На форуме в Екатеринбурге назвали барьеры в замене зарубежного ПО

Фото: 66.RU

Главная проблема импортозамещения в кибербезопасности сегодня заключается в системном разрыве между жесткими регуляторными сроками и реальной готовностью рынка. В таком мнении сошлись участники сессии «Больше чем замена — импортоопережение отрасли» Уральского форума «Кибербезопасность в финансах» и опрошенные РБК Екатеринбург эксперты.

На «цифру» активно переходят все важные объекты — от банков до электростанций. Но вместе с новыми возможностями появляются и новые риски: хакеры атакуют не просто один сервер, а всю цепочку создания продукта, утверждает Александр Титов, генеральный директор компании «Флант» (создает и обслуживает ИТ-инфраструктуру для критичных бизнес-приложений). В таких условиях просто заменить одну программу на другую недостаточно — нужен системный подход, при котором выбор платформы становится стратегическим решением еще до начала работ.

«Безопасность должна быть встроена в процесс разработки, — утверждает Титов. — Это лучше, чем исправлять уязвимости поверх готового решения».

Подспорьем в процессе импортозамещения программного обеспечения стали отраслевые полигоны — специализированные тестовые площадки, где ПО проверяют в близких к реальным условиях перед внедрением в критической инфраструктуре. «Это единственная доверенная среда, где продукт уже проверен по согласованным критериям, а не просто представлен в рейтинге», — поясняет руководитель блока «Технологии» Сбербанка Кирилл Меньшов. Если продукт требует доработки — его можно исправить и протестировать снова. По мнению директора департамента трансформации и операционного контроля информационных технологий ПСБ Игоря Панова, это позволяет не тратить ресурсы на повторные тесты и сразу опираться на проверенный опыт.

Таким образом, порог входа в процесс импортозамещения для компаний «второй волны» значительно снижен по сравнению с «первопроходцами». Однако, это не отменяет необходимости стратегического подхода к выбору технологической основы — и здесь эксперты сходятся во мнении о приоритете комплексных решений.

«Переход на отечественное ПО целесообразно начинать с выбора вендора, способного предложить экосистему решений с гарантированной совместимостью компонентов, — считает директор управления операционных систем «Группы Астра» Михаил Геллерман. — Если поставщик сопровождает миграцию на всех этапах — от аудита инфраструктуры и формирования дорожной карты до перехода «под ключ», — процесс становится управляемым и предсказуемым вне зависимости от стартового уровня подготовки организации».

Соответствие программного обеспечения требованиям регулятора по технической защите конфиденциальной информации подтверждается сертификатами Федеральной службой по техническому и экспортному контролю (ФСТЭК) России. Но участники рынка признаются: этого мало. Продукт может быть «правильным на бумаге», но неустойчивым в реальной работе. Именно поэтому полигоны становятся новым стандартом оценки зрелости.

«Отечественный инфраструктурный слой довольно зрелый и на рынке представлены подходящие ОС, системы виртуализации и базы данных», — констатирует Игорь Панов. Однако, по его словам, «ещё есть определённые «белые пятна», проработка которых требует совместных усилий не только финансовых организаций и Банка России, но и других регуляторов — Минцифры и Минпромторга России».

Первую проблемную зону эксперт видит в том, что часть решений базируется на импортном open source, использование которого запрещено в контуре значимых объектов КИИ (ЗОКИИ). Панов предлагает создать «единый открытый доверенный репозиторий».

Вторая ключевая точка роста для рынка — отсутствие отечественных аналогов по некоторым классам оборудования. По мнению Панова, без ускорения разработки «железа» заявленный регулятором срок полного перехода на отечественный стек — 2029 год — может оказаться недостижимым.