О переходе на преимущественное использование отечественного ПО и ИТ-оборудования на объектах критической информационной инфраструктуры (письмо Минкомсвязи от 14 мая 2020 года №АС-П25-070-12128).
BIS Journal продолжает дискуссию об импортозамещении в сфере IT и ИБ. 14 мая 2020 года Минкомсвязи направило на согласование проекты нормативно-правовых актов (НПА), разработанные во исполнение поручения Президента РФ от 2 июля 2019 г. № Пр-1180:
- проект указа Президента РФ «О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры»;
- проект Постановления Правительства РФ «Об утверждении требований к программному обеспечению и оборудованию, используемому на объектах критической информационной инфраструктуры и порядка перехода на преимущественное использование российского программного обеспечения и оборудования»;
согласно которым все без исключения субъекты критической информационной инфраструктуры (КИИ) страны должны за свой счет обеспечить:
- до 01.01.2021 переход на преимущественное использование на объектах КИИ ПО, включённого в единый реестр российского программного обеспечения (РПО) или единый реестр евразийского программного обеспечения (РЕП). Исключения допускаются, если в РПО или РЕП отсутствует ПО соответствующего класса, являющееся аналогом иностранного ПО, используемого субъектом КИИ;
- до 01.01.2022 переход на преимущественное использование на объектах КИИ оборудования, включённого в единый реестр российской радиоэлектронной продукции (РРП). Исключения допускаются, если в РРП отсутствуют сведения о телекоммуникационном оборудовании, являющемся аналогом иностранного оборудования, используемым субъектом КИИ, а оборудование, указанное в РРП, не позволяет по своим техническим характеристикам достичь определённых законодательством целей и задач субъекта КИИ;
- при использовании ПО (оборудования), не включённого в РПО/РЕП (РРП), возможность модернизации, гарантийной и технической поддержки организациями, не находящимися под прямым или косвенным контролем иностранных лиц.
Цель этого общенационального упражнения - повысить информационную безопасность объектов КИИ за счет снижения технологической зависимости от наших зарубежных партнеров - вопросов не вызывает. Проблема только в том, что, как показывает анализ, требования проектов НПА в том виде как они сформулированы по объективным причинам практически невыполнимы ни в части предлагаемых сроков, ни в части возможности замещения значительной части иностранного ПО или оборудования. А значит, если НПА будут изданы, эта цель с большой вероятностью достигнута не будет. Зато в качестве побочного эффекта добросовестная попытка решения поставленной задачи одновременно всеми субъектами КИИ создаст риск массового нарушения функционирования КИИ значительно больший, чем риски, связанные с технологической зависимостью.
Появление проектов практически нереализуемых НПА c возможными многочисленными негативными последствиями выглядит странно, учитывая, что опыт импортозамещения в госорганах и госкомпаниях в течении последних нескольких лет показал, что динамика ИТ-импортозамещения определяется объективными факторами, действующими независимо от того, что написано в постановлениях и указах.
Рассматриваемые проекты НПА практически полностью копируют административно-командную модель принудительного ИТ-импортозамещения, ранее использованную правительством в попытке ускорить замещение иностранного ПО в госорганах (Распоряжение Правительства от 26 июля 2016 №1588-р) и госкомпаниях (Директивы «О переходе АО на преимущественное использование отечественного программного обеспечения» от 6 декабря 2018 года № 10068п-П13).
Основной рабочий механизм такой модели — выпуск директив, обязательных для исполнения подчинёнными организациями, обязывающих последние в установленные жёсткие сроки перейти на преимущественное использование ПО, имеющего статус отечественного. При этом ПО признаётся отечественным, только если оно по решению Экспертного совета включено в Единый реестр российских программ (ЕРРП). Любое ПО, не включённое в ЕРРП, в том числе ПО собственной разработки, ПО, разработанное российскими компаниями и свободное ПО, отечественным не признается.
Основные особенности модели:
- Модель не учитывает объективные законы рынка ПО, в частности, не включает механизмов прямого воздействия на производителей. Расчёт только на то, что "спрос вытащит предложение".
- Модель требует замещения всего неотечественного ПО. Предполагается, что ИТ-сектор экономики РФ полностью самодостаточен и способен производить все необходимые классы и виды ПО.
