Что мешает быстрому импортозамещению на объектах критической информационной инфраструктуры?
Константин Саматов, 01/10/24
Обеспечение информационной безопасности объектов КИИ является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Импортозамещение выступает одним из ключевых способов достижения независимости и напрямую влияет на деятельность множества организаций, экономику страны в целом, а также на защищенность КИИ.
Кто должен заниматься импортозамещением КИИ?
На первый взгляд кажется, что импортозамещением должны заниматься все субъекты КИИ, но это не совсем так (см. табл.).
Таким образом, все субъекты КИИ обязаны выполнить требования, перечисленные в пп. 1 и 3 данной таблицы, а большая часть субъектов КИИ еще и требования п. 2 (не все субъекты КИИ являются "отдельными видами юридических лиц").
Как выполнять требования по импортозамещению?
Алгоритм импортозамещения как для программного обеспечения (в том числе средств защиты), так и для программно-аппаратных комплексов, которые тоже могут быть средствами защиты информации, одинаков и достаточно прост. Он включает в себя всего три шага.
- Шаг 1. Провести инвентаризацию используемых на объектах КИИ компонентов, требующих импортозамещения.
- Шаг 2. Разработать и утвердить план перехода на доверенные компоненты.
- Шаг 3. Реализовать "свой" план – осуществить переход в установленный срок (до 01.01.2025 г. и до 01.01.2030 г.)
Вроде бы алгоритм прост, сроки вполне реальны, но на практике в ходе его реализации возникает множество нюансов, препятствующих бесшовному и быстрому импортозамещению. А множество экспертов отрасли считают, что осуществить импортозамещение в указанные сроки нереально.
Что мешает (быстрому) импортозамещению на объектах КИИ?
Ограниченные ресурсы
Бюджет и штатная численность персонала у всех субъектов КИИ ограничены. Бюджеты подразделений информационных технологий и безопасности (в том числе информационной) обычно находятся в интервале от 5 до 15% в бюджета организации (всех названных подразделений), что, естественно, не позволяет в сжатые сроки проводить замену всей или большей части информационной инфраструктуры, которая может насчитывать до нескольких тысяч объектов [1].
Помимо фиксированного количества работников в штате, на текущий момент есть еще проблема с квалификацией. Так как решения, идущие взамен зарубежным, являются новыми (по крайней мере для работников конкретного субъекта КИИ), практически у всех отсутствует необходимое количество персонала, способного их внедрять и администрировать. При этом вендоры и интеграторы находятся в такой же ситуации – ввиду большого количества заказов они так же ощущают нехватку специалистов и, как правило, не могут выделить нужный объем заказчику.
Непрерывный цикл производства
Чтобы произвести замену компонентов на объекте КИИ, являющемся автоматизированной системой управления (технологическим или производственным процессом), а большинство значимых объектов КИИ относятся именно к этому виду, нужно эту систему временно вывести из технологического (производственного) процесса. Если мы говорим о полной замене программного обеспечения или программноаппаратных компонентов, то вывод объекта из технологического процесса может быть длительным. Помимо этого, так называемые технологические окна обычно редки (один раз в год), что не позволяет осуществлять процесс замены компонентов в краткосрочном периоде (до трех лет).
Проблема амортизации
Оборудование и программное обеспечение (лицензии) имеют определенный временной срок использования, поэтому сложно прекратить использование ранее закупленного и работоспособного оборудования и программного обеспечения, срок полезного использования которого не истек. Подобные действия обычно вызывают сопротивление как со стороны владельцев деловых (технологических) процессов, так и со стороны финансово-экономических блоков организаций, которые считают их финансовым нарушением.
Отсутствие прикладного программного обеспечения, способного работать с отечественными операционными системами
Ни для кого не секрет, что подавляющее большинство объектов информационной инфраструктуры в большинстве организаций работает на операционной системе Windows. Замена данной операционной системы на отечественную практически всегда связана с необходимостью замены прикладного программного обеспечения. При этом прикладное программное обеспечение автоматизированных систем управления почти всегда нуждается в отдельной специализированной разработке: нужно на заказ разрабатывать программное обеспечение под отечественную операционную систему, выполняющее необходимый функционал.
