Планирование признали угрозой стабильности
Управление бизнес-процессами приравняли к критической инфраструктуре
ERP-системы, аналогичные продуктам зарубежных SAP и Oracle, признаны объектами критической информационной инфраструктуры. Новое распоряжение правительства РФ включает их в перечень для ключевых отраслей промышленности, что обязывает предприятия проводить дополнительный аудит и классификацию. Эксперты предупреждают о кратных затратах на безопасность и дополнительных рисках для руководителей за сбои в работе таких систем.
Фото: Дмитрий Лебедев, Коммерсантъ
Фото: Дмитрий Лебедев, Коммерсантъ
Правительство опубликовало распоряжение №360-р, утверждающее единый перечень из 397 типовых отраслевых объектов критической информационной инфраструктуры (КИИ). Среди них — ERP-системы (Enterprise Resource Planning; программные платформы, интегрирующие ключевые бизнес-процессы компаний от финансов и закупок до производства и кадрового учета). Они прямо включены в перечень объектов КИИ для химической, металлургической, горнодобывающей, ракетно-космической и оборонной промышленности. Это решение формализует принятые ранее отраслевые перечни (с 2024 года) и обязывает предприятия проводить категорирование ERP, усиливать их защиту по требованиям ФСТЭК, переходить на отечественные аналоги вместо иностранных SAP или Oracle из-за возможных штрафов, производственных простоев и роста IT-затрат.
Последние несколько лет импортозамещение ERP-систем, в том числе в субъектах КИИ, курирует Национальный центр компетенций по информационным системам управления (НЦК ИСУ). Организация выступает за поэтапный подход, в рамках которого сначала планируется категорирование объектов с обязательным аудитом текущих платформ (включая SAP и Oracle), затем миграция на отечественные аналоги с сохранением ключевых бизнес-процессов, чтобы минимизировать риски простоев.
Герман Греф, глава «Сбера», декабрь 2025 года:
«Весь рынок занят тем, чтобы найти замену SAP. Нам не нужно заменять SAP. Мы разрезали SAP на мелкие кусочки <…> Это будет значительно более эффективно, быстро и не так затратно».
Гендиректор НЦК ИСУ Кирилл Семион считает, что вводимые правила в итоге затруднят категорирование ERP-систем, приведут к усложнению проектов и росту затрат на них. «Однако причисление ERP к КИИ означает, что регулятор видит риски защищенности самих этих решений»,— добавляет он.
Для металлургии и химической промышленности это особенно чувствительно: ERP в этих отраслях тесно связаны с производственным контуром, логистикой и финансовыми расчетами, объясняет технический директор MD Audit (входит в ГК Softline) Юрий Тюрин. Распоряжение ускорит переход на отечественное ПО тех компаний, которые ранее откладывали этот процесс, так как они «больше не смогут оставаться на западных продуктах», считает партнер и исполнительный директор «1С Про Консалтинг» Николай Мокрецов.
Но как обращает внимание замдиректора компании «Инфостандарт» Георгий Шмонов, явных требований к самим системам распоряжение правительства не добавляет, а существующие приказы ФСТЭК и др. описывают лишь меры обеспечения защиты от различных угроз. В связи с этим поддержка иностранных ERP-решений, которая сейчас все еще осуществляется собственными силами предприятий или их подрядчиков без участия западных вендоров, сохранится. «До полного импортозамещения в ERP-сегменте еще далеко, имеющиеся отечественные решения не всегда могут быстро закрывать задачи крупнейших заказчиков»,— добавил он. “Ъ” направил запрос во ФСТЭК.
Включение ERP-систем в список объектов КИИ несет за собой дополнительные административные и уголовные риски.
Например, предусматриваются штрафы за непредоставление сведений о категорировании (до 1,5 млн руб.), эксплуатацию без лицензии ФСБ/ФСТЭК (до 200 тыс. руб.), говорит управляющий партнер IPM Consulting Анастасия Владимирова. За нарушение правил эксплуатации КИИ, повлекшее тяжкие последствия (ущерб больше 1 млрд руб.), а также в случае масштабного нарушения работы может наступить уголовная ответственность для должностных лиц по ст. 274.1 УК РФ с наказанием в виде штрафа до 2 млн руб. либо лишения свободы на срок до шести лет, перечисляет она.
Затраты компаний вырастут за счет внедрения дополнительных средств защиты, сегментации сети, резервирования и пересмотра архитектуры, считает Юрий Тюрин. Однако основной бюджет пойдет не на лицензии, а на интеграцию, аудит и сопровождение. Для крупных предприятий рост может составить значимую долю IT-бюджета на горизонте от одного года до двух лет, но в долгосрочной перспективе эти расходы становятся частью обязательной регуляторной инфраструктуры, допускает он.