- Модель предполагает наличие у субъекта КИИ достаточных трудовых и финансовых ресурсов для замещения в короткое время всего неотечественного ПО и у разработчиков ПО достаточных финансовых ресурсов для разработки качественного ПО (т.е. удовлетворяющего в полном или практически полном объёме функционально-технические, эксплуатационные и иные существенные требования потребителей, включая требования к компании - производителю) и поддержки большого числа одновременно идущих проектов. Финансирование ИТ-импортозамещения осуществляется за счёт потребителя ПО. Государство не финансирует ни работы по созданию отечественного ПО, ни работы по замещению неотечественного ПО на отечественное.
- Модель не учитывает объективные законы, действующие в области ИТ. В частности, устанавливаются жёсткие сроки замещения, не учитывающие ни текущее состояние рынка предложения, ни возможности компаний-производителей ПО, ни возможности и особенности субъектов КИИ, в частности, размер и сложность корпоративной информационной системы.
Модель была апробирована в 2016 - 2019 годах в ходе мероприятий по ИТ-импортозамещению в госорганах и госкомпаниях. Полученные результаты, в частности в целом низкий достигнутый уровень фактического замещения [1] (индекс замещения), показывают, что модель имеет низкую эффективность.
Эксперимент показал, что индекс замещения имеет большой разброс и сильно зависит от вида ПО и особенностей организации, осуществляющей ИТ-импортозамещение.
В областях, в которых рынок предложения хорошо насыщен качественными отечественными продуктами, индекс замещения может приближаться к 100%.Например, хорошая ситуация сложилась на рынке ПО в области информационной безопасности, где отечественные производители (Касперский и другие) предлагают широкую линейку качественных продуктов, конкурентных на мировом рынке, практически полностью закрывающих потребности потребителей. Несколько хуже, но также относительно неплохая ситуация с простым узкоспециализированным ПО без сильных горизонтальных и вертикальных зависимостей (файловые менеджеры, вспомогательные утилиты и т. п.).
К сожалению, число областей с насыщенным предложением качественного отечественного ПО относительно невелико. В большинстве областей предложение такого ПО в лучшем случае ограничено, в худшем - полностью отсутствует. В таких областях средний по экономике индекс замещения значительно ниже и часто может быть близок к 0.
Наибольшие проблемы возникают с замещением ПО с сильными вертикальными зависимостями, например, практически со всем системным ПО (операционные системы, системы виртуализации), СУБД, связующим ПО. Также затруднено замещение в областях, где используется уникальное ПО (например, системы управления сложными производствами, системы САПР, системы управления в авиации), поставляемое единственной в мире компанией-монополистом.
Сложная ситуация в области офисного ПО, где рынок в настоящее время практически полностью монополизирован продуктами компании Микрософт. Продукты, входящие в состав Микрософт офиса, могут быть относительно легко замещены отечественным ПО в случаях, где используется только базовая функциональность (режим "пишущей машинки" [2]), однако, такая ситуация встречается достаточно редко и только в небольших компаниях с низким уровнем автоматизации производственных процессов. Если в компании достигнут хотя бы минимальный уровень автоматизации и применяется автоматизированная обработка офисных документов с использованием механизмов автоматизации (например, формул Excel, VBA, DOM), то замещение продуктов Микрософт офис сильно усложняется, поскольку отечественные офисные продукты такие механизмы не поддерживают или поддерживают ограниченно.
Ситуация с замещением иностранного ИТ-оборудования ещё сложнее, чем ситуация с ПО, в связи с отсутствием в РФ современных технологий производства элементно-компонентной базы и несовместимостью значительной части распространённого ПО с архитектурой национальных процессоров.
Неэффективность модели принудительного ИТ-импортозамещения объясняется объективными факторами.
Прежде всего, модель не учитывает существенные отличительные черты ИТ, в частности, вертикальные и горизонтальные зависимости [3], наличие которых резко усложняет задачу замещения ПО. Из-за зависимостей задача замещения одного отдельного ПО расширяется до замещения кластера из нескольких ПО. Для того, чтобы такое замещение было возможно, в ЕРРП должны присутствовать все замещающие программные решения, которые, помимо прочего, должны быть совместимы друг с другом. В отсутствие такого кластера, даже если какое-то ПО есть в реестре, его заместить невозможно.
В настоящее время в ЕРРП стеки совместимого ПО достаточного размера, чтобы сделать возможным импортозамещение в сколько-либо значимых масштабах, отсутствуют. Вопрос о необходимости создания стеков совместимого ПО обсуждается и какое-то движение вперёд есть, но явно недостаточное. Решение проблемы совместимости ПО затрудняется помимо прочего не всегда эффективной координацией производителей.
