Перейти нельзя игнорировать: ставим запятую в вопросе импортозамещения ПО

Дедлайн по переходу на преимущественно российское ПО все ближе. К началу 2025 года российские компании должны подобрать и внедрить в свою ИТ-инфраструктуру отечественные средства защиты информации (СЗИ). 

Но — вот неожиданность! — у 61% госорганов и 75% госкомпаний отсутствуют планы импортозамещения. Такие данные 17 апреля на годовом собрании участников АРПП «Отечественный софт» озвучил Илья Массух, директор Центра компетенций по импортозамещению в сфере ИКТ (АНО ЦКИТ).

Откуда такой рассинхрон в целях и как выработать комплексную стратегию обеспечения информационной безопасности предприятия при переходе на российские решения в авторской колонке рассказывает директор департамента развития технических продаж Innostage Максим Хараск.

Сроки короткие — цели масштабные

Для тех, кто до последнего откладывал «миграционный» вопрос, перевести ИТ-инфраструктуру на отечественные рельсы в такой короткий срок — это настоящая задача со звездочкой. Без четкой инструкции такая планка кажется недостижимой.

Впрочем, крупным компаниям с большой и распределенной инфраструктурой, которые «ели слона по частям» и встраивали новые ИТ-решения как отдельные пазлы, тоже приходится ускорять темп и проверять, правильно ли собирается общая картинка. Ведь каждый неверно совмещенный стык создает уязвимость, которой не преминут воспользоваться хакеры.

К слову, хакерская активность возрастает день ото дня: растет и мощность, и количество атак. По отдельным категориям, например, по количеству DDoS-атак за первый квартал 2024 года показатели выросли почти втрое.

Фактически, «перестраиваться» приходится в экстремальных условиях — будучи на мушке у взломщиков. Это как одной рукой придерживать входную дверь в квартиру, чтобы в нее не вломились преступники, а другой — делать в этом же помещении капитальный ремонт. Прибавьте сюда условие, что на завершение миграции ПО (в нашем примере с ремонтом — замена старых стройматериалов на новые) остается менее года. Вот такой вызов стоит для отрасли ИТ и ее пользователей.

По объективным причинам дедлайн по импортозамещению ПО не раз смещался на более поздние сроки. Возможно, в этот раз снова последует отсрочка в несколько месяцев. Но слишком длинное промедление опасно как для самих предприятий, так и для целых отраслей, в которые входят объекты КИИ, их подрядчики и партнеры. 

Как организациям полностью перейти на отечественное ПО и оборудование к началу 2025 года с учетом препятствий в виде возрастающей хакерской активности? Сейчас попробую ответить.

Кто под прицелом

Если раньше основной целью киберпреступников были прежде всего объекты критической информационной инфраструктуры, то сейчас атакуют даже средний и малый бизнес. В некотором смысле, такие компании даже интереснее для хакеров: они менее защищены и могут стать точкой входа для охоты на более крупную рыбу. Из этих соображений все чаще взламывают небольшие подрядные организации, а уже через них проникают в целевую инфраструктуру заказчика.

В практике нашего Центра противодействия киберугрозам SOC Innostage CyberART нередки случаи, когда причиной компьютерных инцидентов были именно атаки через цепочки поставок ПО, услуг, сервисов подрядными организациями и использование уязвимостей самих ИТ-продуктов, а также инфраструктур этих компаний. 

Сжатые сроки, отведенные на импортозамещение ПО и оборудования, приводят к кратному увеличению ошибок в проектировании и системном администрировании новой ИТ-структуры. Как результат, могут появиться новые уязвимости, приводящие к утечке данных и другим критичным последствиям.

В то же время, при взвешенном подходе импортозамещение — не просто дополнительная нагрузка на бюджет компании, а инвестиция в усиление киберустойчивости.

Так, если на старте перехода проведен тщательный аудит ИТ-активов и грамотно выстроена будущая архитектура, это позволит не только избежать новых уязвимости, но и вскрыть те, которые ранее себя не обнаружили. А самое главное — устранить недочеты раньше, чем о них узнают хакеры.

Стратегии импортозамещения

Фактически, базовых стратегий импортозамещения ПО всего две: выжидать или действовать на опережение.

