполагает, что к 1 января 2023 года должны быть утверждены лишь только планы перехода банков на российское ПО и оборудование. В них пропишут сроки завершения действия лицензии или амортизации. А если вдруг эти сроки выйдут за начало 2023 года, то поменять иностранные разработки на российские можно будет и позднее.

Немного патриотичнее ситуация с софтом выглядит в госорганах. Минцифры РФ. К ноябрю текущего года должно подготовить постановление, обязывающее госорганы обеспечить совместимость своих информационных систем с софтом из реестра отечественного ПО. Ждем обещанного ноября и запасаемся терпением. По словам директора Центра компетенций по импортозамещению в сфере ИКТ (ЦКИКТ) Ильи Массуха, проект правительственного постановления уже находится в разработке. Он считает, что выполнение положений этого документа потребует существенной реконструкции IT-инфраструктуры ряда ведомств.

Документ обяжет госорганы строить и модернизировать свои информсистемы, после чего они будут совместимы с российским софтом. Пока госзаказчики могут закупать импортные решения, а перейти на отечественное ПО «возможно будет» к 2023 году.

Импортозамещение «подвинули» не только в софте, но и в железе. В рамках нового подхода предлагается перенести на 2023 год срок обязательного использования отечественных процессоров в технике, которая считается российской.

Российские разработчики раскритиковали программу начисления баллов для системы оценки продукции, которая претендует на статус «российской». Балльную оценку импортозамещения в качестве основного решения для промышленности и микроэлектроники продвигает Минпромторг.

Высказываются резонные опасения, что поставщики без труда справятся с имитацией реального производства. Кстати многие из них, занимаются такими отверточными махинациями давно и успешно, добиваясь для себя льгот в качестве «отечественных» предприятий. Заметим, что российский статус позволяет участвовать в ограниченных закупках госорганов, госкомпаний и структур, обеспечивающих оборону и безопасность.

Предполагается, что в перспективе компании, в продукции которых используются российские процессоры, будут получать баллы. Дополнительно баллы наберут те, кто тратит на производство и разработку процессоров не менее 250 миллионов рублей.

Глава Ассоциации российских разработчиков и производителей электроники (АРПЭ) Иван Покровский считает, что такими темпами «российской» в период до декабря 2023 года окажется техника, изготовленая на основе импортных процессоров и системных плат.

Перспективы реального импортозамещения связаны с реформой закупочного законодательства в целях безопасности. В июле «Лаборатория Касперского», «Росатом» и ассоциация «Доверенная платформа» сообщили о создании Центра компетенций по кибербезопасности объектов критической информационной инфраструктуры (КИИ). В нем будут сосредоточены экспертные знания о кибериммунности — новом подходе, который предполагает встроенную защиту от большинства типов угроз. Проекты, созданные в ходе работы Центра КИИ, будут предложены к рассмотрению на общественном экспертном совете при президиуме правительственной комиссии по цифровому развитию. Характерно, что в этом импортозаместительном синтезе замешаны уже не только государственные интересы, но и интересы частных компаний.

Цель соглашения — содействие переходу промышленных предприятий на преимущественное использование оборудования и информационных систем, обладающих кибериммунитетом, а значит, высоким уровнем доверия и безопасности, и разработанных российскими компаниями. Организации будут проводить апробацию отечественных решений, и самые эффективные из них попадут в специализированный каталог, доступный всем участникам рынка. Также «Лаборатория Касперского», «Росатом» и ассоциация «Доверенная платформа» займутся подготовкой методических документов и требований, чтобы на каждом этапе разработки и производства компонентов российского оборудования и ПО, используемых в КИИ, соблюдались принципы сквозной безопасности.

Юридическим основанием для создания единых стандартов кибербезопасности является приказ ФСТЭК России №239. Однако это общий, не привязанный к конкретной отрасли и ее специфике подход. Это своего рода рекомендации, каким образом нужно строить систему информационной безопасности. Предлагаемая перспективная концепция кибериммунитета – является продолжением и детализацией этого приказа: это подход, базирующийся на принципе, что безопасность необходимо обеспечивать в самом ПО и на этапе создания ПО.

Самый надежный способ реализовать такую архитектуру — это закладывать соответствующие требования на этапе проектирования.

У идеи программно-аппаратной унификации объектов КИИ тут же появились критики, которые заявляют, что единый подход не учитывает специфику каждой конкретно взятой отрасли, может ограничить возможности архитекторов целевых систем защиты информации. Дескать, задачу безопасности нужно реализовывать каждому разработчику индивидуально.

Подчеркнем, что душещипательную историю об отраслевом разнообразии, которое будет убито централизованным подходом, адепты рыночного хаоса в IT рассказывают уже на протяжение долгих лет.

Так, в марте на Форуме-выставке госзаказ некоторыми представителями цифрового цеха в штыки было встречено предложение ФАС о стандартизации закупок ПО для государственных органов. Такая унификация позволила бы уйти от дублирующих и разорительных для бюджета контрактов на создание (и последующую доработку) информационных систем с практически одинаковыми функциями в каждом регионе и даже муниципалитете, сэкономив для страны сотни миллионов рублей. Однако для множества заказчиков государственная цифровизация остается чем-то вроде средневековой системы кормлений. Поэтому их главным аргументом является пресловутая отраслевая уникальность, которая якобы настолько неповторима, что даже приближаться к ней со стандартами и шаблонами нельзя под страхом смерти.

К счастью, от этой рыночной кибер-ереси нашелся железный контр-аргумент. Его достаточно четко сформулировал эксперт по информационной безопасности Лиги цифровой экономики Андрей Слободчиков. Унифицировать подход к кибербезопасности для всех действительно практически невозможно, согласен он. Однако унификация и стандартизация вполне исполнима по направлениям деятельности объектов КИИ:

Итак, унификация и стандартизация в IT неизбежны, как бы этому ни сопротивлялись адепты креативной секты. При этом, стандартизировать нужно не отдельно взятые проекты, а целые оперативные направления.