Импортозамещение в сфере IT
Цифровая трансформация, которая является одной из национальных целей развития России до 2030 года (подп. "д" п. 1, подп. "д" п. 2 Указа Президента РФ от 21 июля 2020 г. № 474), неразрывно связана с другим реализуемым в стране масштабным проектом – по импортозамещению в сфере информационно-коммуникационных технологий.
Изначально об этих двух процессах говорилось в первую очередь применительно к госорганам и компаниям с государственным участием – с 1 января 2016 года, напомним, действует запрет на приобретение программ для ЭВМ и баз данных иностранного происхождения и прав на них в рамках закупок для обеспечения государственных и муниципальных нужд (п. 2 Постановления Правительства РФ от 16 ноября 2015 г. № 1236). Исключения два: если в едином реестре российских программ для ЭВМ и баз данных (далее – реестр российского ПО) и едином реестре программ для ЭВМ и баз данных ЕАЭС нет программ того же класса, что и планируемое к закупке ПО, а также если решения, включенные в российский и евразийский реестры, не соответствуют по своим функциональным, техническим или эксплуатационным характеристикам тем требованиям, которые заказчик предъявляет к нужному ему ПО.
Необходимость проведения цифровой трансформации именно на базе отечественных решений прямо закреплена в национальной программе (нацпроекте) "Цифровая экономика": согласно установленным в паспорте проекта целевым показателям стоимостная доля закупаемого или арендуемого органами власти отечественного ПО должна расти на 5% ежегодно и с 70% в 2020 году увеличиться до 90% в 2024 году. Для государственных корпораций и компаний с гоусчастием данный показатель должен вырасти с 50% в 2020 году до 70% в 2024 году.
Федеральные органы исполнительной власти и государственные внебюджетные фонды, напомним, еще в 2017-2018 годах должны были перейти на отечественное офисное программное обеспечение (согласно Распоряжению Правительства РФ от 26 июля 2016 г. № 1588-р), органам власти регионов и МСУ было рекомендовано сделать это до конца 2020 года. А до 2021 года предполагалось организовать переход на использование преимущественного российского ПО подведомственных органам власти и МСУ, а также государственным внебюджетным фондам учреждений, предприятий и организаций (Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 8 мая 2019 г. № 184).
Госкомпаниям рекомендовалось утвердить планы мероприятий по переходу на преимущественное использование отечественного ПО, в том числе офисное, на 2018-2021 годы (Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 20 сентября 2018 г. № 486). В прошлом году ряду из них – акционерным обществам с государственным участием, включенным в специальный перечень – директивами по цифровой трансформации госкомпаний, утвержденными Правительством РФ, было предписано в срок до 1 сентября 2021 года актуализировать или разработать (при отсутствии) собственные стратегии цифровой трансформации.
В этих стратегиях, в частности, должны быть предусмотрены положения о достижении к 2024 году 70%-ной доли расходов АО на закупку отечественного ПО и связанные с ним работы (услуги) в общей доле соответствующих затрат компании, а также увеличение к 2030 году вложений в российские IT-решения в четыре раза по сравнению с уровнем 2019 года (что соотносится с показателями, установленными нацпроектом "Цифровая экономика" и Указом Президента РФ от 21 июля 2020 г. № 474). А в целом разработанные или обновленные документы должны соответствовать утвержденным Минцифры России Методическим рекомендациям по цифровой трансформации государственных корпораций и компаний с государственным участием. При этом, по словам заместителя Председателя Правительства РФ Дмитрия Чернышенко, предполагается, что на первом этапе директивы будут распространяться только на включенные в перечень акционерные общества, а к 2024 году к их исполнению присоединятся все компании, доля участия государства в которых составляет не менее 50%1.
Тем не менее пока доля отечественных программных продуктов от всего ПО, которое используется в госсекторе и государственных корпорациях, составляет, по оценке члена правления Ассоциации разработчиков программных продуктов "Отечественный софт", председателя совета директоров компании "АСКОН" Александра Голикова, около 30%.
