Импортозамещение в информационной безопасности и ИТ: к чему готовиться поставщикам, разработчикам и заказчикам?

На фоне геополитических событий начала 2022 г. многие ИТ-гиганты, стартапы и прочие игроки объявили об уходе с российского рынка. Импортозамещение технологического стека стало необходимостью, и промедление в этом вопросе недопустимо, однако отечественные разработчики располагают большим спектром ИТ-решений для защиты объекта информационной критической инфраструктуры, в том числе на базе искусственного интеллекта. Специалисты из компаний "Индид", InfoWatch, INLINE Technologies и ООО "АйТи БАСТИОН" оценили текущую ситуацию на рынке и дали собственные прогнозы о том, как она будет развиваться для разработчиков, поставщиков и заказчиков.

На какие сферы систем информационной и физической безопасности, программного обеспечения и цифровых продуктов санкции и ограничения повлияли сильнее всего?

Ярослав Голеусов, Индид

Негативнее всего санкции отразились как на сфере сетевой безопасности, так и сетевого оборудования в целом. Увы, без достаточного уровня развития сетевой и серверной ИТ-инфраструктуры невозможно построение любой современной информационной системы. Ирония в том, что как раз для "вышестоящих" уровней информационных систем у нас имеются аналоги: свои операционные системы, среды виртуализации, офисные пакеты, целая россыпь эффективных средств защиты информации. а вот с самым "низким" уровнем, с железом, пока все выглядит не так радужно: мы не готовы импортозаместить ключевые узлы даже в корпоративных сетях, не говоря уже о промышленных.
Очевидно, что сейчас, да и в ближайшие годы, мы тем или иным образом найдем обходные каналы приобретения сетевого и серверного оборудования, очень вероятно, что это будет оборудование заведомо более низкого качества из дружественных стран.
При этом радует, что у нас уже имеются какие-никакие наработки по разработке и сборке своего железа, даже процессоров (опустим момент, что тайваньская фабрика перестала их производить из-за санкций). На мой взгляд, именно в этой сфере нас ожидает качественный рывок в ближайшие пять лет.

Андрей Арефьев, InfoWatch 

Совсем драматически на сложившуюся ситуацию может повлиять еще один фактор – отсутствие необходимого оборудования, на которое можно будет ставить ПО, невозможность его покупать или серьезные затруднения при покупке. Невозможность купить серверы, процессоры и др. может привести к тому, что отрасль "замрет". Может не быть того оборудования, которое возможно импортозаместить.

Сергей Заречнев, INLINE Technologies

Ответ на данный вопрос не может быть определенным: слишком много неоднозначностей и неочевидных связей присущи столь тонкой и специфической сфере, как безопасность.
С одной стороны, курс на импортозамещение систем безопасности и цифровых продуктов для применения в государственных органах существует давно и уже привел к тому, что фактически у всех основных продуктов рынка безопасности имеются аналоги отечественного происхождения, причем сертифицированные регуляторами. Кроме этого, есть широкий спектр ОС российского происхождения, баз данных и офисного ПО. С другой стороны, в процессорах, различных видах памяти, адаптерах импортные компоненты все еще составляют существенную часть.
На таких продуктах санкции могут сказаться негативно, причем независимо от области применения этих решений. Однако трудно предположить, чтобы внешние ограничения смогли полностью перекрыть импорт комплектующих. И здесь многое будет зависеть от того, сохранятся ли поставки из азиатских стран, прежде всего из Китая.
Таким образом, можно сказать, что на рынки информационной и физической безопасности санкции окажут значительно меньшее влияние, чем на другие ИТ-области, и они в первую очередь затронут продукты, в которых используются уникальные зарубежные аппаратные компоненты.

Дмитрий Михеев, АйТи БАСТИОН

В первую очередь санкции и ограничения повлияли на оборудование. Далеко не все, что используется и популярно, теперь есть возможность закупать. Далеко не все реально заместить в ближайшем будущем. С другой стороны, по информационной безопасности заделов в РФ традиционно много и должно хватить для приемлемой жизни.

Является ли импортозамещение гарантией безопасности? Где особенно важны отечественные разработки?

