Новые санкции против ИТ-сектора в России: какие есть риски и что следует сделать уже сейчас

17 июня 2024

12 сентября 2024 года США вводят более трехсот новых санкций против Российской Федерации. Санкции затрагивают значительную часть сегментов ИТ-рынка и могут негативно повлиять как на функционирование информационных активов, так и на их устойчивость к киберугрозам, таким как получение несанкционированного доступа, хищение критичной информации, остановка бизнес-процессов.

Опубликованный пресс-релиз постановления запрещает предоставление любому (в том числе физическому) лицу в Российской Федерации услуг по:

• консультированию и проектированию в области ИТ,
• ИТ-поддержке и облачным сервисам для ПО с функционалом управления и планирования ресурсов предприятия, проектирования и производства (решения класса «Enterprise management software» – EMS*).

Для защиты гражданского общества и гражданских телекоммуникаций Минфин США опубликовал приложение, описывающее исключения из основных ограничений. Так, для граждан, отсутствующих непосредственно в санкционных списках (т.е. для большинства физических лиц), разрешено предоставление услуг, связанных с интернет-коммуникациями, а именно:

Многие зарубежные вендоры ПО приостановили свои поставки российским компаниям еще в 2022 и 2023 годах. По сути, новые рестрикции переводят такой уход из добровольного в юридический — а это влечет за собой риск новой волны «уходов» оставшихся на российском рынке компаний.

Стоит также отметить, что Указом Президента Российской Федерации от 13.06.2024 № 500 внесены изменения в требования к мерам по обеспечению информационной безопасности Российской Федерации. Изменения дополняют пункт 6 Указа Президента Российской Федерации от 01.05.2022 № 250. Помимо запрета на использование средств защиты информации, производителями которых являются «недружественные» государства и (или) организации подконтрольные им либо аффилированные с ними, с 1 января 2025 года федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, госкорпорациям, стратегическим предприятиям, стратегическим акционерным обществам, системообразующим организациям российской экономики и субъектам критической информационной инфраструктуры запрещается пользоваться сервисами (работами, услугами) по обеспечению информационной безопасности, предоставляемыми организациями из недружественных иностранных государств.

1. Выпущенные документы не дают четкого определения, какие системы попадают под термин EMS в контексте санкций. Теоретически функционалом EMS обладает большой класс ПО, используемого в корпоративном сегменте, в т.ч. Jira, MS Project, CRM-системы, ERP-системы и иные.

2. Популярные платформы разработки, облачные приложения и open-source платформы, в частности, коммерческие проекты на Github или Docker, окажутся под ударом в первую очередь.

Блокировка и отключение указанных платформ могут привести к утере данных по проектам и нанести колоссальный ущерб бизнесу, фактически парализовав его работу.

3. Внесенные в Указ Президента Российской Федерации от 01.05.2022 № 250 изменения фактически усиливают запрет на использование средств защиты информации, произведенных в иностранных государствах, в том числе устанавливая запрет на пользование услугами технической поддержки производителей таких средств.

Это влечет регуляторные риски для организаций, попадающих под действие Указа Президента Российской Федерации от 01.05.2022 № 250.

4. Учитывая усиление санкционного давления, а также санкции, введенные в отношении Мосбиржи, стоит ожидать удлинения процессов оплат и поставки оборудования, а также цен на продукцию (в том числе, на активное сетевое оборудование, межсетевые экраны и иные средства защиты информации).

В настоящее время эксперты УЦСБ разрабатывают дорожную карту по импортозамещению и уходу от решений класса EMS, потенциально попадающих под введенные санкции.

В течение ближайших трех месяцев, до 12 сентября 2024 года, рекомендуем последовательно предпринять следующие шаги:

1. Инвентаризация информационных активов и оценка их критичности. Рекомендуем провести инвентаризацию корпоративного ПО, обратив особое внимание на системы, обладающие функционалом enterprise management software, а также облачные решения, open-source платформы и платформы разработки, расположенные в иностранных облачных серверах.
2. Оперативная минимизация рисков потери функционала критически важных бизнес-приложений.
В рамках оперативных мер советуем провести отключение возможности обновлений программного обеспечения в системах, попавших в список критичных по результатам инвентаризации, а также обеспечить резервирование информации, представляющей критичность для функционирования бизнес-процессов. В том числе необходимо закрыть доступ в сеть Интернет для сервисов, которые развернуты по модели On-premise. Кроме того, оперативное реагирование может включать в себя оперативную замену ПО первого приоритета, в том числе средств защиты информации. Особое внимание рекомендуем уделить решениям классов SIEM, VM, PAM, IAM, DLP, GRC, SOAR.
3. Формирование/актуализация плана перехода на отечественное ПО и ПАК.

Команда УЦСБ готова поддержать компании и организации на всех этапах перехода к устойчивым решениям, включая, но не ограничиваясь оказанием следующих услуг:

1. Экспресс-аудит ИБ и инвентаризация информационных активов, анализ потенциальных рисков. Поможем идентифицировать все критичные бизнес-системы и подготовим рекомендации по их защите на основании рискориентированного подхода.
2. Подборка и внедрение альтернативных решений. Поможем подобрать, провести пилот и внедрить решения для наиболее критичных компонентов инфраструктуры, в том числе – средств защиты информации, межсетевых экранов и open source-решений.
3. Проведение анализа защищенности (в том числе в формате «тестирования на проникновение») для оценки текущего состояния кибербезопасности.