Спецпроекты

Безопасность Госрегулирование Стратегия безопасности Бизнес Законодательство Цифровизация ИТ в банках ИТ в госсекторе

Власти хотят запретить заграничные ПО и «железо» в банках, медицине, транспорте, промышленности и науке

Минэкономразвития готовит законодательную инициативу, согласно которой все иностранное оборудование и софт на объектах критической информационной инфраструктуры будут заменены на российские. Эксперты считают, что в России нет нужных ПО и оборудования, а если бы и были, то стоить такая замена будет сотни миллиардов.

Письмо из Минэкономразвития

Минэкономразвития готовит поправки в закон «О безопасности критической информационной инфраструктуры (КИИ)», которые предполагают замену иностранного софта и оборудования на объектах КИИ на российские. Распоряжение подготовить поправки было дано несколько месяцев назад вице-премьером Юрием Борисовым, в ведении которого находится оборонная промышленность. Об этом сообщает РБК со ссылкой на письмо замминистра экономики Азера Талыбова.

Талыбов пишет, что в своем нынешнем виде российские законы не дают возможность правительству требовать использования на объектах КИИ только отечественного ПО и оборудования. Чтобы это стало возможно, данную норму необходимо прописать в законе «О безопасности КИИ». График замены иностранных продуктов отечественными для действующих объектов КИИ будет сформирован отдельно.

Кроме того, в законе следует запретить иностранным компаниям взаимодействовать с сетями и информационными системами КИИ. То есть, конечными бенефициарами юрлиц, которые этим занимаются, должны быть российские граждане, не имеющие двойного гражданства. Это же правило затронет индивидуальных предпринимателей, которые работают с КИИ. В результате доступ иностранных государств и их граждан к обслуживанию и развитию КИИ будет минимизирован, полагает Талыбов.

Получателями письма Талыбова являются коллегия Военно-промышленной комиссии России, которую возглавляет Борисов, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Минкомсвязи. В Минкомсвязи на запрос РБК ответили, что ФСТЭК и Минпромторг прорабатывают вопросы импортозамещения зарубежного оборудования по поручению правительства, и что КИИ будет функционировать более безопасно и устойчиво с использованием российского ПО, а доля отечественных разработчиков на рынке госзакупок при этом вырастет.

В августе представитель Совбеза сообщил, что в 2018 г. было зафиксировано порядка 17 тыс. кибератак на КИИ в России. Еще на 7 тыс. объектов злоумышленники пытались установить вредоносное ПО. Около 38% атак пришлось на кредитно-финансовые организации.

Возможна ли замена

Опрошенные РБК эксперты полагают, что российские производители не располагают мощностями, необходимыми для замены иностранного софта и оборудования на всех объектах КИИ в России. Таких объектов в стране насчитывается около 1 млн, и в состав каждого входят десятки или сотни компьютеров и других устройств.

Минэкономразвития готовит поправки в закон «О безопасности критической информационной инфраструктуры»

Введение нормы об использовании только российского ПО на объектах КИИ рассматривалось во время подготовки подзаконных актов к принятому в 2017 г. закону «О безопасности КИИ», но владельцы объектов решительно выступили против. Помимо того, что в России просто нет софта и оборудования на замену иностранным, такая замена будет стоить достаточно дорого — около 400 млрд руб. за одно только ПО.

Эксперты полагают, что использовать российский софт и оборудование на объектах КИИ — это в целом здравая идея, но лишь для тех объектов, которые еще только проектируются. На действующих объектах тоже можно произвести замену, но только во время модернизации или при планово-предупредительном ремонте. Останавливать работу действующих объектов КИИ ради замены софта и оборудования будет экономически нецелесообразно.

Также эксперты отмечают, что некоторые иностранные разработки уникальны, и заменить их у российских производителей не получится. К этой категории относится, например, программно-аппаратный комплекс Honeywell APC американского разработчика систем автоматизации промышленных объектов Honeywell. Он позволяет нефтяным предприятиям достичь экономии в 15-20% на эксплуатации за счет повышения эффективности управления.

Непонятно также, как быть с иностранными организациями, взаимодействующими с системами КИИ. Дело в том, что это могут быть самые разные организации. Если трактовать данное понятие широко, то в эту категорию попадают ЦОДы, облачные провайдеры и интернет-компании. Их конечными бенефициарами могут быть иностранные лица. При таком толковании ограничить взаимодействие иностранных компаний с объектами КИИ не представляется возможным. Вопрос, какие организации относить к этой категории, а какие нет, остается открытым со времен принятия закона «О безопасности КИИ», поскольку четко это там не прописано.

Закон «О безопасности КИИ»

Закон «О безопасности КИИ» ввел понятие субъектов критической информационной инфраструктуры, к которым относятся государственные организации, юридические лица и индивидуальные предприниматели, владеющие информационными системами из ряда стратегически важных отраслей: транспорт, телекоммуникации, банковская сфера, атомная энергетика, ТЭК, здравоохранение, наука, металлургия, оборонная, ракетно-космическая и химическая промышленность.

По закону, субъекты КИИ должны сообщать о компьютерных атаках в Государственную систему обнаружения, предотвращения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Президент России Владимир Путин поручил Федеральной службе безопасности (ФСБ) создать эту систему в 2013 г.

Реестр субъектов критической информационной инфраструктуры поручили вести ФСТЭК. Каждому субъекту КИИ в зависимости от его значимости присваивается определенная категория. При необходимости ФСБ может установить субъекту КИИ собственные средства отражения компьютерных атак. Для координации обмена информацией через ГосСОПКА ФСБ организовала Национальный координационный центр компьютерных инцидентов.

Валерия Шмырова

Короткая ссылка