01/11/19
Минэкономразвития готовит поправки в закон «О безопасности критической информационной инфраструктуры (КИИ)», которые предполагают замену иностранного софта и оборудования на объектах КИИ на российские. Распоряжение подготовить поправки было дано несколько месяцев назад вице-премьером Юрием Борисовым, в ведении которого находится оборонная промышленность. Об этом сообщает РБК со ссылкой на письмо замминистра экономики Азера Талыбова.
Талыбов пишет, что в своем нынешнем виде российские законы не дают возможность правительству требовать использования на объектах КИИ только отечественного ПО и оборудования. Чтобы это стало возможно, данную норму необходимо прописать в законе «О безопасности КИИ». График замены иностранных продуктов отечественными для действующих объектов КИИ будет сформирован отдельно.
Кроме того, в законе следует запретить иностранным компаниям взаимодействовать с сетями и информационными системами КИИ. То есть, конечными бенефициарами юрлиц, которые этим занимаются, должны быть российские граждане, не имеющие двойного гражданства. Это же правило затронет индивидуальных предпринимателей, которые работают с КИИ. В результате доступ иностранных государств и их граждан к обслуживанию и развитию КИИ будет минимизирован, полагает Талыбов.
Получателями письма Талыбова являются коллегия Военно-промышленной комиссии России, которую возглавляет Борисов, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Минкомсвязи. В Минкомсвязи на запрос РБК ответили, что ФСТЭК и Минпромторг прорабатывают вопросы импортозамещения зарубежного оборудования по поручению правительства, и что КИИ будет функционировать более безопасно и устойчиво с использованием российского ПО, а доля отечественных разработчиков на рынке госзакупок при этом вырастет.
В августе представитель Совбеза сообщил, что в 2018 г. было зафиксировано порядка 17 тыс. кибератак на КИИ в России. Еще на 7 тыс. объектов злоумышленники пытались установить вредоносное ПО. Около 38% атак пришлось на кредитно-финансовые организации.
Возможна ли замена
Опрошенные РБК эксперты полагают, что российские производители не располагают мощностями, необходимыми для замены иностранного софта и оборудования на всех объектах КИИ в России. Таких объектов в стране насчитывается около 1 млн, и в состав каждого входят десятки или сотни компьютеров и других устройств.
Введение нормы об использовании только российского ПО на объектах КИИ рассматривалось во время подготовки подзаконных актов к принятому в 2017 г. закону «О безопасности КИИ», но владельцы объектов решительно выступили против. Помимо того, что в России просто нет софта и оборудования на замену иностранным, такая замена будет стоить достаточно дорого — около 400 млрд руб. за одно только ПО.
Эксперты полагают, что использовать российский софт и оборудование на объектах КИИ — это в целом здравая идея, но лишь для тех объектов, которые еще только проектируются. На действующих объектах тоже можно произвести замену, но только во время модернизации или при планово-предупредительном ремонте. Останавливать работу действующих объектов КИИ ради замены софта и оборудования будет экономически нецелесообразно.
Также эксперты отмечают, что некоторые иностранные разработки уникальны, и заменить их у российских производителей не получится. К этой категории относится, например, программно-аппаратный комплекс Honeywell APC американского разработчика систем автоматизации промышленных объектов Honeywell. Он позволяет нефтяным предприятиям достичь экономии в 15-20% на эксплуатации за счет повышения эффективности управления.
Непонятно также, как быть с иностранными организациями, взаимодействующими с системами КИИ. Дело в том, что это могут быть самые разные организации. Если трактовать данное понятие широко, то в эту категорию попадают ЦОДы, облачные провайдеры и интернет-компании. Их конечными бенефициарами могут быть иностранные лица. При таком толковании ограничить взаимодействие иностранных компаний с объектами КИИ не представляется возможным. Вопрос, какие организации относить к этой категории, а какие нет, остается открытым со времен принятия закона «О безопасности КИИ», поскольку четко это там не прописано.
