«Серая зона» в ИТ-инфраструктуре: ЦКИТ предупреждает о критических рисках эксплуатации зарубежного программного обеспечения
Аналитический центр АНО «ЦКИТ» опубликовал доклад «Ландшафт российского рынка прикладного программного обеспечения и его сопоставление с мировым рынком и общими тенденциями (2019–2026)», подготовленный к форуму ЦИПР-2026. Согласно материалам исследования, не менее 30% крупного российского бизнеса продолжают работать на иностранном программном обеспечении, закупленном до 2022 года: без технической поддержки, без обновлений безопасности и вне правового поля. В сегменте корпоративной почты ситуация особенно острая - инсталл-база Microsoft Exchange и Office 365 сохраняется примерно у половины крупных компаний при заблокированном продлении лицензий.
Российский рынок прикладного программного обеспечения демонстрирует устойчивый рост во всех ключевых сегментах. Облачные платформы выросли с 28 до 235 млрд рублей, системы виртуализации — с 10,7 до 19,4 млрд рублей, рынок корпоративной почты достиг 6,98 млрд рублей. Новые сделки в подавляющем большинстве заключаются в пользу российских решений: в сегменте облаков доля иностранных провайдеров не превышает 1% легальных продаж; в виртуализации на российские продукты приходится 80% новых продаж; в системах резервного копирования доля отечественных решений превысила 70%; доля российских почтовых систем в новых продажах выросла с 10% в 2021 году до 58% в 2025 году.
Однако картина новых продаж скрывает другую реальность: эксплуатационную «серую зону». Сотни крупных компаний, включая предприятия из перечня системообразующих, продолжают использовать иностранное ПО, приобретённое до 2022 года. По данным ЦКИТ, расходы крупнейших потребителей в период 2022–2025 годов фактически не выросли: вместо перехода бизнес использует уже оплаченные лицензии с истёкшим сроком поддержки. В сегменте резервного копирования Veeam до 2022 года занимал более 50% российского рынка — около 30% крупных компаний продолжают эксплуатировать его без поддержки, хотя личные кабинеты заблокированы с марта 2024 года. В виртуализации VMware до 2022 года работало на ~80% корпоративных серверов страны; сегодня его доля в эксплуатируемом парке составляет около 40%, однако новые лицензии недоступны — это десятки тысяч серверов без обновлений.
Среди всех классов программного обеспечения наиболее острую проблему представляют корпоративные почтовые системы. Около половины компаний по-прежнему эксплуатируют MS Exchange или Microsoft 365 в условиях, когда продление лицензий заблокировано, техническая поддержка недоступна, а обновления безопасности не поставляются. До 2022 года Microsoft занимал 70–80% российского рынка корпоративной почты; формальное снижение до ~50% в 2025 году отражает лишь новые продажи в пользу отечественных решений — реальная инсталляционная база Microsoft в B2B остаётся массивной и продолжает работать без актуальных патчей.
Это создаёт уникальное сочетание рисков сразу в нескольких аспектах.
Регуляторная плоскость. Использование несертифицированного иностранного ПО на объектах критической информационной инфраструктуры (КИИ) является прямым нарушением требований Федерального закона № 187-ФЗ и подзаконных актов ФСТЭК и ФСБ. Санкции варьируются от административных штрафов до уголовной ответственности руководства.
Кибербезопасность. Почтовый сервер без патчей — первоочередная цель для атак. Отсутствие обновлений безопасности на протяжении нескольких лет означает накопление сотен неустранённых уязвимостей. По данным Positive Technologies, в 2023 году на Microsoft Exchange пришлось 50% всех расследованных атак на публично доступные приложения в России. ФСТЭК предупреждала, что только одна уязвимость в Exchange затронула около 77 тысяч российских серверов. По данным BI.ZONE, 68% целевых атак начинаются именно с электронной почты; Positive Technologies фиксируют, что 92% вредоносной доставки осуществляется через email. Корпоративные адреса сотрудников 94 из 100 крупнейших российских компаний присутствуют в публичных утечках. Дополнительный риск — телеметрия: механизмы передачи диагностических данных Microsoft (MS Diagnostic Data) продолжают функционировать, направляя сведения за рубеж без возможности контроля со стороны российских компаний и регуляторов.