Другой объективной причиной неэффективности модели принудительного ИТ-импортозамещения, является то, что эта модель не учитывает текущее состояние и особенности рынка ИТ. В настоящее время рынок ПО не готов для решения масштабной задачи форсированного одновременного перехода на использование отечественного ПО в значительном числе компаний и организаций, как этого требуют рассматриваемые проекты НПА. Прежде всего, это связано с тем, что на рынке ПО, и тем более в ЕРРП, отсутствует предложение ПО нужного качества, удовлетворяющего ВСЕ требования ВСЕХ потребителей ПО. В тех случаях, когда на рынке имеется ПО, в достаточной степени удовлетворяющее функциональным и техническим требованиям, такое ПО, как показывает опыт импортозамещения в 2016 - 2019, в большинстве случаев не удовлетворяет эксплуатационным требованиям, например, требованиям эргономичности.
Решение задачи насыщения рынка качественным отечественным ПО (с учётом необходимости формирования стеков совместимого ПО) требует от отечественных производителей ПО значительных инвестиций в разработку нового и доработку существующего ПО. У большинства отечественных производителей в настоящее время на решение этой задачи нет ни финансовых ресурсов ни компетенций.
В целом вышесказанное отражает системную проблему - страна среднего размера с населением около 140 млн человек в принципе не может быть полностью самодостаточной и даже в долгосрочной перспективе не сможет опираясь на свой рынок обеспечить эффективное замещение всей совокупности ПО отечественными решениями. В этой ситуации необходима приоритизация и выделение критичных направлений, на которых переход на использование отечественного ПО действительно обоснован и необходим. Для ускорения (а также снятия некоторых барьеров) необходима катализация процессов путём участия государства через использование имеющихся в его распоряжении ресурсов и рычагов - административного, финансового, законотворческого и других.
Жёсткие сроки перехода объектов КИИ всех субъектов КИИ в РФ на отечественное ПО, предлагаемые в проектах НПА, - 1 января 2021 года для ПО и 1 января 2022 года для ИТ-оборудования - абсолютно невыполнимы и не вытекают из какой-либо реалистичной оценки длительности процессов импортозамещения.
Во-первых, как отмечено выше, НПА не учитывают неготовность рынка ПО, на котором в настоящий момент отсутствует достаточное предложение качественных отечественных продуктов. Даже если финансирование будет обеспечено, компетентные ресурсы найдены, все барьеры, препятствующие созданию стеков качественного совместимого ПО, будут устранены, решение задачи насыщения рынка ПО займёт длительное время. По приблизительной оценке с учётом сроков разработки и тестирования ПО создание первых "сырых" версий ПО займет от 2 до 4 лет, до появления стеков совместимого качественного ПО с высоким уровнем зрелости может дополнительно потребоваться ещё несколько лет.
Во-вторых, проекты НПА не учитывают объективную длительность процессов выбора и внедрения ПО. Даже если предположить наличие в ЕРРП качественного ПО, удовлетворяющего всем требованиям, включая требования совместимости, длительность внедрения такого ПО в условиях сложной интегрированной информационной системы с непрерывным производственным циклом и постоянной транзакционной нагрузкой составит не меньше 1 года (более реалистично - 1.5 - 2 года).
С учётом процессов поиска, выбора, тестирования, доработки, бюджетирования, открытия проекта, заключения договора и прочих, необходимых для реализации проекта по замещению ПО мероприятий, длительность увеличивается как минимум ещё на один год и составляет 2 - 4 года. Таким образом, оптимистично-реалистичный срок начала (а не завершения) фактического замещения неотечественного ПО на отечественное - 2023 год.
В третьих, проекты НПА являются неполными и оставляют открытыми многие существенные вопросы: Что делать с ПО собственной разработки? Что делать с российским ПО, не включённым в реестр? Что делать со свободным ПО? Что делать в ситуации, когда ПО, ранее включённое в ЕРРП и внедрённое субъектам КИИ, было затем исключено из ЕРРП?
