Несколько европейских стран уже делают ставку на открытое ПО (open source) для государственного сектора. По данным ZDNet, на этот раз важный шаг навстречу открытым программным решениям сделала Швейцария, приняв «Федеральный закон об использовании электронных средств выполнения государственных задач» (EMBAG). В частности, он предписывает использование открытого ПО в государственном секторе.

Новый закон требует от всех государственных органов раскрыть код программного обеспечения, разработанного ими или для них, за исключением случаев, когда это нецелесообразно по соображениям безопасности или нарушает сторонние права. Такой подход должен способствовать прозрачности, безопасности и эффективности правительственной деятельности.

Подобный переход осуществить нелегко. В 2011 году Федеральный верховный суд Швейцарии (Swiss Federal Supreme Court) опубликовал судебное приложение Open Justitia под открытой лицензией. Компания Weblaw, занимающаяся проприетарным юридическим ПО, выступила категорически против такого решения. Разбирательства длились более 10 лет, пока в 2023 году не был принят закон EMBAG. Он не просто разрешает публиковать код программного обеспечения органам власти или их подрядчиками под открытой лицензией, но и требует этого — с учётом названных исключений.

Источник изображения: Henrique Ferreira/unsplash.com

По словам сторонников закона, EMBAG открывает большие возможности для правительства, IT-индустрии и общества. Предполагается, что государственный сектор избавится от зависимости от конкретных вендоров, у компаний появится больше возможностей для развития своих цифровых решений, что потенциально позволит снизить себестоимость информационных технологий и улучшить обслуживание налогоплательщиков.

Дополнительно EMBAG предписывает публикацию неперсональных и не несущих угрозу безопасности государственных данных в формате Open Government Data (OGD). Другими словами, открытость данных по умолчанию обеспечит большую открытость и многократное практическое применение ПО и информации.

Применение EMBAG может послужить примером и другим странам, рассматривающим аналогичные меры. Закон предназначен для продвижения концепции цифрового суверенитета и поощряет инновации и сотрудничество в пределах структур государственного сектора. Федеральное статистическое управление Швейцарии (Swiss Federal Statistical Office, BFS) возглавит применение закона, но организационные и финансовые аспекты всё ещё предстоит прояснить.

Некоторые другие страны Европы уже довольно давно поддерживают open source в госструктурах. Например, Национальная жандармерия Франции давно пользуется Linux, а Евросоюз в целом давно способствует продвижению open source с помощью проекта Free and Open Source Software Auditing (FOSSA), направленного на проверку ПО с открытым кодом. Впрочем, многие опасаются, что Еврокомиссия урежет финансирование фонду NGI Zero Commons — важному источнику средств для открытых разработок.

В США поддержка «открытой» концепции гораздо ниже, чем в Европе. Доктрина Federal Source Code Policy предписывает федеральным органам делать открытым не менее 20 % выпускаемого ими кода. При этом использование open source решений не обязательно. Управление общих служб США (GSA) также предписывает своим структурам публиковать открытый исходный код, продвигая политику «открытость в первую очередь» при разработке ПО. Другими словами, пока Швейцария фактически является одним из мировых лидеров движения за внедрение open source, Европе и США придётся проделать в этом направлении ещё немало работы.

Пока ИТ-инфраструктура по всему миру восстанавливается после критического сбоя, бизнес, эксперты и политики уже ищут виноватых в произошедшем. По данным The Wall Street Journal, в Microsoft заявили, что инцидент может оказаться результатом вынужденного соглашения 2009 года между IT-гигантом и Евросоюзом.

Эксперты уже задаются вопросом, почему CrowdStrike, занимающейся решениями для обеспечения кибербезопасности, обеспечили доступ к ядру Windows на столь низком уровне, где ошибка может оказаться очень масштабной и дорого обойтись огромному числу пользователей.

Хотя Microsoft нельзя напрямую обвинить в появлении дефекта после обновления ПО компании CrowdStrike, ставшего причиной хаоса во всех сферах жизнедеятельности по всему миру, программная архитектура, позволяющая третьим сторонам глубоко интегрировать своё ПО в операционные системы Microsoft, вызывает немало вопросов и требует более пристального рассмотрения.

Как сообщает WSJ, в Microsoft отметили, что соглашение 2009 года компании с Еврокомиссией и стало причиной того, что ядро Windows не защищено так, как, например, ядро macOS компании Apple, прямой доступ к которому для разработчиков закрыт с 2020 года. Соглашение о совместимости фактически стало результатом повышенного внимания европейских регуляторов к деятельности Microsoft.