Ярослав Голеусов, Индид

На этот простой, казалось бы, вопрос не существует простого ответа. С одной стороны, очевидно, что любые иностранные программные и технические средства являются источником потенциальной опасности: ничто не мешает разработчику интегрировать в исполняемый код инструменты удаленного контроля. Это далеко не всегда можно выявить.
С другой стороны, отсутствие иностранных продуктов на рынке ведет к его изоляции и снижению уровня конкуренции. То есть многие мировые инновации и лучшие практики по повышению уровня безопасности будут проходить мимо нас.
Сегодня мы наблюдаем глобальный всплеск взаимного недоверия: заказчики не доверяют намерениям и ангажированности корпораций-разработчиков по всему миру. Это крайне негативно может сказаться на здоровой конкуренции (когда мы верим в намерения, но не доверяем маркетинговым материалам).
На мой взгляд, у заказчиков по всему миру должны быть инструменты – внутренние или внешние – для проверки поставляемых ИТ-продуктов на отсутствие недекларированных возможностей. Признанная по всему миру сертификация по типу соответствия стандарту ISO 27001 может помочь в этом вопросе. Для всех же ключевых узлов важны скорее не чисто отечественные разработки, а гарантированный уровень оказания сервиса, независимо от любых внешних условий (санкции, геополитические риски). Тут, увы, стоит быть объективным: за короткий срок воспроизвести и заместить все передовые технологии просто невозможно, даже обладая передовыми экономиками и без давления санкций. И все равно нужно стремиться к локальной разработке передовых систем хотя бы по основным направлениям – нефтегазовая и нефтехимическая сфера, агрокомплекс, энергетика, металлургия, строительство.

Андрей Арефьев, InfoWatch

В каком-то смысле слова, безусловно, импортозамещение является гарантией безопасности, а в каком-то нет. Давайте, говоря о гарантиях безопасности, помнить, что нужно не только от хакеров отбиваться, но и непрерывность бизнеса обеспечивать. Представим себе компанию, которая использовала какую-то ИТ-систему и перестала получать поддержку этой системы. Это может означать фактически остановку бизнеса. И на информационную безопасность это оказывает критическое влияние, потому что ЭБ и ИБ должны отвечать в том числе за непрерывность бизнеса. С точки зрения защиты от хакеров и разных атак будут ли эти системы гарантом, сказать сложно. Скорее всего, нет. Тут больше вопрос про фокус внимания хакеров. Полагаться на обеспечение ИБ за счет использования ИТ-систем, мало изученных хакерами и поэтому мало атакуемых, не является гарантией безопасности. Гарантией является их фактическая проверенность в бою. А фактическая проверенность в бою на данный момент у них минимальна либо отсутствует.

Сергей Заречнев, INLINE Technologies

Одна из аксиом безопасности: никто не может дать гарантий безопасности. Безопасность – это прежде всего управление рисками. И хотя полностью избавиться от них сегодня невозможно, но можно попытаться их минимизировать.
Первое, что возникает при оценке и управлении рисками, – это вопрос доверия: к продукту, разработчику, производителю и даже к стране, в которой разрабатывается продукт или его компоненты. Естественно, для нас высшим уровнем доверия обладают отечественные производители, поэтому стратегия импортозамещения, безусловно, уменьшает риски и увеличивает безопасность.
Отмечу, что импортозамещение в сфере безопасности уже вполне реализовано на уровне конечных систем, и у нас за последние годы появилось много решений разного класса и типа. Но импортозамещение не менее важно и в отношении платформ и компонентов, так как в итоге это является фундаментом всей пирамиды доверия. Применение недоверенных процессоров, платформ, компонентов неизбежно снижает общую степень безопасности конечных систем. К сожалению, импортозамещение здесь еще крайне недостаточное, несмотря на наличие отечественных платформ на процессорах "Байкал" и "Эльбрус".

Дмитрий Михеев, АйТи БАСТИОН

Вопрос импортозамещения обрабатывает те самые риски, с которыми мы столкнулись в рамках санкций. Можно рассчитывать, что ключевые области производства могут быть снабжены обязательным контрольным и управляющим оборудованием необходимого качества и производительности, причем не разово, а в рамках процессов улучшения, развития и модернизации: авионика, контрольно-измерительные задачи, в том числе специальные вычислительные комплексы, комплексы хранения данных, сетевое оборудование, включая оборудование сотовых сетей. Это касается как железа, так и программного обеспечения (ПО) – операционных систем, в том числе мобильных и реального времени, средств разработки, прикладного ПО различного назначения. Импортозамещение при этом не является ответом на все риски безопасности. Качество разработки и поддержки – это отдельные вопросы, которыми также придется заниматься.

Какие задачи приходится решать заказчикам в настоящее время при переходе на отечественные продукты? Насколько они решаемы?

