Актуальность этого вопроса вызывает интерес не только у руководства страны, но и у исследователей и практиков. Нацпроект «Цифровая экономика» служит руководством для реализации стратегии импортозамещения в области защиты информации. Импортозамещение помогло ускорить разработку и вывод на рынок отечественного программного обеспечения. События 2022 года коренным образом изменили инфраструктуру российской индустрии ИБ. Тенденция к импортозамещению в сфере информационной безопасности началась гораздо раньше, чем в других областях.
Ключевые слова: импортозамещение, рынок ИБ, информационная безопасность
Импортозамещение — это процесс замены иностранных продуктов и товаров на аналогичные, произведенные внутри страны.
В контексте информационной безопасности основной задачей является обеспечение управляемости, надежности и независимости программного, аппаратного обеспечения и средств защиты информации.
Необходимость цифровой трансформации на основе отечественных решений прямо обозначена в национальной программе (национальном проекте) «Цифровая экономика»: Согласно целевым показателям, установленным в паспорте проекта, стоимостная доля отечественного программного обеспечения, приобретаемого или арендуемого органами государственной власти, должна расти на 5 % в год и увеличиться с 70 % в 2020 году до 90 % в 2024 году. Для государственных корпораций и предприятий с государственным участием этот показатель должен увеличиться с 50 % в 2020 г. до 70 % в 2024 г. [1].
Учитывая существующие внешние вызовы, которые серьезно повлияли на развитие России с 2014 года, и санкционную политику западных партнеров, российское руководство пришло к логическому выводу, что импортозамещение уже является насущной необходимостью. Тем более что для этого имеются все ресурсы: человеческие, промышленные и технологические.
Сегодня в Российской Федерации действует единый реестр российских программ для электронных вычислительных машин и баз данных, созданный в соответствии со статьей 12.1 Федерального закона «Об информации». Основной целью его создания является расширение использования российских программ для электронных вычислительных машин и баз данных, подтверждение их происхождения в Российской Федерации и предоставление мер государственной поддержки их правообладателям.
Разработчики программного обеспечения активно регистрируют свои программы в этом едином реестре. Если в феврале 2016 года насчитывалось 72 программы, то к концу сентября того же года было зарегистрировано более 600 продуктов. Сегодня их насчитывается более 6,5 тыс. [2]
Импортозамещение не следует путать с обменом этикетками. Некоторые организации хитрят: они берут западный продукт, наклеивают на него наклейку, и это российский сервер. Однако с программными решениями ситуация несколько сложнее. Иногда российский продукт разрабатывается на основе зарубежных решений с открытым исходным кодом — это вполне законно. С псевдороссийским продуктом, конечно, можно какое-то время формально соответствовать требованиям регулятора, но где гарантия, что Минкомсвязи России не исключит его из реестра? Примеры этого уже есть.
Давайте рассмотрим пример класса решений SIEM. Система управления событиями ИБ — это «мозг» и источник Больших Данных в информационной безопасности. Решение SIEM изначально считается громоздким, поэтому мы, разработчики, стараемся сделать его как можно более простым. И его по-прежнему очень сложно внедрить вручную, без специалистов.
Везде одно и то же: замещать импорт легче там, где есть сильные службы внутренней безопасности и соответствующие ресурсы. Крупные компании могут позволить себе использовать 3–6 испытательных стендов. Но для малых и средних предприятий это очень сложно. Им приходится полагаться на отзывы других клиентов, сарафанное радио и, к сожалению, маркетинговые материалы.
Россия находится на очень хорошем пути в области информационной безопасности и в настоящее время является одной из ведущих стран по производству программного обеспечения для защиты информации на уровне разграничения прав доступа, внешнего вторжения, анализа кода, анализа различных попыток вторжения и атак, потому что это соответствует нашей геополитике. Другие районы развиваются не так быстро, потому что правительство вкладывает в них меньше средств. Хотелось бы отметить, что в области информационной безопасности Россия обладает пулом серьезных решений, которые имеют конкурентные преимущества и могут конкурировать на мировом уровне [3].
Единый портфель системного и инфраструктурного программного обеспечения Astra (по аналогии с Microsoft или Red Hat) состоит из 12 продуктов, которые легко интегрируются и составляют основу информационных систем организации любого размера и отраслевой принадлежности. В дополнение к операционной системе Astra Linux, она включает решение для управления ИТ-инфраструктурой ALD Pro, пакет виртуализации Brest, а также платформы управления физической и виртуальной инфраструктурой и биллингом DCImanager, VMmanager и BILLmanager, программное обеспечение для инфраструктуры виртуальных рабочих столов Termidesk, корпоративную почту RuPost и мобильную рабочую станцию WorksPad, а также платформы управления и мониторинга СУБД PostgreSQL и Tantor DBMS. Вся информация надежно и эффективно резервируется с помощью RuBackup, нашего собственного инструмента резервного копирования.
