Усиление проверки

Как стало известно CNews, АНО «Консорциум «Телекоммуникационное оборудование» (АНО ТКО) разработало и направило в Минпромторг и ФГБУ «ВНИИР» проект методики экспертной оценки ПО для телеком-оборудования на соответствие критериям постановления Правительства № 719.

Сейчас в российской регуляторике нет единого официального регламента, который бы определял процедуру проверки ПО: что именно проверять, как это делать и на чем делать акценты, рассказал CNews производитель телеком-оборудования. В постановлении указан лишь предмет проверки, но отсутствует информация о процедуре, нет единых примеров заданий.

Документ разработан совместно с участниками Консорциума — компаниями, которые самостоятельно пишут ПО для телеком-оборудования: «Иртея», Yadro, «Булат», «Софтайм», «Т8», «Элтекс» и другие. Письмо официально направлено в Минпромторг и ВНИИР в марте 2026 г.

Что предлагает АНО ТКО

Разработанная методика устанавливает единые подходы к экспертизе. Она предполагает проверку у вендора прав на ПО и исходные коды, подтверждение внесения софта в реестр отечественного ПО Минцифры, а также верификацию возможности модернизации ПО самим российским разработчиком.

«В основе документа лежит текущая регуляторика, а внутри поэтапно даны рекомендации, как проводить проверку наличия прав на ПО и средств разработки, а также наличия ПО в виде исходных кодов, включения этого ПО в реестр Минцифры и подтверждения возможности по разнообразной модернизации ПО самим вендором, — пояснил CNews Григорий Ревазян, генеральный директор АНО «Телекоммуникационное оборудование». — Методика позволит усилить контроль за владением ПО, повысит качество и прозрачность экспертизы, сделает более четкими требования к производителям, касающиеся софта, в том числе влияющие на его безопасность».

По словам Ревазяна, в методике сформулирован набор типовых заданий для разных типов оборудования — базовых станций, маршрутизаторов, DWDM и пр. Например, при оценке ПО для базовых станций задания требуют продемонстрировать возможность изменения настроек синхронизации и транспорта (передача пользовательского трафика), управления (контролируемая перезагрузка), подключения и взаимодействия с абонентскими устройствами, изменения параметров радиомодуля, взаимодействия с портами и интерфейсами. Для DWDM в качестве примера можно привести задания сгенерировать ошибки в системе управления при прохождении трафика программным путем или реализовать переключение с основного на резервный порт агрегатора.

Сейчас стандартные методы проверки включают наличие исходного кода, штата разработчиков, истории разработки ПО, которая реализована в конкретном продукте и на нем тестировалось, наличие возможностей модификации и модернизации софта, пояснил CNews заместитель технического директора компании «Элтекс» Валерий Айдагулов.

«По нашей оценке, до половины производителей телеком-оборудования могут оказаться недобросовестными, — продолжает Айдагулов. — Проблема в том, что навыки и компетенции для разработки телеком-оборудования, понимание работы протоколов, развитие функциональности – все это требует времени. А сейчас появилось огромное количество компаний, возникших ниоткуда и декларирующих, что они всем этим обладают. Это просто невозможно, и означает, что ПО было просто куплено».

Чем грозит «псевдолокализованное» ПО

Использование отечественного ПО — одно из ключевых условий для признания телеком-оборудования российским по постановлению № 719. Без этого статуса производитель не может полноценно участвовать в госзакупках и, что особенно важно, поставлять оборудование на объекты критической информационной инфраструктуры (КИИ).

К псевдолокализованному ПО (импортному софту с минимальной доработкой) есть серьезные вопросы с точки зрения безопасности, считают в АНО ТКО. Потенциальные «закладки» в таком софте могут нарушать работу сетей связи и способствовать утечке данных. Кроме того, вендор, не владеющий исходными кодами, не может гарантировать дальнейшую техническую поддержку и своевременное исправление ошибок.

В перспективе внедрение методики должно привести к исключению из реестра недобросовестных производителей, которые используют иностранное ПО без или с минимальной доработкой, чтобы поскорее вывести продукт на рынок под видом локализованного российского, считают авторы методики.

По мнению независимого эксперта и автора Telegram-канала @abloudrealtime Алексея Бойко, опасность использования такого псевдолокализованного ПО состоит в низком качестве таких продуктов, а также в том, что них могут быть заложены недокументированные возможностей: от простых «шпионских» закладок до полноценных бэкдоров, позволяющих управлять этим ПО.

При этом, как отмечает Бойко, реальные инциденты уже были.

«В сложных технологических сегментах заимствование может быть рабочим инструментом на старте, но не становится фундаментом для развития, — говорит директор дивизиона стратегических программ YADRO Александр Понькин. — Если архитектура, исходный код и логика развития решения находятся вне российского контура, уже через одно-два поколения продукта зависимость от внешних технологий может оказаться еще глубже, чем была изначально».

Бойко считает, что нужно обеспечить технический аудит исходного кода, чтобы выявить возможные скрытые механизмы; проанализировать компоненты (прежде всего, используемые библиотеки и opensource-решения), провести эксплуатационный контроль софта на оборудовании в условиях изолированной среды перед внедрением. Без аудита исходного кода вряд ли можно считать те или иные механизмы действенными, заключил эксперт.

Кристина Холупова

Короткая ссылка