Ярослав Голеусов, Индид

Если мы говорим про рынок средств защиты информации, то миграция с иностранных программных решений на отечественные происходит более гладко, чем в других ИТ-сферах. За последние два десятилетия у нас вырос целый пласт отечественных разработчиков средств защиты. Если я не ошибаюсь, их у нас всего около 170 – тех, кто занимается именно разработкой.
При этом современные отечественные средства защиты архитектурно схожи с иностранными средствами защиты, то есть их интеграция в действующую инфраструктуру происходит сравнительно легко. В основном заказчикам необходимо выгрузить "политики безопасности" из иностранного средства и импортировать в новое, российское. Да, в любом случае будут необходимы дополнительные работы по настройке и испытанию функций безопасности.
Самые большие проблемы, с которыми сталкиваются российские заказчики при переходе на отечественные программные средства защиты информации, – отсутствие части привычных функций (редко – отсутствие ключевой масштабной функции) и неудобство интерфейса.
Многие отечественные средства защиты могут устанавливаться "в параллель" с конкурентными решениями и работать с теми же базами данных. Это больше касается массовых средств защиты, подразумевающих необходимость взаимодействия с рядовыми пользователями. При таком сценарии возможен поэтапный перевод сотрудников на новое ПО.

Андрей Арефьев, InfoWatch

Первая задача – восстановить тот "забор, который покосился" в результате ухода вендоров, обеспечивающих защиту периметра компании. Большой фундаментальной задачей предстоящих лет будет замена ИТ-инфраструктуры, фактически – операционных систем. Насколько это выполнимо, на данный момент сложно сказать, так как все пока в самом начале пути. Мы точно знаем, что есть компании, которые предпринимают попытки замещения технологического стека Microsoft на отечественный технологический стек, и пока эти эксперименты нельзя назвать удачными. Но в сложившихся обстоятельствах мы, скорее всего, будем вынуждены использовать то, что есть, и дорабатывать совместно с вендорами операционных систем эти решения, чтобы они были применимы в российских условиях и унаследовали какой-то опыт, который ранее был получен при использовании технологического стека Microsoft. Но есть и достаточно успешные примеры таких переходов, в том числе среди наших клиентов.
Например, некоторые компании использовали в качестве базы данных Oracle при установке решений InfoWatch. И сейчас мы активно работаем над тем, чтобы Oracle был замещен на Postgres Pro, – это конкретный пример и удобное, реально работающее решение. Я думаю, мы в состоянии будем провести замещение компонентов, используемых в наших продуктах. А если говорить о замещении фундаментальных операционных систем, то это вопрос более сложный, разрешение его мы увидим спустя некоторое время. Например, такие компании, как "Базальт" (BaseALT) или Astra Linux предпринимают усилия, чтобы сделать свои решения более похожими на решения от компании Microsoft, чтобы тем самым ИТ-специалисты могли применить ранее полученный опыт. Посмотрим, что из этого получится.

Сергей Заречнев, INLINE Technologies

Одной из важнейших задач является преодоление стереотипов и устоявшихся привычек пользователей ИТ-систем. Например, принятие того, что, кроме Windows и MacOS, есть и другие операционные системы и не единым MS Office исчерпываются офисные приложения. Конечно, Microsoft и Apple добились впечатляющих результатов в развитии своих продуктов, но еще большего успеха они достигли на поприще маркетинга. Их агрессивная и одновременно завлекающая политика продвижения привела к тому, что уже со школьной скамьи люди привыкают и "подсаживаются на иглу" технологий этих корпораций, хотя есть более дешевые и даже бесплатные альтернативы с похожей функциональностью. В этом смысле санкции оказывают и некоторое полезное действие, заставляя конечных потребителей шире смотреть на современное ПО и осваивать новые технологии. Так, большинство наших государственных заказчиков уже успешно избавилось от связки Windows + Office, заменив ее на бесплатный набор "Гослинукс" + LibreOffice или перейдя на платные отечественные аналоги, такие как ОС Astra Linux, "Альт" и офисный пакет "МойОфис".

Дмитрий Михеев, АйТи БАСТИОН

Первая задача – обеспечить работоспособность того, что уже есть и работало, но по разным причинам перестало или может перестать функционировать. Коллеги отключают обновления от производителя, запрещают вносить изменения в лицензионные ограничения или вообще находят способ их обойти. Далеко не всякий продукт возможно заменить в короткие сроки, так что нужно выиграть время для этого перехода. Еще больше это касается средств защиты, так как от них зависит устойчивая работа остальных элементов инфраструктуры.

Является ли государственная поддержка отечественных разработчиков информационных продуктов и производителей систем безопасности достаточной? Что еще, по вашему мнению, необходимо предпринять?

