Импортозамещение в ИТ-сфере давно перестало быть лишь ответом на внешние санкции или логистические сложности. Сегодня оно приобретает стратегическое значение как элемент национальной и корпоративной цифровой безопасности. В условиях роста киберугроз, зависимости от иностранных платформ и нестабильности глобальных цепочек поставок программного обеспечения, переход на отечественные решения становится необходимостью. Но как это происходит на практике — в материале РБК Петербург.
Выбор из множества
Один из ключевых вызовов современного этапа импортозамещения — избыток решений, среди которых сложно выделить действительно надежные. Вместо упрощения процесса закупок, реестры порождают бюрократическую и техническую сложность: компании вынуждены запускать десятки пилотных проектов, тратя месяцы на сравнение продуктов, которые внешне похожи, но, по сути, не решают их задач.
Эту проблему в рамках дискуссии «Технотренды» ярко описал Дмитрий Буданов, начальник сектора ИТ Государственного Эрмитажа: «Мы протестировали множество решений в сфере информационной безопасности, но ни одно так и не выбрали. Проблема в том, что каждый продукт хорош в чем-то своем: у одного удобный интерфейс, у другого — бесшовная интеграция с антивирусом, у третьего — уровень сервиса. В результате возникает желание создать «гибрид» из всех лучших качеств. Но бизнес-процессы не терпят ожидания, им нужны решения здесь и сейчас, а не идеальный конструктор в будущем».
Эта ситуация особенно опасна в контексте цифровой безопасности: частичное или некорректное внедрение ИБ-решения может создать ложное чувство защищенности. В то же время и задержки с выбором оставляют инфраструктуру уязвимой. Таким образом, хаотичный рынок не просто снижает эффективность отдельных процессов — он напрямую угрожает безопасности.
Эксперты подчеркнули: реестры, созданные изначально как инструмент налоговых льгот (освобождение от НДС), не предназначены для оценки качества или безопасности. Любой продукт, формально соответствующий требованиям, может попасть в список — даже если он не прошел независимого аудита, не имеет поддержки или не соответствует стандартам кибербезопасности. Это создает иллюзию выбора, но — увы — не обеспечивает реальной защиты.
Зачем нужны стандарты
Участники дискуссии отметили, что административное ограничение числа решений в категории, например, до пяти или даже десяти, приведет к монополизации и отсечет перспективные стартапы, особенно те, что работают в узких, но важных нишах.
Вместо этого эксперты предложили развивать отраслевые стандарты и экспертные сообщества. Такие структуры могли бы оценивать решения по объективным критериям: совместимость с национальными архитектурами, уровень защиты, наличие сертификатов ФСТЭК и ФСБ, поддержка жизненного цикла, прозрачность кода и т.д.
Поддержку этой идее выразила Людмила Гонтарь, директор Дирекции «Аэродинамика» Правительственной комиссии РФ, директор ЦК по цифровизации ФРЦЭ, руководитель ГОК рабочей группы РСПП: «Если говорить, к примеру, про сегмент BPM, то по факту решений, которые тиражируют и двигают рынок, всего 2–3. Зато местечковых — множество. И такое количество не дает двигаться вперед качественным продуктам. Хорошо бы было изначально продвигать на равноценных условиях все, но потом отсечь те, что себя не оправдали — грубо говоря, ввести как стандарт какие-то правила».
Стандартизация особенно важна в критически важных отраслях — энергетике, транспорте, обороне, здравоохранении. Здесь даже небольшая уязвимость может привести к масштабным последствиям. Поэтому государство должно поощрять разработку ПО, а кроме того — формировать единые требования к безопасности, надежности и совместимости, которые станут обязательными для участников госзакупок и операторов КИИ.
Риски фрагментации
Еще один болевой вопрос — внутренние ИТ-разработки госкорпораций. Часто они дублируют уже существующие рыночные решения, но при этом не становятся частью общей экосистемы. Такие «закрытые» продукты используются только внутри одной организации, не получают внешней экспертизы, не развиваются под требования других заказчиков и, как следствие, не способствуют укреплению национальной цифровой инфраструктуры и обеспечению ее безопасности.
Эксперты предложили усложнить процедуру согласования финансирования таких проектов, чтобы стимулировать сотрудничество с рынком, а не его игнорирование.
«Не стоит вводить прямые запреты на разработку программного обеспечения госкомпаниями за счет государственных средств. Гораздо эффективнее усложнить процедуры согласования выделения финансирования на такие проекты, особенно если на рынке уже существуют аналогичные продукты. В этом случае инициаторам разработки следует предварительно получить официальные отказы на доработку существующих решений от отечественных ИТ-разработчиков, включенных в государственный реестр ПО», — объяснил Александр Васильев, руководитель отдела R&D телеком-оператора.
Такой подход экономит бюджетные средства и способствует концентрации усилий на развитии универсальных, масштабируемых решений, которые могут использоваться в десятках и сотнях организаций — от заводов до музеев. Именно такие продукты формируют устойчивую, безопасную и предсказуемую цифровую среду.
Как снизить риски для бизнеса
Цифровая безопасность невозможна без четкой ответственности за качество ПО. Сегодня бизнес несет все риски самостоятельно: если выбранное решение окажется неработоспособным или уязвимым, убытки ложатся на заказчика. Государство, в свою очередь, не предоставляет механизмов компенсации и не должно этим заниматься.
Но раз проблема имеет место быть, участники дискуссии предложили развивать саморегулируемые организации (СРО) в ИТ-отрасли. Такие структуры могли бы объединять разработчиков, интеграторов и заказчиков, вырабатывать единые правила качества и даже создавать компенсационные фонды для возмещения ущерба в случае провала внедрения.
Некоторые интеграторы уже применяют гибкие модели: тестируют решения за свой счет, организуют референс-визиты и возвращают инвестиции через постпроектную поддержку. Это снижает барьер входа для бизнеса и стимулирует разработчиков повышать качество.
Кроме того, эксперты подчеркнули важность прозрачности происхождения ПО. Практика «переклейки шильдиков» — когда западные продукты под видом российских попадают в реестры — подрывает доверие ко всей экосистеме. Это не только репутационный, но и прямой финансовый урон: компании тратят ресурсы на внедрение решений, которые не соответствуют требованиям безопасности и не получают дальнейшей поддержки. Такой «страховой» фонд мог бы стать стимулом для внедрения отечественных решений и повысить защищенность идущих в такие проекты организаций.
Проект реализован на средства гранта Санкт-Петербурга.
