Ассоциация банков России (АБР) предложила продлить сроки импортозамещения зарубежного софта, в том числе обеспечивающего информационную безопасность. Письма с предложением ассоциация направила вице-премьеру Дмитрию Чернышенко (курирует цифровую экономику), Банку России, а также в профильные ведомства — Минцифры, Минпромторг и Минфин, рассказал Forbes источник, знакомый с содержанием письма.
Весной 2022 года президент Владимир Путин подписал указы, согласно которым кредитные организации, как владельцы критической информационной инфраструктуры (КИИ), должны с 1 января 2025 года отказаться от использования программного обеспечения для защиты информации, разработанного в «недружественных» странах. Банки с госучастием, которые закупают ПО в рамках 223-ФЗ, с начала 2025 года должны прекратить использовать иностранное программное обеспечение на значимых объектах КИИ. Под критической информационной инфраструктурой в российском законодательстве понимается совокупность информационных систем и телекоммуникационных сетей, критически важных для ключевых сфер жизнедеятельности государства и общества. С 2030 года владельцы объектов КИИ должны также полностью перейти на отечественное «железо» — программно-аппаратные комплексы (ПАК).
По словам источника Forbes, главная причина обращения в том, что российские IТ-решения для банков к 1 января 2025 года не будут готовы и у кредитных организаций возникнет ответственность за срыв сроков перехода, в то время как у разработчиков ее не будет.
В АБР Forbes подтвердили отправку письма. По словам вице-президента АБР Алексея Войлукова, с такой проблемой столкнулись не только банки, но и крупнейшие компании в сфере энергетики, транспорта и других субъектов КИИ. «Вендоры разрабатывают эти решения, но требуется еще время на завершение работ, а также на их тестирование, доработку, внедрение и сертификацию. Все эти процессы небыстрые, их общая продолжительность может занять еще пару лет. Поэтому АБР выступает за то, чтобы, сохраняя общий тренд на импортозамещение, банки могли в переходный период иметь некоторые послабления, сбалансированные компенсирующими мерами», — заключил он.
Минпромторг, Минцифры и Банк России сообщили Forbes, что получили письмо от АБР и готовят официальный ответ.
О чем просят банки
В письме банки перечисляют проблемы, с которыми столкнулись в процессе импортозамещения. Во-первых, сейчас в России отсутствуют отечественные IТ-решения, которые могут обеспечить защиту информации высоконагруженных банковских систем. В частности, в российских средствах защиты информации отсутствуют межсетевые экраны нового поколения и системы обнаружения вторжения, межсетевые экраны для защиты веб-приложений и средств для расшифровки SSL-трафика. Ранее основными поставщиками этих решений были Cisco и Palo Alto Networks. Существующие российские разработки рассчитаны на потребности малого и среднего бизнеса, они низкопроизводительны, недостаточно функциональны, а также в пять-семь раз дороже западных аналогов.
Во-вторых, импортозамещению подлежит также ПО, от конфигурации которого зависит вся IТ-архитектура банка. Разработка такого ПО, тестирование, кастомизация и интеграция требуют больше времени, чем отведено указом. При этом банки-заказчики несут ответственность за срыв перехода, но не вправе влиять на скорость работы вендоров, перед которыми государство не поставило ни конкретных задач, ни сроков.
Кроме того, переход на отечественный софт ограничен требованием использовать ПО строго из реестров Минцифры. Все остальное по умолчанию признается иностранным. Условием включения в реестр является ввод софта в гражданский оборот и свободная продажа в России. IТ-команды банков создают ПО для внутреннего пользования, но из-за этого критерия не могут внести его в реестр. Также невозможно включить в реестр софт с открытым исходным кодом. Жалуются банки и на то, что в случае удаления ПО из реестров им придется вновь проходить процедуру импортозамещения, хотя на внедрение продукта они к тому времени уже потратятся. Замещаемое «железо» должно соответствовать критериям доверенности (быть включенным в реестр Минпромторга, реестры ПО, иметь сертификаты ФСТЭК и ФСБ). В существующих реестрах нет возможности искать ПАК по критериям доверенности, и банки вынуждены тратить ресурсы на их подбор.
Наконец, в требованиях и стимулах для импортозамещения сложился дисбаланс: разработчики пользуются налоговыми льготами, к ним нет требований по срокам реализации IТ-продуктов, не установлены ограничения по ценам на софт. У банков таких преференций нет.
