Почему импортозамещение делает IT-рынок уязвимее и как с этим справиться

К 2025 году зарубежное ПО должно быть заменено отечественными аналогами — это требование касается всех объектов критической инфраструктуры, включая частные компании. Менять софт будут не только 13 отраслей, куда входят здравоохранение, банки, операторы связи и промышленность, но и компании, которые их обслуживают. Уже сегодня многие иностранные IT-решения стали недоступными для оплаты или отключены от поддержки. В спешке руководители могут выбрать ПО, которое не отвечает функциональным требованиям, в том числе по информбезопасности (ИБ). Директор по продуктам Start X Сергей Волдохин рассказывает о том, как срочное импортозамещение делает IT-ландшафт организаций уязвимее и как сделать внедрение новых решений безопасным.

Вопросы безопасности

Последние исследования рынка говорят: 44,7% коммерческих компаний не собираются переходить на отечественное ПО в ближайшее время, 27% ждут, когда закончится лицензия у установленного софта. А вот оставшиеся 22% будут замещать IT-решения на российские еще до того, как иностранные альтернативы перестанут работать — и уже сейчас тестируют отечественное ПО. И именно они могут столкнуться с проблемами по безопасности. Почему так происходит? Многие российские продукты только выходят на рынок и поэтому находятся на ранних стадиях разработки и развития. В отличие от своих аналогов, которые годами проходили «проверку на прочность», они еще только начинают путь в борьбе с багами и уязвимостями. Сегодня, так как внедрять ПО надо срочно, основной фокус сделан на том, чтобы просто повторить функциональность иностранных IT-решений. Требования по безопасности отходят на задний план.

Дело тут не только в самих разработчиках. Заказчики тоже хотят в первую очередь решить задачи своего бизнеса — о рисках можно будет поговорить потом. Поэтому они не проводят моделирование и оценку угроз, не формируют требования безопасности и не проводят испытаний.

Аудит, призванный оценить безопасность ПО, часто проводят только перед внедрением или не проводят вовсе. Причина — неэффективные процессы ИБ в компании. Многие команды не знакомы с требованиями безопасности, ПО они проверяют только на финальных стадиях — и если находят уязвимости, то устранять их в почти готовом продукте могут дольше, чем IT-решение разрабатывалось. 

К сожалению, с точки зрения регуляторов большого продвижения тут тоже нет. За последний год не вводилось значительных изменений, которые бы влияли на требования по безопасности при производстве ПО. И даже те нормы, что уже существуют, не предъявляются к продуктам ни при включении их в реестр отечественного ПО, ни при внедрении в компанию.

Как решают проблему заказчики Тот бизнес, который все же вводит проверку безопасности, обычно проверяет продукт на соответствие двум вещам: требованиям разных законов, стандартов и указаний регуляторов (их могут быть сотни); правилам, исторически принятым в компании. 

Например, в большинстве продуктов пользователи проходят аутентификацию по логину и паролю, а доступ разграничивается на уровне ролей, плюс в каком‑то виде хранятся журналы событий. Это условная «гигиена» для любого приложения, к которой все давно привыкли.

Но для корпоративной инфраструктуры с чувствительными данными этого недостаточно. Тут важными становятся двухфакторная аутентификация, шифрование, защита от утечки данных.

Проблема в том, что после релиза любые изменения в продукте потребуют много времени и будут стоить дорого. Переделать формат журналов на этапе планирования займет один день, после релиза, в готовом продукте — до месяца. Поэтому сложности с ИБ проще предотвратить, чем исправить. Но для этого нужна согласованная работа разных игроков рынка — заказчиков, вендоров и регуляторов.