Банки попросили ЦБ продлить срок перехода на российское ПО и оборудование
Российские банки попросили ЦБ снова перенести сроки перехода владельцев критической информационной инфраструктуры (КИИ) на использование преимущественно отечественного программного обеспечения (ПО) и ИТ-оборудования. Банки предлагают продлить переход как минимум до 2027–2028 годов, следует из письма Ассоциации банков «Россия» (АБР) заместителю председателя ЦБ Дмитрию Скобелкину (есть у РБК).
К владельцам КИИ относятся кредитные организации, госорганы, предприятия ТЭК, транспортные, телекоммуникационные и ряд других компаний, повреждение сетей связи которых может привести к серьезным последствиям.
Изначально Минцифры предлагало перевести объекты КИИ на использование преимущественно отечественного ПО с 1 января 2021 года, а на использование оборудования — с 1 января 2022 года, но банки тогда предупредили ЦБ, что ускоренный переход может создать риски масштабных перебоев в работе систем, и просили отложить его до 2025–2026 годов. Власти пошли им навстречу, но лишь отчасти: в конце октября министерство опубликовало проект указа президента, согласно которому срок перехода на ПО устанавливается 1 января 2024 года, на оборудование — 1 января 2025 года. Перед этим Банк России предлагал правительству и администрации президента единую дату — 1 января 2025 года.
Предлагаемый срок перехода изменился, так как АБР провела исследование рынка, в котором приняли участие 28 кредитных организаций, девять из которых входят в топ-20 по размеру активов, сказал РБК вице-президент ассоциации Алексей Войлуков. Банк России изучит новые предложения, сообщил представитель регулятора. В Минцифре не ответили на запрос РБК.
Почему банкам предписали перейти на отечественное ПО и оборудование
В 2018 году в силу вступил закон «О безопасности критической информационной инфраструктуры», согласно которому подпадающим под его действие объектам должна быть присвоена первая, вторая или третья категория в зависимости от того, насколько сильный ущерб будет нанесен стране, если этот объект атакуют хакеры. Владельцы КИИ должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и передавать в нее информацию обо всех инцидентах. За нарушение правил эксплуатации, которое повлечет вред для КИИ, предусмотрена уголовная ответственность.
Переход на отечественное ПО и оборудование должен произойти в целях обеспечения технологической независимости критической инфраструктуры. Для этого ее владельцы должны в приоритетном порядке использовать российские аналоги иностранного ПО и оборудования, которые включены в специальные реестры и которые по своим техническим характеристикам позволяют в полной мере обеспечить безопасность подобных объектов. Зарубежное ПО и оборудование можно будет использовать только в том случае, если для них нет отечественных аналогов и при согласовании с Минцифры и Минпромторгом. План перехода владельцы КИИ должны утвердить до 1 июля 2021 года.
Чем банки аргументируют новую отсрочку
Банки свою просьбу обосновывают тем, что на переход им нужно минимум шесть лет, так как в среднем доля используемого иностранного ПО и ИТ-оборудования составляет 85%, а затраты на реализацию этих требований превысят 700 млрд руб. по всей банковской системе (5–7% собственных средств банковской системы).
Они также просят ЦБ не включать в реестр ПО и оборудование, которое разработали они сами, но разрешить их использование. Среди других предложений — создание облегченных правил вхождения в реестр для решений, которые разработаны компаниями из банковских групп и используются только внутри банка. Применение подобного ПО и оборудования нередко встречается на рынке, но его включение в реестр затруднительно, так как решения не соответствуют формальным критериям реестра. При этом на ЦБ предлагается возложить функции контроля за процессами импортозамещения на финансовом рынке.
«Необходимость проведения масштабных затрат неизбежно повлияет на объем и качество предоставляемых банками финансовых услуг населению и реальному сектору экономики. Мы оцениваем, что сокращение капитала банков приведет к сокращению размера кредитования на сумму 5–7 трлн руб., что негативно отразится на экономике страны», — отмечают в ассоциации. Использование преимущественно иностранного ПО и оборудования обосновано тем, что на российском рынке отсутствуют полные аналоги, соответствующие требованиям банков в части функционала и информационной безопасности, добавили в АБР.
Просьба банков более чем обоснованна, считает генеральный директор дата-центров Oxygen Павел Кулаков. «Очень сложно одной стране создать свою альтернативу тому, чем пользуется весь мир и что создают сильнейшие экономики мира. И даже в новые сроки достичь целей представляется маловероятным. Необходимо фактически догнать и перегнать мировых лидеров в области создания программного обеспечения и серверной инфраструктуры», — пояснил он. Предложения банков справедливы, хотя есть отрасли (например, промышленность), в которых выполнение требований «может быть гораздо сложнее исходя из специфики их функционирования и сложного жизненного цикла», отмечает ведущий эксперт направления «информационная безопасность» ИТ-компании КРОК Евгений Дружинин.
Кто столкнется со сложностями
ВТБ планирует заниматься собственной разработкой и последующей регистрацией своих продуктов в российском реестре, сказал представитель банка. Если отечественные производители не успеют преодолеть отставание от зарубежных коллег к 2025 году, это может сказаться на качестве тех сервисов, которые получают банковские клиенты, говорит директор департамента информационной безопасности МКБ Вячеслав Касимов. За четыре-пять лет эта проблема вряд ли решится, добавляет директор по информационным технологиям Росбанка Александр Тараторин. Он считает, что для иностранных банков ситуация особенно сложная, поскольку разработанное самим банком ПО по текущему определению не является отечественным и также подлежит замене.
По мнению заместителя гендиректора группы QIWI Марии Шевченко, к 2027–2028 годам отрасль сможет подготовиться и осуществить переход планомерно, безопасно и снизить возможные негативные последствия для клиентов. Но даже при увеличении срока перед участниками рынка по-прежнему останутся сложности, связанные со стоимостью перехода, говорит Шевченко, добавляя, что для многих банков она может стать критичной. Кроме того, старое оборудование или останется на балансе, или потребуется его списание, что приведет к чрезмерным убыткам.
Если банки продолжат пользоваться иностранными технологиями, могут возникнуть санкционные риски, отмечает Кулаков: «Запрет на закупки импортного ПО и оборудования для ряда госпредприятий может парализовать деятельность компаний». Но и в самом переходе есть риски, признает он, — новые решения могут оказаться ненадежными для очень чувствительного к сбоям и простоям банковского сектора.