Импортозамещение ИТ в 2026 году: почему ждать прямого запрета уже рискованно

Курс на технологическую независимость связан сразу с несколькими факторами:

• санкциями недружественных стран;
• увеличением количества хакерских атак на инфраструктуру Российской Федерации;
• риском использования иностранного оборудования и программного обеспечения как средства атаки, включая программные и аппаратные закладки, а также удаленное управление со стороны разработчиков и производителей;
• потребностью развивать собственное производство серверного оборудования и программного обеспечения;
• необходимостью снижать зависимость ключевых отраслей экономики от иностранных поставщиков.

Даже если государственные требования напрямую не затронули конкретную компанию, последствия уже заметны на уровне эксплуатации: лицензии сложнее продлевать, обновления приходят не всегда, гарантийное обслуживание недоступно или сильно ограничено, а замена критичного компонента превращается в отдельный проект.

Большое количество компаний и организаций использовали продукты Microsoft: операционные системы, серверные решения, механизмы виртуализации, офисные пакеты, почтовые серверы. После 30 сентября 2023 года Microsoft заявила, что больше не будет продлевать лицензии на свое программное обеспечение для российских компаний. В марте 2024 года Microsoft закрыла доступ к облачным сервисам. Российские компании подали иски к ООО «Майкрософт Рус» из-за невыполнения договорных обязательств. Среди организаций, которые судились с «Майкрософт Рус», были «Северсталь», ВТБ и «МегаФон».

Этот пример важен не только сам по себе. Он показал, что зависимость от иностранного поставщика может стать операционным риском. Российский ИТ-сектор не был готов одномоментно заменить все проседающие области: рынку потребовалось время, а бизнесу пришлось искать промежуточные решения.

Похожая проблема возникла и со средствами защиты информации. В организациях широко применялись и продолжают применяться иностранные СрЗИ и сетевое оборудование, например решения Cisco Systems. После введения санкций Cisco:

• прекратила операции продаж и услуг с 3 марта 2022 года;
• в 2023 году уничтожила оборудование и запчасти на складах Cisco на сотни миллионов рублей, поскольку компания не смогла вывезти их из России из-за санкций;
• ограничила доступ к Smart Net Total Care, продлению лицензий и обновлениям ПО.

Покупка иностранного ПО и оборудования через «серый» импорт может закрыть точечную потребность, но не решает проблему сопровождения. У компании все равно остается вопрос: кто отвечает за обновления, исправление уязвимостей, гарантийное обслуживание и совместимость с остальным контуром.

Импортные решения во многих областях пока опережают отечественные продукты, что является реальностью, которую нельзя игнорировать. Но фокус на импортозамещении создает спрос, который подталкивает российских вендоров к развитию, а бизнесу дает возможность заранее управлять переходом, а не менять критичную инфраструктуру в режиме пожара.

Для значительной части иностранного оборудования, программного обеспечения и средств защиты информации официальный канал получения обновлений недоступен или нестабилен, что означает отсутствие возможности у компаний своевременно получать критически важные патчи, в том числе исправления уязвимостей, которыми могут воспользоваться злоумышленники.

Устранение уязвимостей относится к базовым требованиям нормативного регулирования в сфере информационной безопасности. Когда обновления недоступны, бизнес пытается закрывать риск компенсирующими и организационными мерами. На практике такая компенсация часто остается на бумаге: формально риск описан, но техническая уязвимость продолжает жить в контуре.

По данным RED Security SOC, с июля по сентябрь 2025 года было выявлено более 42 тыс. кибератак. Это 40% от общего числа ИТ-инцидентов за год и на 73% больше, чем за аналогичный период 2024 года.

Отдельно растет давление на облачные и гибридные инфраструктуры. В 2023 году было зафиксировано 29 млн атак, в 2024 году — 84 млн, а за неполные восемь месяцев 2025 года — около 105 млн.