Операционные риски. Возможность удалённого отключения инфраструктуры, несовместимость с российскими операционными системами, деградация SLA и утрата внутренних компетенций по обслуживанию устаревающих систем превращают корпоративную почту в точку потенциального операционного коллапса. Это уже не теоретический сценарий: в марте 2024 года Microsoft единовременно отключил более 50 облачных сервисов российским юридическим лицам; Veeam в тот же период начал блокировать личные кабинеты клиентов, предоставив лишь 30-дневный grace-период. Отключение способно произойти именно в момент критического инцидента, когда требуется восстановление данных.
Экономические издержки. Серый импорт лицензий и компонентов обходится на 30–100% дороже официальных цен с учётом курсовых рисков. Компании, пытающиеся взыскать убытки с ушедших западных вендоров, практически не имеют судебных перспектив: количество успешных исков стремится к нулю.
Репутационные и финансовые последствия. Публичный инцидент, связанный с компрометацией почтовой инфраструктуры на объекте КИИ – не только угроза потери капитализации и рост прямых потерь бизнеса. Это отказы контрагентов от партнёрства и отзыв страховых покрытий.
ЦКИТ систематизировал риски продолжения эксплуатации западного ПО по шести категориям. Три из них (технологические, кибербезопасность и юридико-регуляторные) классифицированы как критические. Операционные, экономические и репутационно-финансовые риски оцениваются как высокие. Ни одна категория не получила оценку ниже «высокого» уровня.
Среди технологических угроз особого внимания заслуживает риск удалённого отключения: системы западных вендоров технически допускают деактивацию на стороне производителя. В сфере кибербезопасности ключевым вектором являются атаки через механизмы легитимных обновлений, которые теперь недоступны российским пользователям, то есть система уязвима и при получении обновления, и в его отсутствие. В правовом поле риски определяются ужесточением санкционного давления и расширением требований к импортозамещению на объектах КИИ.
«Мы фиксируем опасную инерцию: бизнес рационально откладывает миграцию, пока система «ещё работает». Но каждый месяц промедления — это не сэкономленные деньги, а накопленный риск, который однажды реализуется одновременно по нескольким фронтам: регуляторному, операционному и репутационному, – отмечает Илья Массух, директор АНО «ЦКИТ». – Особенно критична ситуация с корпоративной почтой: это не просто ИТ-инструмент, это артерия управления бизнесом. Компания, чья почтовая система выведена из строя или скомпрометирована, парализована полностью. Российский рынок предлагает зрелые, функционально конкурентоспособные решения. Вопрос уже не в том, мигрировать или нет; вопрос в том, успеет ли компания сделать это организованно или будет вынуждена действовать в режиме аварии».
По оценке ЦКИТ, ключевым риском при затягивании с переходом является необходимость экстренной миграции в несравнимо более короткие сроки и при несравнимо более высоких затратах. Серый импорт западных компонентов, к которому прибегают компании, чтобы продлить жизнь устаревшей инфраструктуре, обходится на 30–100% дороже, не даёт никаких гарантий качества и SLA, создаёт дополнительные правовые риски и формирует курсовую зависимость.
Плановый переход на российские решения, напротив, позволяет распределить нагрузку на ИТ-команду, пройти процедуры сертификации без спешки, обеспечить обучение персонала и сохранить непрерывность бизнес-процессов. Российский рынок корпоративной почты, систем резервного копирования, виртуализации и облачных платформ на сегодняшний день располагает зрелыми продуктами, уже прошедшими испытания в крупных корпоративных средах, отмечают в АНО «ЦКИТ».
Об АНО «ЦКИТ» Центр компетенций по импортозамещению в сфере ИКТ (ЦКИТ) — профильная организация, созданная для содействия переходу российских органов власти и бизнеса на отечественное программное обеспечение. ЦКИТ ведёт аналитическую и экспертную деятельность, разрабатывает методические рекомендации по миграции ИТ-инфраструктуры, формирует реестр совместимости российских программных продуктов. ЦКИТ создан в 2016 году во исполнение поручений Президента Российской Федерации В.В. Путина.