Ярослав Голеусов, Индид

На мой взгляд, сегодня правительство делает очень правильные шаги. Однако конкретно эти шаги нужны были ДО известных событий. Сейчас их определенно недостаточно.
Заключим, что целью государства является радикальное ускорение разработки конкурентных отечественных ИТ-средств. Но тогда возникают вопросы. К примеру, государство готово давать гранты только на масштабные задачи вроде разработки искусственного интеллекта или квантовых вычислений. Безусловно, у нас есть крупные технологические и ИТ-компании, готовые открыть соответствующие исследовательские направления, но их единицы, опять же, они готовы и самостоятельно профинансировать такие исследования, то есть риск впустую потратить средства минимальный. Но сейчас речь идет не о гарантированной быстрой окупаемости инвестиций, а о качественном развитии всей отрасли. Увы, тут возможны как потери, так и долгий срок окупаемости.
К сожалению, выделения грантов или целевых государственных заказов на текущие быстрые потребности не предусмотрено. С одной стороны, у нас уже есть многие необходимые продукты, но даже их функционал зачастую не позволяет в достаточной мере удовлетворить потребности пользователей. Соответственно, нужны ресурсы и программы поддержки для доведения до ума этих деталей.
Есть и другой аспект, указывающий, что предложенный государством пакет мер является скорее тактикой, а не стратегией развития отечественного ИТ-рынка: в программе отсутствуют системные меры по качественному улучшению процесса подготовки ИТ-специалистов в вузах.
На мой взгляд, необходимо:

• предоставить современное техническое оснащение для ИТ- и технических кафедр (у студентов не всегда есть возможность получать практические навыки на передовых инструментах);
• улучшить мотивацию персонала (неудовлетворенность основных потребностей плохо сказывается на желании преподавателей развиваться и глубоко погружаться в новые темы);
• развить практику привлечения работающих специалистов в качестве лекторов или на мастер-классы на системной, финансово мотивированной основе (именно они могут объяснить студенту актуальные потребности российских компаний и рынка).

Сегодня как минимум нам требуется более четкое понимание и планирование стимулирующих мер, грантовых программ, субсидий на краткосрочный, среднесрочный и долгосрочный период, исходя из соответствующих конкретно прописанных целей. Хорошей практикой было бы частно-государственное партнерство в вопросах инвестиций в разработку средств защиты информации, но именно только инвестирование, без последующего поглощения госкорпорацией или холдингом.

Сергей Заречнев, INLINE Technologies

Государство формирует для отечественных продуктов устойчивый спрос и стабильный рынок сбыта – в этом его поддержка. И это намного эффективнее, чем прямая адресная помощь производителям. Прежде всего, таким образом гарантированно увеличивается клиентская база российских разработчиков, а значит, растут их доходы, масштабы и рентабельность бизнеса.
Кроме того, постоянное усиление ограничений на применение иностранных ИТ-продуктов в госсекторе объективно стимулирует появление все новых отечественных продуктов и технологий, которые способны их заменить, повышает конкуренцию среди российских ИТ-производителей.
Вместе с тем есть сферы деятельности, например производство аппаратных платформ и процессоров, которые требуют больших инвестиций без немедленной отдачи в виде готовых продуктов. Такие затраты бизнесу потянуть тяжело, и приоритетную роль здесь должна играть поддержка государством этих проектов через финансирование в рамках федеральных целевых программ.

Дмитрий Михеев, АйТи БАСТИОН

Думаю, пока рано об этом говорить. Инициативы и предложения еще только рассматриваются, их влияние оценить пока сложно. Что имеет смысл сделать, как я считаю, – предоставить актуальную информацию по планам импортозамещения оборудования и производства компонентов. Если мы как разработчик не можем рассчитывать на привычное железо, то нам надо как можно раньше понять, какое оборудование мы можем рассматривать как целевую платформу для текущих и будущих разработок.
На мой взгляд, это была бы реальная помощь разработчикам решений информационной безопасности, и не только им. Даже если это оборудование будет приобретаться в условной "Истазии" (Eastasia – дружественно-враждебное государство в вымышленном мире романа Джорджа Оруэлла "1984". – Прим. редактора), а импортозамещаться локальными производителями уже после – хочется понимать, на что можно рассчитывать.
Эти платформы явно не будут многочисленными, у них будут свои ограничения, о них нам нужно получить представление. Сам процесс разработки будет необходимо основывать на допущении, что базовая платформа будет принята нашими заказчиками, то есть необходимые проверки и аттестации можно будет провести как минимум, а поддержка прошивок и операционных систем будет осуществляться.
Такого уровня решения могут быть по-настоящему проведены и нормально обеспечены только через взаимодействие производителей и поставщиков оборудования и базового ПО при поддержке и защите через государственные программы.

