Больше половины (59 %) средних и крупных компаний с критической информационной инфраструктурой (КИИ) России не успеют полностью перейти на отечественные решения в области информационной безопасности к началу 2025 года, как предписано в указе президента № 250 от 30 марта 2022 года. Об этом сообщили «Ведомости» со ссылкой на исследование компании «К2 кибербезопасность», которая провела анонимный опрос более 80 IT- и ИБ-директоров таких компаний.

Согласно указу, до 1 января 2025 года на объектах КИИ должен быть завершён процесс импортозамещения всего ПО и программно-аппаратных комплексов (ПАК). Как пояснили в компании «К2 кибербезопасность», указ касается организаций из 14 сфер деятельности: ТЭК, финсектор, здравоохранение, наука, транспорт, связь и др. 19 % участвовавших в опросе компаний уже заменили зарубежные решения на отечественные аналоги, ещё 22 % находятся в процессе перехода, но, скорее всего, успеют до конца года.

Источник изображения: Tumisu/Pixabay

Большая часть респондентов назвали главной сложностью выполнения указа недостаток отечественных аналогов зарубежных ИБ-решений. Ещё 28 % участников опроса сообщили, что имеющиеся аналоги недостаточно качественны, в 14 % опрошенных компаний заявили, что нет необходимых средств и других ресурсов для перехода на российские средства киберзащиты. Еще 8 % респондентов считают главной сложностью нереалистичные сроки, а 6 % — отсутствие готовности инфраструктуры.

В свою очередь, в Минцифры сообщили, что настоящее время в рамках исполнения указов президента уже более 84 % зарубежных решений на объектах КИИ заменяются отечественными аналогами, хотя не уточнили, какие классы ПО учтены в приведённом показателе и какой процент импортозамещения реализован именно в сфере информационной безопасности.

Российский производитель инфраструктурного программного обеспечения ПАО «Группа Астра» сообщил о росте отгрузок за шесть месяцев 2024 года на 64 % до 5,53 млрд рублей. Это стало возможным благодаря активной экспансии бизнеса, расширению клиентской базы, а также развитию продуктов экосистемы и сервисов.

Деятельность компании отличается ярко выраженным сезонным характером, поскольку более 50 % отгрузок традиционно приходится на последний квартал года, в частности на декабрь, хотя расходы распределяются более равномерно на протяжении года.

В рамках реализации стратегии роста компания инвестирует в разработки, расширяя клиентскую базу. В апреле–июне «Группа Астра» заключила более 30 соглашений о сотрудничестве с крупными компаниями, включая «Новатэк», «Русгидро», АЛРОСА и «Аэрофлот», а также с правительством Ханты-Мансийского автономного округа.

Источник изображения: «Группа Астра»

За отчётный период компания представила инструмент для системных администраторов Astra Configuration Manager. Также «Группа Астра» при участии ICL Техно и совместного предприятия ICL Astra Services анонсировала программно-аппаратный комплекс (ПАК) для построения частного облака, а с ГК «Аквариус» — ПАК для резервного копирования данных. Также сообщается о заключении двух сделок M&A, в рамках которых «Группа Астра» присоединила облачного провайдера Rusonyx и разработчика платформы для управления данными Tantor DLH (ранее — «Сатори»).

Инженерные и архитектурные решения в обеспечении безопасности операционных систем обсуждали в Москве на XI научно-практической конференции OS DAY 2024. Более 700 представителей российской ИТ-отрасли из разных регионов России и постсоветского пространства принимали участие в обсуждениях и выступали с докладами в зале РЭУ имени Г.В. Плеханова, слушали выступления онлайн.

Организатором конференции традиционно выступил консорциум ведущих российских вендоров операционных систем в составе ИСП РАН, НИЦ «Институт имени Н.Е. Жуковского», «Лаборатории Касперского», компаний НТП «Криптософт», «Открытая мобильная платформа», Группа Астра, «Базальт СПО», РЕД СОФТ и НТЦ ИТ РОСА. И разумеется, что обсуждались на OS DAY 2024 вопросы, важные для всего сектора системного программирования.

Источник изображений: OS DAY

Речь шла о различных подходах к построению безопасной архитектуры операционных систем и преимуществах разных подходов к их созданию — на основе закрытого кода и с использованием Open Source, — о применении принципа secure-by-design, автоматизации процессов анализа безопасности, инструментах доверенной разработки и доверенной загрузки, анализа кода, мониторинга и диагностики. Прозвучало несколько докладов об отечественных операционных системах для мобильных устройств.

Отдельное выступление было посвящено разработке нового национального стандарта «Доверенная среда исполнения», а в ходе круглого стола «Национальные стандарты по разработке безопасного программного обеспечения» состоялось бурное обсуждение перспектив внедрения разработанного представителями ИТ-отрасли совместно с государственными регуляторами ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Этот документ, стандартизирующий даже не программные продукты, а процессы их разработки, должен вступить в действие до конца текущего года. А стандартизация и сертификация процессов призвана обеспечить более высокое качество исходного кода, усилить безопасность системного ПО.

Однако даже этот подход ещё не гарантирует создания кибериммунной операционной системы. Конечно, руководитель управления перспективных технологий «Лаборатории Касперского» Андрей Духвалов сказал на открытии конференции, что настала пора перейти с наложенных средств — антивирусов, фаейрволов, анти-DDoSа и множества других подобных технологий, которые не в полной мере могут защитить ОС, к системному подходу в разработке доверенного ПО, не требующего дополнительных средств безопасности.

«Такой переход не произойдёт ещё долго, — подтвердил Олег Шапошников, начальник отдела ИБ компании РЕД СОФТ. — Код, который сегодня разрабатывается человеком, несовершенен, и какие бы защитные меры не принимались, как бы этот код не исследовался, он уязвим к ошибкам разного рода. А ошибки приводят к появлению и уязвимостей, и угроз безопасности. Поэтому полностью исключить пусть иногда даже взаимно дублирующие средства не получится: там, где не сработает одно, поможет другое».

«Внешние системы безопасности и безопасность на уровне кода не исключают друг друга, а дополняют, — подчеркнул Арутюн Аветисян, директор ИСП РАН. — Переход идёт не от внешних систем безопасности к безопасности на уровне кода, а от полного игнорирования безопасности на уровне кода к формированию более адекватной позиции. Сейчас этот переход далёк от завершения, большинство разработчиков все еще воспринимает безопасность на уровне кода просто как требование регуляторов».

«Даже самый совершенный антивирус может не обнаружить какие-то вредоносные программы, — отметил Алексей Киселев, руководитель направления разработки операционных систем, РОСА. — Поэтому исходный код нужно подвергать статическому анализу, проверять его на наличие ошибок и уязвимостей. В принципе, для продуктов, которые готовятся к сертификации во ФСТЭК, такой анализ обязателен. Мы его также проходим. Например, у нас в сборочную систему встроен анализатор, который при сборке пакета проводит анализ исходного кода».

«Сегодня необходимо не только внедрение подобных практик в создание программного обеспечения, — уточнил Роман Мылицын, руководитель отдела перспективных исследований и специальных проектов Группы Астра, — но и развитие инструментов безопасной разработки, статического и динамического анализа кода, композиционного анализа и контроля цепочек поставки. Отечественные компании находятся на стадии внедрения таких инструментов, а мы ожидаем рост спроса на услуги в этой области».

«Обеспечение безопасности ОС — непрерывный динамический процесс, — подчеркнул Алексей Новодворский, советник генерального директора компании «Базальт СПО». — Практически каждая новая версия программы закрывает одни уязвимости и может внести другие. Старые версии со временем перестают поддерживаться апстримом, и вся сложность контроля за их безопасностью ложится на вендора. Защищённость ОС требует его высокой квалификации и немалых ресурсов».

Судя по всему, новый национальный стандарт, обсуждавшийся на круглом столе, неизбежно вынудит разработчиков системного программного обеспечения тратить ресурсов еще больше. Нововведение подразумевает разный объем инвестиций для разных компаний, в зависимости от того, какой объем кода им предстоит анализировать, чтобы соответствовать выдвигаемым требованиям.

Есть компании, у которых огромные продукты с миллионами строк кода, в том числе и заимствованного. Соблюдение рамок нового ГОСТа потребует соответствующих значительных вложений. Это неминуемо приведёт к тому, что на рынке окажется меньше игроков, которые смогут действительно «потянуть» выдвинутые требования, сформируется ограниченный пул компаний, способных создавать сертифицированное ПО для государственного сектора. Это усилит конкуренцию и приведёт к росту качества программных продуктов.

Мало того, как показывают последние события, например, глобальный сбой ОС Windows, ударивший и по конечным пользователям, и по критичной инфраструктуре в большинстве стран мира, введение подобных «рамок» для разработчиков ОС позволит усилить безопасность программных продуктов. Будь они проприетарными или созданными на базе Open Source.

Насколько верным окажется этот прогноз, можно будет узнать из первых уст следующим летом, на XII конференции OS DAY. Ее организаторы планируют, что она так же, как в этом году, пройдёт на базе Российского экономического университета имени Г.В. Плеханова.

Компания «Оптиковолоконные системы», единственный в России крупный производитель оптического волокна, учредила дочернюю структуру ООО «ОВС Кварц». Как сообщает газета «Коммерсантъ», новая компания намерена построить первый в РФ завод по производству преформ — кварцевых заготовок для выпуска оптоволокна.

Предприятие «Оптиковолоконные системы», завод которого находится в Саранске, покрывает примерно половину потребности российских телеком-операторов в оптоволокне. Однако в настоящее время преформы для производства закупаются в Китае и Индии. Поэтому, как считают участники рынка, строительство завода преформ — это «стратегически значимый проект».

Новое предприятие может быть создано к 2027 году. Инвестиции в проект оцениваются в 10–20 млрд руб. «Оптиковолоконные системы» подробности о проекте не раскрывают, отмечая лишь, что юридическое лицо «ОВС Кварц» необходимо для «работы по проекту завода преформ».

Президент ассоциации «Электрокабель» Максим Третьяков говорит, что в мировой практике технология выпуска преформ и оптоволокна рассчитана на объёмы в «десятки миллионов километров», а себестоимость зависит именно от масштабов производства. По его словам, российский рынок оптоволокна небольшой по мировым меркам (примерно 6 млн км в год), а поэтому обеспечить себестоимость продукции, сопоставимую с китайскими аналогами, будет сложно.

Ранее говорилось, что на импортозамещение оптоволокна в РФ понадобится 20 млрд руб. В частности, Минпромторг объявил тендер на сумму от 1,09 млрд руб. на проведение опытно-конструкторских работ по созданию отечественной технологии выпуска преформ. Вместе с тем Федеральная антимонопольная служба (ФАС) России предлагает организовать в стране запуск полного цикла производства оптоволокна.

Аналитическая компания J’son & Partners Consulting опубликовала обновлённое исследование по развитию рынка унифицированных коммуникаций (Unified Communications, UC) России в 2024 году. Унифицированные коммуникации включают корпоративную телефонию, ВКС, корпоративные мессенджеры и почтовые решения. Рассматриваются сегменты оборудования для ВКС и телефонии, облачные (ВАТС, облачные ВКС) и on-premise решения.

По оценкам J'son & Partners Consulting, общий рынок унифицированных коммуникаций в России в 2023 году составлял 91 млрд руб. В 2024 году, как ожидается, он увеличится на 21 % до 110,3 млрд, а к 2028 году достигнет 182,8 млрд руб. Наибольшую долю рынка UC (27 %) занимает сегмент ВАТС, объём которого в 2023 году составил, по оценкам J’son & Partners Consulting, 25,1 млрд руб. В текущем году аналитики ожидают рост рынка на уровне 11,6 %.

Аналитики J’son & Partners Consulting охарактеризовали конкуренцию на рынке UC как высокую, причём в каждом продуктовом сегменте есть свои лидеры. С уходом западных компаний укрепились позиции отечественных вендоров и производителей, благодаря чему растёт доля российских решений. В связи с курсом на импортозамещение, позиции компаний динамично меняются в каждом сегменте и на рынке в целом.

Источник изображений: J’son & Partners Consulting

С учётом выручки компаний, работающих в разных сегментах UC (и с учётом сегмента операторского ВАТС) в 2023 году в топ-5 российского рынка унифицированных коммуникаций вошли ГК МТС (МТТ и «МТС Линк»), «Ростелеком», «Манго–Телеком», VK WorkMail, Yealink (дистрибьютор «Айпиматика»). По итогам 2024 года, как ожидается, расстановка сил будет иной из-за смены лидера в сегменте ВАТС, который является самым крупным. По оценкам J’son & Partners Consulting, на первую позицию на рынке UC и в сегменте ВАТС благодаря приобретению «Манго Телеком» выйдет ГК «Ростелеком».

Компания AppSec Solutions (входит в ГК Swordfish Security) сообщила о включении в реестр российского ПО её собственной разработки — платформы AppSec.Code, представляющей собой аналог решения американской компании GitLab.

Сообщается, что AppSec.Code является полноценной средой разработки ПО со встроенными функциями информационной безопасности, позволяющей разработчикам перенести код из внешних репозиториев в российскую среду. По словам компании, платформа AppSec.Code не уступает по функциональности премиальной версии GitLab Enterprise.

Новая платформа интегрирована с ключевыми отечественными продуктами в сфере DevSecOps, подключаемыми через платформу оркестрации класса ASPM (Application Security Posture Management). Также имеется поддержка сертифицированной в РФ ОС Astra Linux, есть интеграция с российскими ИБ-сканерами для анализа защищенности исходного кода, библиотек с открытым исходным кодом, облачных контейнеров.

AppSec Solutions отметила, что AppSec.Code имеет набор всех инструментальных средств для создания корпоративного ПО, где по умолчанию уже решены вопросы защищённости создаваемых продуктов — как с точки зрения разработки, так и с точки зрения полной независимости от вендоров из недружественных стран. Как ожидает AppSec Solutions, решение заинтересует, в первую очередь, крупный бизнес, «который не может приобрести лицензии на GitLab Enterprise и вынужден искать варианты миграции на аналоги, без больших временных и ресурсных затрат».

Источник изображения: Swordfish Security

В России уже имеется целый ряд локальных Git-сервисов крупных компаний: «РТК-Феникс» и «Лукоморье» («Ростелеком»), «Сфера» (Холдинг T1), GitVerse («Сбер»), GitFlic («РеСолют»), GitFlame («Иннополис») и Mos.Hub от правительства Москвы. Что касается проекта по созданию национального репозитория открытого кода, то он пока заморожен из-за отсутствия средств в бюджете. В Минцифры предлагают отказаться от идеи создания новой площадки и выбрать один из уже существующих общедоступных отечественных репозиториев.

Предприятие GS Nanotech из Калининграда, входящее в холдинг GS Group, сообщило о сборке и отгрузке по заказу АО «Микрон» стотысячной партии микроконтроллеров «MIK32 Амур» на открытой архитектуре RISC-V.

По словам АО «Микрон», в связи с высоким спросом и в целях наращивания объёмов корпусирования изделий, дополнительно к собственному сборочному производству компания использует мощности предприятия GS Nanotech, которое в рамках соглашения до конца года соберёт в корпус до 0,5 млн микроконтроллеров «Амур». «Мы имеем большой опыт по корпусированию микроконтроллеров и рады применить его в сотрудничестве с нашим давним партнёром», — заявил вице-президент GS Group по развитию производства.

Как сообщается, в ходе выполнения заказа GS Nanotech использовала опыт, накопленный ранее при крупносерийной сборке чипов в корпусах BGA, LGA, а также сложных многовыводных микросхем, в том числе по технологии SiP (системы-в-корпусе). Благодаря этому показатель выхода годной продукции составил 99,2 %. Также предприятием была разработана тестовая программа для контроля полного соответствия заявленным характеристикам микроконтроллеров.

Источник изображения: GS Nanotech

«MIK32 Амур» (К1949ВК018) представляет собой первый полностью отечественный 32-бит микроконтроллер с ядром на архитектуре RISC-V, который был разработан и производится в России ГК «Элемент» (разработка совместно с НИИМА «Прогресс», производство «Микрона»). Изделие включено в Единый реестр российской радиоэлектронной продукции (ПП РФ 878) и его производство не зависит от лицензируемой зарубежной интеллектуальной собственности.

Компания «Искра Технологии» запустила серийное производство роутеров с поддержкой технологии GPON. Как сообщается на сайте компании, массовое производство домашних абонентских шлюзов GPON по заказу «Ростелекома» стартовало в июне на базе производственной площадки в Екатеринбурге.

«Это первый проект производства массового абонентского оборудования, который реализуется в интересах ПАО “Ростелеком”. Текущие производственные мощности позволят предприятию выпускать несколько сотен тысяч изделий в год», — сообщила компания.

В октябре прошлого года было объявлено о заключении «Ростелекомом» контракта с компанией «Электра» на разработку и поставку Wi-Fi роутеров на сумму 2,7 млрд руб., включая 1,1 млрд руб. на разработку и внедрение 350 тыс. FTTB CPE и 1,6 млрд руб. — на 450 тыс. GPON ONT.

Источник изображений: «Искра Технологии»

Как отметил директор департамента технологий доступа АО «Искра Технологии», создание производства роутеров в России на собственной производственной базе позволит не только удовлетворить растущий спрос на высокотехнологичное оборудование, но и будет способствовать созданию новых рабочих мест и укреплению технологического суверенитета страны.

Абонентская база «Ростелекома» во II квартале 2023 года составляла по данным «TMT консалтинга» порядка 12,6 млн человек. То есть, потенциал для расширения производства роутеров для АО «Искра Технологии» имеется даже в случае сотрудничества только с одним «Ростелекомом».

В 2021–2024 гг. общие расходы ВТБ на импортозамещение IT-систем и сервисов составят 90 млрд руб, в первую очередь речь идёт о расходах на программное обеспечение. По данным «Ведомостей», больше всего средств — более 50 млрд — будет потрачено в 2024 году.

По словам председателя правления ВТБ, львиная доля IT-инвестиций приходится на закупки отечественного ПО, развитие и поддержку программных решений. Работы по замещению самых сложных систем начаты ещё в 2021 году, а в 2025–2026 гг. планируется завершить переход на российские аналоги.

На отечественное ПО в ВТБ перевели 85 % внутренних систем финансовой организации, тогда как на конец 2023 года этот показатель находился на уровне 70 %. При этом в условиях сложной инфраструктуры ВТБ переход осуществляется неравномерно, речь идёт о 800 прикладных системах и 875 тыс. объектов — для каждого предусмотрены свои критерии оценки импортозамещения. По итогам 2024 года речь должна идти о замещении на уровне 95 %.

Источник изображения: Wes Hicks/unsplash.com

Одним из важных и масштабных шагов на пути к импортозамещению стал переход на российскую ОС Astra Linux, а также переход с офисных продуктов Microsoft на российский «МойОфис». Кроме того, начато внедрение российской системы резервного копирования RuBackup, предлагаемой группой «Астра», со временем она должна полностью вытеснить иностранную NetBackup в экосистеме ВТБ. Наконец, в колл-центрах американская платформа Avaya заменена на российское ПО Naumen, позволяющее автоматизировать поддержку.

VDI-решения отечественного «Базиса» внедряют вместо Citrix, до конца года на российскую платформу должны перевести большинство сотрудников банка. В целом банк отказывается от иностранных систем виртуализации, среди которых лидером были решения VMWare. Почти полностью компания отказалась и от разработок SAS, обеспечивавших аналитику на основе больших данных.

Импортозамещение ПАК Oracle Exadata и Teradata началось ещё в 2021 году, до конца текущего года банк планирует заместить 85 % соответствующих комплексов иностранного происхождения. Инфраструктура компании пока в некоторой степени зависима от ПО для СУБД Oracle и Microsoft SQL, но его доля уже снизилась с 80-90 % до менее 25 %. Со временем произойдёт полный переход на российские решения компаний T1 или Postgress Professional.

Источник изображения: ВТБ

По мнению отраслевых экспертов, наибольшая часть расходов ВТБ, связанных с импортозамещением, вероятно, придётся именно на замену продуктов Oracle и миграцию средств виртуализации. Кроме того, много средств будет потрачено на «связующий» софт (middleware), а также средства обеспечения кибербезопасности. Некоторые эксперты считают, что до 2025 года заменить всё ПО банк не успеет, но в этом нет и необходимости — государство, вероятно, пойдёт навстречу столь крупному игроку и сроки импортозамещения будут продлены.

Продолжается и программа цифровой трансформации. Речь идёт о более широком понятии, чем импортозамещение, поскольку речь в числе прочего идёт и об уходе от бумажного документооборота, а также замещении старых аппаратных комплектующих. С 2020 по 2024 гг. ВТБ намерен инвестировать в цифровую трансформацию полтриллиона рублей.

В настоящее время на рынке нет отечественного многофункционального сетевого экрана нового поколения (Next Generation Firewall, NGFW), способного полностью заменить решения зарубежных вендоров, включая тех, кто покинул Россию в 2022 году, считает более половины (64 %) участников опроса, проведённого компанией МТС RED, дочерним предприятием оператора МТС, передаёт ТАСС.

В опросе приняло участие более 100 сотрудников служб информационной безопасности российских компаний, в 36 % которых персонал составляет до 1 тыс. человек, в 45 % — до 5 тыс. человек, а в 19 % — свыше 10 тыс. человек. К началу июля лишь 16 % компаний внедрили отечественные средства сетевой безопасности, и лишь половина из них использует NGFW для фильтрации основного объёма сетевого трафика.

В числе причин нежелания переходить на отечественные NGFW участники опроса назвали низкий уровень отказоустойчивости (½ респондентов), сбои в ходе анализа трафика и возникновение проблем уже на этапе внедрения. Большинство (82 %) считает надёжность одним из ключевых критериев оценки работы NGFW. 40 % опрошенных отметили важность уровня сервисной и технической поддержки. Также компании обращают внимание на скорость обработки трафика и масштабируемость решений. Около 55 % респондентов заявили, что отечественные NGFW не соответствуют их требованиям по этим показателям.

Источник изображения: Nawfal Makarim / Unsplash

В МТС RED отметили, что, несмотря на существующее несоответствие ожиданиям некоторых характеристик отечественных NGFW, российские компании продолжают искать замену зарубежным решениям. 27 % участников опроса сообщили, что сейчас проводят тестирование российских разработок. При этом некоторые считают целесообразным использовать сразу несколько продуктов.

При этом отечественный рынок NGFW активно развивается. По оценкам МТС RED он вырастет с 24 млрд руб. в 2023 году до 50 млрд руб. к 2029 году. Среднегодовой темп прироста (CAGR) за этот период составит 13 %.