«Аэропорты Севера» оценили замену иностранного ПО и оборудования в 300 млн рублей

ФКП «Аэропорты Севера», которое объединяет 31 аэропорт, потребуется порядка 300 млн руб. на реализацию президентского указа 166 от 30 марта 2022 г., который запрещает приобретение и использование иностранного программного обеспечения (ПО) и оборудования после 2025 г. Об этом заявил начальник управления информационных технологий ФКП Дмитрий Мартынюк в рамках 61-й Московской международной конференции, которую провела ассоциация «Аэропорт». Подписанный весной указ в «целях обеспечения технологической независимости и безопасности» запрещает использовать иностранное ПО и оборудование на объектах критической информационной инфраструктуры (КИИ) с 1 января 2025 г. До этой даты госорганы и госзаказчики должны перейти на софт отечественной разработки. Кроме того, указом вводится запрет на закупки иностранных решений для объектов КИИ и до 2025 г. без согласования с правительством.

По подсчетам Мартынюка, 300 млн руб. – это около 10% всей расходной части программной деятельности предприятия. Он говорит, что в малых аэропортах износ оборудования не такой большой, как в аэропортах с большим пассажиропотоком. И если к 2025 г. из-за износа в «Домодедово» (пассажиропоток в 2019 г. – 28,3 млн человек. – «Ведомости») или «Шереметьево» (пассажиропоток – 49,9 млн человек. – «Ведомости») оборудование так или иначе придется обновлять, то в малых аэропортах оно спокойно прослужит до 2030 г. и больше, заявил чиновник ФКП, добавив, что амортизационные затраты в расчете на одного пассажира отличаются в разы. В качестве примера Мартынюк привел затраты на рентгенотелевизионный интроскоп: «Если в «Домодедово» такие затраты составляют 4,8 руб. на пассажира с учетом пассажиропотока за 2019 г., то в Нерюнгри (пассажиропоток – 115 000 человек. – «Ведомости») уже 17,1 руб., а в Хандыге (пассажиропоток – 3500 человек. – «Ведомости» ) – 197,2 руб.».

Он отмечает, что цель указа – поддержка отечественной отрасли по разработке ПО и оборудования. «Разумно было бы установить ограничение только на приобретение сертифицированного оборудования иностранного ПО в рамках до 10–15 лет и не требовать замены уже существующего», – заявил Мартынюк. Он аргументирует это тем, что именно 10–15 лет составляют «жизненный цикл» оборудования: «Оно само все поменяется». «Ведомости» направили запрос в Минпромторг, Минцифры и Минтранс.

При этом Мартынюк настаивает, что замена иностранного ПО не несет за собой ни повышения качества работы, ни повышения безопасности. К примеру, светосигнальное оборудование функционирует в выделенных локальных сетях и не имеет доступа к сети интернет. «Реализация такой [заложенной] угрозы с использованием уязвимости крайне маловероятна, – утверждает Мартынюк. – Чтобы получить фактический доступ к этому объекту, надо попасть в ограниченное число лиц, которые допущены на территорию. В малых аэропортах может быть до 50 человек».

В аэропортах довольно много оборудования на ПО, которое не имеет доступа в интернет, а работает только по локальной сети, отмечает главный редактор портала Avia.ru Роман Гусаров: «Например, диспетчеры аэродрома администрируют парковку самолета, снегоуборочных машин, подвоз багажа и т. п. Это чисто локальное управление движением на аэродроме». Но изолированные сети не являются панацеей, отмечает руководитель группы исследования сложных угроз Group-IB Threat Intelligence Анастасия Тихонова: «Поиск воздушного зазора для проникновения в физически изолированные критические сегменты сети – это третий по популярности вектор атаки на объекты критической инфраструктуры после почтовой рассылки с вредоносным ПО на борту или атакой через веб-сервисы, «торчащими наружу». В случае атаки на изолированный сегмент вредоносные программы могут попасть в технологическую сеть, например, через флешки или зараженный ноутбук инженера, говорит она.

90% случаев атаки на технологический сегмент идут именно через корпоративные сети, т. е. по первым двум сценариям (почта и сервисы), пояснила Тихонова. Потому решения, обеспечивающие безопасность инфраструктуры объектов промышленности и производства, должны быть комплексными и способными выявлять кибератаки на любом этапе, считает она. «Их задача – полностью контролировать сеть, мониторить аномалии и нестандартную сетевую активность АСУ ТП, фиксировать недокументированные возможности промышленных протоколов, отслеживать все действия в сети», – заключила эксперт.

Кроме того, как говорит Гусаров, многие программные продукты изначально подразумевают такую вещь, как лицензионный срок службы. Например, российские дистрибуторы, использовавшие оборудование компании Tikkurila, столкнулись с внезапным прекращением работы станков для колеровки краски – компания удаленно заблокировала им программное обеспечение, напомнил эксперт. «В оборудовании может стоять чип, с помощью которого по мобильной сети – без использования интернета – возможно отправить сигнал и все заблокировать. Или ПО стоит, допустим, до 31 декабря 2022 г. А дальше, чтобы оно исправно работало, надо его продлевать», – напоминает Гусаров. По его словам, если где-то существует такая закладка либо лицензионное ограничение, то аэропорт может быть парализован в любой момент.

По словам Мартынюка, «даже если теоретически такая угроза будет реализована, результатом этого незаконного вмешательства будет всего лишь небольшая задержка в работе». Но, как отмечает Гусаров, «Аэропорты Севера» должны работать в том числе в эвакуационном режиме. В Якутии бывают экстремально низкие температуры – минус 50 и ниже. «Допустим, зимой произошла авария в котельной. Аэродром обязан в течение двух суток эвакуировать весь поселок. Если в это время будет сбой, то он может обернуться потерей человеческих жизней. Надо всегда быть готовым именно к таким форс-мажорам», – подытожил Гусаров.

Отказываться от замены оборудования под предлогом того, что это дорого, – в корне неверно, говорит замгендиректора компании «Кибертех» Арсений Брыкин: «Такое оборудование имеет разную степень информационной защищенности. Иностранная электронно-компонентная база может сбоить и без подключения к сети интернет, что чревато катастрофическими последствиями».