По данным исследования «Монк Диджитал Лаб», 95% объектов критической информационной инфраструктуры (КИИ — банки, телекомкомпании, логистические компании, медицинские учреждения, госорганизации) по-прежнему применяют иностранные решения для контроля работоспособности IT-инфраструктуры. Авторы исследования считают, что использование западных решений «создает серьезные проблемы», поскольку это представляет угрозу безопасности и потери технологического суверенитета. По мнению участников рынка, отечественным аналогам сложно конкурировать с иностранными, работу над которыми вели тысячи сотрудников много лет. Тем не менее, доступ западных решений мониторинга к критическим компонентам IT-инфраструктуры может создать потенциальную точку входа для злоумышленников, указывают эксперты
«Трофейные» решения
Подавляющее большинство объектов критической информационный инфраструктуры или КИИ использовали в 2024 году иностранные решения для контроля работоспособности IT-инфраструктуры, говорится в исследовании компании «Монк Диджитал Лаб», с которым ознакомился Forbes. У примерно 40% объектов КИИ установлены западные коммерческие платформы (IBM Netcool, Splunk, Micro Focus Ops Bridge, Microsoft Scom и другие). Около 80% объектов КИИ используют как минимум на одном участке своей сети западные open source решения (вендорные и разрабатываемые за границей), причем 85% из них применяют Zabbix в качестве основной или дополнительной системы мониторинга. «Многие российские компании одновременно используют «трофейные» проприетарные решения, западные open source платформы и отечественные разработки», — указывают аналитики.В течение 2024 года специалисты «Монк Диджитал Лаб» провели 152 интервью с представителями операторов КИИ из различных отраслей — преимущественно из телекоммуникаций (операторы связи, центры обработки данных, финансового сектора — банки, платежные системы, логистики, промышленных предприятий (включая предприятия гособоронзаказа), госсектора (федеральные и региональные учреждения). 152 оператора КИИ выбраны из базы клиентов «Монк Диджитал Лаб», более половины опрошенных — крупные и средние предприятия, на долю которых приходится основная часть критических сервисов в своей отрасли. Выборка отражает географическое распределение по регионам России, включая центральную часть, Поволжье, Сибирь и Дальний Восток.
«Примечательно, что в телеком-секторе, где важен мониторинг ошибок на базовых станциях, ЦОДов и распределенных инфраструктур, до сих пор распространены такие решения, как IBM Netcool и Zabbix. Банки традиционно применяют Splunk, Micro Focus Ops Bridge, а также Zabbix, Prometheus и Grafana. В промышленности, в том числе на предприятиях гособоронзаказа, чаще всего встречается Zabbix как «быстрый» и дешевый вариант, воспринятый рынком как де-факто стандарт», — следует из отчета.
Что касается использования российских решений по IT-мониторингу, то здесь, согласно наблюдениям «Монк Диджитал Лаб», наблюдается смешанная картина. Около 55% объектов КИИ закупили российские решения (часто в рамках проектов импортозамещения), но не всегда применяют их повсеместно. Чаще всего эти системы закрывают лишь некоторые потребности, например, мониторинг ограниченного набора сетевых устройств или приложений. 30-40% объектов КИИ пока применяют иностранное ПО как основную платформу мониторинга, а российские аналоги используют «для галочки» либо в тестовом режиме. 10-20% объектов КИИ (включая компании с наиболее высоким уровнем осознания рисков безопасности или самыми новыми инфраструктурами) работают почти полностью на отечественных решениях. «Но таких организаций пока мало», — резюмируют аналитики.
Основная причина сложившейся ситуации в том, что крупные предприятия КИИ могут эксплуатировать 10-20 и даже больше разных систем мониторинга одновременно, считают в «Монк Диджитал Лаб»: «Российские продукты часто присутствуют в списке, но далеко не всегда являются ядром всей системы».