В стратегические планы Astra Group входит дальнейшее расширение стека программного обеспечения и увеличение количества решений, как за счет инвестиций во внутреннюю разработку, так и за счет приобретения уже сформировавшихся команд, обладающих экспертизой в конкретных проектах и областях. Эти планы позволят компании создать надежную, безопасную и автоматизированную среду для всех типов рабочих нагрузок приложений.
«Астра» в течение последних нескольких лет активно работала над совместимостью своего программного обеспечения с продуктами других ИТ-поставщиков. Число технологических партнеров группы продолжает расти. В результате получилась самая обширная экосистема на российском рынке, включающая несколько тысяч программных и аппаратных решений — как собственных, так и партнерских.
Некоторые из них предназначены для использования в наиболее критических секторах экономики: на объектах критической инфраструктуры, крупных промышленных предприятиях, включая нефтегазовую промышленность, и в финансовом секторе.
Очень чувствительным вопросом является безопасность операционной системы. Как вы знаете, Linux состоит из множества компонентов, которые каждый разработчик или дизайнер собирал на основе ядра по своему усмотрению. Может ли первоначальная свобода творчества впоследствии обернуться проблемами неконтролируемого доступа?
В компании Astra вся инфраструктура для создания операционных систем хранится на серверах, изолированных от Интернета, и к ней нет публичного доступа. Пользователи имеют доступ только к бинарному хранилищу, где хранятся уже скомпилированные программы. Они подписаны ЭЦП, и можно проверить целостность всех содержащихся в них пакетов. Исходные коды также проверяются на безопасность и уязвимости. Все делается в соответствии с нормативными документами, а затем сертифицируется надзорным органом по стандартным методикам.
Кстати, Astra Linux Special Edition — единственная из российских Linux-ОС, которая располагает сертификатами одновременно и от ФСТЭК, и от ФСБ, и от Министерства обороны на право обработки гостайны. Отметим, что она проверена ФСТЭК по профилю защиты операционных систем типа А с присвоением первого класса защиты и первому уровню доверия. Подобный уровень проверки смогла пройти только эта ОС.
Она работает в двух режимах защищенности: «Усиленном» и «Максимальном». Основные защитные механизмы — замкнутая программная среда, мандатный контроль целостности, мандатное управление доступом, гарантированное затирание удаляемых данных.
Позиции «Астры» на рынке операционных систем и до 2022 года были весьма устойчивыми, но начавшийся с февраля дрейф Windows-софта из России превратил спрос на Astra Linux в настоящую лавину. Сейчас заказчиков из финансового и промышленного сектора интересует преимущественно то, насколько быстро им удастся перевести свою инфраструктуру на новую операционку. И «Астра» играет «по-крупному». Если уж становиться в России заменой Microsoft, так без компромиссов.
Клиенты, привыкшие к сервису мирового уровня, требуют такого же уровня обслуживания от отечественной компании, и «Астра» старается не снижать планку, установленную глобальными игроками. Они гордятся тем, что немногие российские провайдеры вкладывают столько средств в техническую поддержку и внедрение.
Описанная выше экосистема была спроектирована таким образом, чтобы каждый клиент — от малого до крупного — мог получить необходимую ему конфигурацию решений. Программные средства для автоматизированного развертывания, управления и обслуживания предназначены для того, чтобы сделать инфраструктуру масштабируемой и реконфигурируемой без необходимости «изобретать колесо», чтобы стоимость для клиента не увеличивалась сверх необходимого.
И широта решений Astra не означает, что в предлагаемых комбинациях нет места для решений других поставщиков. Предположим, клиент хочет установить сервер Astra Linux на виртуализации VMware и почтовый сервер Rupost поверх него. Нет проблем: он получает сценарий, созданный по модели infrastructure-as-code, и почтовый сервер разворачивается автоматически.
Microsoft работает аналогичным образом. Клиент получает платформу Exchange в сочетании с Active Directory, которая управляет пользователями, а также предоставляет продукты Office и базы данных. Этот пакет облегчает жизнь ИТ-персоналу заказчика, за что они его и любят [4].
В 2022 году доля Astra Linux на российском рынке операционных систем составила около 70 %: более полутора миллионов установок, более 14 000 клиентов в бизнесе, образовании, здравоохранении и государственном управлении. Если вернуться к началу, когда мы говорили о возможностях и масштабах российских вендоров, то вывод напрашивается сам собой.
Из всех отечественных операционных систем наиболее известными и обсуждаемыми являются Astra Linux и Alt OS (ALT). По мнению бывшего советника президента по информационным технологиям Германа Клименко, у них больше всего шансов заменить Windows в России. ОС «Альт» — пожалуй, самый популярный и одновременно самый старый отечественный дистрибутив Linux. Проект является одним из многолетних фаворитов и находится в разработке уже более 20 лет; у него даже есть собственное большое сообщество поклонников.
