Тендер – это вагон с углем и другими материалами, который прицеплен сразу за паровозом, поэтому в век цифровых технологий полезно иногда разбирать тендерную документацию.
В конце прошлого года, 18 декабря был принят план мероприятий по направлению «Информационная безопасность» программы «Цифровая экономика Российской Федерации» [1], в котором были предусмотрены мероприятия и на текущий год. В соответствии с этим планом было организовано 15 открытых тендеров на проведение мероприятий, которые должны были финансироваться из государственного бюджета. В конце октября конкурсы были проведены и завершены [2]. Два из 15 конкурсов завершились без результата – ни одной заявки на их реализацию подано не было, еще в четырех – была подана одна заявка, т. е. конкурс был признан несостоявшимся, но предложение рассматривалось на возможность реализации единственным представителем. Остальные конкурсы состоялись, и по ним приняты определенные решения. Итак, рассмотрим каждый из них.
Лот №1. Проведение исследования по теме «Анализ устойчивости, рисков и угроз безопасного функционирования ЕСЭ Российской Федерации, в том числе системы управления ЕСЭ и оценка адекватности им существующих стандартов информационной безопасности». Ни одна заявка по данной теме подана не была – тендер считается несостоявшимся. Никто так и не решился проводить анализ безопасности Единой сети электросвязи (ЕСЭ) России – телефонной сети, которая сейчас в большой степени является мобильной и частично совпадает с сетью передачи данных, но есть и очень старые, уязвимые сегменты.
Лот №2. Проведение исследования по теме «План разработки стандартов обеспечения информационной безопасности сетей связи общего пользования». Была подана одна заявка – АО «Концерн “Автоматика”», которое за скромные 4 979 356 руб. до 1 июля 2019 г. предложило разработать план работ по разработке стандартов. Тендер считается несостоявшимся, но это не значит, что работа не будет проведена «Автоматикой», поскольку кому-то ее делать надо.
Лот №3. Проведение исследования по анализу элементов действующей инфраструктуры российского сегмента сети Интернет на территории России, а также особенностей пропуска трафика в национальном сегменте сети Интернет с целью определения возможностей замыкания интернет-трафика внутри российского сегмента сети Интернет и определения ресурсов, необходимых для такого замыкания. Тему замыкания Интернета на территории России предложило исследовать только ПАО «Гипросвязь» за 6 618 022,33 руб. (интересно, на что они планировали потратить 33 коп.?). Тендер считается несостоявшимся, но тема не сходит с газетных страниц.
Лот №4. Разработка целевых значений информационной безопасности функционирования российского сегмента сети Интернет с учетом ранее полученных результатов анализа элементов действующей инфраструктуры российского сегмента сети Интернет на территории России, включая существующую схему маршрутизации интернет-трафика, проходящего через сети связи иностранных государств/сети иностранных операторов связи, а также определенных на основе анализа подходов по замыканию сетевого трафика на территорию Российской Федерации. Ох уж эти метрики безопасности! Никто не взялся за их разработку, особенно с учетом замыкания сетевого трафика, который в соответствии с планом к 2024 г. должен на 90% оставаться на территории России. Тендер считается несостоявшимся.
На этом скучные тендеры заканчиваются, и начинается научный блок лотов – за них соревновались в основном научные заведения.
Лот №5. Создание национального удостоверяющего центра для обеспечения устойчивости функционирования взаимодействия устройств в российском сегменте сети Интернет, корневой сертификат которого является доверенным для международных удостоверяющих центров и основных операционных систем. Корневые сертификаты российской PKI уже достаточно давно обеспечивает ФГБУ НИИ «Восход», поэтому не мудрено, что он также подал заявку на этот конкурс – ему-то ничего создавать не надо, поскольку все давно работает. Конкуренцию ему пыталось составить АО «Концерн “Автоматика”», но проиграло. В результате в конкурсе победило ФГБУ НИИ «Восход» с проектом на 49,45 млн руб. Его полномочия продлены.
Лот №6. Определение показателей развития информационно-телекоммуникационных технологий, включая их целевые значения, и разработка методики их оценки. За разработку подобных метрик предложили взяться целых четыре участника: Национальный исследовательский университет «Высшая школа экономики», АО «Центральный научно-исследовательский институт экономики, систем управления и информации “Электроника”», МГУ им. М. В. Ломоносова и ФГУП НИИР. С большим отрывом по баллам в конкурсе победила Высшая школа экономики с проектом на 7 984 718 руб. Ну, кто как не «Вышка» лучше всех разбирается в информационно-телекоммуникационных технологиях?!
Лот №7. Расчет текущих показателей развития информационно-телекоммуникационных технологий и радиоэлектронной отрасли. Лот по смыслу связан с предыдущим, поскольку развитие можно оценивать по сравнению с текущими показателями. Заявку на него подали те же институты и с тем же результатом. Победила Высшая школа экономики с проектом на 7 984 718 руб. (судя по цифрам, это тот же проект). Было бы интересно, если бы победил кто-то другой – текущие показателя были бы подсчитаны по одним методикам, а показатели развития – по другим.
Лот №8. Разработка требований к устойчивости и безопасности сетей связи и оборудования органов государственной власти (за исключением высших органов государственной власти) и организаций различных организационно-правовых форм. Здесь опять оказался один заявитель – ФГУП ЦНИИС, предложивший проект на 28,427 млн руб. на разработку требований. Тендер считается несостоявшимся, но кому-то нужно будет разработать требования по устойчивости и безопасности сетей связи и оборудования.
Лота №9 почему-то нет, или он засекречен.
Лот №10. Разработка методики проведения мониторинга использования на объектах информационной инфраструктуры РФ, включая инфраструктуру обработки данных, преимущественно отечественного компьютерного, серверного и телекоммуникационного оборудования. На конкурс было подано две заявки: ООО «Национальный центр информатизации» и ФГБУ НИИ «Восход». Выиграло в результате рассмотрения ООО «Национальный центр информатизации», но с небольшим преимуществом. Стоимость разработки методов предполагается на уровне 1,534 млн руб.
Лот №11. Комплексный анализ и оценка потенциальных уязвимостей, угроз и рисков информационной безопасности, характерных для систем, реализованных на технологиях облачных, туманных, квантовых, виртуальных, искусственного интеллекта и дополненной реальности, технологий распределенного реестра, а также сравнительная оценка экономического эффекта от внедрения облачных, туманных, квантовых технологий, систем виртуальной и дополненной реальности, технологий распределенного реестра и технологий искусственного интеллекта. Тема оказалась настолько интересной, что на этот конкурс было подано целых пять заявок – максимальное число (правда, столько же заявок было подано и за лот №14). За право на анализ перспективных технологий соревновались АО «Концерн “Автоматика”», ФГУП ЦНИИС, ФГБУ НИИ «Восход», МГУ им. М. В. Ломоносова и даже одна коммерческая компания ООО «АльтЭль». Конечно же, именно коммерческая компания и победила: ООО «АльтЭль» с проектом на 44,17 млн руб., хотя ФГБУ НИИ «Восход» проиграло по баллам не очень много. Впрочем, его проект оказался несколько дороже – более чем на 10 млн руб. Собственно, результат достаточно предсказуем – ООО «АльтЭль» уже имеет инструмент по анализу уязвимостей, т. е. обладает необходимыми компетенциями.
Лот №12. Разработка концепции, определяющей приоритетные направления разработки отечественного общесистемного и прикладного программного обеспечения, включая вопросы совместимости. Тема импортозамещения, видимо, уже не очень привлекает внимание, поэтому на данный конкурс была подана всего одна заявка – от АО «Концерн “Автоматика”» с проектом на 1 798 965 руб. Естественно, конкурс считается несостоявшимся, но концепция импортозамещения все-таки необходима.
Лот №13. Комплексный анализ мировых тенденций и долгосрочный прогноз развития информационных технологий в области информационной безопасности, разработка «дорожной карты» с учетом полученных результатов. Конкурс явно научный, и на него было подано три заявки: АО «Концерн “Автоматика”», ФГБУ НИИ «Восход» и ФГУП НИИР. Правда, при подведении итогов оценивались только последние два – почему-то проект АО «Концерн “Автоматика”» не дошел до конкурсной комиссии, и никаких записей о причинах этого в документации нет. В результате победил, естественно, научный институт ФГУП НИИР со стоимостью 4,7 млн руб., хотя отставание второго кандидата по баллам незначительное.
Лот №14. Разработка проекта плана мероприятий («дорожная карта») «Российская криптография в российском сегменте Интернет». Да, криптография – это оружие XXI в., поэтому и в данный конкурс собралось максимальное количество заинтересованных сторон. Их оказалось пять: АО «Концерн “Автоматика”», ООО «Поисковый портал “Спутник”» (неожиданно – казалось бы, где поиск и где шифрование), ФГБУ НИИ «Восход», ОАО «Информационные технологии и коммуникационные системы» и МГУ им. М. В. Ломоносова. Результат оказался непредсказуемым – победила поисковая система «Спутник» с проектом на 7 млн руб. Дешевле только МГУ. С одной стороны, поиск и криптография в некотором смысле являются антонимами, с другой – кто как не специалисты поисковика должны разбираться в шифровании российского Интернета?
Второй раз в научном сегменте конкурсов участвуют коммерческие компании, и второй раз именно они получают преимущества по сравнению с научными заведениями типа ФГБУ НИИ «Восход» и МГУ им. М.В. Ломоносова. Видимо, участники конкурсной комиссии считают, что отдавать бюджетные деньги в работающий бизнес более безопасно, чем «ученым старой школы».
