По данным Group-IB, в 2021 году в России было зафиксировано почти в четыре раза больше атак на объекты критической инфраструктуры, чем годом ранее. Эксперты ожидают, что их количество еще больше вырастет на фоне сложившейся геополитической ситуации. "В конце февраля был зафиксирован рекордный рост числа атак типа "отказ в обслуживании" (DDoS) на ресурсы государственных учреждений, финансовых структур и промышленных компаний. Вместе с DDoS-атаками также был зафиксирован рост числа фишинговых рассылок пользователям указанных компаний", - говорит директор департамента информационной безопасности и специальных решений Sitronics Group Дмитрий Огородников.
После 24 февраля пользователи Рунета ощутили проблемы с доступностью портала госуслуг, сайтов федеральных органов исполнительной власти, платежных систем, банковских приложений и сервисов - все они находились под мощнейшими DDoS-атаками. К критической информационной инфраструктуре помимо перечисленного относятся также объекты, нарушение функционирования которых может привести к выходу из строя транспортной инфраструктуры, сетей связи, нанесению ущерба жизни и здоровью людей.
Весной 2021 года Госдума приняла закон о введении административных штрафов до 500 тысяч рублей за нарушения при защите критической ИT-инфраструктуры. Изначально переход субъектов КИИ на преимущественное использование российского ПО предполагалось произвести до 1 января 2024 года. Затем по инициативе минцифры срок был сокращен до 1 января 2023-го. При этом особо оговаривалось, что "1 января 2023 года - это не срок, когда все разом уже перешли, а дата, начиная с которой объекты критической инфраструктуры транспарентно для всех начинают переходить на отечественное ПО и "железо", - заявлял замглавы Минцифры России Андрей Заренин.
Во многом решению этой задачи посвящен проект синхронизации реестров отечественного ПО, находящегося в ведении минцифры и реестра отечественного оборудования, за который отвечает минпромторг.
При этом, по словам исполнительного директора АРПП "Отечественный софт" Рената Лашина, российские вендоры готовы в кратчайшие сроки обеспечить сферу КИИ собственными решениями. В 2021 году Ассоциация подготовила для Минцифры России список отечественного программного обеспечения, которое возможно использовать для решения поставленной задачи. В 2022 году этот перечень был обновлен и расширился более чем в два раза.
Ситуация резко изменилась после недавнего указа президента Владимира Путина, из которого следует, что растягивание сроков перевода КИИ на отечественное ПО неприемлемо. С 31 марта 2022 года запрещен без согласования с властями импорт зарубежного софта для объектов КИИ. А с января 2025 года иностранное программное обеспечение вообще нельзя будет там использовать. Правительство в течение месяца должно утвердить требования к ПО, применяемому на объектах КИИ, а также правила согласования закупок иностранного программного обеспечения и услуг, необходимых для его использования. В течение полугода кабмину поручено обеспечить преимущественное применение отечественной радиоэлектронной продукции и телекоммуникационного оборудования на указанных объектах. В частности, предстоит определить сроки и порядок перехода, внести в законодательство поправки в соответствии с указом, создать научно-производственное объединение по разработке, производству, техподдержке и сервисному обслуживанию программно-аппаратных комплексов, организовать подготовку и переподготовку кадров, а также создать систему мониторинга и контроля.
В результате реализации указа президента характер внедрения отечественного софта изменится с преимущественного на всеобъемлющий, отмечает заместитель генерального директора компании РЕД СОФТ Рустам Рустамов. "Если ранее правительство несколько раз сдвигало сроки перевода КИИ на отечественное ПО, то сейчас, в условиях усиленной санкционной политики, президентом определены четкие даты. С 2017 года, когда вышел федеральный закон о безопасности КИИ (№187-ФЗ), российские разработчики проделали большой объем работы. Это касается как создания необходимых технологичных продуктов, так и совместимых программно-аппаратных решений. Именно поэтому мы не всегда согласны с опасениями заказчиков на тему отсутствия в стране качественных аналогов зарубежного ПО. Даже если организации ощущают сложности с интеграцией или функциональностью решений, ИT-компании готовы идти навстречу и дорабатывать свои продукты под их нужды", - сообщил он.
