Удар софтом: почему не все компании быстро и безопасно смогут перейти на российское ПО

Кнут регулятора для рынка

Минцифры готовит оборотные штрафы для компаний, которые не смогут в установленный правительством срок до 1 ноября 2028 года перевести объекты КИИ на российский софт, заявил глава Минцифры Максут Шадаев на CNews Forum. Штрафы будут в том числе для компаний, которые намеренно не стали классифицировать свои объекты как КИИ.

Размер этих штрафов пока обсуждается. Известно только, что компаниям-нарушителям придется платить их ежегодно.

В Минцифре пояснили SecPost, что сейчас идет завершающий этап перехода на отечественное ПО для органов власти и госкомпаний. Кроме того, в ближайшее время перейти на российское ПО должны все субъекты КИИ — конкретные дедлайны для разных отраслей будут определены отдельным актом правительства.

В министерстве подтвердили, что законопроект о введении оборотных штрафов для компаний, которые в установленный срок не перевели свои значимые объекты критической информационной инфраструктуры (ЗО КИИ) на отечественное ПО, обсуждается с профильными ведомствами и отраслью. Но раскрывать, какие конкретно будут введены штрафы и какое число компаний уже полностью перешло на российское ПО, отказались.

Закон, предусматривающий переход значимых объектов КИИ на отечественный софт, подписал в апреле 2025 года Владимир Путин. К КИИ относятся различные базы данных, системы операторов связи, банков, объектов энергетики и транспорта, от работы которых зависит безопасность страны. По оценкам Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт», сейчас на российское ПО перешли только 40-45% компаний от общего числа тех, кто должен это сделать.

В пресс-службе «Мегафон» пояснили SecPost, что компания ведет планомерный переход на отечественное ПО. Процесс идет поэтапно, чтобы обеспечивать бесперебойную защиту сервисов и защиту данных пользователей.

В группе компаний «Астра» рассказали, что уже сейчас максимально используют собственное ПО при работе, переход на отечественный софт в компании уже состоялся.

В МТС, Альфа Банке, ТБанке, Совкомбанке, у которых должны быть ЗО КИИ, на запрос SecPost о том, как проходит переход, не ответили.

Слишком быстрый переход может привести к проблемам у ряда игроков, предупреждают опрошенные SecPost специалисты по кибербезопасности. По словам бизнес-партнера по информационной безопасности в «1С-Битрикс» Леонида Плетнева, самые большие сложности могут испытать компании, использующие специализированное отраслевое ПО, у которого нет достаточного коммерческого потенциала из-за небольшого объема рынка.

Проблемы, как правило, возникают с узкоспециализированными решениями, например, с системами проектирования или автоматизированными системами управления технологическими процессами (АСУТП). Их аналоги в России есть, но среди западных решений были узкоспециализированные продукты, на которые никогда не было массового спроса и вот их заменить нечем, поясняет коммерческий директор компании «Код Безопасности» Федор Дбар.

В России также сейчас не хватает решений по телемеханике – системам удаленного контроля за объектами, продолжает Никита Фотин, ведущий инженер группы систем защиты АСУ ТП компании «Газинфорсервис». Также нет достаточного числа решений по автоматизации в области нефтеперерабатывающей промышленности с глубокой интеграцией в СУУТП (системы усовершенствованного управления технологическим процессом) и СГДО (системы глобальной динамической оптимизации) на уровне всего предприятия и холдинга. Есть дефицит прошивок для программируемых логических контроллеров (ПЛК), используемых на производстве.

Контроллеры и приводные механизмы на производствах станут вообще отдельной проблемой. Не все виды ПО совместимы с ними. В случае, если ПО будет несовместимо с этими элементами, придется заново автоматизировать объект КИИ, поясняет CISO компании UserGate Дмитрий Овчинников. Эксперт говорит, что некоторым компаниям тогда проще будет заплатить штраф и продолжить работу на западном ПО.

Овчинников обращает внимание, что работу ряда технических объектов будет крайне сложно остановить – даже на короткое время для проведения замены ПО. За последние 30 лет на таких объектах не проводилось никаких обновлений, там накопилась масса устаревших контроллеров, ПО, SCADA-систем (систем сбора данных и их обработки в реальном режиме времени – ред.). Внедрять на них сейчас что-то новое будет тяжело.

Другая проблема — функционал нового ПО может быть пока недостаточно зрелым, интерфейсы могут быть неудобными, а скорость работы низкой, продолжает Леонид Плетнев. Базовые потребности российские разработчики сегодня закрыть могут, но не более того.

Таким образом, ряд игроков либо будут вынуждены довольствоваться аналогами с неполным функционалом, либо и вовсе не смогут найти замену западным продуктам к сроку.

Под прицелом хакеров

Чрезмерно быстрый переход на отечественные аналоги несет для компаний риски роста числа киберинцидентов. В новом ПО могут быть уязвимости — особенно на ранних этапах эксплуатации новых продуктов, говорит Никита Фотин.

Проблему усугубляет то, что ряд отечественных продуктов основан на open-source продуктах. У последних уязвимости иногда не устраняются годами и находятся в открытом доступе, продолжает Дмитрий Овчинников. С этими недостатками ПО можно бороться, если  размещать системы в физически изолированных сегментах и не предоставлять им доступ в интернет. А также подключая такие системы к коммерческому SOC (операционный центр безопасности – ред.). Но так будут делать не все компании.

Наиболее сильно риски для компаний вырастут на первых этапах внедрения нового ПО, отмечают в пресс-службе М.Видео. Слишком быстрые изменения, конечно, снизят уровень защищенности – возможно появление недоработок при трансформации существующих систем защиты. Проблемы могут возникнуть с совместимостью ПО, так как часть из российских программ могут быть созданы под определенные типа операционных систем.

Компании при переходе на отечественные аналоги надо будет проводить тщательный аудит имеющейся ИТ-инфраструктуры, учитывать актуальные, а также специфичные для себя угрозы при построении новой ИТ-системы. Проблема в том, что, по словам директора Ассоциации «Национальное объединение внутренних аудиторов и контролеров» (НОВАК) Анастасии Русаковой, на предприятиях острый дефицит внутренних контролеров и аудиторов, которые могут оценить новые риски, с которыми сейчас сталкивается бизнес. Поэтому некоторые угрозы при переходе с одного ПО на другой могут просто игнорироваться.

Тем не менее опрошенные SecPost эксперты говорят, что при грамотном переходе на отечественный софт компании через определенное время все же смогут сделать свою инфраструктуру менее уязвимой для кибератак. Дело в том, что западные ПО, работающие на российских предприятиях, после 2022 года перестало обновляться, в итоге новые только обнаруженные уязвимости так и остаются открытыми.

По словам Федора Дбара, это сегодня самые страшные риски. Почти ежедневно происходит переконфигурация сети, что-то удаляется, какие-то решения масштабируются. «Если в какой-то момент поставщик ПО или «железки» откажется обновлять прошивку или предоставлять новое оборудование, то за этим последует цепная реакция. Например, без обновления сотрудники компании не смогут запустить какой-то нужный для бизнеса софт – и работа встанет», — поясняет эксперт. 

Именно эту проблему в долгосрочной перспективе и должен будет решить переход на отечественное ПО.