На Уральском форуме «Кибербезопасность в финансах» 18−20 февраля 2026 года эксперты Yandex Cloud представили анализ угроз в облачных и гибридных инфраструктурах. Среди ключевых векторов атак:

• 30% инцидентов связано с кражей учетных данных, фишингом и ошибками в настройках инфраструктуры;
• 25% — с попытками злоумышленников создать дополнительные учетные записи внутри систем компаний для закрепления в среде;
• 6% атак идут через прокси—серверы, чтобы замаскировать реальный источник вторжения.

На этом фоне импортозамещение перестает быть только вопросом закупок. Оно напрямую связано с устойчивостью инфраструктуры, управлением уязвимостями и снижением рисков инцидентов, включая утечки персональных данных.

Бизнесу, который обеспечивает работу ключевых секторов экономики или участвует в обслуживании государственного аппарата управления, нужно учитывать риск целенаправленных атак. Речь не только о фишинге или эксплуатации уязвимостей. В отдельных сценариях угрозой может стать само оборудование или программный компонент, если производитель или иная сторона сохраняет техническую возможность влиять на его работу.

Риски программных и аппаратных закладок давно вышли за рамки теоретических дискуссий. Публично обсуждавшиеся атаки на средства связи в Ливане и Сирии в сентябре 2024 года показали, что воздействие на аппаратные устройства может применяться как инструмент массовой дестабилизации.

Отправная точка для планирования импортозамещения — действующие нормативные требования. Не все из них касаются каждого бизнеса. Часть норм адресована субъектам КИИ, государственным органам, системообразующим организациям, компаниям с государственным участием, участникам закупок и разработчикам ПО. Но именно требования законодательства показывают направление, в котором движется импортозамещение.

Таблица демонстрирует главное: регулирование уже выстроило маршрут для критичных отраслей, субъектов КИИ, госзаказчиков, системообразующих организаций и разработчиков ПО. Средний бизнес может не попадать под каждую норму, но ему придется учитывать эту траекторию при закупках, участии в тендерах, работе с крупными заказчиками и построении систем защиты.

Первый шаг — не закупка нового ПО. Сначала нужно понять, где компания уже зависит от иностранных решений и какие из этих решений поддерживают критичные процессы.

Минимальный план на 30 дней:

1. Определить, затрагивают ли компанию требования по импортозамещению согласно действующим нормативно-правовым актам РФ.
2. При неопределенности направить запрос регулятору или органу, в зоне ответственности которого находится компания.
3. Провести ревизию систем, оборудования, программного обеспечения и средств защиты информации.
4. Ранжировать системы по критичности для бизнес-процессов.
5. Подготовить план поэтапного импортозамещения с учетом сроков, бюджета, совместимости и рисков простоя.
6. Оценить, есть ли внутри компании компетенции для самостоятельного выполнения работ.

Если организация попадает под действие постановления Правительства РФ от 14.11.2023 № 1912, планирование перехода будет также курировать уполномоченный орган в соответствующей отраслевой зоне.

Если бизнес не относится к критической информационной инфраструктуре и не входит в перечень системообразующих организаций российской экономики, это не означает, что вопрос можно отложить. Риски остаются: отсутствие обновлений, сложности с лицензиями, невозможность поддержки, зависимость от «серого» импорта, требования крупных заказчиков.

Для минимизации рисков стоит пройти следующий маршрут:

1. Составить перечень всех информационных систем, которые обеспечивают бизнес-процессы.
2. Ранжировать системы по критичности и выделить те, которые нужно импортозамещать в первую очередь.
3. Провести инвентаризацию оборудования, программного обеспечения и средств защиты информации по каждой системе.
4. Составить план постепенного перехода на отечественное ПО и оборудование.
5. Выделить оборудование и ПО, подлежащие замене.
6. Провести анализ: что можно заменить российским аналогом, а где пока потребуется промежуточное решение.
7. Составить перечень оборудования и лицензий для закупки.
8. Проверить стоимость и доступность решений у вендоров и поставщиков.
9. Согласовать бюджет с руководством.
10. Закупить, внедрить и зафиксировать изменения в эксплуатационной и ИБ-документации.

Этот план касается не только основных информационных систем, но и системы защиты информации. Нельзя заменить основное оборудование и программное обеспечение и оставить защиту на неподдерживаемом иностранном контуре. Безопасность должна проектироваться вместе с переходом.

