Запрет на использование windows в государственных учреждениях

Российские государственные ведомства и госкомпании получили указание в срочном порядке отказаться от использования операционной системы Windows на фоне решения ее производителя — американской корпорации Microsoft — о сворачивании бизнеса в России.

На прошлой неделе российские пользователи потеряли возможность скачивать ОС Windows 10 и 11. А в четверг президент Microsoft Брэд Смит заявил, что компания продолжит сокращать бизнес в России, «пока в конце концов не останется почти ничего или вообще ничего».

4 марта Microsoft анонсировала приостановку продаж и предоставления услуг в России из-за военных действий, которые ведет РФ в Украине. Компания пообещала выполнять существующие обязательства перед клиентами в России, а спустя три месяца сообщила о сокращении бизнеса, которое затронет 400 российских сотрудников. Всем им была обещана поддержка.

Привычную ОС чиновники в срочном порядке меняют на Astra Linux, разработку которой на дистрибутиве Debian с 2008 года ведет компания «Русбитех».

Сотни контрактов на покупку и установку Linux общей стоимостью несколько миллиардов рублей размещены на сайте госзакупок заказчиками от «Газпрома», «Росатома» и региональных правительств до поликлиник, структур Федерального казначейства, Росавиации и др.

Один из исполнителей господряда рассказал СМИ, что госведомства срочно переходят на Linux Astra, он знает про переход на них силовых структур и МЧС.

«Через десять лет про Windows в России никто и не вспомнит», — заявил он.

На Linux до конца года намерен перейти «Газпром трансгаз Екатеринбург». Согласно сайту госзакупок, компания покупает 600 лицензий на Astra Linux Special Edition за 5,094 млн рублей.

Региональное управление радиоэлектронной безопасности объектов таможенной инфраструктуры МЧС РФ покупает 18 лицензий за 605 тысяч рублей. Городская больница № 2 потратит на лицензии Linux 152,8 тысячи рублей.

Перейти на использование ОС Linux намеревается специальный летный отряд «Россия» управления делами президента, который осуществляет авиационные перевозки главы государства Владимира Путина и других высших должностных лиц, отмечает CNews.

Организация выделила 117 тысяч рублей на оплату услуг по очному обучению системного администратора по программе «Основы работы в операционной системе Linux». Тендер был запущен 17 июня 2022 г. в формате электронного аукциона. Заявки от претендентов принимаются до 30 июня.

Старые песни о главном: сколько раз российские чиновники меняли Windows на Astra Linux

История с переводом госслужбы на свободное ПО тянется уже не первое десятилетие. Еще в 2010 году Владимир Путин утвердил программу перехода госорганов на Linux.

«План перехода федеральных органов власти и федеральных бюджетных учреждений на использование свободного программного обеспечения» — так назывался документ, разработанный Минкомсвязи и призванный в обязательном порядке внедрить открытое ПО по все государственные учреждения. План был подписан лично Владимиром Путиным, программа предусматривала реализацию в течение пяти лет.

Спустя 5 лет в системе госслужбы ничего не изменилось. А ведь была разработана поэтапная инструкция с конкретными шагами развертывания программных комплексов. Правительство утверждало, что намерено внедрить не просто репозиторий дистрибутива Linux, но «магазин приложений, подобный App Store». Аналитики активно обсуждали спорные моменты властной инициативы… В общем, жизнь кипела, бюджет пилился.

12 ноября 2020 года, на волне импортозамещения, опять пришла новость: «Госорганы России массово меняют Windows на Astra Linux». Согласно плану, 26 органов исполнительной власти России должны были перейти на отечественный софт вместо операционной системы Windows.

Внедрение новинки начали с Ивановской области. В качестве базового ПО была выбрана операционная система AstraLinux — UNIX-подобная ОС, основанная на дистрибутиве Debian, разработку которой с 2008 г. ведет компания «Русбитех».