Источник изображения: Sunrise King/unsplash.com

В соответствии с одним из его пунктов, Microsoft обязана своевременно и на постоянной основе обеспечивать информацию об API, используемых её защитным ПО в Windows — пользовательских и серверных версиях. Соответствующая документация должна быть доступна и сторонним разработчикам антивирусного ПО для создания собственных решений, что должно способствовать честной конкуренции. Однако вместо использования API без доступа к ядру CrowdStrike и ей подобные предпочли работать напрямую с ядром ОС для максимизации возможностей своего защитного ПО. Правда, при этом велика вероятность, что в случае сбоя последствия могут быть чрезвычайно серьёзными — что и произошло.

Windows — не единственная операционная система, предлагающая доступ к ядру с возможностью вывести его из строя в случае некорректной работы. Тем не менее, повсеместное присутствие продуктов Microsoft приводит в случае сбоев в сторонних приложениях к массовым проблемам и большой огласке событий, даже если прямой вины компании в произошедшем нет.

Президент РФ внёс изменения в указ «О дополнительных мерах по обеспечению информационной безопасности РФ» от 1 мая 2022 года. Согласно новому постановлению, с 1 января 2025 года государственным структурам, госкорпорациям и субъектам критической информационной инфраструктуры (КИИ) запрещается использовать услуги и сервисы информационной безопасности (ИБ), предоставляемые недружественными государствами.

Внесённая в указ поправка дополняет запрет на использование средств киберзащиты из недружественных стран: организациям, на которые распространяется документ, с 2025 года также запрещается использовать в своей IT-инфраструктуре системы защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении РФ, российских юридических или физических лиц недружественные действия, либо производителями которых являются компании, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.

Источник изображения: pikisuperstar / freepik.com

Помимо прочего предложенные президентом изменения содержат ряд уточнений, касающихся мер по оптимизации контроля и мониторинга за деятельностью аккредитованных центров ГосСОПКА. Ожидается, что внесённые в указ «О дополнительных мерах по обеспечению информационной безопасности РФ» дополнения будут способствовать повышению киберустойчивости экономики государства и технологической независимости отрасли кибербезопасности.

В настоящий момент на государственном уровне прорабатывается также вопрос по созданию отдельного ведомства, которое будет заниматься централизованным управлением, координированием и решением задач в сфере ИБ. Некоторые представители индустрии говорят о необходимости создания подобной госструктуры, поскольку сейчас вопросами кибербезопасности занимаются сразу несколько ведомств.

Сингапур рассчитывает дать операторам дата-центров ещё 300 МВт электроэнергии. Хотя в стране фактически действует мораторий на возведение новых ЦОД, ёмкость, по данным The Register, всё-таки будет выделена благодаря оптимизации уже действующих объектов. Ещё 200 МВт добавят за счёт новых «зелёных» энергопроектов. Сегодня в Сингапуре находятся более 70 ЦОД общей ёмкостью более 1,4 ГВт.

С 2019 года здесь фактически действует мораторий на строительство новых дата-центров, хотя уже одобренные проекты разрешено завершить, что, например, удалось сделать Singtel и Keppel. Запрет несколько ослабили в 2022 году — некоторым компаниям позволили подавать заявки на получение новых разрешений, хотя условия получения лицензий значительно ужесточили. Equinix, GDS, Microsoft и консорциум AirTrunk и ByteDance смогли получить одобрение на ввод 80 МВт новых мощностей, а недавно AWS анонсировала планы инвестировать $9 млрд в свои сингапурские ЦОД.

Источник изображения: Jisun Han/unsplash.com

Местный орган Infocomm Media Development Authority (IMDA) представил план по оптимизации энергопотребления ЦОД Green Data Centre Roadmap путём внедрения новых аппаратных и программных решений. Целью заявлено соблюдение климатических обязательств и получение «лишних» 300 МВт в краткосрочной перспективе. Операторы ЦОД должны будут совместно с клиентами увеличить энергоэффективность своих объектов. При этом освобождающиеся ёмкости будут распределять между теми, для кого приоритетными являются «зелёные» проекты, хотя экономическая целесообразность тоже будет учтена.

Речь идёт о более широком внедрении СЖО, отказе от воздушного охлаждения, повышении допустимых температур в машинных залах, использовании различных типов «зелёного» ПО и более современного оборудования. К концу года IMDA обновит стандарт BCA-IMDA Green Mark, ужесточив критерии энергоэффективности дата-центров в целом. К 2025 году будут представлены отдельные стандарты оценки энергоэффективности IT-оборудования и СЖО. В течение ближайших 10 лет PUE всех дата-центров Сингапура должен стать не выше 1,3 при 100 % загрузке, а WUE — быть не хуже 2 м³/МВт∙ч.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры) обнародовало проект федерального закона, который в числе прочего предусматривает введение в правое поле понятий «электронный сервис», «облачные услуги по предоставлению вычислительных ресурсов» (IaaS), «облачные услуги по предоставлению программного обеспечения» (SaaS), а также «цифровая платформа» и «государственная цифровая платформа».

