У Microsoft, Oracle, SAP и IBM отзывают сертификаты ФСТЭК
Федеральная служба по техническому и экспортному контролю (ФСТЭК) приостановила действие лицензий продуктов IBM, Microsoft, Oracle, SAP и других иностранных компаний. Причина заключается в приостановке ими деятельности на территории России. Если эти компании не возобновят техподдержку своих продуктов, то действие сертификатов ФСТЭК будет прекращено. Это чревато тем, что российские промышленные компании и банки, использующие, например, SAP и Oracle, должны будут заменить их на сертифицированные отечественные альтернативы. Эксперты отмечают, что найти замену таким продуктам без потери производительности будет непросто.
ФСТЭК отзывает сертификаты
Федеральная служба по техническому и экспортному контролю (ФСТЭК) приостановила действие сертификатов ПО иностранных компаний. Среди них — IBM, Microsoft, Oracle, SAP, VMware и другие. Об этом пишет «Коммерсант» со ссылкой на реестр службы.
ФСТЭК начала замораживать сертификаты после того, как иностранные компании объявили о приостановке деятельности в России из-за начала специальной операции на Украине. На 25 марта 2022 г., приостановлено уже 56 сертификатов.
Если ушедшие с российского рынка иностранные компании не возобновят техподдержку своих продуктов в течение 90 дней со дня приостановки сертификатов, их действие будет прекращено, пояснил «Коммерсанту» руководитель отдела консалтинга и аудита информационной безопасности Step Logic Денис Пащенко.
В Microsoft отказались от комментариев, остальные иностранные компании и ФСТЭК не ответили на запросы «Коммерсанта».
Для чего им сертификат
Сертификация ФСТЭК необходима для подтверждения соответствия требованиям по безопасности информации. Продукты, которые получают такой сертификат, могут использоваться в государственных информационных системах (ГИС), автоматизированных системах управления технологическими процессами или на значимых объектах критической информационной инфраструктуры (КИИ). К ним относятся продукты для управления предприятием, облачного хранения, аналитики, кибербезопасности и др.
Согласно требованиям ФСТЭК, иностранная компания должна обеспечивать техподдержку средств защиты информации, проходящих сертификацию в России, в том числе и устранять выявляемые уязвимости, пояснил независимый эксперт по информационной безопасности Алексей Лукацкий. «ФСТЭК запросила у зарубежных компаний пояснения относительно техподдержки уже работающих решений», — отметил он.
Системы SAP и Oracle используются в российской промышленности, энергетике, транспорте, банках и др. По состоянию на 4 марта 2022 г. только SAPпублично заявила, что «продолжает поддерживать всех действующих клиентов в рамках договорных обязательств в той мере, насколько это позволяют санкции и ограничения экспортного контроля».
Чем это грозит
Если действие сертификатов иностранного софта, который используется в российских компаниях, будет прекращено, то его пользователям придется искать сертифицированные альтернативы и проводить переаттестацию систем, отмечает Денис Пащенко. По его словам, в России есть сертифицированные отечественные альтернативы. Однако найти замену продуктам Vmware, IBM, Microsoft, Oracle без потери производительности или функционала будет непросто. «Это займет много времени, потребует изменения ИТ-архитектуры и серьезных финансовых затрат», — поясняет он.
Несмотря на требования по использованию сертифицированного ПО, многие российские компании и банки пока продолжают работу на зарубежных продуктах, которым ФСТЭК приостановила лицензии, говорит руководитель направления информационной безопасности Itglobal.com Александр Зубриков. Сейчас ФСТЭК не дает четких сроков, когда заказчики должны будут заменить несертифицированные продукты в своих ИТ-системах, рассказал «Коммерсанту» источник на ИТ-рынке. «Более того, в силу вступивших послаблений в части проверок выявить факт использования несертифицированного решения регулятор может не скоро», — отмечает он.
Окажутся ли требования по техподдержке единственным условием для сохранения иностранными компаниями сертификатов, пока остается не ясным. «В конце 2021 года ФСТЭК также ввела требование, что вендор не должен ограничивать свои продажи на всей территории страны, включая Крым», — пояснил собеседник «Коммерсанта» на ИТ-рынке. Это означает, что окончательное решение о сертификации зарубежного софта будет, скорее всего, носить политический характер, считает он.