Разработчики программно-аппаратных комплексов (ПАК) могут быть включены в российский реестр программного обеспечения (ПО) Министерства цифровой экономики и получить налоговые льготы. Соответствующий проект постановления правительства опубликован на федеральном портале проектов правовых актов. На данный момент это касается только ПАК для защиты от несанкционированного доступа к информации и РАС для искусственного интеллекта, говорится в документе.
ПАК — это совокупность устройств и программного обеспечения, обеспечивающего их работу. Ранее за реестр бытовой техники отвечало Министерство промышленности и торговли. Министерство также планирует разработать систему баллов, которая позволит определять в реестре степень локализации производства того или иного «железа». Министерство цифровой экономики отвечает за реестр отечественного программного обеспечения. Теперь в реестр программного обеспечения будут включены и некоторые отечественные разработки, за которые отвечало Министерство промышленности и торговли [5]. Специалисты «Айтеко» давно внедряют российские разработки для обеспечения информационной безопасности.
Сегодня реально практически полностью заместить ИБ-решения от Fortinet продуктами от UserGate, Eltex, «Кода безопасности», «Фактор-ТС», «Инфотекс», «Лаборатории Касперского», InfoWatch, «Конфидент», SafePhone, «Газинформсервиса» и других вендоров, в том числе менее крупных. Хороший пример — линейка Efros от «Газинформсервиса», которая отвечает за контроль конфигурации аппаратного и сетевого оборудования и помогает специалистам по ИБ отслеживать внесенные изменения.
Также заказчиков сегодня очень интересуют сканеры для выявления уязвимостей в ИТ-инфраструктуре. У российских производителей есть решения, и хороший тому пример — «Сканер-ВС» от разработчика «Эшелон».
Сложнее всего в плане информационной безопасности обстоит ситуация с Cisco. Коммутаторы, маршрутизаторы, роутеры Cisco заменить можно, однако по ряду ИБ-продуктов аналогов нет. К примеру, есть проблемы с Cisco ISE — платформой, представляющей класс решений для контроля доступа к сети (NAC). Тяжело приходится сейчас компаниям, которые всю свою экосистему построили на Cisco. Альтернатив действительно пока нет: протоколы проприетарные.
В то же время взамен можно подобрать решения нескольких российских вендоров. Сегодня есть запросы от компаний на решения NAC, имеющие сертификацию ФСТЭК и соответствующие уровню доверия 5 или 6 (ОУД5 / ОУД6). «Айтеко» также занимается внедрением отечественных продуктов со встроенными средствами защиты информации, в том числе собственных.
Среди них — система управления печатью «Принт-Икс», которая повышает безопасность и конфиденциальность данных, а также позволяет избежать утечки информации из-за неавторизованной печати, использования неправильного принтера или забытых на принтере документов. Для проведения печати и копирования нужна авторизация на устройстве, есть блокировка печатающих устройств в режиме ожидания. «Принт-Икс» внедряется в инфраструктуру заказчика, совместим с оборудованием различных вендоров, в том числе отечественных. Система сертифицирована ФСТЭК, включена в Реестр российского ПО. [4]
В конце 2018 года была выпущена директива за подписью тогдашнего вице-премьера Антона Силуанова о том, что государственные предприятия должны перейти на отечественное программное обеспечение к 2021 году. В свою очередь, пресс-секретарь президента России Дмитрий Песков заявил, что хотя отечественное программное обеспечение пока не может быть полностью заменено иностранным, это важный вопрос для цифрового суверенитета Российской Федерации.
Однако проблемы все еще существуют, и скрыть их просто невозможно. Помимо попыток внедрения процесса импортозамещения в сфере цифровой безопасности, включая продвижение отечественных производителей и принятие ряда нормативно-правовых документов, регулирующих этот вопрос, есть и другая сторона медали.
Сейчас мы поговорим о компании Polycom/Plantronics, Inc. и «успешном» использовании их программного обеспечения в Российской Федерации в сложившихся условиях. Компания известна во всем мире производством систем и инфраструктур аудио- и видеоконференций, в том числе для документирования конференц-сессий, организации телефонных конференций с очень большим числом активных участников, а также устройств для расширения функций традиционных видеоконференций.
Стоит также отметить, что гарнитуры Plantronics пользуются большим спросом у ЦРУ США.
