Дешевые киберрешения – риск для безопасности
Устаревший механизм формирования предельных цен на ИТ-оборудование тормозит внедрение решений в области кибербезопасности в России
Уход из России зарубежных ИТ-компаний, потенциальная опасность иностранной техники и софта для критической инфраструктуры и кратно выросшее количество атак заставили власти и владельцев бизнеса кардинально пересмотреть свое отношение к кибербезопасности и начать переходить на российские ИТ-решения.
Сегодня на государственном уровне ужесточаются требования к обеспечению безопасности критически важного оборудования и бизнеса в целом. Но, как рассказывают в компании «Аквариус», которая занимается разработкой и производством компьютерной техники, одной из проблем при поставках техники по госзаказу является то, что в России действует устаревший механизм формирования предельных ведомственных цен на ИТ-оборудование. В соответствии с этим механизмом заказчик, как правило государственная организация или крупный бизнес, должен установить начальную максимальную цену контракта (НМЦК). Если поставщик предложит цену выше этой границы — его заявку рассматривать не будут.
Проведение госзакупок происходит в соответствии с 44-ФЗ «О государственных закупках» и постановлением правительства № 1084. В документах прописано, что заказчик устанавливает предельную стоимость товара, основываясь на среднерыночных ценах на аналогичный товар по состоянию на 2014 год. При этом возможно увеличение цены от этого уровня, но только в пределах роста потребительских цен, определенного Росстатом. По сути, законодательство не позволяет выставить в заявке цену, приближенную к реальной стоимости товара.
В частности, предельная стоимость ноутбуков для гражданского служащего, занимающего должность, относящуюся к группе должностей категории «помощники (советники)», сегодня составляет 65 040 рублей. Как подсчитали в «Аквариусе», за девять лет рост цен составил менее 10%.
То есть складывается ситуация, когда заказчик вынужден принимать решение о закупке оборудования, программного обеспечения или программно-аппаратных комплексов на основании критерия низкой цены, а не на основании разумных подходов и требований к кибербезопасности. В итоге тот, кто предлагает дешевые решения, признаётся победителем аукционов, а основные риски кибербезопасности в таком случае ложатся на заказчика.
Сегодня критически важно, чтобы российские власти, и особенно власти новых регионов, из соображений безопасности перешли на российские мобильные устройства, и они у нас есть. Задача кибербезопасности и ИТ-компаний, занимающихся разработкой подобных решений, — наиболее эффективная защита персональных и корпоративных данных, что стало еще более актуальным в последние годы. Мы уже представили защищенные отечественные карманные персональные компьютеры Aquarius NS M11 и NS M12. Однако для закупки этих современных и кибербезопасных устройств одно из ведомств установило предельную цену в районе 40 тысяч рублей. У нас свои разработки, своя плата, свои инженеры, а из-за нестабильной экономической ситуации мы не имеем возможности осуществлять поставку техники по утвержденной девять лет назад стоимости
Выходом из ситуации должно стать увеличение НМЦК либо полная ее отмена для российских производителей. Компромиссным вариантом может стать решение, позволяющее в случае закупки радиоэлектронной продукции не руководствоваться установленной величиной предельных цен. Как, например, это сделано для новых регионов РФ, считают в компании «Аквариус».
«В создавшейся ситуации систему установления НМЦК необходимо пересмотреть, так как выбор из-за низкой цены будет делаться заказчиками в пользу некачественного или иностранного оборудования, а это в сложившейся ситуации недопустимо, — уверен Дмитрий Титов. — Использование иностранных недоверенных решений не просто опасно с точки зрения возможности реализации угроз безопасности, но и в некоторых случаях выглядит как откровенное вредительство, когда дешевая и полностью “дырявая” техника внедряется в инфраструктуру ключевых областей бизнеса и промышленности. Только отечественные доверенные решения могут помочь решить эту проблему».
Российских компаний, разрабатывающих защищенную технику, достаточно много, однако есть критерии, на которые нужно внимательно смотреть при выборе поставщика. В их числе максимальная локализация производства полного цикла, принадлежность всей интеллектуальной собственности российской компании, наличие в штате специалистов-схемотехников, достаточное количество ресурсов для обеспечения сервисного обслуживания и постпродажного сопровождения.
Кроме того, организация должна иметь необходимые лицензии и компетенцию в сфере кибербезопасности, использовать подходы к организации полного цикла безопасной разработки и производства начиная с этапов проектирования изделия. Подобные продукты, как уже было сказано, в России уже есть. Например, «Аквариус» предлагает линейку решений «Аквариус-Бастион», которые разработаны специально для таких случаев и обеспечивают максимальную защиту от большинства угроз безопасности.