Однако сложившаяся на сегодняшний день ситуация, очевидно, сильно ускорит процесс импортозамещения в сфере IT. Во-первых, с 31 марта текущего года юридическим лицам, перечисленным в Федеральном законе от 18 июля 2011 г. № 223-ФЗ, за исключением организаций с муниципальным участием, запрещено осуществлять закупки иностранного ПО, в том числе в составе программно-аппаратных комплексов, для использования на принадлежащих им значимых объектах критической информационной инфраструктуры (КИИ) без согласования с уполномоченным Правительством РФ федеральным органом исполнительной власти (Указ Президента РФ от 30 марта 2022 г. № 166). А с 1 января 2025 года таким заказчикам и органам власти в принципе нельзя будет использовать иностранное программное обеспечение на значимых объектах КИИ. В течение месяца с момента принятия данного указа Правительство РФ должно утвердить требования к ПО, которое органы власти и обозначенные заказчики используют на объектах КИИ, и правила закупок последними необходимых иностранных программных продуктов.
В течение шести месяцев – реализовать мероприятия по обеспечению преимущественного применения субъектами КИИ отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе определить сроки и порядок перехода субъектов КИИ на доверенные программно-аппаратные комплексы и обеспечить организацию деятельности научно-производственного объединения, специализирующегося на разработке, производстве, технической поддержке и сервисном обслуживании таких комплексов для КИИ.
Во-вторых, многие иностранные IT-компании: Adobe, Alphabet, Amazon, AMD, Apple, Autodesk, Buypass, Cisco, Dell Technologies, Ericsson, Fortinet, GitLab, HPE, IBM, Intel, JetBrains, Microsoft, NetApp, Oracle, Red Hat, SAP, TeamViewer, VMware и др.2 – приостановили или полностью прекратили деятельность в России, что делает невозможным или существенно ограничивает не только покупку их программных и аппаратных продуктов российскими пользователями, но и обновление и техподдержку ранее приобретенных, что само по себе должно послужить серьезным стимулом для перехода на отечественные аналоги.
Какие решения готовы предложить российские разработчики?
На данный момент в реестре российского ПО – 13 224 программных продукта – всех классов, как отмечают эксперты, – от 4195 разработчиков, в евразийском реестре – 61 программа 19 правообладателей (реестры, напомним, ведет Минцифры России, размещены они на специальном сайте: reestr.digital.gov.ru).
Практически полностью, как подчеркнул на прошедшей в конце апреля в ОП РФ VII стратегической сессии "Как российской IT-сфере ускорить переход к импортонезависимости?" исполнительный директор АРПП "Отечественный софт" Ренат Лашин, уже состоялось импортозамещение решений для обеспечения информационной безопасности – в части антивирусов, например, – на 100%.
МНЕНИЕ
Владимир Ульянов, руководитель аналитического центра компании Zecurion:
"В нашей области – решений в сфере кибербезопасности – процесс импортозамещения действительно почти завершился. Если мы говорим о корпоративных угрозах, утечках информации (для их предотвращения используются DLP-системы), фактически все крупнейшие зарубежные компании уровня, например, McAfee, которые в 2010 году были сильнейшими конкурентами российским разработчикам, к 2015 году минимизировали свои доли на российском рынке. И это было естественное импортозамещение в рамках конкурентной рыночной борьбы – к тому моменту не было приоритета использования российских решений, – обусловленное двумя факторами. Первый – большое количество и отечественных разработчиков, и создаваемых ими продуктов. Второй – качество. Наши продукты котируются не только на российском рынке: крупнейшие мировые аналитики, такие как Gartner, IDC, Forester, признают серьезные позиции российских компаний в сегменте защиты информации от утечек.
Наше существенное конкурентное преимущество – мы ближе к потребителю, чем международные топы с триллионной капитализацией, и гибче: можем быстрее реагировать, быстрее сделать продукт, который интересен рынку прямо сейчас. Фактически победив иностранных конкурентов уже к 2015 году, сейчас начинаем делить рынок между собой. Призываем коллег в других направлениях активизироваться. Важна сама разработка продукта: в процессе можно оперативно понять реальные потребности рынка, чтобы эффективно замещать иностранные продукты. А затем будем активно выходить на мировые рынки".
При этом информационная безопасность сегодня – один из главных приоритетов. По статистике, которой поделился руководитель отдела по работе с клиентами среднего и малого бизнеса АО "Лаборатория Касперского" Алексей Киселёв в ходе организованной деловым изданием "Ведомости. Санкт-Петербург" конференции "Российский софт: путь к технологической независимости", за первый квартал текущего года число киберинцидентов, которые расследовала компания, увеличилось в четыре раза по сравнению с аналогичным периодом прошлого года.
