Федеральная служба по техническому и экспортному контролю (ФСТЭК) приостановила действие лицензий программ от IBM, Microsoft, Oracle, SAP и других иностранных компаний. Об этом пишет «Коммерсант» со ссылкой на реестр службы. Причиной такого шага стала приостановка деятельности указанных разработчиков на территории России. В ведомстве отмечают, что если компании не возобновят техподдержку своих продуктов, то действие сертификатов будет прекращено.
ФСТЭК начала замораживать сертификаты после того, как иностранные компании объявили о приостановке своей деятельности в России из-за специальной операции на Украине. По словам руководителя отдела консалтинга и аудита информационной безопасности Step Logic Дениса Пащенко, по состоянию на 25 марта приостановлено 56 сертификатов.
Сертификация ФСТЭК России проводится для подтверждения соответствия решений для управления предприятием, облачного хранения, аналитики, кибербезопасности и т. д. требованиям по безопасности информации по разным классам защищенности и возможности использования в ГИС, автоматизированных системах управления технологическими процессами или на значимых объектах критической информационной инфраструктуры.
Требования ФСТЭК России включают необходимость обеспечения техподдержки средств защиты информации, в том числе устранение обнаруженных уязвимостей, говорит независимый эксперт по информационной безопасности Алексей Лукацкий. «ФСТЭК запросила у зарубежных компаний пояснения относительно техподдержки уже работающих решений», — сообщил эксперт, добавив, что действие сертификатов будет прекращено, если компании не возобновят поддержку продуктов в течение 90 дней со дня приостановки сертификатов.
В этом случае пользователям придется искать сертифицированные альтернативы и проводить переаттестацию систем, говорит Денис Пащенко. Он отметил, что хотя на ряд решений имеются сертифицированные отечественные альтернативы, например, на продукты по кибербезопасности, заменить решения VMware, IBM, Microsoft, Oracle без потери производительности или функциональности будет непросто: «Это займет много времени, потребует изменения ИТ-архитектуры и серьёзных финансовых затрат».
Стоит отметить, что системы SAP и Oracle используются в российской промышленности, энергетике, транспорте, банках и др. По состоянию на 4 марта 2022 года только SAP публично заявила, что «продолжает поддерживать всех действующих клиентов в рамках договорных обязательств в той мере, насколько это позволяют санкции и ограничения экспортного контроля».
Несмотря на требования по использованию сертифицированного ПО, многие российские компании и банки пока продолжают работу на зарубежных продуктах, которым ФСТЭК приостановила лицензии, говорит руководитель направления информационной безопасности Itglobal.com Александр Зубриков.
Сейчас ФСТЭК не дает четких сроков, когда заказчики должны будут заменить несертифицированные продукты в своих ИТ-системах. Более того, в силу вступивших послаблений в части проверок выявить факт использования несертифицированного решения регулятор может не скоро, полагают эксперты.