Вспоминая ключевые события 2016 года, мне бы хотелось обсудить некоторые итоги первого года работы Реестра российских программных продуктов.
Немного истории
Реестр отечественного программного обеспечения (ПО) появился вследствие продолжительной системной работы Ассоциации разработчиков программных продуктов «Отечественный софт» (АРПП) и других отраслевых ассоциаций совместно с заинтересованными органами государственной власти. В результате этой активности, как и косвенной помощи наших западных коллег, объявивших России санкции, в том числе и в IT-индустрии, программа импортозамещения для отечественного софта стартовала в конце 2015 года.
Министерство связи и массовых коммуникаций Российской Федерации, министерство экономического развития Российской Федерации, другие заинтересованные ведомства — с одной стороны, и отрасль разработчиков программного обеспечения — с другой, долго согласовывали формальные критерии, по которым подтверждается происхождение программного продукта из Российской Федерации.
В результате было принято решение признать формальные критерии в качестве необходимых, а достаточным условием сделать заключение Экспертного совета, который рассмотрев заявки на соответствие критериям, принимал бы решение о включении того или иного продукта в Реестр не только на основании формальных требований, но и исходя из оценки компании-заявителя самими участниками рынка. Расчёт простой – чтобы отечественные компании сами выявляли чужаков и не пускали в Реестр.
Реестр стартовал
Реестр российского ПО действует с 1 января 2016 года в соответствии с требованиями ФЗ-188 и постановления правительства № 1236 от 16 ноября 2015 года и создан, в частности, в целях оказания мер государственной поддержки российским разработчикам ПО. На сегодняшний день Реестр содержит 2602 наименования отечественных продуктов.
Зачем нужен Реестр?
Согласно действующему законодательству, при госзакупках ПО заказчик из государственных органов должен соблюдать приоритет товаров российского происхождения по отношению к иностранным. Причем, если закупка российского софта невозможна, то заказчик должен опубликовать обоснование отказа от закупки.
Покупать иностранный софт можно, только если в Реестре российского ПО отсутствует аналогичный российский продукт или если отечественное ПО, включенное в Реестр, не соответствует требуемым техническим характеристикам.
Таким образом, Реестр создаёт преференции отечественным разработчикам ПО и должен увеличить внутренний рынок, в первую очередь — в тех сегментах корпоративного рынка, где уже существует задел в виде конкурентоспособных отечественных IT-продуктов. Это бизнес-приложения, антивирусное ПО, программы для обеспечения информационной безопасности, интернет-сервисы, используемые в корпоративной среде, производственные системы и многое другое.
Доминирование иностранных систем в государственных органах и предприятиях может привести к самым тяжелым последствиям — от остановки производства и транспорта в случае санкций до блокирования средств коммуникаций, включая телефонию, Интернет, телевидение и так далее.
Указанные потенциальные угрозы существовали давно, однако введенные санкции перевели их из разряда гипотетических в реальные. Известны примеры дискриминации по территориальному признаку со стороны иностранных производителей ПО и поставщиков IT-сервисов (например, поставка ПО, не работающего на территории Крыма).
В результате сложившаяся несколько лет назад ситуация обострила необходимость достижения технологической независимости России. Начали решать эту задачу с того, что более перспективно с точки зрения импортозамещения – с программного обеспечения.
Немного статистики
Согласно данным Минкомсвязи России на октябрь 2016 года, в Реестр включены программные продукты от 583 правообладателей. Основная доля зарегистрированных продуктов приходится на прикладное ПО. На втором месте по статистике находится системное ПО.
Около 60% правообладателей зарегистрировали в реестре отечественного ПО единственный продукт. Примерно треть правообладателей имеют в реестре от двух до десяти продуктов. Разработчики с обширной продуктовой линейкой (от 100 продуктов) занимают в реестре менее 1%.
Статистические данные о реестре российского ПО (с) Минкомсвязь.
Самым популярным прикладным ПО стали информационные системы для решения специфических отраслевых задач, к которым, например, относится ПО для промышленности, топливно-энергетического комплекса, строительства, здравоохранения, финансового сектора, транспорта. К этому классу правообладатели отнесли 1259 своих продуктов. Среди системного ПО лидируют средства обеспечения информационной безопасности (263 продукта). В классе «операционные системы» зарегистрировано 23 продукта. В Реестре также представлены средства разработки ПО. И так далее.
Вообще, по спектру включенного в реестр ПО и скорости его наполняемости можно сделать вывод, что одним из главных итогов первого года работы Реестра стало понимание того, что, по большому счёту, в ключевых сегментах IT-рынка российские продукты уже представлены.
А судьи кто?
Экспертизу на соответствие продуктов требованиям, установленным пунктом 5 «Правил формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных», утвержденных постановлением правительства РФ №1236 от 16 ноября 2015 года, проводят члены Экспертного совета по российскому ПО.