В этой связи банкиры просят разрешить им точечно использовать ПО из «недружественных» стран при отсутствии российских аналогов, продлить сроки импортозамещения, поддержать изменения в законодательство, которое упростит включение ПО в реестры Минцифры, в том числе собственные разработки и ПО с открытым исходным кодом, дать владельцам объектов КИИ 18 месяцев на импортозамещение, если софт был исключен из реестра, модернизировать реестры ПАК. Для владельцев объектов КИИ, которые внедряют российские IТ-решения, АБР предлагает рассмотреть налоговое стимулирование — в частности, применение повышающего коэффициента 1,5 по расходам на приобретение отечественного софта.
Можно ли успеть в срок
Разработчики согласны с банкирами в части сроков — исполнить указ к 2025 году невозможно. «Полный переход на отечественный софт до 2025 года вряд ли возможен. И тут вопрос не только в наличии аналогов, но и в сроках переходов. Полный проект перехода с одной системы на другую в среднем занимает не менее двух лет», — говорит гендиректор компании «Эдит Про» (входит в группу «Борлас») Дмитрий Кичко. Учитывая, что сейчас нет полнофункциональных аналогов и они будут дорабатываться, этот срок внедрения систем еще увеличится, уверен эксперт.
Часть разработчиков утверждает, что банкам не хочется перестраивать отлаженные процессы и отвыкать от импортного ПО. «Банки уже много лет используют преимущественно импортные софтверные продукты в значительной части своих бизнес-процессов. Они привыкли к этим решениям, да и сами решения зачастую не имеют отечественных аналогов столь же высокого уровня», — говорит руководитель направления защиты информации облачного провайдера Nubes Дмитрий Шкуропат. Он не согласен с тем, что отечественных аналогов ПО нет. «Например, начиная с 2022 года на рынке начали активно появляться и внедряться отечественные NGFW-решения — межсетевые экраны нового поколения, необходимые для обеспечения информационной безопасности. Но между выведением решения на рынок и моментом, когда оно будет массово использоваться, должно пройти время», — уверен он.
Наибольшую сложность при импортозамещении представляют автоматизированные банковские системы и процессинг, считает управляющий директор практики «Финансовые организации» Axenix Андрей Распопов. В большинстве российских банков это решения от российских вендоров, но они работают на иностранных системах управления базами данных (СУБД) Oracle, MS SQL, Sybase и т.д. Основная сложность — это их замена. «Действительно, есть проблемы для определенных инфраструктурных компонентов. Что касается прикладного ПО, то российские банковские системы ничуть не уступают западным», — уверен он.
В то же время не все перечисленные банками проблемы актуальны, отмечают собеседники Forbes. Так, включение софта с открытым кодом в реестр не стоит так остро из-за того, что банки редко используют подобные решения, выбирая безопасность. «В софте с открытым кодом тоже встречаются закладки и бэкдоры, что делает его небезопасным в использовании», — объясняет Дмитрий Шкуропат.
У вендоров свои проблемы, которые удлиняют сроки разработки, говорят эксперты. Это кадровый голод в таких специальностях, как архитекторы, проектировщики высоконагруженных систем, специалисты по СУБД, аналитики, чему способствует отток IТ-специалистов за рубеж и кадровая охота на квалифицированные кадры среди российских работодателей. Еще одна проблема — бюрократия. «Разработчик вынужден тратить ресурсы не на доработку решения, а на оформление всех необходимых соответствий и прохождение проверки в соответствии с требованиями», — говорит Шкуропат
Что говорят власти
В разных банках ситуация с переходом на российский софт «не идентичная» — есть «свои лидеры, успешно справляющиеся с задачами импортозамещения», есть «организации, испытывающие сложности», отмечает пресс-служба Минцифры в ответ на запрос Forbes. «Инициативу о продлении сроков перехода на отечественные решения для всех субъектов, попавших под действие этого указа, не поддерживаем», — подчеркивает министерство.
Банк России также высказался против изменения сроков. «Для государственных организаций, имеющих значимые объекты критической информационной инфраструктуры, обязанность обеспечения перехода на российские решения установлена законодательно. И данные сроки не подлежат изменению. При этом каждая организация разработала индивидуальный план перехода на отечественные решения. Сроки, обозначенные в планах, соответствуют законодательно установленным», — указывает пресс-служба ЦБ.
В Минфине, куда также поступило письмо АБР, указывают, что при принятии решения о введении новых или расширении действующих механизмов налогового стимулирования нужно сначала оценить эффективность уже действующих налоговых преференций. «Кроме того, в направленных предложениях не представлены экономические обоснования - не проведен анализ бюджетного и экономического эффекта их реализации», — добавила пресс-служба ведомства.