В четвёртых, предлагаемая редакция проекта НПА противоречит действующему законодательству. Согласно ФЗ-223 и ФЗ-44 госкомпании и госорганы должны при приобретении ПО и ИТ-оборудования следовать установленным перечисленными федеральными законами порядку проведения закупочной процедуры, предполагающему проведение открытого конкурса, при котором выбор победителя определяется в первую очередь ценой предложения. Условие об ограничении предложений только предложениями отечественного ПО или ИТ-оборудования считается дискриминацией и, в случае его включения, результаты конкурса могут быть оспорены в суде. Контролирующие органы (Счётная Палата РФ) подчёркивают, что включение подобных условий недопустимо.
Таким образом, в случае поступления предложения о закупке неотечественного, в том числе иностранного, ПО или ИТ-оборудования с ценой ниже таковой отечественного ПО или ИТ-оборудования, госкомпания или госорган будет вынужден приобрести неотечественное ПО. Учитывая, что зарубежные поставщики ПО и ИТ-оборудования обладают большими финансовыми возможностями по сравнению с отечественными, что даёт им значительную свободу в части снижения цены (в случае ПО - до нуля), а также, что стоимость зарубежных ИТ-продуктов во многих случаях объективно ниже таковой отечественных, госкомпании и госорганы часто не могут приобрести отечественное ПО или ИТ-оборудование не нарушая федеральное законодательство. Об этой юридической коллизии всем причастным ведомствам давно известно, но почему-то ничего не делается.
Исполнение требований, изложенных в проектах НПА, создаёт существенные риски для всей экономики в целом. Установленные жёсткие сроки и требование полного замещения неотечественного ПО приводят к тому, что субъект КИИ должен будет форсировано и единовременно заместить большой массив ПО. Такой подход в среде ИТ-специалистов считается крайне опасным и чреватым тяжёлыми последствиями в виде нарушения непрерывности функционирования корпоративной информационной системы вплоть до полного её разрушения. Указанный риск значительно возрастает, если речь идёт, как это имеет место в случае многих объектов КИИ, об интегрированной информационной системе со сложными взаимозависимостями между ПО, поддерживающей непрерывный производственный процесс и обеспечивающей постоянную доступность сервисов в условиях высокой транзакционной нагрузки.
Учитывая, что требования проектов НПА распространяются на все объекты КИИ в стране, указанный риск приобретает национальный масштаб. Нельзя полностью исключить вероятность того, что в случае дисциплинированного исполнения требований НПА всеми или большинством субъектов КИИ произойдёт массовое нарушение функционирования объектов КИИ.
Суммируя вышесказанное:
Проекты НПА, направленные на обсуждение, основаны на неэффективной модели ИТ-импортозамещения, разработаны без учёта объективных факторов и законов, определяющих поведение рынка ИТ и развитие информационных технологий как области экономики, не учитывают текущее состояние и достижимую динамику развития рынка ИТ, устанавливают объективно невыполнимые требования в части сроков замещения неотечественного ПО. С большой вероятностью в случае издания НПА их требования субъектами КИИ не будут выполнены, информационная безопасность объектов КИИ не повысится, напротив, значительно вырастет риск нарушения функционирования КИИ, при этом на эти бессмысленные мероприятия будут отвлечены значительные финансовые и трудовые ресурсы, что негативно скажется на проектах в других областях. Последнее особенно существенно с учётом того, что реализация проектов НПА совпадёт по времени с негативными экономическими процессами, вызванными пандемией.
С учётом сказанного представляется целесообразным отозвать проекты НПА и прекратить их рассмотрение. Вместо доработки рассматриваемых проектов НПА, бесполезной с учётом того, что в их основе лежит неработающая модель, предлагается Минкомсвязи и Минпромторгу России инициировать процесс комплексной проработки стратегии ИТ-импортозамещения, в том числе на объектах КИИ, включая при необходимости разработку новых проектов НПА, с участием всех значимых заинтересованных сторон (субъекты КИИ, производители ПО и ИТ-оборудования, профильные ведомства).
Проект "О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры".
[1] Под фактическим понимается замещение, когда отечественное ПО не только приобретено и формально установлено, но и активно используется. Ситуация "Windows installed over Linux" не рассматривается как фактическое замещение ОС.
[2] В отдельных случаях даже такой режим невозможен, например, из-за несовместимости с оборудованием печати.
[3] Примером вертикальной зависимости является зависимость прикладного ПО от операционной системы. Вертикальная зависимость может быть прямая (ПО работает только под определенной ОС) и косвенной (ПО использует СУБД, которая работает только под определенной ОС). Примером горизонтальной зависимости является интеграция двух в остальном независимых ПО.
