Импортозамещение в критической информационной инфраструктуре (далее — КИИ) стало одной из ключевых задач для обеспечения технологической независимости и национальной безопасности. Однако внедрение отечественных технологий в КИИ часто сопровождается значительными сложностями и задержками, которые приводят к тому, что многие эксперты высказывают мнение о том, что переход на отечественные решения в нормативно установленный срок невозможен.
Итак, какие же основные причины затрудняют импортозамещение в критических системах:
-
Ресурсы у всех и всегда ограничены. Бюджет и штатная численность персонала у всех субъектов КИИ ограничены. Бюджеты подразделений информационных технологий и безопасности (в т.ч. информационной) обычно находятся в интервале от 5% до 15% бюджета организации (всех названных подразделений), что, естественно, не позволяет в сжатые сроки проводить замену всей (или большей части) информационной инфраструктуры, которая может насчитывать до нескольких тысяч объектов. Помимо фиксированного количества работников в штате, актуальна и проблема нехватки квалификации. Так как, решения, идущие взамен зарубежным, являются новыми (по крайней мере для работников конкретного субъекта КИИ), на практике, у многих отсутствует необходимое количество персонала, способного внедрять и администрировать новые решения. При этом, вендоры (производители решений) и интеграторы (те, кто потенциально могут помочь с внедрением и эксплуатацией) находятся в такой же ситуации: в виду большого количества заказов они также ощущают нехватку специалистов и, как правило, не могут выделить нужный объем заказчику.
-
Непрерывный цикл производства. Чтобы произвести замену компонентов на объекте КИИ, являющемся автоматизированной системой управления (как известно, большинство значимых объектов КИИ относятся именно к этому виду) нужно эту систему временно вывести из технологического (производственного) процесса, которым она управляет. Причем, если мы говорим о полной замене программного обеспечения или полной замене программно-аппаратных компонентов, то вывод объекта из технологического процесса может быть длительным. Помимо этого, т.н. «технологические окна» обычно редки (один раз в год), что не позволяет осуществлять процесс замены компонентов в краткосрочном периоде (до трех лет).
-
Проблема амортизации. Оборудование и программное обеспечение (лицензии) имеют определенный временной срок использования, в связи с чем, на практике, сложно прекратить использование ранее закупленного и работоспособного оборудования и программного обеспечения, срок полезного использования которого не истек. Подобные действия, обычно, испытывают сопротивление как у владельцев деловых (технологических) процессов, так и у финансово-экономических блоков организаций, которые считают их финансовым нарушением.
-
Отсутствие прикладного программного обеспечению способного работать с отечественными операционными системами. Ни для кого не секрет, что большинство объектов информационной инфраструктуры в подавляющем большинстве организаций работает на операционной систем Windows. Замена, данной операционной системы на отечественную, практически всегда связана с необходимостью замены прикладного программного обеспечения. При это, прикладное программное обеспечение автоматизированных систем управления, практически всегда нуждается в отдельной специализированной разработке: нужно на заказ разрабатывать программное обеспечение под отечественную операционную систему, выполняющее необходимый функционал.
-
Сложность замены встроенных средств защиты на наложенные в автоматизированных системах управления. Требование Указа Президента РФ от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" по прекращению использования зарубежных («недружественных») средств защиты информации, касается не только наложенных, но и встроенных средств. Отказ от встроенных средств защиты и замена на наложенные в автоматизированных системах управления — непростая задача. Основное правило применения наложенных средств защиты, существовавшее ранее, гласило: прежде чем применять наложенные средства защиты, необходимо заключение (согласование) от производителя (разработчика) автоматизированной системы управления. В сегодняшних реалиях получить такое заключение не всегда возможно. Поэтому, для оценки возможности применения наложенных средств защиты необходимо самостоятельно (или с привлечением подрядчика) проводить такое тестирование. По сути данный факт, с учетом того, что требование касается всех объектов информационной инфраструктуры (а не только критических) делает невозможным реализацию данного требования в больших инфраструктурах (насчитывающих несколько тысяч объектов) в установленный срок (май 2022 — декабрь 2024).
-
Длительный цикл внедрения — автоматизированные (информационные) системы, обычно при внедрении проходят несколько стадий (проектирование, внедрение, испытания, опытную эксплуатацию), которые могут занимать несколько лет. Кроме того, замена импортных решений на отечественные обычно связана с рядом трудностей: невозможно сразу подобрать по характеристикам необходимый заменитель, взять и заменить. Перед заменой обязательно необходимо проводить предварительное тестирование и апробацию решений для проверки соответствия требованиям к функциональности, надежности и безопасности этих решений (т.н. пилотные внедрения). В противном случае можно столкнуться с ситуацией, когда замещаемый продукт не будет работать в инфраструктуре. При этом, на практике, для подбора нормально работающего решения, как правило, требуется проведение нескольких пилотных внедрений.
-
Некачественные отечественные наложенные средства защиты. Большинство отечественных продуктов недоработаны, отсутствует подробная документация, что, нередко, дополняется медленной и не сильно компетентной техподдержкой. Нередко заказчикам приходится рекомендовать вендорам доработку их решений. Некоторые вендоры соглашаются, а некоторые нет. Также, в практике нередки случаи, когда отечественное решение внедрено, в процессе эксплуатации в нем обнаруживаются недостатки, вендор их не устраняет, а делает новое решение и прекращает поддержку старого, вынуждая заказчика внедрять или искать новое решение. Автор надеется, что в процессе реализации политики импортозамещения регуляторы обратят внимание на таких производителей и придумают механизм пресечения подобных действий.
В заключение хотелось бы отметить, что как бы много не было проблем, переходить к импортонезависимой инфраструктуре все-таки нужно. Не только для выполнения требований, но и для обеспечения безопасности и устойчивости.
По мнению автора 5-ти летний срок является нормальным (нормативный срок для замещения программно-аппаратной составляющей чуть более 5 лет). Единственное опасение вызывает отсутствие удовлетворяющих по функциональным характеристикам решений, созданных для замены импортных и слабая клиентоориентированность некоторых вендоров.
Поэтому, готовиться нужно к серьезной и кропотливой работе по данному направлению, включая работу с производителями решений в части донесения до них недостатков их решений и требований по доработке.