«Выбор операционной системы линейки Astra Linux определили несколько факторов, среди которых доступность, безопасность и простота освоения», — рассказал исполняющий обязанности начальника Департамента развития информационного общества Ивановской области Михаил Хохлов.

Имеет значение то, что продукты Astra Linux входят в реестр отечественного ПО при Минцифры. ОС Astra Linux принята в стандарт ФОИВов и госкорпораций, кроме того, она имеет полный набор сертификатов Минобороны России, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ.

В 2020 г. Ивановский государственный университет (ИвГУ) и международная ИТ-компания Involta разработали образовательный курс по мобильной разработке для программы персональных цифровых сертификатов.

Программа распространялась на 48 регионов страны. Она стартовала 15 октября 2020 г. в рамках федерального проекта «Кадры для цифровой экономики» нацпроекта «Цифровая экономика». За счет федерального бюджета любой житель страны может пройти обучение и получить дополнительное образование в сфере ИT. Всего на страну было выделено 33 тыс. таких образовательных сертификатов.

Сейчас — середина 2022 года, гром грянул, самое время перекреститься. Но проблема перехода госслужбы на Linux по-прежнему стоит со всей остротой. Что-то подсказывает, что так останется и дальше. Большинство чиновников предпочтет пиратским образом (ой, простите — «серым импортом») качать Windows из-под VPN, а не разбираться в нюансах линуксоидных протоколов.

Чем известна Astra Linux и в чем сложность перехода на нее с Windows

Группа Astra Linux участвует в проектах импортозамещения и безопасности КИИ. В апреле 2020 г. CNews писал, что компания по итогам 2019 г. поставила почти 24 тыс. лицензий на свою фирменную ОС в российские медицинские учреждения.

ОС Astra Linux сегодня существует в двух версиях — Common Edition и Special Edition. Common Edition предназначена для потребителей, а также для среднего и малого бизнеса, образовательных учреждений. Она находится в свободном доступе и может быть скачана с официального сайта проекта. Special Edition разработана для государственных и военных предприятий и не распространяется в свободном доступе.

Сборки Astra Linux Special Edition выпускаются под архитектуры «Эльбрус» (релиз «Ленинград»), IBM System Z («Мурманск»), POWER («Керчь), MIPS («Севастополь»), ARM («Новороссийск») и x86-64 («Смоленск»). Каждый из релизов имеет различные сферы применения: к примеру, «Новороссийск» пригоден для мобильных устройств и встраиваемых компьютеров, а «Ленинград» — для вычислительных комплексов «Эльбрус».

Перевод на новую ОС ИТ-систем госорганов потребует настройки корректного взаимодействия обновленных ИT-систем с теми решениями, что уже есть у заказчиков, и со всеми ресурсами, с которыми работают пользователи.

Как сообщили представители группы компаний Astra Linux, многие унаследованные программные и аппаратные продукты, как и ряд информационных систем, изначально создавались для применения только в среде ОС Windows. Чтобы обеспечить полноценное функционирование инфраструктур под управлением Astra Linux, предстоит подобрать совместимые отечественные аналоги продуктов и обучить пользователей и администраторов работе с ними.

Персонал госорганов обучится применять новое ПО в учебном центре Astra Linux, который открыт на базе Ивановского государственного университета. Причем курсы будут не только для администраторов различных уровней, но и для пользователей.

Президент Российской Федерации Владимир Путин 30 марта 2022 года подписал Указ № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» о запрете использования иностранного программного обеспечения (ПО) госорганам и государственными заказчикам на критической инфраструктуре. Указ был опубликован на официальном интернет-портале правовой информации 30 марта 2022 года и вступает в силу с 31 марта 2022 года.

Так с 31 марта 2022 года заказчики (за исключением организаций с муниципальным участием), осуществляющие закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее — заказчики), не могут осуществлять закупки иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов (далее — программное обеспечение), в целях его использования на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации (далее — критическая информационная инфраструктура), а также закупки услуг, необходимых для использования этого программного обеспечения на таких объектах, без согласования возможности осуществления закупок с федеральным органом исполнительной власти, уполномоченным Правительством Российской Федерации.

