Российское импортозамещение в сфере ПО идёт по пути формальной отчётности: темпы роста продаж отечественного софта упали с 24% в 2024–2025 годах до 5–10% в первом полугодии 2026 года, цены на лицензии выросли на 10–20%, а качество продуктов остаётся низким. В беседе с главным редактором издания «ТЕХНОСУВЕРЕН» Дмитрием Киселевым эксперт, председатель комиссии по безопасности финансовых рынков Совета ТПП России, Тимур Аитов констатирует: главная проблема — не отсутствие технологий, а система оценки, которая поощряет выполнение планов, а не реальную эффективность. Крупные госкомпании и банки выполнили формальные требования регулятора и потеряли интерес к дальнейшему развитию, рынок превратился в олигополию с диктатурой продавца. Критическая информационная инфраструктура требует не только замены софта, но и комплексного подхода: от внедрения аппаратных модулей шифрования (HSM) до гибридного резервирования и принципа «цифрового сомнения» при расхождении электронных и бумажных документов. Без этих мер формальные победы так и останутся незамеченными, потому что их нет.

— Приведу недавний комментарий представителя ВТБ: «В этом году тратим на импортозамещение меньше, а в будущем будем тратить ещё меньше». Как это интерпретировать — как успех или как симптом?

— Это элегантная формулировка, за которой стоит простая мысль: замещать скоро станет нечего. Формальные требования регулятора выполнены, планы «закрыты». Но реальная картина противоположна. Мы видим формальную победу на фоне падающего качества и реальной защищённости. Такую победу мало кто видит, потому что её фактически нет.

— Какие цифры подтверждают этот спад?

— По данным «Руссофт» на весну 2026 года, темпы роста продаж отечественного ПО упали с 24% в 2024–2025 годах до 5–10% в первом полугодии 2026-го.

— Почему это произошло?

— Причины можно свести к трём. Первая: крупные госкомпании и системно значимые банки выполнили формальные требования регулятора. Дальше развивать экосистему, дорабатывать интеграции, расширять функционал им стало… неинтересно. Это уже не бизнес-логика, а логика отчётности. Вторая: продукты, увы, остаются «сырыми». Нет привычных приложений, хромает совместимость, отсутствуют плагины. Часть вендоров уже столкнулась с оттоком клиентов, но рынок монополизирован — деваться некуда. Третья: цены на лицензии за первый квартал 2026 года выросли на 10–20% год к году (данные «Коммерсанта», «СКБ Контур», К2Тех). Рынок превратился в олигополию. У заказчика выбора нет. Качество по-прежнему хромает, а цены диктует продавец.

— Где предел этой формальной победы? Насколько устойчиво такое ПО к разным типам атак? И сразу уточню: КИИ — это критическая информационная инфраструктура, объекты, важные для госбезопасности и экономики.

— Здесь нужна аккуратность. Отечественное ПО для объектов КИИ проходит сертификацию ФСТЭК России. Это серьёзная процедура, которая подтверждает отсутствие закладок и соответствие техническим требованиям информационной безопасности. Но сертификат не защищает от всех видов атак. Социальная инженерия — когда взламывают не код, а человека — вообще не зависит от качества ПО. Поэтому однозначного ответа «выдержит или нет» быть не может. Речь идёт о повышении общей устойчивости, а не о «победной» неуязвимости.

— В чём корень проблемы? Часто говорят, что рынок слишком мал.

— Внутренний рынок ПО в России в десятки раз меньше глобального. Создать полноценный аналог Microsoft или SAP в наших условиях невозможно — R&D-бюджеты мировых лидеров составляют десятки миллиардов долларов ежегодно. Есть и другой важный аспект: у крупных зарубежных вендоров клиентская база на порядки больше. Это даёт им два решающих преимущества: обратную связь с огромного числа инсталляций, позволяющую быстро находить и исправлять ошибки, и возможность оперативно реагировать на запросы заказчиков. А глобальный рынок кратно больше нашего — значит, выше и окупаемость инвестиций.