«Создает серьезные проблемы»
Как утверждают авторы исследования, использование западных решений «создает серьезные проблемы». Прежде всего, по их словам, это угроза безопасности и потери технологического суверенитета: «Западные решения по мониторингу зачастую имеют доступ на чтение или даже полный root-доступ к серверам, сетевым устройствам, базам данных и другим критически важным компонентам IT-инфраструктуры. В случае усиления санкций или компрометации уязвимостей в ПО риск несанкционированного доступа или отключения возрастает».Применение западных решений — прямое нарушение законодательных требований в сфере КИИ, подчеркивают в «Монк Диджитал Лаб». Так, с 2025 года в силу закон, который запрещает использовать иностранное ПО на объектах КИИ. Другое ключевое законодательное требование — президента № 166, согласно которому с 31 марта 2022 года запрещено покупать иностранное ПО для объектов критической информационной инфраструктуры (КИИ) и услуги для его поддержки.
«Использование иностранного ПО может потенциально конфликтовать с требованиями национальной безопасности, особенно если это ПО больше не поддерживается производителем или не имеет необходимых сертификатов. Наконец, использование западных решений создает риски обновления и масштабирования систем. Западные решения в ряде случаев требуют регулярного обновления и интеграции с другими коммерческими продуктами, что может стать сложной задачей на фоне санкционного давления и отсутствия официальной поддержки в России», — делается вывод в исследовании.
«Картина такая и есть»
Гендиректор хостинг-провайдера RUVDS Никита Цаплин называет результаты «логичными»: указанные виды ПО, по его словам, разрабатывали много лет сотни, а то и тысячи сотрудников, регулярно получая обратную связь и дорабатывая свои решения. «Это продукт очень высокого качества, заменить который в одночасье трудно, — продолжает он. — Для такой замены нужно, во-первых, иметь как само ПО, функционально покрывающее все нужды и продающееся по вменяемой цене; во-вторых, содержать штат специалистов, обеспечивающих качественную поддержку; и, в-третьих, новые решения налагают обязанности на сотрудников по работе с новым софтом. Все эти факторы существенно замедляют темпы внедрения российских решений, в том числе на объектах КИ».Доступ западных решений мониторинга к критическим компонентам IT-инфраструктуры представляет собой «серьезную угрозу», создающую потенциальную точку входа для злоумышленников, особенно в условиях текущей геополитической нестабильности, считают эксперты в сфере кибербезопасности. Усугубляет ситуацию фрагментация ландшафта мониторинга: организации часто используют несколько разных решений, данные из которых не консолидируются и не синхронизируются с другими системами IT и ИБ, говорит руководитель продукта для управления активами Positive Technologies Зоя Гуревич. Эта разобщенность, по ее словам, не позволяет получить целостное представление о состоянии IT-инфраструктуры, что в итоге приводит к образованию «слепых зон», затрудняет анализ инцидентов безопасности и замедляет реагирование на угрозы, которыми могут воспользоваться злоумышленники. «Кроме того, такая фрагментация негативно влияет не только на безопасность, но и на эффективность работы IT-отдела, заставляя администраторов работать с множеством интерфейсов и анализировать данные из разрозненных источников. Это увеличивает трудозатраты, повышает вероятность ошибок и снижает общую операционную эффективность», — рассуждает Гуревич.
«Поскольку занимался как раз системами мониторинга, могу сказать, что картина примерно такая и есть. Большинство заказчиков используют Zabbix как бесплатное и свободно распространяемое решение для мониторинга», — подтверждает источник на рынке инфраструктурного софта. Впрочем, по его мнению, проблема преувеличена: «Мониторинг стоит в стороне и мало влияет на работоспособность основной системы».
Директор по консалтингу ГК «Солар» Роман Чаплыгин согласен с тем, что IT-инфраструктура с применением зарубежных компонентов встречается достаточно часто среди клиентов компании из разных сегментов, «будь то обычные компании, государственные учреждения или организации, работающие с персональными данными». «Они эксплуатируют зарубежные IT-решения, open-source решения, используют необходимый доступ к интернету, — перечисляет он. — У компании может быть доверенная инфраструктура, построенная по принципу security-by-design, то есть на российских компонентах и сертифицированная — это позволяет нам по умолчанию считать ее безопасной. В таком случае потребность в дополнительной защите становится менее актуальной». Однако это скорее утопия, говорит Чаплыгин. «На практике мы сталкиваемся с противоположной ситуацией: фактически каждая компания, каждый бизнес функционирует в условиях недоверенной среды», — резюмирует он.
