Треть крупных российских компаний рискует данными, используя зарубежный софт без лицензий и поддержки
Как выяснили эксперты аналитического центра АНО «ЦКИТ» в своём докладе «Ландшафт российского рынка прикладного программного обеспечения и его сопоставление с мировым рынком и общими тенденциями (2019–2026)», данные о стабильном росте отечественного рынка прикладного ПО во всех основных категориях на самом деле маскируют истинную ситуацию и так называемую «серую зону» эксплуатации.
Согласно опубликованным цифрам, к 2025 году объём российского рынка облачных платформ (IaaS+PaaS) увеличился с 28 млрд руб. в 2019 году до 235 млрд руб., рынок систем виртуализации — с 10,7 млрд руб. в 2021 году до 19,4 млрд руб., а рынок корпоративной почты — с 5,5 млрд руб. в 2021 году до 6,98 млрд руб. В облачном сегменте доля зарубежных провайдеров составляет не более 1 % от легальных продаж при общем объёме рынка в 416,5 млрд руб. (по оценке iKS-Consulting); в виртуализации на российские продукты приходится 80 % новых продаж; в системах резервного копирования доля отечественных решений превышает 70 %; а в новых продажах почтовых систем доля российских продуктов выросла с 10 % в 2021 году до 58 % в 2025 году.
Если же присмотреться внимательнее, становится ясно, что множество крупных компаний, включая системообразующие, продолжают эксплуатировать зарубежное ПО, купленное до 2022 года. По информации ЦКИТ, расходы крупнейших заказчиков в 2022–2025 годах практически не увеличились, так как они всё ещё используют оплаченные лицензии с истекшим сроком техподдержки. В сфере резервного копирования Veeam до 2022 года занимал более 50 % российского рынка, а сейчас около 30 % крупных организаций продолжают пользоваться им без поддержки, поскольку их личные кабинеты заблокированы с марта 2024 года. Система виртуализации VMware до 2022 года применялась примерно на 80 % корпоративных серверов страны — сегодня этот показатель составляет около 39 %, что означает десятки тысяч серверов, работающих без обновлений, так как новые лицензии недоступны.
Источник изображения: Surface / Unsplash
Наиболее сложная ситуация сложилась в сфере корпоративных почтовых решений. Примерно половина организаций всё ещё эксплуатирует Microsoft Exchange или Microsoft 365 без продления лицензий, технической поддержки и обновлений безопасности. До 2022 года Microsoft занимала 70–80 % российского рынка корпоративной почты. К 2025 году её доля сократилась примерно до 50 %, однако эти показатели учитывают только новые продажи в пользу российских продуктов — на деле установленная база Microsoft в B2B остаётся значительной и продолжает функционировать без актуальных исправлений, отмечают эксперты.
Помимо нарушения законодательства, почтовые серверы без патчей становятся первоочередной мишенью для злоумышленников. Согласно данным Positive Technologies, в 2023 году на Microsoft Exchange пришлось 50 % всех изученных атак на публично доступные приложения в России, а 92 % вредоносных рассылок осуществляется именно через email. По информации ФСТЭК, лишь одна уязвимость в Exchange затронула около 77 тыс. российских серверов. Как отмечают в BI.ZONE, 68 % целевых атак начинаются с почты. При этом корпоративные адреса сотрудников 94 из 100 крупнейших российских компаний можно обнаружить в открытых утечках. Дополнительный риск представляет телеметрия: механизмы передачи диагностических данных Microsoft (MS Diagnostic Data) продолжают неконтролируемо отправлять информацию за границу.
Источник изображения: Surface / Unsplash
Кроме того, существует угроза удалённого отключения инфраструктуры, что вместе с несовместимостью с российскими ОС, ухудшением SLA и потерей внутренних компетенций по обслуживанию устаревающих систем превращает корпоративную почту в источник потенциального операционного кризиса. Вдобавок серый импорт лицензий и комплектующих влечёт дополнительные расходы, так как обходится на 30–100 % дороже легальных предложений. Стоит также учесть, что публичный инцидент, связанный с компрометацией почтовой инфраструктуры на объекте КИИ, может привести к серьёзным репутационным потерям для компании.
Эксперты ЦКИТ распределили угрозы, связанные с дальнейшим использованием зарубежного ПО, по шести направлениям. К категории критических отнесены три из них: технологические, кибербезопасность и юридико-регуляторные. Операционные, финансово-экономические и репутационные риски оцениваются как высокие. Исследователи подчеркнули, что на российском рынке корпоративной почты, средств резервного копирования, виртуализации и облачных сервисов уже существуют зрелые решения, проверенные в крупных корпоративных инфраструктурах. Плавный переход на такие продукты даст возможность пройти сертификацию без излишней спешки, организовать обучение персонала и обеспечить стабильность бизнес-процессов, исключив риски работы в правовой серой зоне.
Источник: