Пятая часть «критических» компаний не успеет перейти на российский софт
Каждая пятая компания, владеющая критической информационной инфраструктурой (к ней относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных, медицинских, телекоммуникационных и ряда других компаний), призналась, что не успеет полностью перейти на российское программное обеспечение к 2025 году, как того требует указ президента России от марта 2022-го.
Такой вывод приводится в исследовании «К2 Кибербезопасности» (подразделение компании «К2Тех») и издания Anti-Malware.ru, с которым ознакомился РБК. Авторы исследования в июне—августе этого года опросили 108 руководителей по IT и информационной безопасности российских компаний с выручкой более 5 млрд руб. и госкорпораций в электроэнергетике, медицине, фармацевтике, финансах, транспорте, логистике, металлургии и других отраслях, а также представителей разработчиков аппаратного и программного обеспечения для информационной безопасности.
В 2022 году указ президента России запретил закупать иностранный софт для использования на значимых объектах критической информационной инфраструктуры, а также услуг по его использованию без согласования с уполномоченным органом. Этот же документ запретил использование иностранного софта на подобных объектах с 2025 года. К значимым объектам критической информационной инфраструктуры относятся те, которым присвоена одна из трех категорий. Согласно принятому в 2017 году закону, все владельцы критической информационной инфраструктуры должны присвоить своим объектам одну из трех категорий (например, первая категория присваивается тем объектам, атаки на которые могут нанести наиболее существенный урон) и процесс «идентификации» еще продолжается. За нарушение требований по обеспечению информационной безопасности подобных объектов полагаются штрафы в размере от 10 тыс. до 500 тыс. руб., административная и уголовная ответственность.
Основные выводы исследования:
- к настоящему времени лишь 7% российских компаний завершили переход с иностранного на российское программное обеспечение. Еще 14% находятся на завершающей стадии. У остальных работа находится на начальной или чуть более продвинутой стадии. При этом 10% не приступали к переходу;
- 24% респондентов не понимают, какие решения нужны для выполнения указа, а 31% считает, что отечественные решения неспособны справиться с предъявляемыми требованиями;
- среди наиболее востребованного софта назывались межсетевые экраны (так ответили 54% респондентов), антивирусная защита (33%), сетевое оборудование (29%) и средства криптографической защиты (25%);
- главной проблемой в процессе реализации проектов 27% опрошенных назвали подбор и закупку отечественного софта и оборудования. 14% опрошенных были вынуждены увеличить бюджет на информационную безопасность в десять раз.
Тем не менее директор по развитию бизнеса «К2 Кибербезопасность» Андрей Заикин настаивает, что, несмотря на серьезные трудности, с которыми сталкивается бизнес, большинство опрошенных воспринимают сроки выполнения поставленных государством задач как оптимальные и выполнимые. «Но не стоит забывать, что в контексте критической инфраструктуры речь идет о сотнях тысяч организаций. По нашему опыту, большое количество предприятий для защиты таких учреждений все еще используют зарубежные решения и только часть за полтора года начала процесс импортозамещения», — сказал Заикин.
Выполнимы ли требования
Коммерческий директор «Кода безопасности» Федор Дбар согласен с выводами исследования. По его словам, те заказчики, которые имели довольно высокий уровень зрелости или начали заниматься импортозамещением намного раньше 2022 года, справятся с выполнением требований. Проблемы возникают у той части организаций, которая сильно затянула с решением вопроса. «Отчасти нежелание идти по пути импортозамещения оправдывалось тем, что в России нет идеального софта или оборудования, но из-за этого образовался замкнутый круг: отечественные заказчики не покупают российские продукты в нужных объемах, у вендоров не хватает денег на развитие решений, и эти решения не становятся лучше. С другой стороны, если бы процесс перехода на отечественные продукты начался хотя бы пять-шесть лет назад, то сейчас, к острой фазе противостояния в киберпространстве, вендоры успели бы пройти два-три цикла переработки своих решений по желаниям заказчиков, и те получили бы законченные, рабочие инструменты», — рассуждает Дбар.
Руководитель отдела консалтинга и аудита Angara Security Александр Хонин отметил, что проблемы с выполнением законодательства в области критической информационной инфраструктуры связаны с тем, что многие владельцы подобных объектов не знают о своем статусе и не занимаются присвоением категорий, что является нарушением требований законодательства. По его словам, проблема актуальна и для госорганизаций, и для крупного бизнеса, банковской сферы, ТЭК, атомной, металлургической, химической промышленности, и других отраслей — там, где используется важная информация, требующая защиты от кибератак.
Директор по развитию бизнеса центра противодействия кибератакам компании «Солар» Алексей Павлов среди основных проблем в выполнении требований назвал дефицит бюджетов и кадров, а также тот факт, что зрелость отечественных продуктов в некоторых классах (например, в сетевом оборудовании) пока отстает от иностранных аналогов и не всегда может решить задачи заказчиков. По его мнению, эти проблемы более актуальны для зрелых компаний, которым важен функционал, а малые компании в первую очередь сталкиваются с проблемой кадрового дефицита. «Рынок информационной безопасности перегрет зарплатами, поэтому небольшие организации не способны обеспечить достойный уровень зарплат и разнообразие задач для профильных специалистов», — пояснил Павлов.
По мнению главного архитектора решений по информационной безопасности Positive Technologies Михаила Кадера, основная проблема состоит в том, что многие организации подходят к соблюдению законодательства в области критической информационной инфраструктуры формально: не тестируют механизмы и подходы к безопасности, то есть не обеспечивают реальную защиту, тогда как изменения в законодательстве были направлены на обеспечение практической и результативной кибербезопасности.
Попробуйте новую функцию «ГигаЧат» — общаться голосом
Какое вино подать к ужину, если не знаешь предпочтения гостей
Как приготовить говядину в вине по-бургундски
Чем занять детей, пока взрослые общаются за столом
Как легко завести разговор в компании, где все только что познакомились
О чём надо позаботиться, если собираешься позвать много гостей
Из каких сыров и ветчин собрать тарелку закусок к вину
Что делать, если пролил красное вино на белую скатерть
Какие есть правила классической сервировки стола
Какие игры можно предложить для взрослой компании дома
Как легко запомнить имена людей, которых тебе представили