— Слоган «девять стартапов из десяти умирают, зато десятый выстреливает» в наших условиях работает?

— Этот слоган хорош для Кремниевой долины. Для технологического суверенитета в условиях санкций и жёстких сроков он слишком долог и ненадёжен. Наше государственное регулирование пошло по жёсткому пути: реестры Минцифры, Минпромторга и других ФОИВ, требования правительства, ФСТЭК, обязательная сертификация. Но системных долгосрочных инвестиций в развитие нет. Требования предъявляются, финансирование не предоставляется, а ответственность ложится на заказчиков и производителей.

— Координация тоже страдает. В реестре числится более 70 операционных систем. Это не распыление?

— Да, классический пример неэффективной координации. Многие из этих ОС — нишевые проекты под конкретную задачу, с ограниченной ресурсной базой и сомнительной жизнеспособностью. Вместо поддержки 2–3 проектов на каждый критический класс — серверные ОС, ОС для рабочих станций, промышленные ОС реального времени — мы распыляем усилия. Разработчики прикладных систем вынуждены поддерживать десятки ОС, хотя реально рынок держится на трёх-четырёх лидерах. Но есть позитивный пример — общегосударственный проект под координацией ФСТЭК «Центр исследования безопасности системного ПО» на базе linuxtesting.org, где более 70 компаний развивают единый дистрибутив. Но таких примеров практически нет.

— Теперь о КИИ. Какая ситуация со сроками?

— В декабре 2024 года, по данным Минцифры, из 25 крупнейших госкомпаний, подпадающих под требования по КИИ, лишь 11 полностью перешли на отечественное ПО к установленному сроку 1 января 2025 года. Регулятор перенёс дедлайн на 2030 год. Жёсткие сроки без реальной готовности рынка и продуктов оказались не стимулом, а вредным инструментом.

— Но замена ПО — не единственная проблема. Даже после полного импортозамещения уязвимости остаются?

— Абсолютно верно. Замена западного ПО на российское, какой бы качественной она ни была, не отменяет неизбежности взлома. Противник всегда найдёт обходной путь: уязвимость в коде, социальная инженерия, скомпрометированный сотрудник. Более того, объединяя данные из нескольких скомпрометированных государственных систем, можно строить точные цифровые профили граждан и управлять их поведением. Это не фантастика, а прогнозируемый инструмент гибридной войны. Утечки случались и в «Яндексе», и в других крупных компаниях. В сочетании с банковскими утечками такие данные дают полную картину платёжеспособности человека и возможность навязывать ему персонализированные финансовые продукты.

— Ещё одна системная проблема — аппаратные модули шифрования, HSM. Что это такое и почему их замена сложнее, чем смена обычного «железа»?

— HSM — это специализированные устройства, которые безопасно хранят ключи шифрования и выполняют криптооперации в аппаратно защищённой среде. Объясню на примере. Когда вы оплачиваете покупку картой или телефоном в магазине, платёжные данные шифруются. Ключи для этого шифрования, а также ключи для генерации кодов авторизации транзакций хранятся и обрабатываются именно в HSM. Без них современная безналичная платёжная система просто не работает: ни оплата картой в супермаркете, ни перевод по СБП, ни межбанковский расчёт. Таких устройств по стране несколько тысяч (с учётом процессинговых центров крупных банков, ЦБ и операторов платёжных систем), и остановка каждого критична.

— Почему их замена сложнее, чем смена серверов или софта?

— Сервер можно заменить по принципу «выключил — включил, переустановил софт». А HSM — одновременно и сейф, и криптографический «мозг» платёжной системы. Они десятилетиями встроены в процессинговые центры, к ним «пришиты» старые банковские системы, часто уникальные для каждого банка. Вынуть импортный HSM и поставить на его место российский — это как поменять двигатель в самолёте, не выключая автопилот. Нужно перепроектировать узлы платёжной инфраструктуры, переаттестовать всю систему, глубоко адаптировать софт. Поэтому замена HSM — задача неизмеримо более сложная, чем замена ПО.