Импортозамещение почти всегда затрагивает несколько слоев инфраструктуры: прикладные системы, серверы, виртуализацию, сеть, СрЗИ, резервное копирование, интеграции. Ошибка на одном уровне может потянуть простой на другом.

Поэтому для проекта часто стоит привлекать подрядчиков отдельно по основной системе и по системе защиты информации. Задача подрядчика не в том, чтобы «просто поставить отечественный аналог». Нужны обследование, проверка совместимости, проектирование перехода, тестирование, настройка защиты, оценка рисков и понятный план отката.

На российском рынке представлены разные категории средств защиты информации. Какой набор нужен конкретной компании, зависит от архитектуры, используемых технологий, внешних пользователей, каналов доступа, состава данных и критичности процессов.

Основные категории СЗИ:

• средства сетевой безопасности: межсетевые экраны, системы обнаружения и предотвращения вторжений, криптографическая защита каналов связи;
• средства контроля и анализа защищенности;
• средства защиты от несанкционированного доступа;
• средства антивирусной защиты;
• средства мониторинга и анализа безопасности;
• средства обеспечения восстановления;
• средства криптографической защиты информации;
• средства контроля действий пользователей и предотвращения утечек данных.

Выбирать СЗИ только по известности бренда опасно. Сначала необходимо понять, какие угрозы актуальны для конкретной информационной системы и какие меры защиты должны закрывать данные угрозы.

Чтобы не купить лишнее и не пропустить критичное, компании нужна модель угроз безопасности информации. Она помогает определить, какие угрозы актуальны для системы, какие меры защиты нужно реализовать и какие СрЗИ целесообразно применять.

Без модели угроз выбор часто сводится к субъективным аргументам: «такое решение стоит у других», «вендор известный», «продукт закрывает много функций», «у нас уже есть лицензия». Для защиты ИСПДн, КИИ и иных критичных контуров этого недостаточно. Требуется связка: активы, угрозы, меры, средства защиты, эксплуатация, контроль.

На практике импортозамещение начинает буксовать не из-за отсутствия российского аналога, а из-за плохой подготовки. Типовые ошибки:

• компания начинает с закупки, не разобравшись в критичности систем;
• не учитывает зависимости между приложениями, инфраструктурой и СрЗИ;
• заменяет основную систему, но оставляет иностранные средства защиты без поддержки;
• не проверяет требования по сертификатам ФСТЭК и ФСБ;
• не оценивает, как переход повлияет на ИСПДн и иные системы;
• не закладывает бюджет на сопровождение, обучение администраторов и эксплуатацию;
• не фиксирует изменения в документации по ИБ и ПДн.

Самый дорогой сценарий — откладывать переход до момента, когда иностранное решение перестанет работать, потребуется подтверждение импортонезависимости или инцидент вскроет неподдерживаемую уязвимость.

Компании не нужно за один месяц заменить весь ИТ-контур. Но нужно получить управляемую картину: какие иностранные решения используются, где они стоят, какие процессы поддерживают, какие обновления недоступны, какие требования применимы и сколько времени займет переход.

Практичный минимум:

1. Провести инвентаризацию ПО, оборудования и СрЗИ.
2. Выделить критичные системы и системы с персональными данными.
3. Проверить, какие компоненты не получают официальных обновлений и отсутствует техническая поддержки.
4. Сопоставить свои возможности с требованиями законодательства по ИБ к КИИ, ПДн, гос. сектору и т. д.
5. Подготовить поэтапный план замены с приоритетами, сроками и бюджетом.
6. Отдельно оценить систему защиты информации, а не только системы, обеспечивающие бизнес-процессы. .

Импортозамещение не стоит воспринимать как разовую закупку. Это управленческий проект на стыке ИТ, ИБ, закупок, юристов и бизнеса. Чем раньше компания разложит инфраструктуру по критичности и рискам, тем меньше вероятность, что переход придется делать под давлением регулятора, заказчика или уже случившегося инцидента.