Согласно пункта 3 статьи 2 Федерального закона от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» под значимым объектом критической информационной инфраструктуры понимается объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

При этом к субъектам критической информационной инфраструктуры относятся государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

В свою очередь с 1 января 2025 г. органам государственной власти, заказчикам в принципе запрещается использовать иностранное программное обеспечение на принадлежащих им значимых объектах критической информационной инфраструктуры.

Президент РФ поручил Правительству Российской Федерации:

а) в месячный срок утвердить:

требования к программному обеспечению, используемому органами государственной власти, заказчиками на принадлежащих им значимых объектах критической информационной инфраструктуры;

правила согласования закупок иностранного программного обеспечения в целях его использования заказчиками на принадлежащих им значимых объектах критической информационной инфраструктуры, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах;

б) в 6-месячный срок реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения субъектами критической информационной инфраструктуры отечественных радиоэлектронной продукции и телекоммуникационного оборудования на принадлежащих им значимых объектах критической информационной инфраструктуры, в том числе:

определить сроки и порядок перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной

инфраструктуры;

обеспечить внесение в законодательство Российской Федерации изменений в соответствии с настоящим Указом;

обеспечить создание и организацию деятельности научно- производственного объединения, специализирующегося на разработке, производстве, технической поддержке и сервисном обслуживании доверенных программно-аппаратных комплексов для критической информационной инфраструктуры;

организовать подготовку и переподготовку кадров в сфере разработки, производства, технической поддержки и сервисного обслуживания радиоэлектронной продукции

и телекоммуникационного оборудования;

создать систему мониторинга и контроля в названной сфере;

в) обеспечить контроль:

за соблюдением заказчиками правил, утвержденных рассматриваемым Указом Президента РФ;

за выполнением органами государственной власти, заказчиками запрета, установленного рассматриваемым Указом Президента РФ.

В Минцифры приступили к изучению думского законопроекта о принудительных лицензиях на ПО компаний из недружественных стран по решению суда. По мнению экспертов, без возможности сопровождения использование иностранной продукции может стать неэффективным и опасным с точки зрения уязвимости. Среди возможных негативных эффектов принудительной легализации иностранного софта эксперты называют замедление импортозамещения. Подробности — в материале «Известий».

«Опасно и неэффективно»

В настоящее время Минцифры рассматривает законопроект о выдаче принудительной лицензии на использование авторских продуктов иностранных компаний из недружественных стран по решению суда. Об этом «Известиям» рассказали в пресс-службе ведомства.

Ранее Ассоциация разработчиков программных продуктов «Отечественный софт» дала негативный отзыв на этот предложенный Госдумой законопроект.

— Выдача принудительной лицензии на условиях, определенных решением суда, не решит проблему дальнейшей эксплуатации иностранного программного обеспечения, — сказал в беседе с «Известиями» исполнительный директор АРПП Ренат Лашин. — Без возможности сопровождения ПО правообладателем и иными авторизованными на то лицами эксплуатация программного обеспечения будет затруднена без соответствующих обновлений и доработок. Такое использование может стать неэффективным и даже опасным с точки зрения его уязвимости.

Ответными мерами могут стать симметричное разрешение использования российского ПО за рубежом или санкционный запрет со стороны недружественных стран, добавляет Лашин. Эти ограничения повлекут ухудшение положения российских компаний и, как следствие, возможный отток IT-специалистов за рубеж, предупреждают в АРПП.

В Роскомнадзоре уточнили, что использование программного обеспечения определяется возможностью получения его обновлений и технической поддержкой. То есть наличие правовых оснований — это необходимое, но не достаточное условие эксплуатации иностранного софта. «Вместе с тем развитие российского программного обеспечения напрямую зависит от распространения программ перехода на него на большее количество пользователей в большем количестве отраслей экономики», — разъяснили «Известиям» в Роскомнадзоре.

