ЦБ предложит отложить переход банков на отечественное ПО до 2025 года
Банк России планирует попросить правительство и администрацию президента перенести до 1 января 2025 года перевод на отечественное программное обеспечение и оборудование объектов критической информационной инфраструктуры (КИИ), к которым в том числе относятся банки. Об этом говорится в письме зампреда ЦБ Дмитрия Скобелкина в ответ на обращение Ассоциации банков «Россия» с соответствующими предложениями.
ЦБ также попросит правительство и АП уточнить порядок перехода на преимущественное использование российского ПО и оборудования, отмечается в документе.
РБК направил запрос в ЦБ и Минкомсвязи.
В конце мая Минкомсвязь предложила обязать владельцев элементов, входящих в критическую информационную инфраструктуру, с 1 января 2021 года использовать преимущественно российское ПО, а с 1 января 2022 года — российское оборудование. Для этого министерство разработало проекты указа президента и постановления правительства.
В чем суть изменений
В России в 2018 году вступил в силу закон «О безопасности критической информационной инфраструктуры», согласно которому к КИИ относятся сети и ИТ-системы госорганов, научных и кредитно-финансовых организаций, а также предприятий оборонной, топливной и атомной промышленности, транспорта, энергетики и других компаний. Объекты КИИ должны быть подключены к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и передавать в нее информацию обо всех инцидентах на объектах.
На основе информации от владельцев объектов КИИ власти должны составить реестр, в котором объекты КИИ будут разделены на значимые и незначимые (в зависимости от того, какой ущерб стране и людям будет нанесен, если эту информационную систему атакуют хакеры). Для сотрудников компаний, управляющих объектами КИИ, предусмотрена уголовная ответственность, если нарушение правил эксплуатации сетей повлечет вред для КИИ.
В июне банковская ассоциация предупредила ЦБ о том, что реализация проектов в нынешней редакции создаст риски масштабных перебоев в функционировании объектов КИИ, так как требования, указанные в них, на практике трудновыполнимы или практически невыполнимы по нескольким причинам.
- Банкам придется разово потратить на переход с иностранного софта и оборудования на отечественные аналоги более 700 млрд руб., а с учетом сжатых сроков эта сумма может быть еще больше. При этом, по оценке банкиров, средние сроки замещения с учетом непрерывности деятельности и постоянной транзакционной нагрузки кредитных организаций составят не менее трех лет при наличии готовых решений или пять-семь лет, если потребуется их поиск, тестирование и доработка.
- У российских производителей отсутствуют качественные аналоги иностранного ПО и оборудования. «Замещение иностранного ИТ-оборудования российским еще больше осложнено в связи с отсутствием у отечественных производителей современных технологий производства радиоэлектроники и его элементно-компонентной базы», — отмечали в ассоциации.
- У ИТ-производителей не хватает мощностей для реализации масштабного одновременного перехода объектов КИИ на отечественный софт и оборудование: «Производителям придется в условиях сжатых сроков осуществлять настройку и доработку ПО и оборудования под потребности кредитных организаций, что влечет за собой риски сбоев, ошибок и инцидентов кибербезопасности».
- Одномоментное замещение всего ПО и оборудования «считается крайне опасным», так как также может привести к сбою в работе информационных систем, особенно у банков, чьи сервисы работают круглосуточно без выходных. Более того, замещение ИТ-оборудования или софта собственной разработки банки считают бессмысленным, так как они соответствуют всем требованиям информационной безопасности и позволяют предлагать клиентам услуги и продукты «по наименьшей цене в кратчайшие сроки».
