Переход на российское откладывается
Окончательные итоги миграции субъектов КИИ на российский софт Минцифры планирует подвести в начале 2025 г. – об этом на CNews FORUM рассказал глава ведомства Максут Шадаев. По его словам, уже сейчас очевидно, что будут те компании и госорганы, которые не смогут в полном объеме перевести свои системы на российские решения.
«По каждому такому случаю будет проведен определенный анализ причин. Причины в большинстве случаев банальны и связаны с отсутствием финансирования. Начиная с 2022 г. все эти задачи были поставлены, но те же самые расходы на федеральные ведомства, на "цифру", увеличены не были, – отметил Шадаев. – Дальше будут какие-то организационные выводы делаться».
Глава ведомства заметил, что субъекты КИИ разделились на два класса – те, кто по объективным причинам не смог импортозаместиться, и те, кто не смог организовать этот процесс. Также возникла большая диспропорция: одни классифицировали свои системы честно, а у других каким-то образом, не оказалось ни одного объекта критической инфраструктуры. С этими случаями будут разбираться особо.
Максут Шадаев напомнил, что сейчас второе чтение проходит законопроект, закрепляющий две новые нормы в этой области. Первая установит право отраслевых регуляторов устанавливать классификацию типовых объектов КИИ в своей индустрии, чтобы компании не могли уйти от исполнения законодательства. К примеру, Минцифры разработает классификацию для операторов связи.
Вторая норма определит сроки конечной миграции на российские продукты для каждого типа решения – с учетом зрелости российских технологий в этом классе, с чем, признал министр, есть проблемы. Это будет гибкая модель, однако больше чем на три-пять лет отодвигать импортозамещение не планируется, предупредил Шадаев. В то же время, по его словам, первоначальный срок, который был указан в указе, следует считать «политическим», и его необходимо было пересмотреть.
«Наша задача в том, чтобы тех, кто по каким-то причинам нашел для себя объяснение, почему он за 2,5 года не перешел на российские решения, принудить взять на себя юридические обязательства и перейти. Занять не пассивную роль – "принесите готовое решение, я посмотрю, и если будет оно меня устраивать, я перейду", а все-таки, чтобы они участвовали в его создании и внедрении».
Ответственность для разработчиков
Максут Шадаев также напомнил об ответственности разработчиков, работающих с замещением критической информационной инфраструктуры. По его словам, за последний год было возбуждено два уголовных дела по факту ненадлежащей разработки ПО, которое не удовлетворяло элементарным требованиям по организации удаленного защищенного доступа и «работало кое-как».
«В одном из таких случаев это сказалось на функционировании целой отрасли в течение значимого времени, – отметил Шадаев. – КИИ – это то, что влияет на критические процессы экономики, функционирование важнейших предприятий и производств, без которых мы жить не можем. Это большая ответственность для разработчиков».
Закон о КИИ
Напомним, до 1 января 2025 г. компании с критической информационной инфраструктурой должны были полностью перейти на российское программное обеспечение по кибербезопасности в соответствии с указом главы РФ Владимира Путина от 30 марта 2022 года «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».
Указ касается организаций в 14 сферах деятельности, среди которых топливно-энергетический комплекс, финсектор, здравоохранение, наука, транспорт, связь и другие отрасли. В общей сложности, как подсчитывали эксперты, требование касается около 500 тыс. организаций, что составляет 90-95% всей экономики страны.
По данным Минцифры, на объектах КИИ было замещено более 84% импортного софта. С такими оценками не согласны представители рынка – так, в исследовании «К2 кибербезопасности», эксперты которого опросили более 80 ИТ- и ИБ-директоров компаний, говорится о том, что порядка 59% компаний не успевают привести свою инфраструктуру в соответствии с требованиями.
В основном, как объясняли респонденты, причина медленной миграции заключается в отсутствии отечественных аналогов зарубежных решений, невысоком качестве альтернатив. 14% участников опроса заявили, что им не хватает денег и ресурсов для перехода на российский софт, 8% – что сроки нереалистичны, а 6% – что инфраструктура не готова к такой миграции.