Источники в отрасли признают важными следующие аспекты, связанные с легализацией зарубежной продукции:

• легитимность использования уже эксплуатируемого ПО;
• вендорская поддержка эксплуатируемого ПО;
• возможность технологического развития эксплуатируемого ПО;
• возможность развития мер обеспечения информационной безопасности в рамках эксплуатируемого ПО;
• возможность выполнения новых требований регуляторов в рамках эксплуатируемого ПО.

Внесенный законопроект может решить краткосрочные задачи, но никак не решает проблему в среднесрочной и долгосрочной перспективе, заявляют источники в отрасли.

— Одним из эффектов принудительной легализации может стать замедление импортозамещения, — замечает вице-президент по инвестициям Softline, руководитель фонда Softline Venture Partners Елена Волотовская. — Компании, потребители ПО, с меньшей вероятностью будут тратить деньги на приобретение отечественных решений или инвестировать в их разработку. Это приведет к снижению потенциала роста стартапов. Сейчас мы активно ищем импортозамещающие решения для инвестиций. Для разработки IT-решений компаниям нужны средства. Если принудительная легализация будет введена, потенциальная выручка российских разработчиков сильно упадет, что сделает их менее инвестиционно привлекательными и затормозит рост. Соответственно, весь процесс импортозамещения сдвинется на несколько лет.

Иллюзорная зона комфорта

С одной стороны, предложение легализации существующего иностранного ПО действительно не столь эффективно. Без обновлений вирусных баз и иных компонентов решения программное обеспечение очень быстро устареет. Его использование будет малоэффективно и даже опасно, так как в обновлениях разработчики реализуют механизмы защиты от всех современных угроз. С учетом того, что технологии злоумышленников постоянно развиваются — все современные программные решения должны в полной мере соответствовать требованиям и технологиям безопасности, отмечает гендиректор «Лаборатории информационной безопасности» Анна Андреева.

Согласно указу президента, всем государственным компаниям, компаниям с государственным участием, многим системообразующим компаниям российской экономики, включая и коммерческие компании, а также субъектам критической информационной инфраструктуры (КИИ) необходимо в срок до конца 2024 года полностью перейти на российское оборудование и программное обеспечение, указывает специалист.

— Данный законопроект может оказать как позитивное, так и контрпродуктивное влияние на отрасль, — считает технический директор Crosstech Solutions Group Никита Андреянов. — Если мы говорим про временное решение, что называется малой кровью, задача которого поддержать бизнес и не создать условий, когда привычные процессы в организациях могут просто рухнуть, то это полезные инициативы. Такие решения смогут закрыть сегодняшние проблемы для того, чтобы выиграть время для разработки аналогов и в дальнейшем планово «переехать» на отечественные решения, предварительно подготовив соответствующие процессы.

IT-предприниматель, венчурный инвестор, основатель ГК ITGLOBAL.COM Дмитрий Гачко подчеркивает, что по большому счету новый законопроект не решает проблем использования «чужого» ПО: решение суда не влияет на программное обеспечение, установленное в периметре заказчика (не в облаке поставщика). «Обновления ПО перестали приходить, но решением суда это не исправить», — замечает эксперт.

— Принудительная легализация зарубежного ПО может только временно «заткнуть дыру», но не решит проблему с обновлениями в дальнейшем, — говорит генеральный директор PIX Robotics Сергей Ложкин. — Вендорам слишком легко перекрыть доступ к обновлению ПО, тем более что многие сервисы сейчас поставляются в облаке или по подписочному формату. И производители софта будут бороться с таким пиратством.

По его словам, компании не могут полагаться на решения, которые завтра могут «отключить». Особенно это касается крупного бизнеса. Для него важна надежность, поддержка и развитие со стороны вендора.