16 апреля 2020 года, на фоне глобальной пандемии коронавирусных инфекций и изоляции россиян, премьер-министр России Михаил В. Мишустин провел заседание правительства Российской Федерации, которое транслировалось по всем федеральным каналам. В ходе встречи использовалась самая современная технология видеоконференций. «Ложкой дегтя» стало публичное использование оборудования американской компании Polycom в течение этого времени. [2]
Реестр российских программ и баз данных — это своего рода инструмент выбора. Нам, как поставщикам услуг, трудно судить об удобстве системы, поскольку мы ее не используем. Реестр представляет собой динамически изменяющийся список разрешенного программного обеспечения и баз данных. Поэтому существуют объективные трудности: Невозможно достичь ситуации, когда все продукты будут включены в реестр. Кроме того, существует множество проблемных сценариев, связанных с так называемой динамикой регистра. Одни продукты попадают в реестр, а другие выбывают. Сегодня клиент купил товар в кассе, а завтра этот товар уже не считается российским. Это создает объективные трудности для клиентов. Другая сложность заключается в том, что подавляющее большинство продуктов в реестре в основном работают под управлением Окна. За эти годы отечественные разработчики не сидели сложа руки и создали целый ряд продуктов, способных заменить иностранные системы и средства информационной безопасности. Как видно из таблицы, замены есть практически в каждом сегменте рынка и для большинства основных категорий, вплоть до относительно новых категорий, таких как BAS или разведка угроз. Российские альтернативы существуют лишь в нескольких областях, которые в принципе никогда не были особенно актуальны для отечественных клиентов: CASB, SASE. В то же время не хватает таких важных инструментов, как Container Security Tools. Мы предполагаем, что наш навигатор будет полезен и российским поставщикам решений по защите информации, поскольку покажет им, в каких сегментах рынка необходимы новые, качественные продукты.
С другой стороны, не каждое программное обеспечение имеет отечественный аналог. На разработку новых решений могут уйти годы, что крайне важно не только для бизнеса, но и для правительства. Нам повезло — мы одними из первых поняли, что системы класса SIEM необходимо импортировать. Однако многие компании вынуждены в последний момент прибегать к незрелым или недостаточно проверенным решениям.
Этим клиентам необходимо создать тестовые среды, протестировать программное обеспечение, чтобы убедиться в его работоспособности, и обучить свой персонал работе с программным обеспечением. Небольшая компания справится, но для организации с десятью, двадцатью, тридцатью тысячами сотрудников и отлаженными процессами это будет очень сложно.
Представьте, что во время атаки импортные устройства и программное обеспечение, установленное в компании, перестали работать. Мы бы вернулись в каменный век. Вероятность такого развития событий невелика, но все же следует иметь это в виду.
Реестр отечественного программного обеспечения пока не очень удобен для пользователя. Организация работает над созданием каталога и улучшением представления информации. Часто клиенты не знают, что существуют отечественные аналоги и альтернативы, и у них не так много вариантов, которые они могут искать. Но теперь работа с поставщиками из России имеет множество преимуществ, начиная от цены и заканчивая сервисом и готовностью компании реагировать на потребности клиентов. Сбор первичной информации об определенных продуктах в определенной нише — в этом смысле реестр выполняет свою функцию. Но пока этого недостаточно для создания крупных проектов, приходится обращаться к интеграторам или поставщикам за дополнительной информацией. Российские компании, производящие программное и аппаратное обеспечение, сейчас как никогда нуждаются в государственной поддержке; нам нужна поддержка молодых специалистов, которые начинают свою карьеру, защищая государственные интересы. Только тогда мы сможем говорить о реальных результатах, наказывать виновных и поощрять вовлеченных. Российская Федерация может стать примером для других стран мира, когда речь идет о полном замещении импорта во всех областях, включая информационные технологии.
Литература:
- «Паспорт национального проекта «Национальная программа «Цифровая экономика Российской Федерации» (утв. президиумом Совета при Президенте РФ по стратегическому развитию и национальным проектам, протокол от 04.06.2019 N 7)
- Импортозамещение в сфере обеспечения информационной безопасности. Электронный источник — https://zapravdu.org/2020/05/04/importozameshhenie-v-sfere-obespecheniya-informacionnoj-bezopasnosti/ дата доступа 01.01.2023
- Реальности импортозамещения в России: достижения, проблемы и решения Электронный источник — https://www.itsec.ru/articles/importozameshcheniya-realnost-v-rossiya-dostizheniya-problemy-i-resheniy дата доступа 01.01.2023
- Astra Linux в России станет полноценной заменой уходящей Windows? Электронный источник — https://www.cnews.ru/reviews/importozameshchenie_2022itogi_i_plany/cases/astra_linux_v_rossii_stanet_polnotsennoj дата доступа 01.01.2023
- Минцифры планирует добавить программно-аппаратные комплексы в реестр российского ПО. Электронный источник — https://www.vedomosti.ru/technology/articles/2022/08/30/938180-mintsifri-dobavit-kompleksi дата доступа 01.01.2023
