Защищать Windows становится накладно

Коммерческий директор Центра защиты информации ГК "Конфидент" Сергей Кузнецов, выступая на сессии "Цифровая безопасность - новые вызовы. Защита критической информационной инфраструктуры" Национального форума информационной безопасности "Инфофорум-2024″, поделился результатами опроса ИБ-специалистов, согласно которым полностью избавиться от ПК и серверов на ОС Windows не удастся как минимум до 2030 г. Он обратил внимание, что речь идет об унаследованных системах, которые заменить нечем до полной плановой замены оборудования, на котором такое ПО работает. По оценке Сергея Кузнецова, к 2026 г., несмотря на все усилия по импортозамещению, доля систем на базе Windows в российском госсекторе и сфере КИИ стабилизируется на уровне около 14%.

Такая ситуация, по мнению представителя "Конфидента", приведет к тому, что российским вендорам средств защиты станет накладно выпускать сертифицированные средства защиты информации (СЗИ), поскольку сертификация требует значительных усилий и затрат, но при этом объем выручки от продажи решений для Windows будет падать. Но, как подчеркнул Сергей Кузнецов, данная коллизия не отменяет необходимости защищать унаследованные системы, причем работающие под управлением устаревших версий ОС, начиная от Windows XP и Windows Server 2003.

Генеральный директор ООО "АйТи Бастион" Сергей Бочкарев также полагает, что разработка сертифицированных СЗИ потеряла смысл: "Для такого вендора, как "АйТи Бастион", представляющего на рынке сертифицированные ФСТЭК решения, разработка для Windows фактически потеряла смысл. Однако не стоит забывать, что в отрасли много игроков, чьи продукты созданы под конкретные приложения на Windows, и если альтернативы на Linux нет, то для них не существует аргументов в пользу выделения отдельной разработки под эту ОС. Они продолжат работать с Windows, пока сохраняется спрос. По моим оценкам, всеобщий переход на Linux состоится, но будет растянут на несколько лет. Многие предприятия не успеют осуществить переход к 2025 г., в первую очередь в силу технологических причин: они пользуются решениями на Windows, потому что альтернатив на других системах просто не существует. Например, большинство систем автоматизированного проектирования (САПР) для КИИ изначально писались под Windows, и заменить их нечем. Такие предприятия оказались в очень сложном положении, когда, с одной стороны, у них нет необходимого ПО не под Windows, а с другой - использование имеющегося ПО без техподдержки несет серьезные риски".

Директор по безопасности ООО "Новые облачные технологии" ("МойОфис") Александр Буравцов согласен, что разрабатывать сертифицированные СЗИ под Windows становится нецелесообразно: "Ранее производители сертифицированных СЗИ ориентировались в основном на Windows и получали маржу с их продажи. Но в нынешних условиях объем прибыли, которую вендоры получают с решений для Windows, сокращается, хотя затраты на соответствующие работы по сертификации остаются в силе. При этом производителям необходимо сертифицировать продукты и для других ОС. В результате создавать сертифицированные решения для Windows становится экономически нецелесообразно. При этом Windows будет занимать заметную долю рынка и после 2030 г., за исключением упомянутого госсектора, который должен перейти на отечественное ПО к 1 января 2025 г. В остальных же секторах экономики Windows продолжает - и с большой долей вероятности продолжит - активно использоваться, другой вопрос, что сертифицированные продукты в них пользуются меньшим спросом".

Генеральный директор Security Vision Руслан Рахметов отчасти согласен, что сложности могут возникать для сертифицированных СЗИ: "Процесс сертификации регламентирован ФСТЭК России и может растянуться на значительный срок (от шести до 12 месяцев), поэтому выпуск сертифицированных версий СЗИ затратен для производителей, и это отражается на стоимости конечного продукта. Кроме того, дополнительные сложности у вендоров возникают и при выпуске обновлений для сертифицированных версий СЗИ, несмотря на стремление ФСТЭК упростить данный порядок - например, сейчас подготовлен проект приказа о порядке сертификации процессов безопасной разработки СЗИ, что должно существенно упростить процесс выпуска обновлений и новых версий СЗИ. Вендоры вряд ли готовы сейчас отказаться от выпуска СЗИ для Windows: киберпространство не становится безопаснее, появляются новые угрозы, рынок отечественных ИБ-продуктов растет, а руководители компаний все больше осознают важность обеспечения киберустойчивости бизнеса. Вероятнее всего, дополнительных регулирующих мер сейчас не требуется".

