Смогут ли банки за два года перейти на отечественное ПО

По указу президента России от 1 мая 2022 года "О дополнительных мерах по обеспечению информационной безопасности РФ", компании, относящиеся к критической инфраструктуре, должны до 2025 года провести импортозамещение программного обеспечения (ПО). Насколько сложна эта задача в финансовой сфере, хватит ли продуктов, специалистов, средств? Эти вопросы мы задали вице-президенту Ассоциации банков России Алексею Войлукову.

Алексей Арнольдович, в прошлом году до 45 процентов всех DDoS-атак из-за рубежа было направлено именно на финансовые институты. Под удар попали только крупные участники рынка?

Алексей Войлуков: В первую очередь известные, у которых много клиентов и средств, - чтобы причинить максимальный ущерб. Но это не значит, что средним и небольшим региональным банкам можно спать спокойно.

У федеральных финансовых структур мощные IT-службы, они ведут собственные разработки. Насколько защищены региональные банки? Они пользуются готовыми продуктами?

Алексей Войлуков: Нет ни одного кредитного учреждения, которое применяет только свои продукты. Это невыгодно экономически: разработка достаточно затратна, для нее нужны программисты с соответствующей квалификацией. К тому же зачем тратить время и деньги на повтор какого-то решения, если их много на рынке?

Надо понимать, что заменить всё сразу невозможно, в первую очередь необходимо сделать то, что критически важно

Конечно, у крупных кредитных организаций имеется определенное преимущество: специалисты, которые умеют купленное ПО настроить под себя, правильно интерпретировать данные, понять, чего не хватает, и дописать или создать свои модули. Регионалам в этом плане сложнее, но у них и нет такой цели. В большинстве случаев они используют решения отечественных вендоров, которые позволяют интегрироваться с разными модулями, в том числе иностранными, какие-то вещи берут у крупных партнеров.

Банковский сектор считается одним из самых высокотехнологичных в России. Что-то изменилось за год?

Алексей Войлуков: Наша отрасль является одной из самых оцифрованных. Не только в сравнении с другими отраслями российской экономики, но и в сравнении с банковскими системами большинства стран мира. На сегодня радикально ничего не ухудшилось, и это плюс, потому что предпосылки были: массовый уход иностранных поставщиков, которые отказались сопровождать свое ПО, закрыли получение обновлений. Поначалу были опасения, справится ли отрасль, но по мере проведения переговоров и переосмысления ситуации они сошли на нет. Установленные IT-решения в большинстве случаев продолжают работать. До 2025 года есть время, чтобы протестировать, докрутить, модернизировать.

Были ситуации, когда поставщик просто перестал исполнять договор и оборудование превратилось в "кирпич"?

Алексей Войлуков: Нет, все функционирует, поскольку внутри самих банков накоплен опыт по настройке и сопровождению. Сложности могут возникнуть по мере выхода обновлений (раньше поставщик направлял патчи с описанием, как активировать определенные функции). Такие "дыры" будут проявляться постепенно, поэтому и появился указ о переходе на отечественное ПО.

Насколько высока сегодня доля иностранного ПО в банках?

Алексей Войлуков: Такую статистику никто не вел. На мой взгляд, соотношение было примерно 30 на 70 в пользу импорта. По средствам защиты информации выбор неплохой, почти в каждом классе есть или создаются отечественные аналоги. Проблема в основном связана с обеспечением сетевой безопасности. При этом надо понимать, что заменить всё сразу невозможно, в первую очередь необходимо сделать то, что критически важно. Государство и коммерческие компании объединили усилия, чтобы выработать единые требования к разработчикам. Основное пожелание банков - производительность и стабильность.

Почему раньше предпочитали импортное ПО? Оно продавалось дешевле или выбор был ограничен?

Алексей Войлуков: Мир тогда мыслил категориями глобализации: в одной стране выпускали инструменты для баз данных, в другой - для аналитики, в третьей - для проведения транзакций. Когда все это можно свободно купить, включая сопровождение на разных языках, создавать весь спектр самому бессмысленно. Поэтому российские компании предлагали свои решения там, где являются передовиками, например в видеоаналитике, или конкурировали в нишевых продуктах.

Сколько вендоров предлагают российское ПО для банковской сферы?

Алексей Войлуков: Более точные данные есть в Минцифры. Могу сказать, что тех, кто специализируется на разработке банковского обеспечения, десятки. А тех, кто поставляет универсальные решения, например для электронного документооборота, сотни. Есть компании, готовые работать по заказу, есть такие, что уже близки к выводу на рынок определенных продуктов, но это не значит, что они могут объять необъятное и за месяц заменить все то, что создавалось за рубежом десятилетиями.

Готовы ли банки на незапланированные траты?

Алексей Войлуков: Они постоянно инвестируют в "цифру". С одной стороны, регулятор изначально выставлял жесткие требования по обеспечению процессов и защите информации - участники рынка привыкли выполнять их. С другой - они ориентированы на работу с потребителями, а это миллионы людей и компаний, которые хотят получить удобный сервис, не выезжая в отделение и не заполняя кучу бумаг. Даже если какой-то вендор ушел, нельзя просто развести руками: "Извините, мы возвращаемся на старые технологии". Надо искать замену, чтобы клиент не заметил перехода.

Насколько реально заменить все импортное ПО к 2025 году?

Алексей Войлуков: Задача, безусловно, сложная. Такие вещи реализуются поэтапно, включая стимулирование инвестиций в IT налоговыми преференциями. Но все реально, если делать, а не рассуждать.

P.S.

С 1 марта 2023 года вступил в силу приказ ФСБ о новом порядке взаимодействия операторов персональных данных с Национальным координационным центром по компьютерным инцидентам. Теперь юридические и физические лица, собирающие сведения, обязаны информировать об утечках в течение суток. Под это правило подпадают семь миллионов организаций в стране. Те из них, что уже подсоединены к инфраструктуре ФинЦЕРТ Банка России (более 1000 игроков финансового рынка), будут передавать сообщения через нее, остальные - через Роскомнадзор, заполнив уведомление о факте неправомерного доступа.

Между тем

На недавнем уральском форуме "Кибербезопасность в финансах" стало известно: в весеннюю сессию Госдума планирует рассмотреть законопроект о том, что IT-фирмы, акции которых находятся в свободном обращении (в том числе торгуются на биржах), могут претендовать на включение своего софта и программно-аппаратных комплексов в реестр отечественного ПО. В частности, предлагается заменить понятие "доля российского правообладателя более 50 процентов" на "контроль над компанией". Если он прямо или косвенно осуществляется россиянами, разработка считается российской. Кроме того, до 30 апреля 2024 года будет создан национальный репозиторий, где соберут ПО с открытой лицензией, то есть то, которое можно использовать и в других проектах.