Спустя год после подписания указа IT-специалисты выражают сомнения о возможности 100% его исполнения. Сначала такое мнение было высказано в начале марта на конференции «Руссофт», а в среду – на пресс-мероприятии Ассоциации пользователей стандартов по информационной безопасности (АБИСС).
К КИИ, напомним, относятся такие области, как здравоохранение, наука, транспорт, связь, энергетика, банки и финансы, топливная энергетика, атомная энергетика, оборонная промышленность, горная добыча, металлургия, химическая промышленность.
Перевести все субъекты КИИ на отечественное ПО к началу 2025 года невозможно, сказал в кулуарах мероприятия АБИСС эксперт этой ассоциации. Даже если рассмотреть только ФОИВ, все они используют систему управления базами данных от американской компании Oracle, и на этом строится стек ПО организации. Переход на полностью отечественное ПО в данном случае может занять до 10 лет.
Сжатые сроки, по мнению эксперта, могут привести к кратному увеличению ошибок администраторов, поскольку IT-специалисты в компаниях и организациях не успевают перестроиться на новое ПО. Ошибки и новые уязвимости могут привести к росту утечек персональных данных.
Об утечках, к слову, говорил в своём докладе эксперт АБИСС, управляющий компании RTM Group Евгений Царёв. По его словам, IT-рынок в России фактически поделился надвое. Часть компаний ожидает дальнейших послаблений регулирования, не спешит замещать иностранное оборудование и ПО, вместо этого «применяет костыли». Затягивание импортозамещения в отдельных компаниях приведёт к быстрой деградации IT, увеличению количества инцидентов, вплоть до длительных прерываний в работе компаний. Вторая часть компаний в ускоренном порядке избавляется от всего иностранного ПО, но без проведения достаточного тестирования и проверок. Применение Open Source и российского ПО на фоне враждебной хакерской активностью приведёт к злонамеренной эксплуатации множества новых уязвимостей, которые не всегда получится оперативно устранять.
Прогнозируется, что в ближайшие годы самым вероятным сценарием является рост числа утечек на 50-150% каждый год.
Всплеск интереса к отечественным решениям, по мнению Царёва, можно проследить по данным wordstat.yandex.ru:
По мнению заместителя генерального директора РЕД СОФТ Рустама Рустамова, сложности при переходе на отечественные решения будут с промышленным ПО. «На 100% перейти не удастся, но основную часть решим. Важно 1 января 2025 года провести ревизию, почему не удалось перейти [на отечественное ПО]», – сказал Рустамов в начале марта 2023 в ответ на вопрос, удастся ли соблюсти сроки указа президента.
На июнь 2022 доля российских программных продуктов на отечественных промышленных предприятиях не превышала 25%, сообщал премьер-министр РФ Михаил Мишустин.
Эксперт АБИСС, ведущий консультант по информационной безопасности Aktiv.Consulting Александр Моисеев перечислил на мероприятии в среду цели государства в области критической инфраструктуры: устойчивое функционирование КИИ, распределение ответственности на владельцев КИИ, координация всех участников процесса. Из проблем импортозамещения он выделил, в частности, отсутствие отечественных аналогов ПО, нехватку квалифицированных кадров, уголовную и административную ответственность за нарушения в КИИ, дополнительные траты компаний и пр.
В кулуарах форума также говорили о кадровом голоде в сфере ИБ в КИИ. Высказывались опасения, что ответственный за ИБ – «расстрельная должность», по причине введения административной и уголовной ответственности для таких специалистов. Как следствие, желающих идти работать – мало. Но прецедентов уголовного преследования за необеспечение ИБ пока нет.
Согласно другому указу президента, №250, «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», в ФОИВ, госкомпаниях, государственных фондах и иных органах (организациях), созданных в соответствии с федеральными законами, должен быть назначен заместитель генерального директора по ИБ. По данным Positive Technologies, указ № 250 затрагивает до 95% российской экономики, или полмиллиона организаций. Опрос, проведённый Positive Technologies, показал, что в 43% компаний такого сотрудника ещё нет. При этом 57% респондентов не понимают, какие задачи должен решать заместитель генерального директора по ИБ и какие практические навыки ему для этого требуются.