Реальности импортозамещения в России: достижения, проблемы и решения

1 января 2016 г. можно считать началом курса на импортозамещение в сфере технологий. Начиная с этой даты государственные ведомства должны в первую очередь рассматривать решения, внесенные в реестр отечественного ПО. Согласно отчету Минкомсвязи за 2018 г., доля отечественного ПО увеличилась с 20% (2016 г.) до 65%. Однако большинство участников рынка высказали сомнения в актуальности этих данных. Какова же реальность импортозамещения в России? В рубрике "День эксперта" - Егор Кожемяка, директор центра защиты информации ООО “Конфидент”.

– Какие достижения импортозамещения в области информационных технологий и информационной безопасности в России вы могли бы назвать?

Главное достижение в части импортозамещения заключается в том, что оно наконец-то началось на деле, а не только на словах. Если до 2017 г. заказчики только готовились в основной массе к проектам по импортозамещению, то начиная с 2017 г. и по настоящий момент мы видим и федеральные, и крупные региональные пилотные проекты по импортозамещению. Есть чисто технические сложности, когда информационные системы в подавляющем большинстве не функционируют на новых платформах. Для решения таких вопросов понадобится еще несколько лет.

– Перечислите основные, на ваш взгляд, проблемы импортозамещения в области информационных технологий и информационной безопасности в России. Какие вы видите пути их решения?

Основные проблемы сосредоточены именно в области информационных технологий, поскольку сложно обеспечить работоспособность существующих информационных систем на отечественных решениях. Другая проблема заключается в том, что не все отечественные разработчики достигли должного уровня зрелости продуктов и сервисов: появилось очень много молодых компаний, которые не обладают требуемыми компетенциями, в том числе по безопасной разработке. Следующая проблема – это отсутствие должного количества и качества специалистов, которые бы хорошо разбирались в стеке технологий, на которые осуществляется переход. Если говорить про импортозамещение в области информационной безопасности, то на текущий момент некоторые классы сертифицированных решений для российских программных платформ попросту отсутствуют. Например, не существует сертифицированных по требованиям безопасности информации средств контроля внешних носителей для российских ОС. Также не стоит забывать о том, что если продукт российский, то это не означает автоматически, что он безопасный. Количество уязвимостей в российских решениях не меньше, чем в иностранных, и устраняются они не быстрее, чем в западных компаниях. Все эти проблемы нужно решать комплексно. Мы, со своей стороны, как вендор отвечаем на эти вызовы и проблемы. Мы вкладываем собственные ресурсы в новые продукты для защиты информации на российских платформах. Мы помогаем вузам готовить специалистов. Мы делаем все, что может в этой ситуации сделать зрелый отечественный вендор, при том что наша отрасль очевидно недофинансирована.

– Как вы считаете, является ли на сегодняшний день реестр отечественного ПО удобным инструментом для выбора отечественных программных продуктов при проектировании комплексных решений?

Реестр российских программ и баз данных является неким инструментом для выбора. Нам как вендору сложно судить о его удобстве, так как мы им не пользуемся. Реестр – это динамически изменяющийся список допустимого ПО и БД. Именно поэтому есть объективные сложности: невозможно достичь ситуации, когда все продукты будут включены в реестр. Более того, существует множество проблемных сценариев, связанных с так называемой динамичностью реестра. Одни продукты попадают в реестр, а другие – выбывают из реестра. Сегодня заказчик приобрел продукт из реестра, а завтра этот продукт уже не считается российским. В связи с этим у заказчиков возникают объективные сложности. Еще одна сложность связана с тем, что подавляющее количество продуктов в реестре функционирует в основном под ОС Windows.

Кожемяка

– Обоснованны ли существующие требования для отечественных производителей для включения в Единый реестр российских программ для электронных вычислительных машин и баз данных? На ваш взгляд, нужно ли "усилить" или "ослабить" эти требования?

Требования устанавливают критерии, относящиеся к вопросам правообладания, а не к вопросам написания программного кода и архитектуры решений. Например, во многих российских продуктах, которые основаны на свободном ПО, значительная часть программного кода написана независимыми разработчиками, которые могут быть гражданами других государств. Проблема эта частично решается членами экспертного совета. Таким образом, каких-либо четких правил на этот счет мы не знаем, а человеческий фактор точно есть.

– Допустимо ли считать отечественными программные и аппаратные решения, основным компонентом которых являются иностранные средства? Как вы считаете, нужно ли ввести для отечественных производителей программного обеспечения требование "достаточно глубокой степени переработки" зарубежного решения, как и существующее требование для оборудования?

Все зависит от критериев отнесения к отечественному программному обеспечению и от соответствующей методики. Вопрос этот нужно решать всему профессиональному сообществу – достаточно широкому кругу экспертов. Не следует также забывать, что вне зависимости от "степени и глубины переработки" в основном компоненте могут быть уязвимости, которые не всегда можно обнаружить даже при наличии исходных текстов программ.

– Нужно ли вообще вести речь о "степени переработки" ПО?

Допустим, некий продукт существенно переработан. В этом продукте обнаружена уязвимость, а устранить ее российский разработчик самостоятельно не может, так как продукт основан на свободном ПО и уязвимость находится в программном коде, который написал независимый "заокеанский коллега". В итоге наш разработчик просто ждет, когда кто-то, кто в этом коде разбирается, устранит уязвимость. На наш взгляд, правильнее вести речь не о степени переработки, а о степени контроля над продуктом, а также возможностях и компетенциях вносить изменения в любую часть программного кода.

– Как вы считаете, что важнее в первую очередь: импортозамещение в аппаратных средствах, прикладных системах или в базовом (системном) программном обеспечении?

Приоритеты расставлять в некотором роде бессмысленно. Все перечисленные уровни (аппаратные решения, системное ПО, прикладные системы) взаимодействуют друг с другом, тесно интегрированы и взаимозависимы. Если в результате импортозамещения один из уровней становится изолированным от внешних рынков, то степень интеграции уменьшается и возникают проблемы с совместимостью. Например, производители периферийного оборудования поставляют его вместе с драйверами для наиболее распространенных в мире (не в России!) операционных систем. Рынок периферийного оборудования глобальный, драйверы под это оборудование разрабатывают сами производители. Если целиком импортозаместить и этот рынок, то неизбежно начнутся проблемы с элементной базой, которую также придется импортозаместить.

– Возможно ли при создании систем безопасности объектов критической информационной инфраструктуры (в соответствии с ФЗ-187 "О безопасности критической информационной инфраструктуры" и подзаконных актов к нему, приказами ФСТЭК России № 31 от 14.03.2014 и № 31 от 28.02.2017) использовать наложенные средства информационной безопасности только российского производства? Какие средства вы можете порекомендовать для решения данной задачи?

Наложенные средства российского производства, конечно, можно и нужно использовать. Мы рекомендуем использовать средства защиты информации (СЗИ), сертифицированные по требованиям безопасности информации основных регуляторов. Конкурентный рынок таких СЗИ сформирован, решений там хватает. К тому же меры защиты информации для обеспечения безопасности КИИ в приказах ФСТЭК России № 239, 31 во многом повторяют требования регулятора, предъявляемые к защите, например, ГИС по приказу № 17. У государственных заказчиков, которые уже защищали ГИС, такие проекты не должны вызвать больших сложностей.

– Как вы считаете, целесообразно ли в России создание отечественного альтернативного квадранта Гартнера в области информационной безопасности? Поможет ли это импортозамещению и продвижению отечественных решений на зарубежные рынки? Способно ли импортозамещение в целом вывести отечественные ИБ- и ИТ-компании на передовые позиции на международных рынках?

Альтернативные квадранты уже давно существуют у многих зрелых вендоров. Например, у нас есть свои квадранты, назовем "конфидентнеры", под каждое продуктовое направление. За такими квадрантами стоит большая аналитическая работа многих наших экспертов, которая опирается на собственные методики. Если будут создаваться и публиковаться альтернативные "магические квадранты", то посмотреть будет любопытно. Чтобы выйти на передовые позиции с отечественными решениями на международных рынках, необходимо, чтобы иностранные решения сталкивались на одних и тех же рынках с нашими решениями. Именно поэтому не хотелось бы, чтобы импортозамещение превратилось в импортозапрещение. На зарубежных рынках конкуренция гораздо выше, затраты на НИОКР и маркетинг также больше, поэтому для достижения успеха необходимо научиться конкурировать с иностранными разработчиками сначала на отечественных рынках.

Источник: Журнал "Information Security/ Информационная безопасность" #1, 2019

Сюжеты: Защита информации и связи День эксперта