Вопросы ИТ-независимости с точки зрения ФСБ

В начале июля состоялось обсуждение темы «Импортозамещение технологий в стратегических информационных системах. Законодательные акты», инициированное Комиссией по нормативно-правовому обеспечению развития наукоемких технологий стратегических информационных систем при Комитете Государственной Думы по науке и наукоемким технологиям. В рамках этого собрания с изложением своего видения проблемы выступил ряд приглашенных экспертов, в том числе заместитель начальника Центра Федеральной службы безопасности Николай Мурашов. Он представил интересный анализ ситуации, отразивший сложность и противоречивость темы.

В самом начале докладчик, в частности, отметил неопределенность самого понятия «стратегическая информационная система» — такого термина сегодня нет в нашей законодательной базе. Хотя ясно, что речь идет о некоторых критически важных для жизнедеятельности государства ИС, все же понятие это нуждается в четкой формулировке, чтобы определить, какие именно системы подпадают под нормативно-законодательные требования.

Перейдя к теме импортозамещения, Николай Мурашов подчеркнул, что вопросы информационной безопасности — это лишь один из компонентов более общей проблемы обеспечения безопасности национальной, где есть и другие аспекты, такие как экономическая и технологическая безопасность. И принципиально важным здесь является то, что все эти элементы безопасности взаимосвязаны, их нужно рассматривать в комплексе, не вырывая тот или иной аспект из общего круга вопросов.

Как уже не раз отмечалось ранее, в обсуждении темы импортозамещения основные акценты обычно сосредоточены в сфере ПО. Обращая внимание на этот момент, представитель ФСБ указал, что создание отечественного ПО во всей его совокупности, начиная от операционных систем и заканчивая прикладными программами, проблемы информационной и национальной безопасности не решает. Если мы хотим достичь полной независимости в сфере ИТ, то нужно обеспечить не только создание собственных аппаратных средств, но и производство микроэлектронной элементной базы. А последнюю задачу, в свою очередь, невозможно решить в отсутствие соответствующего машиностроения.

Исходя из этих тезисов был сделан вывод о том, что задачи импортозамещения должны решаться пошагово, а формулируемые для этой сферы программы должны иметь многослойный характер. «Требуются короткие шаги, которые могут быть реализованы за быстрый период и, может быть, даже в кратчайшее время. И одновременно необходимо запланировать те шаги, которые позволят решить эту проблему в комплексе, — отметил докладчик. — В целом комплексное решение потребует сильных государственных вложений, но не решив проблему в комплексе, мы спокойно жить не сможем. Даже если мы научимся производить соответствующие устройства, то в любой момент, если будут отрезаны поставки чипов, производство может быть закрыто. Нельзя разделять аппаратные и программные средства, все это должно стать некой единой материей. Безопасности только программных средств не существует, потому что есть еще и проблема BIOS». Что касается вопросов изучения исходных кодов, то они сегодня решаются в отношении определенных видов ИТ-продукции иностранного производства, но, как подчеркнул выступавший, дело это весьма сложное и трудоемкое.

Далее Николай Мурашов затронул такой важный аспект проблемы импортозамещения, как экономическая эффективность: «Если мы будем решать эти вопросы только в рамках оборонных отраслей промышленности, это окажется очень дорого. Мы все время должны думать о типовом применении создаваемых технологий и продуктов. Не обязательно ставить это во главу угла в настоящий момент, но все же нужно видеть перед собой цель, понятную государственным организациям и в первую очередь нашему оборонному ведомству, и одновременно с этим развивать соответствующие программы двойного назначения».

Решая вопросы импортозамещения, нельзя забывать о том, что мировой ИТ-рынок является глобальным, основанным на глубокой системе международного разделения труда, среди участников которой значится и Россия. В такой ситуации очень важным аспектом обеспечения ИТ-независимости страны докладчик считает развитие экспортной составляющей. Он выразил согласие с тезисом о том, что государство должно определенным образом поддерживать это направление работы.

Однако, по его мнению, наша экспортная составляющая во многом теряется в международных организациях, в том числе в Международном союзе электросвязи и ISO: «Я не видел в ISO ни одного стандарта, выдвинутого из России. В нашей стране стандарты ISO есть, а вот там наших стандартов нет». Но тут возникает вопрос: кто именно должен заниматься продвижением российских стандартов в международные структуры? Как утверждает докладчик со ссылкой на мировой опыт, это должны делать частные организации, а не государственные: «У нас немало самодеятельных объединений, на Западе их мнение ценится более высоко, чем мнение сугубо государственных структур, поскольку там принята, если так можно выразиться, холдинговая модель: государство, гражданское общество и бизнес. Стандарты принимаются там, где право голоса принадлежит не государству, а бизнес-структурам. Так вот, нашего бизнеса на международных площадках я практически не вижу, его там как бы и нет, он не отстаивает свои интересы. А в это время в том же Международном союзе электросвязи принимаются стандарты, которые ограничивают права российских производителей. Так что, конечно, государство должно определенным образом оказывать экспорту поддержку, но и самим бизнес-структурам следует активнее выступать на международной арене, чтобы те правила, которые там формируются, создавались и в интересах российского бизнеса. Более того, именно на основе инициатив отраслевых организаций можно было бы вносить изменения и в существующее национальное законодательство».

Возвращаясь к теме собственно информационной безопасности, Николай Мурашов подчеркнул, что ключевым элементом ее обеспечения является система сертификации ПО на основе верификационных исследований, в том числе на предмет наличия разного рода «закладок». Сегодня акцент в этой сфере делается в основном на изучение зарубежного ПО, но такая постановка вопроса неверна, поскольку стандарты безопасности должны применяться к любым ИТ независимо от их национального происхождения, ведь отечественные закладки представляют такую же опасность, как и иностранные. За примером тут не нужно далеко ходить: получение сертификатов по безопасности является обязательным для любого ПО, претендующего на использование в критически важных системах. «Мне самому известны случаи, когда наш производитель искусственно вставлял закладочку в программное обеспечение, и если деньги не поступали, то соответствующее оборудование переставало работать», — поделился своим опытом представитель ФСБ.

Кто и как должен проводить такие верификационные исследования? Отвечая на этот вопрос, докладчик выдвинул мысль о том, чтобы такой работой занимались общественные отраслевые структуры, в том числе бизнес-ассоциациии, а разработчики предоставляли бы им свои продукты для изучения на добровольной основе. По его мнению, именно такой механизм может быть использован для сертификации ПО с целью получения титула «отечественное». Впрочем, далее он отметил, что создание такого механизма верификации — задача очень сложная, хотя и реализуемая технически: «Если бы у нас была налажена система сертификации российского ПО на принципах некоторой саморегулирующейся структуры, то можно было бы снять опасения в отношении отечественных разработок, можно было бы действительно говорить о преференциях российскому разработчику».

Николай Мурашов согласился с тем, что сегодня одной из первоочередных задач является разработка критерия, позволяющего однозначно говорить об отечественном программном обеспечении. Но при этом высказал мнение, что с ходу эту задачу решить нельзя. «В данном вопросе общество должно консолидироваться, а пока разброс мнений по поводу того, что такое отечественное ПО, слишком велик. Но задача выработки единой компромиссной точки зрения на проблему решаема именно путем широкой дискуссии».