В этой статье мы обсудим импортозамещение средств защиты информации. Импортозамещение обязывает проводить указ президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Шаг ожидаемый, и даже неизбежный, большинство производителей и поставщиков средств защиты информации из России ушли, остановили продажи и поддержку, закрыли представительства, а и сами средства защиты производились в недружественных, теперь уже, государствах.
Касается 250 указ далеко не всех. Если коротко и упрощенно, то касается он государственного аппарата, правительства, госфондов, стратегических предприятий, оборонной промышленности и субъектов критической информационной инфраструктуры, а это медицина, наука, образование, транспорт и т.д. На всех остальных, кто не относится к субъектам КИИ, государству и оборонно-промышленному комплексу, действие этого указа не распространяется, но это не значит, что импортозамещать не придется никому.
С точки зрения предприятий, упомянутых в указе, импортозамещение логично и необходимо. Использовать средства защиты информации, произведенные и уже не поставляемые недружественными странами на таком уровне важности для государства нельзя, особенно сейчас, когда всем становится понятна разрушительность информационных войн и важность защиты от кибератак. Можно вспомнить иранские центрифуги по обогащению урана выведенные из строя израильским вирусом Stuxnet чтобы представить возможные последствия.
Тем не менее, проблема импортозамещения может встать и перед теми, кого указ прямо не касается. Дело в том, что, уходя, поставщики СЗИ прекратили не только продажи, но и поддержку своих продуктов, а постоянное обновление средств защиты – критически важное требование любой системы безопасности. Тут невозможен подход «работает – не трогай», защита должна быть постоянной, постоянно модернизироваться, чтобы успевать за злоумышленниками, методы и средства которых постоянно прогрессируют и которых сейчас стало намного больше.
У отечественных СЗИ на данный момент есть три глобальных проблемы. Первое – это дорого. Дороговизна не будет критичным недостатком для предприятий, которых указ касается непосредственно, это всё бюджетные или государственные предприятия, и деньги государством на нужды защиты информации и импортозамещения выделяются. Но цена может стать критически важным аргументом, если дело касается небольших частных организаций, которым нужна регулярно обновляемая система защиты. В этом случае, возможно, придется искать разумный компромисс между новым, импортозамещеным, оборудованием и ПО и уже приобретенным, и действующим. Схемы серого импорта и пиратства мы тут, по понятным причинам, не рассматриваем, хотя и это тоже решение, особенно если требуется реальная защита информации, а не её декларация.
Второе – возможности отечественных продуктов оставляют желать много лучшего. Они существуют, они работают, но далеко не так хорошо, быстро и удобно, как привычные, но недоступные уже решения от зарубежных производителей. Единственное исключение это Китайское оборудование, например Huawei. Но и тут могут возникнуть трудности. Хоть Китай и не ушел с Российского рынка, но поставщики стали относиться к нему очень осторожно и, боясь попасть под вторичные санкции, поставляют оборудование неохотно.
Третье – это то, что некоторых аналогов просто нет. Например, нет никакого вразумительного аналога Active Directory от Microsoft.
Положительные перемены, конечно, есть. Налаживаются поставки из Китая (далеко не всегда под китайскими брендами), некоторые поставщики постепенно и негласно возвращаются. Так, например, Intel снова открыл для россиян раздел со своими драйверами, а Microsoft вернул возможность скачивать дистрибутивы. Ситуация постепенно, но постоянно, улучшается. В то же время отечественные продукты развиваются и дорабатываются, появляются новые разработки и продукты, создается конкуренция, спрос рождает предложение. А главное – есть время. Согласно указу предприятия должны перейти на отечественные СЗИ до 2025 года. Это чуть меньше двух лет (статья написана в начале 2023), и это для современной ИТ индустрии очень большой срок. До 2025 года, как в известной басне про Ходжу, Падишаха и Осла, случиться может что угодно. И даже при самом неблагоприятном раскладе отечественные системы защиты информации адаптируются, потому что другого выхода нет.
Тем, кого указ касается, рекомендуется начинать импортозамещение СЗИ уже сейчас. Это процесс трудоемкий, дорогой и медленный. Тем же, кого указ не касается, стоит подождать развития событий и начинать процедуру импортозамещения только в случае серьезной необходимости.