Есть компании, которые до последнего сохраняют и поддерживают свою текущую инфраструктуру. Они заняли выжидательную позицию, наблюдают за тем, как меняется ситуация и как на нее реагируют другие участники рынка, при этом сами пока не торопятся импортозамещать решения. Возможно, они надеются на очередное послабление в сроках, игнорируя факт повышенной уязвимости нелицензированного ПО и связанных с этим угроз ИБ. Лично мне такая позиция напоминает оркестр, продолжавший играть на тонущем Титанике. В лучшем случае такие компании находятся на стадии тестирования и еще не подобрали себе подходящий вариант, что хотя бы оставляет им шанс на «спасательные шлюпки». Фактически, их сдерживает зависимость от привычной системы, которая может оказаться вредной и даже разрушительной.

Немало и предприятий, которые стремятся быть первыми и оперативно заменяют все иностранное программное обеспечение на отечественное. Такая легкость на подъем похвальна. Но только при условии соблюдения обязательных процедур, таких как тестирование, проверка на безопасность, отказоустойчивость и быстрое восстановление после сбоев. Кроме того, в попытках замены ИБ решений под ключ возникает риск переплатить: то есть приобрести аналоги того, что уже было и безотказно работало.

Что касается самой беспроигрышной стратегии, то она в комплексном подходе, который позволяет оценить достаточность уже примененных решений и необходимость их замены для максимально эффективного результата. Таким образом достигается баланс между качеством, скоростью и доступностью импортозамещения ПО.

Этот принцип Innostage использует в проектировании киберархитектуры, чтобы одновременно с миграцией ПО и данных обеспечить защиту и бесперебойность ключевых сервисов и технологических процессов. Причем на клиентах, партнерах и других значимых для бизнеса категориях та титаническая работа, которая в это же самое время производится «под капотом», не должна отразиться ни малейшим образом.

Кстати, собственный «капот» мы будем приоткрывать 23-26 мая на международном киберфестивале Positive Hack Days 2 в Москве. Innostage сталкивается с теми же вызовами, что и любая другая компания, и нам также важно регулярно пользоваться импортозамещенным ПО и средствами защиты информации.

Шаги к киберустойчивости

Подход Innostage — включает в себя массив данных о типовых проблемах ИБ и путей их устранения, структурированный в виде поэтапных задач ИБ и вариантов защитных мер с учетом различных факторов.

Подход состоит из пяти шагов, или этапов. На начальном этапе проводится оценка уровня кибербезопасности с анализом текущего состояния ИТ-инфраструктуры и выявление потенциальных точек проникновения. Этап включает модель оценки рисков на основе лучших мировых и отечественных практик.

Далее актуализируется дизайн целевой архитектуры и определяется взаимосвязь артефактов.

Третий этап — трансформация инфраструктуры и определение важности каждого объекта защиты с учетом количества процессов, необходимых для обеспечения его кибербезопасности, а также внедрение защитных мер на практике. Здесь же проводятся испытания систем на устойчивость и восстановление после сбоев.

Четвертый — сквозной этап — подготовка и обучение персонала. Процессы по этому направлению начинаются на предыдущих этапах и развиваются по нарастающей. Все сотрудники регулярно проходят обучение по повышению осведомленности, а эксплуатационный персонал участвует в киберучениях и совершенствует навыки работы с системами защиты информации. Эффективность предпринятых мер проверяется пентестами.

Заключительный этап — независимая оценка устойчивости отдельных систем и организации в целом. Она проводится с использованием внешних пентестов и запуска программы bug bounty.

В ходе подготовки к нашей собственной программе bug bounty мы использовали цифровые продукты Positive Technologies, Xello, CyberPeak, UserGate, ИТ-Экспертизы и НетХаб. Подчеркну: разработки этих производителей приводятся на основе пользовательского опыта компании, то есть они были внедрены в ИТ-инфраструктуру Innostage и испытаны «в бою». Конечно же, этими брендами список надежных российских вендоров софта и оборудования не ограничивается. Методология учитывает как собственные решения Innostage, так и продукты более сотни отечественных компаний-разработчиков.

Оптимальные с точки зрения бюджета, функционала и уровня защищенности комбинации формируются индивидуально, исходя из потребностей заказчика, объема и качества его ИТ-активов.

Вместо вывода

Как экспертам в сфере кибербезопасности, не могу не напомнить: импортозамещение ПО и оборудования производится не для галочки, это реальное условия для развития бизнеса и конкурентоспособности в новых условиях. При правильном планировании такие меры приводят к повышению кибербезопасности, сохранению данных и непрерывности бизнес-процессов. Оперативное и качественное импортозамещение позволит компаниям не только соответствовать требованиям законодательства, но и находить надежные альтернативы иностранным программам, сокращая при этом расходы на лицензии и техническую поддержку. Использование отечественного ПО и предоставление обратной связи о его совершенствовании также способствует развитию отечественной ИТ-индустрии и экономики в целом.