Контактное лицо: Татьяна Алексеева
Компания: ЦКИТ
Добавлен: 20:24, 21.05.2026
Количество просмотров: 63
Страна: Россия
Компания «Kulikov Group» перешла на единую систему корпоративного обучения на базе iSpring LMS. Это позволило объединить все разрозненные инструменты в единый контур и внедрить структурированную систему адаптации и развития сотрудников.
В Web3 Tech назвали тренды институционального рынка web3. По мнению экспертов компании, глобальный финтех переходит в новую фазу, при которой стейблкоины, системное регулирование и ИИ-агенты сливаются в единый контур агентной экономики на цифровых активах с потенциалом $30 трлн к 2030 году.
Компания GreenData, российский разработчик low-code-платформы, подтвердила совместимость с операционной системой специального назначения Astra Linux Special Edition 1.7. Испытания подтвердили корректную работу платформы GreenData LTS.480.4 в среде Astra Linux SE 1.7.8.
Облачный провайдер DataSpace объявляет о масштабном расширении вычислительных мощностей и запуске нового сегмента публичного облака на базе собственного дата-центра TIER III Gold.
Для пользователей «Альфа-Авто, редакция 6» стало доступно новое дополнение для интеграции с сервисом «Автобаза». Дополнение автоматизирует обмен данными между «Альфа‑Авто» и системой расчета кузовного ремонта, ускоряет подготовку заказ‑нарядов и ремонтных документов.
Совместимость с РЕД ОС М позволяет использовать Chainway C66 в проектах, предъявляющих повышенные требования к технологической независимости и применению отечественного программного обеспечения
Холдинг «Швабе» Госкорпорации Ростех показал на Международном военно-морском салоне «Флот» передовые разработки в области всепогодного и круглосуточного визуального контроля обстановки.
Компания BSS дает мощный толчок развитию диалоговых интерфейсов с новой версией Dialog Composer 3.0. Ключевой особенностью релиза стала нативная поддержка архитектуры ИИ-агентов на базе больших языковых моделей (LLM). Обновленный no-code инструмент позволяет компаниям быстро внедрять автономных ИИ-ассистентов, существенно снижая нагрузку на контактные центры и операционные службы.
Hisense, один из ведущих мировых производителей телевизионной и бытовой техники, являясь официальным спонсором турнира, приветствует старт Чемпионата мира по футболу FIFA 2026™.
Завершился прием заявок на третий сезон конкурса инициатив родительских сообществ. По итогам отбора более 7 тысяч инициатив по созданию воспитательных проектов в школах, колледжах и детских садах подали родительские комитеты из 88 регионов России.
TCL представляет SQD-Mini LED — новое поколение технологии отображения, разработанное для современных сценариев просмотра. Технология объединяет высокую точность регулировки яркости, технологию квантовых точек Super QLED и фильтр Ultra Color, обеспечивая более точное управление яркостью, расширенную цветопередачу и высокую детализацию изображения.
Компания «Систэм Электрик» расширила ассортимент модульного оборудования бренда Dekraft, добавив в нее автоматические выключатели ВА-203 промышленного класса с отключающей способностью 15 кА и номинальными токами от 6 до 100 А
Пока конкуренты предлагают разрозненные сервисы, которые доступны только с десктопов, Flyvi упаковал полноценный графический редактор, нейросети для видео, текста и изображений в единую экосистему, доступную в один тап.
Компания iSpring, разработчик решений для корпоративного обучения, обновила платформу iSpring LMS. В системе появилась функция создания курсов с помощью искусственного интеллекта в лонгридах.
Компания «ИНКА 4.0» развернула цифровой полигон для тестирования и апробации MES-систем в условиях, приближенных к промышленной эксплуатации. Это позволит предприятиям заранее оценить их работу и принять решение о внедрении, а интеграторам и центрам компетенций заказчиков получить практический опыт работы с системой и ее компонентами.