Это означает, что значительно выросло число сложных атак, которые не прерываются превентивными решениями, такими как антивирус и т. д. "Мы сейчас живем в режиме киберагрессии: количество атак с использованием бэкдоров [способов получения удаленного доступа к устройству. – ГАРАНТ.РУ] с февраля этого года увеличилось в 1,5 раза, во второй половине марта в разы выросло число атак шифровальщиков: в 20-х числах марта их было в четыре раза больше, чем в конце февраля. Основными мишенями злоумышленников стали крупные корпорации и государственные организации. Характерной особенностью этих атак шифровальщиков было то, что в большинстве случаев злоумышленники не запрашивали выкуп, хотя обычно шифрование производится с целью заработать на атаке. Здесь преследуются другие цели", – рассказал эксперт.
Таким образом, перед пользователями сейчас стоят две срочных задачи: обеспечить защиту от массовых угроз – причем, учитывая приведенную выше статистику, очевидно, что необходимо использовать не только обеспечивающие превентивную защиту решения, но и технологии противодействия сложным комплексным угрозам, такие как EDR, SIEM, NTA, Anti-APT, Sandbox, XDR и др., или и вовсе переходить к управляемой защите MDR (разработчик соответствующего решения получает информацию о потенциальных угрозах для инфраструктуры пользователя, анализирует ее и принимает необходимые для предотвращения киберинцидента действия), – и заместить используемые зарубежные программные продукты отечественными аналогами. И этот процесс активно идет: компания "Лаборатория Касперского" отмечает, что за последние месяцы интерес к продуктам, обеспечивающим защиту интернет-шлюзов и почтовых серверов, вырос в пять раз, к защите от DDOS-атак и целевых атак – в три раза. В два раза увеличилось количество обращений по использованию SIEM-систем, а общее число запросов в связи с намерением перейти с решений конкурентов на продукты компании – в 85 раз по сравнению с аналогичным периодом прошлого года.
Тем пользователям, которые продолжают использовать для защиты от киберугроз иностранные программы, специалисты по информационной безопасности напоминают, что в даже в случае, когда программа продолжает работать, но при этом обновить ее или зайти в облачную консоль управления нельзя, от ее использования нужно отказываться, так как необновленное ПО уязвимо.
Cтоит отметить, что с 1 января 2025 года органам власти и МСУ, государственным фондам, госкомпаниям и иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, системообразующим организациям и являющимся субъектами КИИ юридическим лицам (далее – органы и организации) будет запрещено пользоваться средствами защиты информации, странами происхождения которых являются иностранные государства, совершающие недружественные действия в отношении России или российских юридических и физических лиц. Соответствующий запрет установлен Указом Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации". А уже сейчас перечисленным органам и организациям предписано создать свои структурные подразделения по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Причем на руководителей органов и организаций возлагается персональная ответственность за обеспечение их информационной безопасности.
В течение месяца со дня принятия указа Правительство РФ должно определить перечень ключевых органов и организаций, которым необходимо будет оценить уровень защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России. Провести такую оценку и представить доклад с ее результатами в Правительство РФ включенные в этот перечень органы и организации должны будут до 1 июля текущего года.
Установлено, что ФСБ России будет осуществлять мониторинг защищенности информационных ресурсов, которые принадлежат органам и организациям или используются ими, поэтому последние обязаны обеспечить должностным лицам органов службы беспрепятственный доступ к этим интернет-ресурсам.
Таким образом, необходимость принятия эффективных мер для обеспечения информационной безопасности становится для всех органов власти и МСУ и многих компаний нормативно установленной обязанностью.
По мнению представителей IT-отрасли, не должно возникнуть у российских пользователей проблем и с замещением системного ПО – отечественные разработчики предлагают качественные операционные системы, СУБД и среды разработки. Но если российские операционные системы, например, уже используются органами власти и госкомпаниями, реализующими, в частности, проекты по созданию рабочих мест на основе российских программных продуктов, то от зарубежных систем с большим количеством исходных кодов, таких как ERP, многие пользователи отказаться пока не готовы – они заявляют, что продолжат их использовать, не обновляя. Однако это, по мнению экспертов, чревато потерей данных. Как отметил директор по импортозамещению компании "Диасофт" Дмитрий Гребенщиков, при создании технологии для переноса на отечественную платформу исходных кодов решений для бизнес-процессов SAP (производитель программных продуктов SAP, как отмечалось выше, остановил оказание услуг в России) компания выявила, что решения SAP содержат в себе возможности по удаленному управлению, в том числе по удалению баз данных. "При этом у SAP есть механизм отложенных действий – при тестировании решений они не выявляются, а через несколько месяцев запускаются", – подчеркнул эксперт и призвал пользователей как можно скорее начать процесс замены зарубежных ERP-систем на отечественные аналоги.
