Федеральная служба по техническому и экспортному контролю (ФСТЭК) объявила о временной приостановке действия собственных лицензий на продукты IBM, Microsoft, Oracle, SAP и ряд других иностранных компаний. Эти лицензии используются для соответствующих программных продуктов при их установке на значимых объектах, относящихся к критической информационной инфраструктуре (КИИ).
По всей видимости, приостановка была осуществлена по технической причине: соответствующие вендоры не предоставили ФСТЭК консолидированные квартальные обновления, которые обычно передаются к началу очередного квартала. В связи с этим ФСТЭК предупредил, что если названные компании не возобновят поддержку своих продуктов в течение 90 дней со дня приостановки сертификатов, то их действие будет прекращено.
Под ограничение ФСТЭК попали различные программные продукты, в том числе базы данных, системы для управления предприятием, инструменты облачного хранения, средства аналитики, кибербезопасности и пр.
Продукт, получающий сертификат ФСТЭК – это не коммерческая версия соответствующей программной системы. Такие продукты создаются в специализированных центрах поддержки, авторизованных ФСТЭК, путем компиляции соответствующих коммерческих систем из исходных кодов. Процедуры создания проводятся на территории России под строгим контролем со стороны вендора.
Например, по имеющимся официальным данным, система управления базами данных Microsoft SQL Server 2017 получила сертификат № 4098 ФСТЭК России в 2019 году на 5 лет. Он действует до 28.02.2024 года. Его наличие подтверждает, что «Microsoft SQL Server 2017 в редакциях Enterprise Edition, Standard, Developer, Web, Express with Advanced Services является СУБД со встроенными средствами защиты от НСД к информации, не содержащей сведений, составляющих государственную тайну, соответствует требованиям по безопасности информации, установленным в ТУ 5021-003-29176085-2018».
Сертифицированные программные системы предназначены для защиты информации в ГИС до 3 класса защищенности включительно, а также – в ИСПДн до 3-го класса защищенности включительно для актуальных угроз безопасности информации 3-го типа. Эксплуатация таких программных систем требует соблюдения специальных требований, а сами продукты могут быть получены заказчиком только путем специального заказа через авторизованных партнёров. После ежеквартального получения консолидированных обновлений безопасности ФСТЭК проводит их дополнительную проверку и авторизует для работы с ранее сертифицированным ПО.
ФСТЭК назвал причиной отзыва лицензий приостановку производителями софта текущей операционной деятельности в России. В то же время ни одна из перечисленных иностранных компаний не заявляла о прекращении технического обслуживания своих клиентов на территории РФ. Причиной прекращения действия лицензий может быть только отсутствие поставки квартальных консолидированных обновлений в ФСТЭК.
Решение ФСТЭК ударит прежде всего по собственным авторизованным дилерам, которые занимаются установкой и техническим сопровождением программных продуктов соответствующих вендоров.
Это также ставит под удар крупные российские промышленные и государственные компании, использующие, например, SAP и Oracle. Им придется экстренно искать замену через отечественные альтернативные продукты, сертифицированные ФСТЭК.
По оценкам экспертов, найти замену будет непросто, прежде всего из-за разных подходов к сервисной поддержке. Решить проблемы с совместимостью удастся достаточно просто. Трудности могут возникнуть при решении задач, связанных с масштабированием программных систем, балансировкой их нагрузки, своевременным обновлением от киберугроз.
Продукты, для которых были временно приостановлены лицензии ФСТЭК, находятся под контролем многочисленных компаний, занимающихся поиском уязвимостей. Благодаря развитому мировому рынку ПО и широко распространенным баунти-программам, исследователи могут получать существенные денежные вознаграждения за выявленные уязвимости. В России такой сервис предоставляют только компании из весьма ограниченного списка.
Решение ФСТЭК не распространяется на рядовых пользователей, а также компании, которые пользуются коммерческими версиями соответствующего софта. Для их работы не требуется лицензия ФСТЭК.