Минцифры выборочно спросило за ПАКи
В июне, по сообщениям СМИ, некоторые операторы получили запрос от замминистра цифровых технологий, связи и массовых коммуникаций Александра Шойтова о предоставлении информации об используемых на объектах КИИ доверенных и не являющихся таковыми программно-аппаратных комплексах, а также о наличии или отсутствии отечественных аналогов.
По данным РБК, в письме Шойтов ссылается на постановление правительства, по которому владельцы КИИ до 2030 года должны использовать преимущественно доверенные ПАКи. Вместе с тем, с 1 сентября 2024 года на значимых объектах КИИ нельзя применять не являющиеся доверенными ПАКи, приобретенные после этой даты. Исключением может стать отсутствие доверенных отечественных аналогов.
Как "Кабельщику" сообщили представители некоторых операторов и руководители ряда профильных ассоциаций, компании данного запроса от Минцифры не получали. Некоторые игроки также остаются в недоумении, кому же в итоге разослали такие письма, и по каким признакам в ведомстве определяли, кому их рассылать. В Минцифры подтвердили отправку соответствующих писем, однако не уточнили, по какому принципу выбирались организации, кому будет направлен запрос.
"Я видел такую информацию, но от известных мне операторов пока вопросов по этой теме не поступало. Обсуждений такого рода среди операторов я тоже пока не видел и не слышал. Вполне вероятно, что небольших операторов этими проблемами государство еще не озаботило. Согласно РБК, операторы должны были предоставить информацию до 26 июня, то есть запрос был вообще в начале-середине июня... Однако никто ничего не слышал. Даже среди представителей и глав ассоциаций про это вроде бы нигде ничего не пролетало на эту тему, хотя не факт, что внутри ассоциаций работы по этой теме не было — возможно, не поделились", — рассказал "Кабельщику" президент "Макател" Алексей Амелькин.
Операторам, входящим в Ассоциацию компаний связи, также не приходил запрос, поделился президент АКС Алексей Стуров. Об этом же сообщил и руководитель Ассоциации малых операторов связи (АМОР) Дмитрий Галушко. "По моему мнению данные запросы связаны с мониторингом Минцифры готовности перехода субъектов КИИ (в данном случае операторов связи) к доверенным ПАК на значимых объектах КИИ в соответствии с ППРФ от 14.11.2023 г. № 1912″, — добавил Галушко.
"Я не получал информацию от наших операторов о таких запросах, но тут может быть просто региональная специфика: на Северо-Западе позже стали "дергать" операторов на тему КИИ. Большинство на начальной стадии, и поэтому им еще не приходят уточняющие запросы", — отметил директор ассоциации телекоммуникационных операторов Алексей Леонтьев.
По данным РБК и по словам нескольких игроков рынка, соответствующие обращения ведомства получил ряд операторов из ассоциации "Ростелесеть". В комментарии РБК президент ассоциации Олег Грищенко, рассказал, что ее участники обсудили объекты критической информационной инфраструктуры, которые те заявляют в ответах на запрос Минцифры, и пришли к выводу, что каждый по разному классифицирует объекты КИИ. В Минцифры РБК объяснили отправку запроса и сбора данных плановой работой. В ведомстве также добавили, что операторы выразили готовность перейти на отечественные ПАКи.
Руководители других ассоциаций подтвердили "Кабельщику", что операторы видят сложности в определении того, что относится к КИИ и как классифицировать свои программно-аппаратные комплексы в этом случае.
"Тема с программно-аппаратными комплексами — сложная тема, в том числе из-за непонятных трактовок. Формулировки в законе общие, пояснения Минцифры не настолько детализированные", — пояснил Алексей Леонтьев. Дмитрий Галушко также добавил: несмотря на то, что сейчас есть рекомендованный перечень типовых объектов КИИ, функционирующих в сфере связи, который был утвержден 2023 году Минцифры и ФСТЭК, сам документ конкретики не несет.
"Ряд управлений ФСТЭК устраивает категорирование ИС и АСУ. Некоторые управления требуют категорировать сети связи, как объект КИИ. Стоит отметить, что управления ФСТЭК зачастую лояльны к небольшим операторам связи, объекты КИИ которых не попадают по критериям под категорию значимости, и готовы на диалог и рекомендации по категорированию. Но все равно в настоящее время у операторов связи нет понимания, что конкретно категорировать. Конкретных рекомендаций, методик, разъяснений относительно определения объектов КИИ и категорирования в целом для соблюдения операторами связи требований в области КИИ от регулирующих органов очень не хватает", — поделился Галушко.
Алексей Амелькин:
"По поводу примерного списка объектов КИИ (собственно, от чего хоть как-то можно оттолкнуться, чтобы понять, о каких ПАКах идет речь), могу сказать, что совершенно непонятно, как, кем и для кого он составлялся. Если нормативно исходить из того, что объект КИИ — это то, повреждение чего приведет к проблемам на сети связи в виде отказов абонентам в обслуживании (срыв оказания услуг связи), то мое понимание сильно отличается от понимания тех, кто составлял тот примерный список объектов КИИ. И главное, у самих операторов понимание объектов КИИ различное, так как различаются схемы построения ядра сети.
В одном случае, проблемы с биллингом приведут к отказу предоставления услуг, в другом — на время перестанут происходить текущие изменения в обслуживании абонентов (отключения-подключения абонентов, проблемы с платежами, изменения в тарифах и т. п.). Система CRM может затрагивать работу сети, а может только быть помощником в работе оператора, не оказывая критического воздействия.
Приходилось слышать, что такие объекты мониторинга, как Zabbix — это объект КИИ. Но это вообще не факт: при проблемах этот продукт может как просто перестать "мониторить" состояние сети, так и начать оказывать отрицательное воздействие на сеть, на оказание услуг. Это зависит от конкретного оператора и того, как он использует эту систему. В ряде случаев, просто отказ сервера DHCP "положит" всю сеть, и это — объект КИИ, в другом — нет. Все неоднозначно.
По поводу импортозамещения опять приведу пример c Zabbix (хотя можно найти и другие подобные примеры). Это очень распространенная и хорошо отработанная система мониторинга оборудования сетей связи и серверных устройств, часто с глубоким интегрированием в операторские процессы. Как ее можно заменить на отечественную, я себе слабо представляю. Конечно, не то, чтобы нельзя, но, если сопоставлять отработанный уже десятилетиями продукт и продукт отечественный, который, скорее всего, сырой, то вывод напрашивается такой: замена ПО как раз и может привести к проблемам на сетях связи. Это тоже не факт, но страхи есть, и выбор операторов будет вполне очевидным: никто не хочет рисковать.
Вполне вероятна ситуация, что при сильном нажиме государства сверху операторы будут покупать отечественные продукты или даже ПАКи для создания видимости их применения, но по факту — продолжат работать на давно отработанных программных продуктах по давно отработанным схемам в рамках отработанных бизнес- и технологических процессов.
И где операторы (в том числе я как оператор связи) будут брать отечественные серверы, особенно, на отечественных компонентах для создания "отечественных ПАК" — это вопрос, скорее, риторический. Одна надежда: так как ПАК — это все-таки некий законченный программно-аппаратный объект (устройство), то у операторов таких объектов КИИ, я думаю, почти и нет. ПАКами чаще всего являются ТСПУ (не принадлежат операторам) или сервера СОРМ, который и так отечественные. А вот операторские программные продукты в большинстве своем к серверам не привязаны, они размещены на виртуальных машинах, и поэтому это, видимо, не ПАКи, и, следовательно, оператор вполне честно может заявлять, что ПАКов у него и нет.
С другой стороны, исходя из того же определения ПАК, любой коммутатор или маршутизатор вполне себе подходят под это определение. Так что тут далее следуют такие глобальные выводы, что впору посочувствовать операторам, или, как вариант, посоветовать им "забыть", что подобные устройства у них входят в их объекты КИИ, и никому про них не говорить. И оператору надо обязательно 10 раз подумать и, может быть, посоветоваться с коллегами, когда он назначает и, главное, показывает государственным органам свои объекты КИИ".
В свою очередь, в Минцифры добавили, что сам перечень типов ПАКов на данный момент дорабатывается с телеком-отраслью. Кроме того, в Госдуму внесен законопроект № 581689-8 с поправками в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" в части уточнения требований по категорированию объектов критической информационной инфраструктуры.
Он предусматривает передачу обязанности по определению типовых объектов КИИ, подлежащих обязательному категорированию, на отраслевые регуляторы. То есть федеральные органы исполнительной власти совместно с владельцами будут осуществлять системную работу по категорированию объектов КИИ.
Вместе с тем, инициативой предлагается наделить правительство правом устанавливать для значимых объектов КИИ крайний срок для перехода на российское ПО и на доверенные ПАКи.
Как писал "Кабельщик", на заседании ИТ-комитета Госдумы 11 июня законопроект был одобрен к принятию. Однако депутаты предложили конкретизировать некоторые критерии, в том числе должен ли законопроект распространяться на все объекты КИИ или только на значимые.