Сети связи и информационные системы, задействованные в здравоохранении, энергетике, оборонной, ракетно-космической, химической промышленности и т. п., т. е. критическая информационная инфраструктура (КИИ), с 1 января 2024 г. должны строиться преимущественно на российском программном обеспечении (ПО), а с 1 января 2025 г. – на российском оборудовании. Это следует из проекта указа президента, подготовленного Минцифры и опубликованного на портале правовых актов regulation.gov.ru. То есть срок перехода на отечественный софт решено продлить на три года.
Из опубликованного в конце мая проекта указа президента следовало, что переход пользователей КИИ на отечественный софт должен состояться в 2021 г., а на поддерживающее его оборудование – в 2022 г. Сроки перехода КИИ на отечественное оборудование и ПО решено было продлить в ходе общественного обсуждения указа, в котором участвовало и предпринимательское сообщество, объяснил представитель Минцифры.
Участники российского IT-рынка считают, что отсрочка позволит доработать существующее отечественное ПО для КИИ, а также создать новое. За такой период как минимум критические моменты в инфраструктуре действительно можно доработать, ликвидировав существенные риски.
Пока нет российских аналогов используемых и планируемых к использованию на объектах КИИ оборудования и софта – например, сетевых экранов.
Сейчас не у всех классов ПО есть российские аналоги и по некоторым потребуется до пяти лет на создание отечественных продуктов и замещения ими иностранных решений. При этом уже сейчас введены экспортные ограничения на использование, например, ПО Microsoft в госкорпорациях, содержащих объекты КИИ. Если не начать переход прямо сейчас, то в ближайшее время можно будет столкнуться с неработоспособностью IT-систем.
Сложнее всего переход на российское ПО и оборудование будет для структур, у которых значимыми объектами КИИ являются автоматизированные системы управления технологическими процессами: у них, как правило, длительный и сложный цикл внедрения. Прежде всего это относится к таким отраслям, как энергетика, топливно-энергетический комплекс, металлургическая и химическая промышленность, атомная отрасль.
Правильнее было бы использовать критерий доверенности оборудования (он характеризует отсутствие внешних каналов управления, а также возможность модифицировать и развивать используемое решение самостоятельно), а не его происхождение. Критерий «российскости» не показатель его безопасности. Оборудование может быть российским, но в нем могут быть встроены технологические каналы, которые позволяют управлять им из-за рубежа. Также оборудованию может быть присвоен статус российского, оно будет внесено в реестр и при этом построено на иностранных процессорах. Перевести всю инфраструктуру на отечественное оборудование нереально за короткий срок, к такому мнению пришли многие эксперты.