По словам Рустамова, в ближайшее время предстоит решить две задачи: необходимо перерабатывать софт, который разрабатывался целенаправленно под Microsoft Windows, чтобы он мог работать с альтернативными операционными системами. Вторая задача - реализация поддержки государственными информационными системами (ГИС) отечественного ПО. В настоящий момент часто при тестировании ГИС с российской ОС выясняется, что части этих систем требуют Microsoft Windows и Microsoft Explorer.
С учетом того, что работы по отказу от иностранного ПО на КИИ начались относительно давно, еще со дня вступления в 2018 году закона о безопасности критической информационной инфраструктуры, времени до 2025 года вполне достаточно, чтобы перевести инфраструктурные компоненты на отечественное ПО, полагает руководитель направления по работе с технологическими партнерами "Аладдин Р.Д." Сергей Шалимов.
"По нашей оценке, клиентские ОС и офисное ПО уже полноценно замещают западные решения, производители средств криптографической защиты информации (СКЗИ) и средств защиты информации (СЗИ) также давно готовы, - поясняет он. - Остается вопрос о ядре всех информационных систем - доменов безопасности на базе альтернативных LDAP-каталогов. Но просто базы объектов недостаточно, в свободном ПО, которое берется за базу, не хватает функционала по организации управления инфраструктурой, а именно механизмов реализации групповых политик безопасности. Производители серверных ОС работают над этим, и уже есть прототипы".
По словам эксперта, единственное, что пока вызывает опасение, это напряженная ситуация с аппаратной частью, отсутствие достаточных серверных мощностей. В нынешней ситуации оставаться на процессорных архитектурах Intel и AMD не представляется возможным, и в большей степени из-за невозможности исключить аппаратные закладки. Еще один проблематичный компонент - перевод инфраструктуры производственных линий АСУ ТП. Здесь времени до 2025 года может оказаться недостаточно. Выходом может стать гибридный подход, когда, используя текущие решения по безопасности, будет возможно оградить инфраструктуру АСУ ТП от атак и рисков, постепенно внедряя решения по безопасности в отечественные разработки аппаратной и программной составляющей решений АСУ ТП.
Необходимость отказа от использования иностранного ПО на объектах КИИ можно рассматривать даже вне контекста импортозамещения, отмечает директор по инновационным проектам ГК InfoWatch Андрей Арефьев. По его словам, существующие в таком ПО уязвимости могут использоваться для реализации атак. "Среди рисков использования иностранного ПО на объектах КИИ, независимо от программы скорого импортозамещения, эксплуатация хакерами веб-уязвимостей в самих программных продуктах. Между тем ограничение или прекращение доступа, а также недоступность обновлений ряда ИТ-продуктов зарубежного производства на промышленных предприятиях увеличивает риски успешных хакерских атак", - поясняет эксперт.
По словам Арефьева, в текущих условиях российский рынок информационной безопасности способен частично решать возможные проблемы ИТ и перехода с иностранных программных продуктов и аппаратных платформ за счет построения защищенного периметра ИТ-инфраструктуры.
При этом важно учитывать и динамичность рыночных процессов. В частности, то или иное ПО может менять собственника или юрисдикцию. Для решения этой задачи Минцифры РФ проработает вопрос о создании механизмов противодействия и реагирования в случае продажи прав на программные продукты, включенные в реестр отечественного ПО, иностранному юрлицу. По данным издания Tadviser, министерство предлагает рассмотреть вопрос введения процедуры уведомления минцифры о переходе исключительных прав на ПО за пределы РФ, а также наделить министерство и его экспертный совет по программному обеспечению полномочиями согласовывать сделки, в результате которых передаются исключительные права на софт из реестра отечественного ПО. Такой контроль предлагается распространить не на все ПО из реестра, а только на то, которое имеет ключевое значение для обеспечения безопасности на объектах критической информационной инфраструктуры.