— Вопрос очень непростой, так как правила игры едины: и если можно пользоваться западным ПО по «серой схеме», то те же правила будут рынком распространяться и на российский софт, который развивается на доходы от лицензий, — говорит директор практики «Стратегия трансформации» компании «Рексофт Консалтинг» Алексей Богомолов. — В связи с введенными санкциями многие западные вендоры прекратили сотрудничество с российскими заказчиками. Предприятиям стали недоступны обновления ПО, приобретения новых лицензий и поддержка. Даже если ПО продолжает использоваться, то российские заказчики остаются вне контура его доработки и изменений. Текущая ситуация грозит российским компаниям увеличением совокупной стоимости владения, так как необходимо выстраивать собственные компетенции по поддержке ПО и его доработки под новые задачи.

Источник в сфере ИБ отметил в разговоре с «Известиями», что законопроект не учитывает особенности, связанные с лицензированием программного обеспечения. Это не просто декларация права на использование, а технологические механизмы подтверждения права владения лицензией.

Отсутствие проработанных технологических деталей в итоге может поспособствовать использованию ПО без надлежащей техподдержки, включающей обновления безопасности. Необходимость «взламывания» механизмов защиты лицензионных ключей может угрожать работоспособности.

«Пользы не принесет»

Законопроект по легализация зарубежного ПО через суд не принесет реальной пользы при дальнейшей эксплуатации иностранного софта на территории РФ, убежден руководитель проектов ЗАО «Айсес» Александр Мухин.

Во-первых, данный законопроект будет соблюдаться только на территории РФ и не будет действовать на территории других государств. Во-вторых, используемое ПО не будет получать актуальное обновление в том числе и безопасности, а это, в свою очередь, чревато уязвимостью. Также в любой момент разработчики могут заблокировать ПО, выпустив очередное обновление с учетом территориальной локализации софта. То же самое касается и иностранного телекоммуникационного оборудования, поддерживающего автоматическую установку обновлений, отмечает Мухин.

— Законопроект не решает самой важной задачи — обеспечения возможности эффективной и безопасной эксплуатации зарубежного софта, — отмечает глава правового комитета АРПП «Отечественный софт» Дарья Шахвердова. — Дальнейшая эксплуатация ПО будет затруднена из-за отсутствия гарантийной поддержки правообладателя иностранного ПО и сопутствующих обновлений. А если мы говорим о проприетарном программном обеспечении, то в таком случае изначально только разработчик имеет эксклюзивное право на доработку ПО и внесение изменений в исходный код программы, такие права обычно не передаются конечным пользователям.

Вот почему, если продолжить использование иностранного ПО на прежних условиях, в какой-то момент из-за отсутствия актуальных обновлений оно станет неэффективным и небезопасным. То есть программные продукты перестанут выполнять актуальные функции, резюмирует юрист.

Ввиду прекращения поддержки  и выпуска обновлений в том числе направленных на исправление ошибок и уязвимостей в информационной безопасности с 14 января для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 компанией Microsoft, ФСТЭК РФ подготовило информационное сообщение согласно которому государственным и муниципальным органам рекомендуется отказаться в срок до 1 июня 2020 года от использования данных ОС ввиду высокой вероятности реализации угроз информационной безопасности.

Соответственно, ФСТЭК также приняло решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.

В связи с чем гос. и муниципальным органам власти рекомендуется:

1. Спланировать и произвести мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации  установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2
3. Установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
4. Провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2
5. При наличии возможности — исключить подключение к сети Интернет и к ведомственным локальным вычислительным сетям средств вычислительной техники, а при ее отсутствии применять в обязательном порядке меры по сегментированию информационных систем и защите периметра
6. Производить периодический мониторинг уязвимостей.

ФСТЭК предупредила органы власти об опасности использования Windows 7

08:47 / 22 января, 2020
2020-01-22T08:47:47+03:00

Регулятор рекомендовал органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС.

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!