Сложность замены встроенных средств защиты на наложенные в автоматизированных системах управления
Требование (см. табл.) по прекращению использования зарубежных ("недружественных") средств защиты информации касается не только наложенных, но и встроенных средств. Отказ от встроенных средств защиты и замена на наложенные в автоматизированных системах управления – непростая задача. Основное правило применения наложенных средств защиты, существовавшее ранее, гласило: прежде чем применять наложенные средства защиты, необходимо заключение (согласование) от производителя (разработчика) автоматизированной системы управления. В сегодняшних реалиях получить такое заключение не всегда возможно, поэтому для оценки возможности применения наложенных средств защиты необходимо самостоятельно (или с привлечением подрядчика) проводить такое тестирование. По сути, данный факт, с учетом того что требование касается всех объектов информационной инфраструктуры (а не только критических), делает невозможным реализацию данного требования в больших инфраструктурах, насчитывающих несколько тысяч объектов, в установленный срок: май 2022 г. – декабрь 2024 г.
Длительный цикл внедрения
Автоматизированные (информационные) системы обычно при внедрении проходят несколько стадий (проектирование, внедрение, испытания, опытную эксплуатацию), которые могут занимать несколько лет. Кроме того, замена импортных решений на отечественные обычно связана с рядом трудностей, например, невозможно сразу подобрать по характеристикам необходимый заменитель, взять и заменить. Перед заменой обязательно нужно проводить предварительное тестирование и апробацию решений для проверки соответствия требованиям к функциональности, надежности и безопасности этих решений (так называемые пилотные внедрения). В противном случае можно столкнуться с ситуацией, когда замещаемый продукт не будет работать в инфраструктуре. На практике для подбора нормально работающего решения, как правило, требуется проведение нескольких пилотных внедрений.
Некачественные отечественные наложенные средства защиты
Большинство отечественных продуктов недоработаны, к тому же у них отсутствует подробная документация, и все это часто сопровождается медленной и не особо компетентной техподдержкой. Нередко, заказчикам приходится обращаться к вендорам за доработкой приобретенных решений. Некоторые вендоры соглашаются, а некоторые – нет. Возникают ситуации, когда отечественное средство защиты уже внедрено, в процессе эксплуатации в нем обнаруживаются недостатки, но вендор их не устраняет, а создает новое решение, прекращая поддержку старого, вынуждая заказчика внедрять или искать новый продукт. Я надеюсь, что в процессе реализации политики импортозамещения регуляторы обратят внимание на таких производителей и придумают механизм пресечения подобных действий.
Есть ли выход?
Несмотря на все трудности и проблемы, переходить к импортонезависимой инфраструктуре нужно. Это необходимо не только для выполнения требований, но и для обеспечения безопасности и устойчивости.
Пятилетний срок перехода является нормальным (нормативный срок для замещения программно-аппаратной составляющей составляет чуть более пяти лет). Единственное опасение вызывает отсутствие удовлетворяющих по функциональным характеристикам решений, созданных для замены импортных и слабая клиентоориентированность некоторых вендоров.
В целом, механизм реализации следующий:
- составить планы импортозамещения, причем подойти к этому вопросу с акцентом на реальность выполнения;
- продумать мероприятия, бюджеты и ответственных за выполнение данных планов;
- начать их реализовывать.
Готовиться нужно к серьезной и кропотливой работе по данному направлению, включая работу с производителями решений в части донесения до них недостатков их продуктов и требований по доработке.
При должном подходе, даже при самом неоптимистичном развитии событий, план будет выполнен на 80%. Для тех задач, которые останутся нереализованными, найдется аргументированная позиция, связанная с тем, что нужного отечественного решения не было, долго не было или оно долго дорабатывалось до нужного функционала. Но даже в случае отставания по срокам, опоздание будет небольшим.
- Здесь прежде всего речь идет о выполнении требования по прекращению использования зарубежных (“недружественных") средств защиты, которое касается всех объектов инфраструктуры, а не только критических
- Указ Президента РФ от 01.05.2022 № 250 “О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"
- Указ Президента РФ от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации"
- Постановление Правительства РФ от 14.11.2023 № 1912 “О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации"