Уральский форум «Кибербезопасность в финансах», прошедший в Екатеринбурге, запомнился не только содержательным контентом в области ИБ, но и тем, что на трибунах были люди, которые управляют процессами импортонезависимости и достижения технологического суверенитета в рамках всех IT как в масштабах экономики в целом, так и в финансовом секторе. Журналисты и аналитики получили уникальную возможность апдейта новостей по этой тематике на основе информации, что называется, из первых рук.

Фото: Уральский форум «Кибербезопасность в финансах»

Законодатели в работе

Важные новости пришли из нижней палаты Федерального собрания. О них рассказал Аркадий Свистунов, заместитель председателя Комитета Государственной думы по финансовому рынку. По его словам, законодатели в интенсивном режиме рассматривают две инициативы.

Аркадий Свистунов (Госдума). Фото: Уральский форум «Кибербезопасность в финансах»

Во-первых, это законопроект о внесении изменений в № 86-ФЗ «О Центральном банке». Предполагается, что участники финансового сектора теперь будут согласовывать планы в области импортозамещения с Банком России, который будет также контролировать их исполнение. Сейчас эта функция закреплена за правительством РФ.

Реакция Германа Зубарева, заместителя председателя Банка России, была предсказуема: «ЦБ теперь будет иметь полную информацию о том, кто за что отвечает и кого за это спросить. Регулятор, владеющий ситуацией в полном объеме, сможет также оперативно реагировать на возникающие риски».

Герман Зубарев (Банк России). Фото: Уральский форум «Кибербезопасность в финансах»

Во-вторых, рассматривается законопроект, который, как сообщил Аркадий Свистунов, внесен правительством РФ в Госдуму совсем недавно, в начале февраля 2023 года. В нем речь идет о поправках в № 149-ФЗ в части, касающейся уточнения вопроса о том, которое программное обеспечение может считаться отечественным. Дело в том, что сейчас существует проблема, когда у ряда компаний-разработчиков, которые по факту считаются российскими, достаточно большие слоты акций торгуются на открытом рынке. На этом основании по формальным признакам они не могут считаться отечественными компаниями. Это стало системной проблемой IT-отрасли, которая оставляет за рамками импортозамещения самих разработчиков, а их решения — вне Реестра отечественного ПО. Как отметил Аркадий Свистунов, «в их числе такие сильные IT-компании, как, например, Тинькофф Банк».

Предполагается, что данный законопроект будет рассмотрен в ускоренном режиме и вступит в силу в исключительном порядке. Законопроект вводит понятие «контроль», поскольку современные корпоративные отношения предусматривают непрямые формы участия, связанные с акционерными соглашениями. Если «контроль» данной компании принадлежит российским участникам либо Российской Федерации в лице правительства или уполномоченных им организаций, то это даст основание считать выпускаемое компанией ПО отечественным.

Минцифры в курсе проблем

Владимир Бенгин , директор департамента обеспечения кибербезопасности Минцифры, в своих выступлениях на Форуме не ограничивался темой ИБ, поскольку импортозамещение является комплексным вопросом, затрагивающим и образование, и стандартизацию, и инновации, и развитие конкурентного IT-рынка в стране.

Владимир Бенгин (Минцифра). Фото: Уральский форум «Кибербезопасность в финансах»

В финансовой сфере в 2022 году масса полномочий министерством была передана Банку России, который сформировал отраслевой комитет по этому вопросу. Что касается самого Министерства цифрового развития, связи и массовых коммуникаций РФ, то оно в рамках № 321-ФЗ оказало грантовую поддержку на общую сумму более 20 млрд рублей IT-компаниям из различных отраслей. В 2023 году фокус активности ведомства будет смещен в сторону сегмента стартапов и обеспечения доступности для них инвестиций в целях расширения границ конкурентного IT-рынка и разработки более простых условий для вывода инноваций на рынок. В 2022 году общий кредитный портфель для существующих IT-компаний составил 75 млрд рублей.

Еще одним направлением работы Минцифры стала поддержка фундамента импортозамещения в лице квалифицированных кадров в виде отсрочки от призыва в армию, предоставления льготной ипотеки и т.д.

Отдельная проблема, по мнению представителя Минцифры, заключается в работе с Open Source. В ведомстве надеются, что в 2023 году появится российский репозиторий в целях налаживания контролируемого оборота колоссального объема Open Source, который используется в нашей стране, особенно в банковской сфере.

«Его [софт] пишет весь мир, поэтому мы не в состоянии переписать целиком весь этот софт, но можем сделать более доверенной значительную его часть, а также управлять обновлениями и исследованиями на предмет безопасность кода, а также наличия в нем закладок», — отметил Владимир Бенгин.

Что касается непосредственно сегмента ИБ, то? согласно указам № 166 и № 250 Президента РФ до 1 января 2025 года большинство решений должны быть импортозамещены. «Мы понимаем, что это непростая задача. Существуют классы продуктов, в которых есть явные пробелы. Проблемное место — это все, что касается сетевой безопасности, в частности это NGFW. В Минцифры есть понимание того, что наши вендоры не смогут до нужных сроков создать аналоги, но при этом нужно помнить про основную задачу импортозамещения — повышение общего уровня защищенности. Придется чем-то поступиться, где-то будет чуть сложнее при настройке, придется потратить часть своих ресурсов на перенастройку инфраструктуры, возможно, на качественно иных принципах ее организации и защиты. Задача Минцифры — заставить производителей создать решения, которые в целом повысят уровень сетевой безопасности у нас в стране. Нам всем надо сформулировать требования и выставить эти задачи вендорам», — считает Владимир Бенгин.

В текущей ситуации лучший путь — не замалчивать проблемы, а честно и оперативно информировать о них регуляторов, чтобы к контрольной дате общими усилиями решить поставленную руководством страны задачу.

В текущей ситуации лучший путь — не замалчивать проблемы, а честно и оперативно информировать о них регуляторов

Альтернативные мнения

«Это не критика, а голос “с земли”, — от некоторых IT-компаний заявил Игорь Ляпунов, вице-президент компании «Ростелеком» по ИБ и генеральный директор «Ростелеком-Солар. — Во-первых, проблема заключается в том, что в некоторых сегментах IT-продуктов имеется только по одному вендору, которые как монополисты завышают цену продуктов. При этом никто не отменял стоимость наших услуг по госконтрактам и нормы SLA по ним. Во-вторых, смещается ответственность за импортонезависимость с бизнеса на сторону сервис-провайдера. “Рестелком”, как и все остальные, испытывает сложности со средствами сетевой безопасности. Да, у одних [участников рынка] проблем стало меньше, но они возникли у сервис-провайдеров».

Игорь Ляпунов («Ростелеком»). Фото: Уральский форум «Кибербезопасность в финансах»

Кроме того, часто происходит подмена понятий «российское ПО» и «доверенное ПО», а это далеко не всегда одно и то же. К сожалению, ответа от Федеральной службы по техническому и экспортному контролю (ФСТЭК) на это заявление не последовало, поэтому сам Игорь Ляпунов предложил: «Мы сейчас хотим на небольшом отечественном рынке воспроизвести миниатюрную копию мировой экономики. Можно попробовать решить задачу чуть по-другому: как из недоверенных компонентов сделать доверенный продукт? Возможно, это даст результат быстрее, нежели тот путь, которым мы сейчас все идем».

Владимир Бенгин парировал его доводы: «Пути могут быть разные. Важно оценить, какой результат у нас получится в конечной точке. На мой взгляд, успех будет означать наличие экспорта отечественных продуктов».