Уход из России зарубежных ИТ-компаний, потенциальная опасность иностранной техники и софта для критической инфраструктуры и кратно выросшее количество атак заставили власти и владельцев бизнеса кардинально пересмотреть свое отношение к кибербезопасности и начать переходить на российские ИТ-решения.
Сегодня на государственном уровне ужесточаются требования к обеспечению безопасности критически важного оборудования и бизнеса в целом. Но, как рассказывают в компании «Аквариус», которая занимается разработкой и производством компьютерной техники, одной из проблем при поставках техники по госзаказу является то, что в России действует устаревший механизм формирования предельных ведомственных цен на ИТ-оборудование. В соответствии с этим механизмом заказчик, как правило государственная организация или крупный бизнес, должен установить начальную максимальную цену контракта (НМЦК). Если поставщик предложит цену выше этой границы — его заявку рассматривать не будут.
Проведение госзакупок происходит в соответствии с 44-ФЗ «О государственных закупках» и постановлением правительства № 1084. В документах прописано, что заказчик устанавливает предельную стоимость товара, основываясь на среднерыночных ценах на аналогичный товар по состоянию на 2014 год. При этом возможно увеличение цены от этого уровня, но только в пределах роста потребительских цен, определенного Росстатом. По сути, законодательство не позволяет выставить в заявке цену, приближенную к реальной стоимости товара.
В частности, предельная стоимость ноутбуков для гражданского служащего, занимающего должность, относящуюся к группе должностей категории «помощники (советники)», сегодня составляет 65 040 рублей. Как подсчитали в «Аквариусе», за девять лет рост цен составил менее 10%.
То есть складывается ситуация, когда заказчик вынужден принимать решение о закупке оборудования, программного обеспечения или программно-аппаратных комплексов на основании критерия низкой цены, а не на основании разумных подходов и требований к кибербезопасности. В итоге тот, кто предлагает дешевые решения, признаётся победителем аукционов, а основные риски кибербезопасности в таком случае ложатся на заказчика.
«Сегодня критически важно, чтобы российские власти, и особенно власти новых регионов, из соображений безопасности перешли на российские мобильные устройства, и они у нас есть. Задача кибербезопасности и ИТ-компаний, занимающихся разработкой подобных решений, — наиболее эффективная защита персональных и корпоративных данных, что стало еще более актуальным в последние годы. Мы уже представили защищенные отечественные карманные персональные компьютеры Aquarius NS M11 и NS M12. Однако для закупки этих современных и кибербезопасных устройств одно из ведомств установило предельную цену в районе 40 тысяч рублей. У нас свои разработки, своя плата, свои инженеры, а из-за нестабильной экономической ситуации мы не имеем возможности осуществлять поставку техники по утвержденной девять лет назад стоимости», — говорит Дмитрий Титов, первый вице-президент компании «Аквариус».
Выходом из ситуации должно стать увеличение НМЦК либо полная ее отмена для российских производителей. Компромиссным вариантом может стать решение, позволяющее в случае закупки радиоэлектронной продукции не руководствоваться установленной величиной предельных цен. Как, например, это сделано для новых регионов РФ, считают в компании «Аквариус».
«В создавшейся ситуации систему установления НМЦК необходимо пересмотреть, так как выбор из-за низкой цены будет делаться заказчиками в пользу некачественного или иностранного оборудования, а это в сложившейся ситуации недопустимо, — уверен Дмитрий Титов. — Использование иностранных недоверенных решений не просто опасно с точки зрения возможности реализации угроз безопасности, но и в некоторых случаях выглядит как откровенное вредительство, когда дешевая и полностью “дырявая” техника внедряется в инфраструктуру ключевых областей бизнеса и промышленности. Только отечественные доверенные решения могут помочь решить эту проблему».
Российских компаний, разрабатывающих защищенную технику, достаточно много, однако есть критерии, на которые нужно внимательно смотреть при выборе поставщика. В их числе максимальная локализация производства полного цикла, принадлежность всей интеллектуальной собственности российской компании, наличие в штате специалистов-схемотехников, достаточное количество ресурсов для обеспечения сервисного обслуживания и постпродажного сопровождения.
Кроме того, организация должна иметь необходимые лицензии и компетенцию в сфере кибербезопасности, использовать подходы к организации полного цикла безопасной разработки и производства начиная с этапов проектирования изделия. Подобные продукты, как уже было сказано, в России уже есть. Например, «Аквариус» предлагает линейку решений «Аквариус-Бастион», которые разработаны специально для таких случаев и обеспечивают максимальную защиту от большинства угроз безопасности.