Импортозамещение в области информационной безопасности России: достижения, проблемы и перспективы

Последние несколько лет импортозамещение обсуждается на всех уровнях и практически во всех сферах страны. Не исключением стала и область информационной безопасности. Об импортозамещении дискутируют на конференциях по всей России: говорят о проблемах и решениях, спорят о дальнейшем пути развития, подсчитывают успехи и неудачи. Своим мнением о достижениях, проблемах и перспективах импортозамещения в России поделился Егор Кожемяка, директор Центра защиты информации ГК «Конфидент».

Егор Кожемяка, Конфидент

Импортозамещение в области информационной безопасности России — относительно недавний феномен. Есть ли у него, на ваш взгляд, достижения, и какое из них главное?

Главное достижение в части импортозамещения заключается в том, что оно наконец-то началось на деле, а не только на словах. Если до 2017 года заказчики только готовились в основной массе к проектам по импортозамещению, то теперь, начиная с 2017-го года и по настоящий момент, мы видим и федеральные, и крупные региональные пилотные проекты по импортозамещению. Есть чисто технические сложности, когда информационные системы в подавляющем большинстве не функционируют на новых платформах. Для решения таких вопросов понадобится ещё несколько лет.

Каковы основные проблемы импортозамещения в области информационных технологий и информационной безопасности в России? Видите ли вы пути их решения?

Основные проблемы сосредоточены именно в области информационных технологий, поскольку сложно обеспечить работоспособность существующих информационных систем на отечественных решениях. Другая проблема заключается в том, что не все отечественные разработчики достигли должного уровня зрелости продуктов и сервиса — появилось очень много молодых компаний, которые не обладают требуемыми компетенциями, в том числе по безопасной разработке. Следующая проблема — отсутствие должного количества и качества специалистов, которые бы хорошо разбирались в стеке технологий, на которые осуществляется переход. Если говорить про импортозамещение в области информационной безопасности, то на текущий момент некоторые классы сертифицированных решений для российских программных платформ попросту отсутствуют. Например, не существует сертифицированных по требованиям безопасности информации средств контроля внешних носителей для российских ОС. Также не стоит забывать о том, что если продукт российский, то это не означает автоматически, что он безопасный. Количество уязвимостей в российских решениях не меньше, чем в иностранных, и устраняются они не быстрее, чем в западных компаниях. Все эти проблемы нужно решать комплексно. Мы, со своей стороны, как вендор отвечаем на эти вызовы и проблемы. Мы вкладываем собственные ресурсы в новые продукты для защиты информации на российских платформах. Мы помогаем ВУЗам готовить специалистов. Мы делаем всё, что может в этой ситуации сделать зрелый отечественный вендор, при том, что наша отрасль очевидно недофинансирована.

По вашему мнению, удобен ли реестр отечественного ПО как инструмент для выбора отечественных программных продуктов при проектировании комплексных решений?

Реестр российских программ и баз данных является неким инструментом для выбора. Нам как вендору сложно судить о его удобстве, так как мы им не пользуемся. Реестр — это динамически изменяющийся список допустимого ПО и БД. Именно поэтому есть объективные сложности — невозможно достичь ситуации, когда все продукты будут включены в Реестр. Более того, существует множество проблемных сценариев, связанных с так называемой динамичностью Реестра. Одни продукты попадают в Реестр, а другие — выбывают. Сегодня заказчик приобрёл продукт из Реестра, а завтра этот продукт уже не считается российским. В связи с этим у заказчиков возникают объективные сложности. Ещё одна сложность связана с тем, что подавляющее количество продуктов в Реестре функционирует в основном под ОС Windows.

Считаете ли вы существующие требования к отечественным производителям для включения в Единый реестр российских программ для электронных вычислительных машин и баз данных обоснованными?

