27 октября 2021 г.
Масштабный аудит Единого реестра российских программ для электронных вычислительных машин и баз данных идет полным ходом. Комплекс мероприятий, проводимых Министерством цифрового развития, связи и массовых коммуникаций РФ, предусматривает актуализацию Реестра, которая назрела по ряду технических и организационных моментов. Чем она вызвана, каковы ее первые итоги и как данная активность может отразиться на российском рынке?
Напомним, что Реестр создан в соответствии со статьей 12.1 Федерального закона «Об информации, информационных технологиях и о защите информации» для обеспечения государственной поддержки вендорам российского программного обеспечения. Программные продукты, представленные в Реестре, разделены на классы в соответствии функциональными возможностями. Есть разделы, объединяющие операционные системы, офисные приложения, средства поиска, аналитики и защиты данных, различные утилиты, серверный и связующий софт, среды разработки, тестирования и отладки, инструменты управления предприятием и также прочие решения. Наличие программного продукта в Реестре является официальным подтверждением его происхождения из Российской Федерации и, как следствие, возможности его применения для проектов импортозамещения.
С 2016 года российские госорганы, а также ряд предприятий обязаны закупать софт из данного Реестра, так как принято считать, что включенные в него программные продукты обеспечивают санкционную устойчивость, чем снижают ряд рисков для инфраструктур ключевых элементов управления и индустрии в стране. Переход на российский софт продолжается и сейчас. За прошедшее время вендоры наладили контакты с каналом, что существенно упростило работу с клиентами.
Объем продаж российского программного обеспечения, по данным IDC, в настоящее время достиг 47%, отметил Максим Сорокин, председатель директоров OCS Distribution, выступая на технологическом форуме IT-Ось 2021. Софт «иностранного происхождения» в рамках программы импортозамещения еще можно использовать разными способами. Однако чиновникам и представителям ряда предприятий придется мотивировать закупки программных продуктов, не включенных в Реестр. И объяснения, приемлемые для этого, пока существуют.
В настоящий момент в Реестре присутствуют 11 799 программных продуктов. Наличие такого большого количества российских программ стало приятным сюрпризом как для руководства страны, так и для индустрии ИТ. Изначально предполагали, что вряд ли для более пары тысяч программ, претендующих на российское происхождение, поэтому условия попадания в Реестр не всегда проверяли с достаточной жесткостью. Но настало время провести ревизию, что и происходит в настоящее время.
Заметим, что кроме организационных моментов следовало разобраться и с техническими. Например, Red Hat Linux на момент создания Реестра являлся свободно-распространяемым программным обеспечением, а в 2018 году был приобретен IBM. В результате этого события может возникнуть ряд вопросов к программам, признанным российскими и включенными в Реестр, но построенными на библиотеках, которые в результате той сделки должны рассматривать как утратившие санкционную устойчивость.
В ходе начальных работ по проверке Реестра сотрудники Минцифры обнаружили около 900 продуктов с неактуальными сведениями в описании. Далеко не все правообладатели программных продуктов смогли актуализировать данные сведения. Например, более 650 правообладателей уже отправили специалистам ведомства актуальные сведения по вызвавшим вопросы программным решениям из Реестра, а с остальными ведется работа. При этом более сотни компаний — точнее, 104 — не удалось найти в Едином государственном реестре юридических лиц (ЕГРЮЛ), соответственно, актуализированных данных они не предоставили. С технической точки зрения никаких проблем нет — если права на продукты были переданы другому юридическому лицу, новым компаниям-правообладателям необходимо оперативно направить актуализированную информацию в Минцифры. Но если это сделано не будет, то соответствующие продукты могут исключить из реестра российского ПО, хотя окончательного решения по данной ситуации еще не принято.
«По итогам аудита реестра Минцифры России будет инициировать исключение продуктов с неактуальными сведениями или не соответствующих требованиям», — прокомментировал Максим Паршин, замглавы Министерства цифрового развития, связи и массовых коммуникаций РФ.
На первый взгляд, особой проблемы нет: аудит — процедура техническая и предсказуемая, а значимых проблем не выявлено. Количество обнаруженных проблемных продуктов значительно меньше количества ежемесячных заявок на включение в Реестр новых релизов. Заявок, по заявлению представителей министерства, каждый месяц бывает порядка пятисот. Однако это только начало проверок.
В ходе аудита, который продолжается, специалистам министерства придется выявить продукты, по другим характеристикам больше не подпадающие под требования для признания софта российским. Это займет некоторое время, так как специалистам ведомства придется провести проверку соответствия программного обеспечения ряду требований, утвержденных постановлением правительства Российской Федерации. В частности, необходимо проверить правомерное использование сторонних компонентов ПО, что необходимо для наличия исключительного права на продукт. Напомним, что регламентирована также суммарная доля прямого и/или косвенного участия в праве на продукт граждан РФ, российских организаций без преобладающего иностранного участия, субъектов РФ, муниципальных образований, которая должна составлять более 50%.
Актуальность данного аудита вопросов не вызывает. Однако как результаты проверок повлияют на российский рынок — пока сказать сложно, но уже можно предположить, что в итоге потребуются дополнительные затраты от игроков рынка, причем как прямые, так и косвенные. Затраты будут как у компаний-разработчиков, так и у пользователей российского программного обеспечения.
Очевидно, что многим компаниям придется вносить в релизы существенные изменения для того, чтобы программные продукты остались в Реестре. Данный процесс может оказаться длительным и трудоемким: смена библиотек или всего технологического стека может потребовать существенных изменений — если не полного переписывания — кода программного продукта, а потом неизбежного полномасштабного тестирования, а также, возможно, других дополнительных действий: пентестов, получения новых лицензий от других регуляторов и т. д. С технической точки зрения все очевидно, но это потребует от вендоров дополнительных затрат финансовых и прочих ресурсов.
Как быть учреждениям, которые ранее приобрели и используют решения, исключенные из Реестра в результате аудита, пока непонятно. Если будет требование отказаться от использования ПО, утратившего право именоваться «российским продуктом», и заменить его на официально пригодное для импортозамещения, то на стороне клиента это может привести к значительным затратам. Даже если обновленный релиз, переписанный с полным учетом требований Реестра, достанется бесплатно российскому корпоративному заказчику, последнему придется выполнить ряд необходимых технических действий: убедиться в совместимости обновления с другими компонентами инфраструктуры, как программными, так и аппаратными, получить сертификаты, если в этом есть необходимость, провести пентесты и т. д. На все это потребуются ресурсы!
Неожиданные риски, обернувшиеся реальными проблемами, потребуют существенных и непроизводительных затрат времени и денег. Кроме того, образуются новые риски, так как в процессе внедрения спешно адаптированных релизов могут возникнуть новые уязвимости, произойти технические сбои, способные привести к потере данных и к временной остановке работы организаций. Судя по опыту перехода на российское программное обеспечение, полученному в предыдущих сезонах, к серьезным авариям это не приведет, но оценить порядок сумм, которых в итоге от внезапных изменений лишится национальная экономика, пока сложно.
Источник: Александр Маляревский, внештатный обозреватель CRN/RE
