Правительство может законодательно закрепить обязательство операторов персональных данных использовать только российское ПО. По данным газеты «Коммерсантъ», предложения нужно подготовить до 1 декабря 2025 года, а переходный период ограничен осенью 2027 года.

Предполагается, что операторы смогут выбрать для использования любое подходящее решение, включенное в реестр отечественного ПО. Сейчас, по словам авторов инициативы, уже есть «тысячи разработок различных классов». Вопрос в гарантиях безопасности и защиты от утечек, от которых никто не застрахован.

Если на бизнес возложили такую серьезную ответственность за сохранность персональных данных, хотелось бы разделить ее с самими разработчиками, говорит генеральный директор холдинга «Адитим» — инжиниринговой компании в области обработки полимеров — Георгий Солдатов:

Георгий Солдатов генеральный директор холдинга «Адитим» «Когда огромный кластер софта создается отчасти с нуля, когда мы должны будем вынужденно перейти на новые решения, отечественные, еще не проверенные, то если там произойдет что-то, отвечать все равно нам. И на иностранном софте иногда бывают сбои, поэтому я, честно говоря, смотрю на это пока философски: перейти все равно придется, но я надеюсь, что будет какой-то сбалансированный подход к переходному периоду. За два года — дайте мне точку опоры, я переверну весь мир. Наверное, если бы софт был моим бизнесом, при определенных ресурсах в компаниях можно и за два года осилить и сделать конфетку, а можно и не сделать абсолютно ничего. Мы знаем примеры эпик-фейлов совершенно сумасшедших и в очень серьезных компаниях и замечательные достижения небольших компаний, которые что-то делают очень эффективно и быстро. Мне сложно оценить сейчас, я вижу риски, возникает вопрос: кто будет отвечать в тот момент, когда я перейду на этот российский софт, если этот российский софт, например, будет дырявый. Если этот вопрос будет как-то решен в этот переходный период либо будут какие-то гарантии от производителя софта — ну, что делать, перейдем».

Разработчики опасения бизнеса понимают и хотели бы помочь, но есть свои трудности. Бизнес ФМ переадресовала вопрос российским производителям софта, спросив, готовы ли они разделить ответственность с операторами данных. Отвечает директор по продукту и цифровой трансформации BusinessPad Кирилл Гончаров:

— Здесь очень сложный ответ. Практика мировая такая — допустим, на Западе есть такой принцип разумной осмотрительности: то есть если разработчик применял средства защиты информации, различные решения, был достигнут высокий уровень зрелости, его вскрыли, но он предусматривал возможные достаточно меры, то как бы он не виноват. Вскрыть просто в нашем мире можно всех, другое дело, что если этот уровень не был достигнут, то, наверное, он тоже в какой-то степени виноват, потому что его клиент не может знать всех нюансов кибербезопасности, а он как разработчик является более профессиональным агентом для того, чтобы отвечать на этот вопрос. Поэтому, наверное, если бы мы этим принципом руководствовались и был создан какой-нибудь уровень достаточных инструментов защиты, уровень зрелости этой защиты, и, может быть, эта система страхования рисков появилась, тогда да, это возможно. Но сейчас все в России находится в зачаточном состоянии, и я даже не знаю, кто мог бы застраховать реальные киберриски, например, разработчика.

— А как вам сроки? Предположим, вы с клиентом сейчас начинаете работать, чтобы через два года гарантировать безопасность работы софта.

— Сроки, в принципе, достаточные. У нас на рынке есть различное количество компаний, которые оказывают сервисы в информационной безопасности, то есть там можно заказать у них и тесты на проникновение, и аудиты безопасности, и подключиться к мониторингу рисков. Если говорить про текущий уровень, то в целом, наверное, это достижимо, насколько это дорого — это в зависимости от класса ПО и от того, на каком уровне они сейчас находятся.

Эксперт также подчеркивает, что те, кто занимается поставкой ПО в облачные решения, имеет больше шансов быстро адаптироваться к нововведениям. У них чуть лучше ситуация, чем у тех, кто работает именно со своей инфраструктурой, потому что там требования выполнить сложнее, а облачные операторы, как правило, уже более подготовлены к различным векторам атак.

Кроме того, у всех разный подход. Есть разработчики с подготовленной инфраструктурой — IT-гиганты вроде «Сбера» и «Яндекса», которые сами используют и продают свое ПО. Они же и несут ответственность за утечки персональных данных. Эксперт подчеркивает, что те, кто занимаются поставкой ПО в облачные решения, имеют больше шансов быстро адаптироваться к нововведениям. Тем же, кто работает со своей инфраструктурой, требования кибербезопасности выполнить сложнее.