— Какова стоимость?

— Один сертифицированный HSM для высоких нагрузок — от 2 до 5 миллионов рублей. Замена в топ-20 банков (оценочно 200–300 устройств) — от 400 миллионов до 1,5 миллиарда рублей только на оборудование. Переаттестация объектов КИИ — ещё 100–400 миллионов. Адаптация софта и обучение персонала — от 30 миллионов на крупный банк. Итого для топ-20: 1,5–3 миллиарда рублей. Для всей страны — 30–50 миллиардов на горизонте 3–5 лет. ЦБ планировал завершить процесс к 2030 году, но геополитика подталкивает ускориться. Однако быстрее чем за 3–4 года физически не получится.

— Какие видите направления корректировки политики?

— Можно выделить два принципиальных подхода. Первый подход — продолжать рапортовать о «полном импортозамещении», игнорируя падение качества и сохранение уязвимостей.

Второй подход — смена парадигмы. Он включает несколько шагов. Во-первых, умная специализация: не догонять Microsoft и SAP, а сконцентрироваться на 2–3 нишах, где у нас есть заделы — SCADA-системы, промышленные базы данных реального времени, специализированные СУБД для финансов. Во-вторых, создание консорциумов вендоров и заказчиков. Государство организует консорциумы из 3–5 компаний на каждое направление, выдаёт долгосрочный безвозвратный грант с софинансированием 30–50% со стороны крупных заказчиков. Так уже делали в Корее. В-третьих, поэтапный план качества: до 2028 года разрешить для некритичных систем зарубежное ПО при условии аудита безопасности, а с 2030 года — полный переход для КИИ. И нужен жёсткий ценовой контроль вендоров — с обязательным обоснованием себестоимости и маржинальности. Это позволит остановить сложившуюся «диктатуру продавца».

— Что на практике означает отказ от бумажного резервирования? (Тема, которую редко поднимают: социальные последствия тотальной цифровизации без резервирования.)

— Отказ от бумажного резервирования — электронные рецепты, цифровые пропуска, электронные больничные — при сбое или атаке делает людей беспомощными. Лекарство есть, а получить нельзя. Пропуск оформлен, а система не работает. Приведу реальный случай. 60-летний москвич пришёл к нотариусу с бумажным свидетельством о рождении. Нотариус обязан сделать запрос в электронную систему ЗАГС. А там у отца «нет детей». Ошибка при оцифровке. Нотариус, следуя закону (электронная запись имеет приоритет), отказал. Итог: человек едет на Камчатку восстанавливать запись, а срок принятия наследства — 6 месяцев. Бумага бессильна перед цифровой ошибкой.

— Что здесь предлагаете?

— Внедрить принцип «цифрового сомнения»: при расхождении базы данных и бумажного документа бумажный документ временно получает приоритет (на срок до 30 дней или более). Система обязана автоматически направить межведомственный запрос на верификацию в вышестоящий орган или архив.

Что ещё: необходима персональная ответственность оператора государственной информационной системы за каждое расхождение, повлёкшее отказ гражданину в услуге.

Гибридное резервирование (цифра + бумага) и принцип «цифрового сомнения» — не архаизм, а элементы реальной киберустойчивости социальной сферы. Без их внедрения на уровне законодательства и стандартов любой сбой или атака будут делать граждан заложниками «чистой цифры».

— Получим шанс вместо фиаско?

— Если продолжим рапортовать о KPI без реального качества — получим технологическую ловушку: рост цен при падении качества, да ещё и мнимую защищённость. Если встроим три уровня — реальное импортозамещение, устойчивую к взлому архитектуру и гибридное резервирование с «цифровым сомнением» — за 5–7 лет вырастим конкурентоспособных вендоров.

— Ключевая проблема в деньгах?

— Нет. В системе оценки, которая поощряет отчётность, а не результат. Нужны натуральные показатели: сколько систем замещено и какого они качества, а не сколько рублей потрачено. Без этого все формальные победы так и останутся незамеченными.