Следует отметить, что АО «Концерн “Автоматика”» – это структура «Ростеха» (т. е. ОПК), которая является наследницей НИИ Автоматики и с 50-х гг. занимается разработкой боевых средств связи. Хотя Концерн и участвовал в шести конкурсах – максимальное количество поданных заявок, но победил только в «несостоявшихся», т. е. там, где был единственным участником, – по стандартизации и импортозамещению. Впрочем, в своей документации Концерн указывал дату завершения работа 1 июля 2019 г., в то время как все остальные – 10 декабря 2018 г. Такая медлительность не могла понравиться комиссии.
Еще одним активным участником тендеров было ФГБУ НИИ «Восход», которое является структурой российских спецслужб. От него было получено пять заявок, но победу он одержал только в конкуренции с АО «Концерн “Автоматика”», хотя в некоторых конкурсах его заявку от победы отделяло несколько десятков баллов. В общем, можно констатировать, что в диверсификацию российского ОПК не верят даже тендерные комиссии.
У нас остались два наиболее интересных лота – коммерческие, от которых зависит рынок поиска веб-уязвимостей.
Лот №15. Проведение исследований по оценке уязвимости web-приложений, размещенных в российском сегменте сети Интернет. На конкурс было подано три заявки – АО «Позитив текнолоджиз», ФГУП НИИР и ООО «АльтЭль». НИИ Радио тут, естественно, ничего не светило – он предсказуемо оказался на третьем месте, а победителем также предсказуемо стало АО «Позитив текнолоджиз» с проектом на 29 977 135,93 руб., хотя разница у победителя была меньше, чем в один балл. Сразу видно профессионалов – посчитано все до копейки и с точностью до балла.
Лот №16. Разработка предложений по функционалу, архитектуре, форматам взаимодействия и регламентам обмена данными и функционирования отечественного ресурса информирования и проверки угроз уровня web-приложений (далее – Ресурса). Согласование их с головным подразделением ГосСОПКА». Это очень важный тендер в связи с законом 187-ФЗ по взаимодействию с ГосСОПКА – кто определяет функционал, архитектуру, форматы взаимодействия и регламенты, тот и формирует в дальнейшем рынок. На конкурс было подано две заявки – АО «Позитив текнолоджиз» и ООО «АльтЭль». Здесь «Позитив текнолоджиз» выиграл более уверенно – с разницей более чем в десять баллов, но и стоимость проекта несколько ниже – 981 106,32 руб. Меньше миллиона! Единственный в своем роде конкурс из этой серии. И я догадался, наконец, куда они потратят 32 коп. – на покупку бумаги для описания форматов и регламентов.
Лоты закончились, пора подводить итоги. Как в том анекдоте: «Это бухгалтерия? Моя фамилия Итого», «Нет, это налоговая. Как, вы говорите, ваша фамилия?». Итак, проекты всех тендеров, за исключением отсутствующих заявок, потянули на 187 620 303,58 руб. В соответствии с принятым год назад планом затратить на направление «Информационная безопасность» программы «Цифровая экономика» должны были 5,667 млрд руб. в этом году и еще привлечь из внебюджетных источников 2,66 млрд руб. Причем большинство мероприятий, по которым были проведены тендеры, должны были завершиться до июня 2018 г., а результаты тендеров были озвучены только 25 октября. Но и это не самое интересное. Дело в том, что в марте у нас появился «новый» Президент РФ, который выпустил новые «майские указы», среди которых был и указ №204, где обозначено требование переформатировать Федеральную целевую программу «Цифровая экономика» в перспективный проект «Цифровая экономика», который должен был контролироваться проектным офисом Правительства РФ. Была поставлена цель – до октября сформировать паспорт национального проекта, который по своей сути не сильно должен был отличаться от уже согласованного плана. Однако уже декабрь, а сведений о «Цифровой экономике» на сайте проектного офиса так и нет, хотя есть, например, приоритетный проект «Цифровая школа». В результате непонятно, что именно означают выигранные тендеры, и получат ли их участники хоть что-то.
Во всяком случае, на SOC Forum 27 ноября (через месяц после завершения тендеров) Сергей Лебедь, руководитель службы кибербезопасности «Сбербанка», заявил, что по направлению «Информационная безопасность» программы «Цифровая экономика» государством не было заплачено ни рубля. Все проекты были реализованы из собственных средств компаний. Таким образом, план «Цифровой экономики» вроде бы есть, но уже на текущий момент он опаздывает ровно на год, и пока непонятно, на сколько новый план, согласованный с проектным офисом Правительства, будет компенсировать сокращающееся время на реализацию. В то же время Борис Симис, заместитель генерального директора компании Positive Technologies, считает, что «централизованное обеспечение безопасности – инициатива хорошая. Однако сейчас подводить итоги пока рано. Следующий год покажет эффективность «Цифровой экономики». Середина следующего года – точка подведения первых итогов».
[1] http://static.government.ru/media/files/AEO92iUpNPX7Aaonq34q6BxpAHCY2umQ.pdf
[2] http://ru-ikt.ru/novosti/1/