По прогнозам представителей сферы IT, сейчас сильно возрастет интерес к открытому или свободному программному обеспечению – ПО с открытыми исходными кодами, которые можно использовать в том числе для создания новых программных продуктов (далее – СПО, OS – от англ. Open Source software). Поэтому они предостерегают пользователей от рисков, связанных с его неправильным использованием. "Использование СПО самого по себе не равно импортозамещению, потому что этот продукт вам не принадлежит. Нужно поддерживать российских разработчиков, которые работают с СПО, разбираются в нем, дорабатывают, вносят созданные на его основе продукты в реестр российского ПО и несут за него ответственность, – считает Ренат Лашин. – Тем же, кто строит или уже построил свои решения на СПО, нужно посмотреть, в какой зоне риска они находятся, возможно, тоже нужно сделать какую-то диверсификацию, чтобы СПО не поменяло в моменте принадлежность и вы не потеряли над ним контроль. Потому что некоторые компании – разработчики такого ПО впоследствии заявляют, что продукт принадлежит им, и не дают его использовать или меняют лицензию".
Консультант практики FinTech юридической фирмы О2 Consulting Иван Галкин в свою очередь рекомендует обращать внимание на то, что лицензии на СПО могут быть разными: они совпадают в части разрешения коммерческого использования соответствующих программных продуктов и их модификаций, но могут различаться, например, тем, установлена или нет обязанность по распространению исходного кода вместе с производной программой, разрешено ли распространение производных программ в независимой части кода на иных условиях. "Когда правообладатели проприетарного софта уходят из России, они заявляют о нежелании предоставлять свои продукты российским пользователям. Правообладатели СПО вроде бы таких заявлений не делают. И у них юридически не так много возможностей отобрать у российских пользователей программы. Но только до тех пор, пока последние не нарушают требования лицензий. Нарушение условий лицензии влечет ее прекращение", – подчеркнул эксперт.
Также, говоря об СПО, представители IT-компаний отмечают важность создания российской базы OS-продуктов. Минцифры России, как сообщается на официальном сайте и в телеграм-канале министерства, уже обсуждает ее разработку: российский аналог GitHub (сервис является крупнейшей базой OS-продуктов) должен заработать до конца текущего года. Кроме того, в ближайшее время планируется запустить эксперимент по публикации под открытой лицензией ПО, находящегося в собственности государства.
Финансирование импортозамещения ПО
В текущих условиях существенно упрощаются условия использования инструментов государственной финансовой поддержки цифровой трансформации на основе преимущественно отечественных IT-решений, которые были запущены в 2019 году в рамках реализации федерального проекта "Цифровые технологии" национальной программы "Цифровая экономика Российской Федерации".
Так, с 300 млн до 500 млн руб. увеличен максимальный размер грантов на разработку и внедрение российских IT-решений (в том числе с целью импортозамещения), предоставляемых российским юридическим лицам Российским фондом развития информационных технологий (РФРИТ) в соответствии с Постановлением Правительства РФ от 3 мая 2019 г. № 550. А для реализации особо значимых проектов, разработка которых направлена на устранение рисков и последствий ограничительных мер, предпринятых иностранными государствами в отношении России, и обеспечение ускоренного развития отечественной IT-отрасли – перечень таких проектов будет утвержден Минцифры России, – можно получить до 6 млрд руб. (на каждый проект). Минимальный размер гранта составляет 20 млн руб. При этом доля софинансирования проекта за счет собственных средств получателя гранта снижена с 50 до 20%. Конкурсная документация, содержащая подробную информацию об условиях получения грантов, размещена на сайте РФРИТ в разделе "Конкурсы". Отбор проектов стартовал 27 апреля, и, как
Источник: garant.ru