В состав Совета входят представители федеральных органов исполнительной власти, институтов инновационного развития, а также специалисты отрасли — члены ассоциаций российских разработчиков ПО — АРПП и «Руссофт». Совет сформирован таким образом, что более половины в нём — это представители IT-сообщества. Список членов Совета можно увидеть на сайте Реестра.
Как проходит голосование?
Процедура выглядит так: по поступившим заявкам, допущенным к рассмотрению, формируются письменные экспертные заключения, которые выносятся на общее голосование членов Совета. Решение принимается большинством голосов и утверждается приказом Минкомсвязи России. В случае равенства голосов решающее слово остается за председателем Совета — главой Минкомсвязи России Николаем Анатольевичем Никифоровым. По сути, механизм включает голосование экспертов и оформленное решение министерства, к которому могут быть обращены судебные иски заявителей.
Есть ли ошибки?
В любой системе распознавания — а Реестр, естественно, является именно системой распознавания — бывают ошибки первого и второго рода. То есть распознавание своих как чужих и принятие чужих в качестве своих.
Уже известно, что ошибки второго рода в Реестре были. За 2016 год из Реестра было исключено несколько продуктов, попавших туда по ошибке.
Это, например — «Логика ЕСМ ASL.СЭД» компании «Логика бизнеса» (входит в группу «Айти»), «Карельская медицинская информационная система» компании «К-МИС» и «М1: ЕСМ Платформа» компании «Метамодель групп».
Решение об исключении было принято после того, как стало известно, что ключевые свойства этих программ базируются на платформах («движках») зарубежных вендоров — IBM и EMC, а значит, заявители не обладают исключительными правами на заявленные продукты и их не контролируют.
Есть и ошибки первого рода.
Попытки внести в Реестр иностранный софт
Эти попытки довольно многочисленны. Например, для попадания в Реестр может быть наспех создано некое промежуточное ООО, «прокладка», которое и объявляется разработчиком и собственником продукта. Причины понятны — это вопрос довольно серьёзных денег при госзакупках.
Одной из первых поданных заявок в 2016 была заявка от ООО «Исет Девелопмент» на включение в Реестр комплексного антивирусного решения с одноименным названием. Фактически «Антивирусное решение «ИСЕТ» представляет собой программный продукт словацкой компании ESET. Это старая, уважаемая компания, с основателем которой я лично знакома.
Однако ООО «Исет Девелопмент» полагал, что, создав в России фактически формальное юридическое лицо, которое занимается не разработкой, а антивирусной аналитикой, можно будет стать отечественным разработчиком. Эксперты с этим не согласились. Именно потому, что компания давно известна отрасли, и ни для кого не секрет, что «движок» антивируса по-прежнему разрабатывается за рубежом.
Компания вела борьбу с Минкомсвязью России в суде, стараясь оспорить отказ включить программный продукт компании в Реестр российского ПО. Сейчас рассмотрение этого дела завершено.
В октябре Арбитражный суд города Москвы рассмотрел соответствующий иск ООО «Исет Девелопмент» и согласился с позицией Минкомсвязи России о том, что продукт ООО «Исет Девелопмент» не отвечает требованиям российского Реестра относительно подобных программ. Компания подала апелляционную жалобу, которая также была отклонена.
Отечественное или нет?
На самом деле, вопрос принадлежности компании к России не так очевиден, как кажется на первый взгляд.
Возьмём, например, недавний громкий случай: компанию SearchInform, производителя программного обеспечения для защиты от утечек данных. Её руководитель публично обвинял Совет и министерство в том, что его компанию якобы год не пускали в реестр. Напомню хронологию событий, связанных с рассмотрением заявки этой компании Советом, а также приведу данные, которые доступны в открытых источниках в сети Интернет.
Компания подала заявку на продукт КИБ «SearchInform» в январе 2016 года. Права на продукт российской компании передала зарегистрированная в Сингапуре компания Searchinform Asia PTE.LTD, владелец которой умер за полгода до этого. Одновременно на украинском сайте компании была размещена противоречащая заявке информация, что «все авторские и иные права на КИБ «SearchInform» принадлежат компании InfoSecSolution Ltd, зарегистрированной на Сейшельских островах.
При этом в украинском реестре ПО утверждалось нечто третье: что производителем ПО «КИБ» является компания «SearchInform Limited», зарегистрированная в Англии.
Чтобы разобраться в этой ситуации, ушел практически год — и неспроста. Потребовалось несколько итераций, в ходе которых экспертам пришлось затребовать множество дополнительных документов, чтобы разобраться с этими противоречивыми сведениями и фактами. Результат, в конце концов, устроил экспертов и профильное ведомство, и продукты компании включили в Реестр.
Это пример того, что даже при крайне неоднозначной ситуации в самой компании и наличии многоуровневых схем передачи авторских прав Экспертный совет нацелен, досконально изучив документы, пойти навстречу компании-заявителю, если есть основания полагать, что она — российская.
