Импортозамещение в КИИ: причины задержек и сложности

Импортозамещение в критической информационной инфраструктуре (далее — КИИ) стало одной из ключевых задач для обеспечения технологической независимости и национальной безопасности. Однако внедрение отечественных технологий в КИИ часто сопровождается значительными сложностями и задержками, которые приводят к тому, что многие эксперты высказывают мнение о том, что переход на отечественные решения в нормативно установленный срок невозможен. 

Итак, какие же основные причины затрудняют импортозамещение в критических системах:

  1. Ресурсы у всех и всегда ограничены. Бюджет и штатная численность персонала у всех субъектов КИИ ограничены. Бюджеты подразделений информационных технологий и безопасности (в т.ч. информационной) обычно находятся в интервале от 5% до 15% бюджета организации (всех названных подразделений), что, естественно, не позволяет в сжатые сроки проводить замену всей (или большей части) информационной инфраструктуры, которая может насчитывать до нескольких тысяч объектов. Помимо фиксированного количества работников в штате, актуальна и проблема нехватки квалификации. Так как, решения, идущие взамен зарубежным, являются новыми (по крайней мере для работников конкретного субъекта КИИ), на практике, у многих отсутствует необходимое количество персонала, способного внедрять и администрировать новые решения. При этом, вендоры (производители решений) и интеграторы (те, кто потенциально могут помочь с внедрением и эксплуатацией) находятся в такой же ситуации: в виду большого количества заказов они также ощущают нехватку специалистов и, как правило, не могут выделить нужный объем заказчику.

  2. Непрерывный цикл производства. Чтобы произвести замену компонентов на объекте КИИ, являющемся автоматизированной системой управления (как известно, большинство значимых объектов КИИ относятся именно к этому виду) нужно эту систему временно вывести из технологического (производственного) процесса, которым она управляет. Причем, если мы говорим о полной замене программного обеспечения или полной замене программно-аппаратных компонентов, то вывод объекта из технологического процесса может быть длительным. Помимо этого, т.н. «технологические окна» обычно редки (один раз в год), что не позволяет осуществлять процесс замены компонентов в краткосрочном периоде (до трех лет).

  3. Проблема амортизации. Оборудование и программное обеспечение (лицензии) имеют определенный временной срок использования, в связи с чем, на практике, сложно прекратить использование ранее закупленного и работоспособного оборудования и программного обеспечения, срок полезного использования которого не истек. Подобные действия, обычно, испытывают сопротивление как у владельцев деловых (технологических) процессов, так и у финансово-экономических блоков организаций, которые считают их финансовым нарушением.

  4. Отсутствие прикладного программного обеспечению способного работать с отечественными операционными системами. Ни для кого не секрет, что большинство объектов информационной инфраструктуры в подавляющем большинстве организаций работает на операционной систем Windows. Замена, данной операционной системы на отечественную, практически всегда связана с необходимостью замены прикладного программного обеспечения. При это, прикладное программное обеспечение автоматизированных систем управления, практически всегда нуждается в отдельной специализированной разработке: нужно на заказ разрабатывать программное обеспечение под отечественную операционную систему, выполняющее необходимый функционал.

  5. Сложность замены встроенных средств защиты на наложенные в автоматизированных системах управления. Требование Указа Президента РФ от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" по прекращению использования зарубежных («недружественных») средств защиты информации, касается не только наложенных, но и встроенных средств. Отказ от встроенных средств защиты и замена на наложенные в автоматизированных системах управления — непростая задача. Основное правило применения наложенных средств защиты, существовавшее ранее, гласило: прежде чем применять наложенные средства защиты, необходимо заключение (согласование) от производителя (разработчика) автоматизированной системы управления. В сегодняшних реалиях получить такое заключение не всегда возможно. Поэтому, для оценки возможности применения наложенных средств защиты необходимо самостоятельно (или с привлечением подрядчика) проводить такое тестирование. По сути данный факт, с учетом того, что требование касается всех объектов информационной инфраструктуры (а не только критических) делает невозможным реализацию данного требования в больших инфраструктурах (насчитывающих несколько тысяч объектов) в установленный срок (май 2022 — декабрь 2024).

  6. Длительный цикл внедрения — автоматизированные (информационные) системы, обычно при внедрении проходят несколько стадий (проектирование, внедрение, испытания, опытную эксплуатацию), которые могут занимать несколько лет. Кроме того, замена импортных решений на отечественные обычно связана с рядом трудностей: невозможно сразу подобрать по характеристикам необходимый заменитель, взять и заменить. Перед заменой обязательно необходимо проводить предварительное тестирование и апробацию решений для проверки соответствия требованиям к функциональности, надежности и безопасности этих решений (т.н. пилотные внедрения). В противном случае можно столкнуться с ситуацией, когда замещаемый продукт не будет работать в инфраструктуре. При этом, на практике, для подбора нормально работающего решения, как правило, требуется проведение нескольких пилотных внедрений.

  7. Некачественные отечественные наложенные средства защиты. Большинство отечественных продуктов недоработаны, отсутствует подробная документация, что, нередко, дополняется медленной и не сильно компетентной техподдержкой. Нередко заказчикам приходится рекомендовать вендорам доработку их решений. Некоторые вендоры соглашаются, а некоторые нет. Также, в практике нередки случаи, когда отечественное решение внедрено, в процессе эксплуатации в нем обнаруживаются недостатки, вендор их не устраняет, а делает новое решение и прекращает поддержку старого, вынуждая заказчика внедрять или искать новое решение. Автор надеется, что в процессе реализации политики импортозамещения регуляторы обратят внимание на таких производителей и придумают механизм пресечения подобных действий.

В заключение хотелось бы отметить, что как бы много не было проблем, переходить к импортонезависимой инфраструктуре все-таки нужно. Не только для выполнения требований, но и для обеспечения безопасности и устойчивости. 

По мнению автора 5-ти летний срок является нормальным (нормативный срок для замещения программно-аппаратной составляющей чуть более 5 лет). Единственное опасение вызывает отсутствие удовлетворяющих по функциональным характеристикам решений, созданных для замены импортных и слабая клиентоориентированность некоторых вендоров.

Поэтому, готовиться нужно к серьезной и кропотливой работе по данному направлению, включая работу с производителями решений в части донесения до них недостатков их решений и требований по доработке. 

Саматов Константин Михайлович, эксперт BISA, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Читать свежее