Сергей Бочкарёв: «Хочется, чтобы рынок играл по одним правилам»

Сергей, весной прошлого года с российского рынка ПО начали массово уходить западные производители. Как это отразилось на производителях и потребителях ИТ-продуктов в России?

Отечественные производители и заказчики, с одной стороны, были вынуждены подстраиваться под ситуацию такого ухода, с другой – под требования регуляторов. Зачастую этот процесс приобретал и приобретает до сих пор причудливые формы. Так, наша компания предложила бесплатные лицензии на несколько месяцев заказчикам с критической инфраструктурой. Активно воспользовались этим предложением в том числе крупные финансовые структуры, которые заявили нам, что они КИИ. Однако ни одна из этих компаний не приобрела наше решение несмотря на то, что мы единственные в своем сегменте рынка имели сертификат ФСТЭК по ОУД4.  Одно можно сказать уверенно – уход иностранных вендоров не стал причиной массового перехода на отечественное ПО. Хотя речь об импортозамещении шла с 2014 года, по нашим наблюдениям, оно не состоялось. Нам это подтверждают наши собеседники и в России, и в Белоруссии. 

Почему?

Потому что заказчики привыкли к определенным продуктам, выстроили под них многие процессы. Это дорогое ПО, и оно работает даже при отсутствии техподдержки. Сами они вряд ли перейдут на отечественное ПО, если только их не заставят. Их может заставить регулятор через требование приобретения, скажем, сертифицированного ПО.  

А каждому ли российскому решению нужен сертификат ФСТЭК России?

Конечно, сертифицировать во ФСТЭК России нужно далеко не все решения. Необходимость проведения сертификации зависит от требований, предъявляемых к объекту информатизации, и регламентируется в соответствующих документах регулятора. В частности, это те решения, которые стоят на объектах КИИ, в ГИС, ИСОПД и др. 

Сертификат ФСТЭК России подтверждает зрелость решения и процесса его подготовки. Также он подтверждает отсутствие не заявленных производителем функций, которые могут быть использованы для различных действий – в том числе и злонамеренных – со стороны производителя или третьих лиц. Подтверждается, что в шаблонах и компонентах продукта нет уязвимостей, через которые целостность информации может быть нарушена. А в случае выявления ошибок производитель способен оперативно сообщить об этом заказчикам и провести работы по устранению уязвимости. Это подтверждение от ФСТЭК России нужно, скорее, не нам, а нашим заказчикам.

Скажем, мы сертифицировали наш продукт СКДПУ НТ Шлюз доступа потому, что внутри него хранятся данные, в том числе о сессиях доступа к ИТ-инфраструктуре, о пользователях. Эту важную информацию софт может изменить или удалить. Сертификат регулятора – это гарантия нашей надежности перед заказчиком, а не только удовлетворение требований «нормативки». В прошлом году мы получили сертификат ФСТЭК России на 4 уровень доверия на ядро нашего комплексного продукта СКДПУ НТ. Другие части комплекса не нуждались в сертификации, потому что не относились к перечню продуктов, указанных в нормативных документах.

Сейчас мы идем к тому, чтобы хранить аналитику и статистику в другом нашем продукте – СКДПУ НТ Мониторинг и аналитика. Изначально он был лишь модулем к основному решению, но теперь перерос в большой самостоятельный продукт, поэтому он сейчас проходит сертификацию во ФСТЭК России. Получать сертификат только на неосновную часть продукта, не сертифицировав ядро продукта, основной функционал, по большому счету бессмысленно, т.к. не гарантирует ничего и не дает возможности аттестовать систему в целом. Использование сертифицированной подобным образом системы несет риски как для инфраструктуры заказчиков, так и для репутации вендора.

Вы считаете, что такие риски сейчас стоят перед заказчиками?

Да, в текущих условиях заказчики могут получать предложения о якобы сертифицированных решениях, в которых сертифицирована по факту только часть, отдельный модуль. Да, эта часть продукта соответствует заявленным техническим условиям, но она не хранит критически важные данные, а лишь «прилагается» к ядру продукта, внутри которого эта информация как раз есть, но оно не сертифицировано. А значит, отсутствие уязвимостей в нем не подтверждено. По сути, это лукавство со стороны производителя, который старается зайти на рынок тех заказчиков, для которых сертификация ПО важна и необходима. 

А что, если какая-то крупная структура, не относящаяся к КИИ, но хранящая и обрабатывающая большие объемы чувствительных данных, не пользуется сертифицированным решением?

Тут довольно интересный вопрос, на который мы бы и сами хотели знать ответ. Ни для кого не секрет, что очень многие крупные организации – как финансовые, так и работающие на госструктуры – используют несертифицированное ПО, работающее на Windows, в том числе для обеспечения информационной безопасности. Как я уже говорил, в прошлом году мы ждали мощной волны импортозамещения, но ее не случилось. Активно импортозамещаются государственные структуры и, по нашей статистике, нефтегазовая отрасль. Остальные игроки рынка затаились и ждут. И интересного, чего.

Потому что если взять тот же Windows, то нужно понимать, что есть Указ Президента России №250 от 22 мая 2022 года. Там прописано, что объектам критической инфраструктуры и другим организациям, которые подходят под это описание, к 2025 году нужно перейти на отечественное ПО. Безусловно, будут исключения, если будет дано железобетонное обоснование о невозможности ухода от иностранного ПО. Но нужно понимать, что то, что вы сегодня покупаете, через 1,5 года уже не должно функционировать, и снова придется искать замену. Это дополнительные траты и риски. 

Но ведь сертификаты Windows есть в Реестре отечественного ПО. Зачем менять решения?

Да, сертификаты Microsoft есть в Реестре. Но сертификат необходимо периодически продлевать, и если его действие до сих пор не закончилось, то скоро закончится.  Кроме того, уязвимости постоянно выявляют даже в самых надежных системах. Если вы устанавливаете обновление самостоятельно, то используемый вами продукт автоматически перестает быть сертифицированным. А если вы этого не делаете, то вы работаете с ИБ-системой, которая сама имеет массу известных широкому кругу лиц уязвимостей. На официальном сайте Microsoft есть информация о технической поддержки тех версий, на которые есть сертификаты ФСТЭК России — Windows Server 2012, у них техподдержка заканчивается в октябре 2023 года. Соответственно, если она не будет официальна продлена, то у ФСТЭК России не будет основания держать сертификаты на эти версии в своем реестре. И я не слышал, чтобы Майкрософт была заинтересована в поддержке этих версий. Осталось сейчас несколько месяцев. Если они не будут продлевать тех поддержку, то регулятор без зазрения совести может взять и отозвать сертификаты на эти версии.

Если приземлять вопрос на наш рынок PAM, то самый популярный зарубежный продукт на российском рынке в недавнем прошлом – израильский CyberArk – работает именно на Windows. Что будет после того, как закончится техподдержка на Windows? – интересно. К тому же, продукт был сертифицирован только по ТУ, а не по НДВ.

Хотелось бы, чтобы рынок играл по одним правилам. И если мы говорим о технологическом суверенитете, то чтобы в эту сторону шли все участники рынка.