Требования устанавливают критерии, относящиеся к вопросам правообладания, а не к вопросам написания программного кода и архитектуры решений. Например, во многих российских продуктах, которые основаны на свободном ПО, значительная часть программного кода написана независимыми разработчиками, которые могут быть подданными других государств. Проблема эта частично решается членами экспертного совета. Таким образом, каких-либо чётких правил на этот счёт мы не знаем, а человеческий фактор точно есть.

Можно ли считать аппаратные решения, основным компонентом которых являются иностранные средства, отечественными? Имеет ли смысл внедрять требование "достаточно глубокой степени переработки" зарубежного решения?

Всё зависит от критериев отнесения к отечественному программному обеспечению и от соответствующей методики. Вопрос этот нужно решать всему профессиональному сообществу — достаточно широкому кругу экспертов. Не следует также забывать, что вне зависимости от "степени и глубины переработки" в основном компоненте могут быть уязвимости, которые не всегда можно обнаружить, даже при наличии исходных текстов программ. Допустим, некий продукт существенно переработан. В этом продукте обнаружена уязвимость, а устранить её российский разработчик самостоятельно не может, так как продукт основан на свободном ПО и уязвимость находится в программном коде, который написал независимый "заокеанский коллега". В итоге наш разработчик просто ждёт, когда кто-то, кто в этом коде разбирается, устранит уязвимость. На наш взгляд, правильнее вести речь не о степени переработки, а о степени контроля над продуктом, а также о возможности и компетенции вносить изменения в любую часть программного кода.

Где импортозамещение важнее: в аппаратных средствах, прикладных системах или в системном программном обеспечении?

Приоритеты расставлять в некотором роде бессмысленно. Все перечисленные уровни (аппаратные решения, системное ПО, прикладные системы) взаимодействуют друг с другом, тесно интегрированы и взаимозависимы. Если в результате импортозамещения один из уровней становится изолированным от внешних рынков, то степень интеграции уменьшается и возникают проблемы с совместимостью. Например, производители периферийного оборудования поставляют его вместе с драйверами для наиболее распространённых в мире (не в России!) операционных систем. Рынок периферийного оборудования глобальный, драйверы под это оборудование разрабатывают сами производители. Если целиком импортозаместить и этот рынок, то неизбежно начнутся проблемы с элементной базой, которую также придётся импортозаместить.

Можно ли при создании систем безопасности объектов КИИ использовать наложенные средства информационной безопасности только российского производства? Будут ли эти средства соответствовать требованиям регуляторов?

Наложенные средства российского производства, конечно, можно и нужно использовать. Мы рекомендуем использовать средства защиты информации (СЗИ), сертифицированные по требованиям безопасности информации основных регуляторов. Конкурентный рынок таких СЗИ сформирован, решений там хватает. К тому же, меры защиты информации для обеспечения безопасности КИИ в приказах ФСТЭК России № 239, 31 во многом повторяют требования регулятора, предъявляемые к защите, например, ГИС по Приказу № 17. У государственных заказчиков, которые уже защищали ГИС, такие проекты не должны вызвать больших сложностей.

Целесообразно ли создание альтернативного российского "квадранта Гартнера" в области информационной безопасности? Поможет ли импортозамещение вывести отечественные ИБ- и ИТ-компании, а также их решения на передовые позиции международных рынков?

Альтернативные квадранты уже давно существуют у многих зрелых вендоров. Например, у нас есть свои квадранты "конфидентнера" под каждое продуктовое направление. За такими квадрантами стоит большая аналитическая работа многих наших экспертов, которая опирается на собственные методики. Если будут создаваться и публиковаться альтернативные "магические квадранты", то посмотреть будет любопытно. Чтобы выйти на передовые позиции с отечественными решениями на международных рынках, необходимо, чтобы иностранные решения сталкивались на одних и тех же рынках с нашими решениями. Именно поэтому не хотелось бы, чтобы импортозамещение превратилось в импортозапрещение. На зарубежных рынках конкуренция гораздо выше, затраты на НИОКР и маркетинг также больше, поэтому для достижения успеха необходимо научиться конкурировать с иностранными разработчиками сначала на отечественных рынках.

 

Сюжеты: День эксперта