Директор ООО "Айдеко" (Ideco) Дмитрий Хомутов считает вероятным возникновение данной проблемы в среднесрочной перспективе: "Доля Windows снижается очень медленно, причем как у коммерческих, так и у государственных пользователей. Переходу на отечественные операционные системы мешает отсутствие большого количества прикладного ПО, сложность перенастройки рабочих станций, трудности со средствами автоматизированного управления ПК и серверами. Даже в будущем падение доли Windows не повиляет на сегмент массовых СЗИ, например, антивирусного ПО, где большой процент рынка составляют частные пользователи. Скорее всего, эту аудиторию процесс перехода на отечественные операционные системы не затронет в ближайшие 10 лет, а то и больше. Более специализированные СЗИ, использующиеся, например, в системах обработки гостайны, через пять лет, возможно, будут выпускать версии исключительно под российские ОС. Однако раньше этого ждать не стоит, и обновления продукта под Windows будут выходить исправно".

Руководитель отдела технологической экспертизы департамента информационной безопасности ГК Softline Денис Чигин считает данные опасения преувеличенными и не видит снижения ассортимента средств защиты, в том числе сертифицированных для платформы Windows: "Скорее, можно говорить о тренде увеличения количества сертифицированных средств для других операционных систем, что на фоне различного рода указов и поручений в части импортозамещения, на мой взгляд, является вполне логичным. Наличие соответствующих сертификатов для многих заказчиков является крайне важным фактором при выборе того или иного продукта, даже если нет соответствующих требований со стороны регулятора, поэтому рынок подстраивается под соответствующие покупательские привычки и старается получать сертификаты даже в тех классах решений, где у регулятора сертификация отдельно не предусматривается".

Руководитель департамента информационной безопасности АО "ИВК" Игорь Корчагин считает, что данная угроза пока неактуальна, но неизбежно возникнет в будущем: "Судя по тенденциям рынка, разработчики наложенных СЗИ пока продолжают развивать Windows-версии. Например, "Лаборатория Касперского" продолжает выпускать пользовательский антивирус под Windows, обновляются SecretNet от "Кода Безопасности", ViPNet Client от "ИнфоТекс", продолжают выходить DLP-системы. Эти продукты официально поддерживают Windows вплоть до Windows 11 включительно. Текущий уровень средств защиты вполне позволяет защищать унаследованное ПО. Сертификаты ряда этих СЗИ истекают в этом году, но я уверен, что они будут перевыпущены. Но в будущем, конечно, такая коллизия возникнет: через несколько лет разработчики СЗИ перестанут выпускать под Windows новые версии продуктов".

Руководитель комитета по информационной безопасности АРПП "Отечественный софт", директор по стратегии и развитию технологий Axiom JDK Роман Карпов видит проблему, скорее, в том, что перенос прикладного ПО с Windows на Linux идет недостаточно быстро: "Текущий технологический задел отечественных ИТ-разработчиков существует не благодаря, а вопреки десятилетиям цифровой колонизации, то есть инвестиций во внедрение и использование зарубежных технологии. И какая-то часть ПО, написанного для Windows, имеет очень наукоемкую базу, или квалификация разработки заточена только на платформу Windows. Вероятно, это одна из точек возможного применения господдержки. При этом нет разницы, сертифицировано ПО или нет".

"Компания "ИнфоТекс" в ближней и среднесрочной перспективе продолжит выпуск и поддержку продуктов для ОС Windows, обеспечивая клиентам комфортный режим миграции на продукты под ОС Linux", - такой комментарий на запрос ComNews предоставила пресс-служба АО "ИнфоТекс".

ПАО "Группа Позитив" (Positive Technologies) отказалось от комментариев.