Какие изменения неизбежны в сфере систем безопасности, ПО и цифровых продуктов в ближайшее время? К каким последствиям они приведут?

Ярослав Голеусов, Индид

На отечественный ИТ-рынок наслаиваются факторы как всего глобального ИТ-рынка (скажем откровенно, его границы в рамках государств весьма размыты) вроде последствий пандемии и массового перехода на удаленку, так и чисто российские факторы вроде политики тотального импортозамещения.
Стоит признать, что некоторые компании-разработчики и интеграторы будут вынуждены уйти с рынка (все прошлые негативные факторы усиливаются) – эта проблема наблюдается на ИТ-рынке России где-то с 2015 г. Идет консолидация ресурсов в руках крупных игроков.
К счастью, очень многие компании видят текущий период как возможность для ускоренного роста: спрос на отечественные ИТ-продукты возрос в несколько раз. Если удастся удержать ситуацию в контролируемом русле, компании смогут существенно нарастить оборот и выйти на новый уровень качества.
По прошествии этого периода турбулентности мы перейдем к более стабильному периоду, когда многие игроки будут испытывать соблазн снизить объем инвестиций в исследования, так как это не будет иметь большого экономического смысла в среднесрочной перспективе: иностранных конкурентов с мощными функциями нет, сравнивать не с чем. Клиенты будут брать то, что имеется. Безусловно, будет высокая локальная конкуренция, но без учета мировых трендов наши решения рискуют очень сильно отстать от мировых лидеров.
Рано или поздно изоляция российского рынка закончится, произойдет либерализация. Очень бы хотелось, чтобы к этому моменту российские решения твердо стояли на ногах и смогли бы сразу же устремиться на иностранные рынки, иначе в Россию снова хлынут иностранные ИТ-
продукты и мы получим очередной период развала предприятий, не выдержавших конкуренции с иностранцами даже на отечественном рынке.

Андрей Арефьев, InfoWatch

Первый базовый тренд – это замещение операционных систем и всего технологического стека компании Microsoft. Даже компании, не попавшие под санкции, осознают риски в отношении продуктов Microsoft. Да, такие компании пока могут ими пользоваться, но активно думают над замещением этих компонентов на отечественные операционные системы. Давайте дадим этому время и посмотрим, какой будет результат. Но уже понятно, что одним из последствий будет то, что деньги, на которые раньше закупалось импортное ПО, будут оставаться в России, и, естественно, это будет влиять на ИТ-рынок.
Скорее всего, появится больше денег и больше драйверов для создания качественных продуктов в России. И если раньше основным драйвером развития рынка ИБ, например, был регулятор, то теперь на первый план выходят возможности по реальной защите, которую могут обеспечить технологии тех или иных вендоров. И тут мы как компания, которая все эти годы фанатично вкладывалась в R&D, смотрим в будущее с оптимизмом.

Сергей Заречнев, INLINE Technologies

В краткосрочной перспективе, и это уже видно, неизбежно дальнейшее ужесточение нормативно-правовой базы в части запрета доступа на отечественный рынок импортных ИТ-продуктов, а также усиление требований к обязательной сертификации (в том числе требований к доверию) систем безопасности и цифровых решений, применяемых в госорганах и на промышленных предприятиях – субъектах критической инфраструктуры. Последним президентским указом определен срок, в течение которого все зарубежные средства защиты информации должны быть заменены на отечественные. Сегодняшняя ситуация дает уникальный шанс всем российским разработчикам и производителям ИБ-продуктов полностью и бесповоротно завоевать внутренний рынок, который является в перспективе огромным и многообещающим.

Дмитрий Михеев, АйТи БАСТИОН

Прямо сейчас, к примеру, мы потеряли возможность обмена информацией по потенциальным угрозам и уязвимостям. Эти процессы придется адаптировать и восстанавливать в новой картине мира. Опять же, рассчитывать на использование внешних наработок в качестве готовых компонент становится сложнее, риски выше, плюс сложности с приобретением подписок и технической поддержкой. Как результат – нам просто необходимо выстраивать горизонтальное взаимодействие на нашем рынке и тех, что еще нам доступны, взаимодействие между производителями готовых решений, программных компонент и информационных сервисов.
Если в стране будет возможность инвестировать в разработку перспективных решений, то они будут появляться, самостоятельно или под крылом каких-то существующих игроков в отрасли. мы видим, что многое из необходимого еще можно заместить, если будет запрос и возможность оплатить разработку.

Фото: ru.freepik.com

Опубликовано в журнале "Системы безопасности" №2/2022

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>