Вывод: чем более аккуратно, полно и точно заявитель предоставляет информацию, тем больше шансов у него быстро попасть в Реестр. И, наоборот, чем больше заявитель будет хитрить, искажая картину, тем больше сомнений это будет вызывать у членов Совета. Так же, как устрицы в 2014 году вдруг стали белорусским продуктом, так и некоторые компании срочно пытаются перекраситься в триколор.
Отчего задержки, какие проблемы с заявками?
Рассмотрение заявлений в реестр, к сожалению, проходит не быстро. Основная причина — вал поступающих заявок.
В пиковые периоды число заявок к рассмотрению доходило до 600 за одно рассмотрение. На каждую заявку эксперт тратит от получаса до нескольких дней, а если есть проблема с документами, то и больше, и занимаются этим в свободное от работы время, в качестве общественной нагрузки.
Естественно, это приводит к появлению очередей. Возможно, имело бы смысл увеличить число экспертов, готовящих заключения, но не входящих в Совет. Например, с привлечением Центра компетенций по импортозамещению, возглавляемого Ильёй Иссовичем Массухом. Это облегчило бы работу экспертам и ускорило процесс вхождения продуктов в Реестр.
В середине 2016 года были и технические проблемы с работой сайта Реестра, которые к осени были решены. Как и любому новому проекту, Реестру требуется какое-то время на отладку процедур. Надеюсь, что в этом году технических сбоев и задержек уже не будет.
Вывод. В текущей процедуре заявителям не следует рассчитывать на моментальное принятие решения по его проекту. В среднем процесс занимает от трех до пяти месяцев.
Требование по лицензированию
Отдельную проблему представляет требование пункта 5, д) «Правил формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных». Согласно документу, «соответствие ПО требованиям безопасности информации должно быть подтверждено сертификатом системы сертификации средств защиты информации (СЗИ) по требованиям безопасности информации, выданным в порядке, установленном правительством Российской Федерации (только для программного обеспечения, в составе которого реализованы функции защиты конфиденциальной информации)».
На самом деле, эта витиеватая фраза означает необходимость наличия у компании лицензии ФСТЭК на СЗИ. Причем требование это распространяется на все продукты из области информационной безопасности.
На мой взгляд, требование по наличию такой лицензии является избыточным, т.к. оно никак не связано с «российскостью» продукта. Однако пока это требование обязательно, и мы вынуждены по формальному критерию отклонять много заявок российских компаний, в основном, небольших, у которых может просто не быть средств на получение лицензии.
Недавно, например, отклонили заявки компаний «Элкомсофт» (продукт ElcomSoft Password Recovery Bundle), «Нано Секьюрити» (продукт NANO Антивирус Pro), Device Lock (АО «СМАРТ ЛАЙН ИНК», продукт DeviceLock DLP Suite).
История всех отказов совершенно одинакова. Всё это — известные российские компании («Элкомсофт», например, работает на рынке более четверти века). По всем остальным критериям они соответствуют требованиям Реестра. НО! Все не имеют необходимой лицензии. Результат — отказ во включении в Реестр.
Мне хочется верить, что в этом году избыточное требование по наличию лицензии ФСТЭК на СЗКИ будет исключено из требований к попаданию компаний в Реестр.
Выводы и предложения
Подводя итоги, хочется сказать, что уже сейчас видно — Реестр состоялся. И отдельные сбои и шероховатости этому не помешали. С моей точки зрения, в работе реестра существует ряд аспектов, которые стоило бы улучшить:
- проекту нужен адекватный бюджет, в том числе позволивший бы привлечь к рассмотрению заявок более широкий пул отраслевых экспертов, чтобы Совет продолжал работу на общественных началах, а «внештатные» эксперты проводили оценку и получали за свою работу установленное вознаграждение;
- реестру нужна большая открытость и прозрачность работы, включая предоставление информации о статусе рассмотрения заявок на каждом этапе процедуры, как это происходит, например, на площадке государственных закупок, а также более оперативное размещение информации на сайте реестра;
- необходимо исключить требование наличия лицензии ФСТЭК, либо ввести новые категории средств ИБ, для которых она не нужна.
Кроме того, можно было бы ввести двухуровневую схему работы экспертов: сохранить Экспертный совет, голосующий за принятие в Реестр, и, например, добавить широкий круг первичных экспертов от IT-индустрии (200-300 человек), дающих отзывы анонимно, мнение которых учитывается при голосовании ЭС, как это сделано в грантовом комитете в Сколково.
В остальном же работа идет полным ходом, и я желаю Реестру и отечественным разработчикам ПО новых успехов в импортозамещении!
Об авторе: Наталья Касперская — член экспертного совета Реестра российских программных продуктов.
Источник: Экспертный центр Электронного государства.