Изменения вносятся в Федеральный закон «Об информации, информационных технологиях и о защите информации», а также в статью 15 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».

Законопроект разработан в рамках реализации распоряжения правительства РФ от 9 декабря 2020 года №3277-р с целью инвентаризации IT-ресурсов, созданных или приобретённых для реализации своих полномочий федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами управления государственными внебюджетными фондами.

Источник изображения: pixabay.com

В числе предусмотренных документом мер значатся:

• Уточнение понятия «информационная система» с учётом современных аспектов создания и функционирования таких платформ;
• Расширение понятийного аппарата;
• Конкретизация критериев отнесения информационных систем к государственным (ГИС);
• Наделение правительства РФ полномочием по определению общих требований к разработке нормативных правовых актов, являющихся основанием создания (развития) ГИС, государственных цифровых платформ, а также нормативных правовых актов, регламентирующих их функционирование;
• Распространение требований по расположению на территории РФ технических средств, используемых для обеспечения функционирования ГИС, на государственные внебюджетные фонды, публично-правовые компании и государственные корпорации;
• Установление правового регулирования использования электронных сервисов, IaaS- и SaaS-услуг.

Законопроектом, как отмечается, предусмотрены дополнительные меры нормативно-правового характера, направленные «на обеспечение эффективности создания и последующего учёта государственных информационных систем, принимая во внимание современные аспекты их создания и развития, в том числе в составе цифровых платформ и экосистем».

Предполагается, что изменения будут стимулировать достижение национальной цели ускоренного внедрения цифровых технологий. При этом подчёркивается, что принятие законопроекта не повлечёт социально-экономических, финансовых и иных последствий. В целом, нововведения должны повысить эффективность реализации и качество получаемых результатов государственных программ, которыми предусмотрены мероприятия в сферах ИКТ и цифровизации государственного управления.

Возможности платформы для борьбы с телефонным мошенничеством «Антифрод», по сообщению газеты «Коммерсантъ», в течение ближайших пяти лет расширятся: данную систему планируется применять для мониторинга голосовых вызовов через интернет. Речь, в частности, идёт о звонках, которые совершаются через мессенджеры, включая Telegram.

Система «Антифрод» разработана предприятием «Главный радиочастотный центр» (ГРЧЦ), которое является подведомственной структурой «Роскомнадзора». Сервис был запущен в декабре 2022 года: он блокирует мошеннические звонки с подменных номеров. О дальнейшем развитии системы говорится в паспорте федерального проекта «Информационная безопасность», который входит в национальную программу «Экономика данных», охватывающую период до 2030 года.

Предполагается, что к 2029-му «Антифрод» сможет выявлять «инциденты в популярных мессенджерах — WhatsApp, Viber, Telegram». Согласно данным Минцифры, обнародованным в апреле 2023 года, до 70–80 % мошеннических звонков проходят именно через WhatsApp. С целью решения проблемы планируется формирование узла верификации для блокировки исходящих вызовов из нераспределённой между операторами номерной ёмкости. Кроме того, будет реализована возможность блокировать звонки, поступающие с номеров с кодами 8 800 и 900. Например, номера с кодом 900 могут использоваться для мошеннических вызовов в Viber.

Источник изображения: pixabay.com

Эксперты отмечают, что информация о номерах телефонов, привязанных к учётным записям в мессенджерах, в соответствии с «пакетом Яровой» при совершении звонков поступает в биллинговую систему оператора. Вероятно, именно эти сведения будут анализироваться с целью выявления мошеннической деятельности. Вместе с тем отмечается, что трафик в мессенджерах зашифрован, поэтому нельзя однозначно отличить звонки от другого контента: изображений, видео и просто сообщений.

Автономная некоммерческая организация «Вычислительная техника» (АНО ВТ), по сообщению газеты «Ведомости», направила в Минпромторг предложения по упрощению механизма признания электроники российской. Речь идёт, в частности, о серверах и мониторах.

Поправки предлагается внести в постановление правительства №719 «О подтверждении производства промышленной продукции на территории РФ». Этот документ предполагает, что для включения электроники в реестр Минпромторга и получения преференций на госзакупках продуктам необходимо набрать определённое количество баллов. Они начисляются за использование отечественных компонентов, таких как платы и процессоры.

АНО ВТ, в которую входят «Аквариус»», Yadro, Fplus и другие компании, предлагает начислять баллы для признания серверов отечественными за наличие исключительных прав на конструкторскую и технологическую документацию. Ещё одним критерием может стать применение отечественной системы автоматизированного проектирования работ (САПР) в процессе создания электронных компонентов. Кроме того, для начисления баллов предлагается ввести дополнительные позиции, среди которых называются российские SSD с интерфейсом SAS, печатные платы управления питанием, ридеры бесконтактных карт (RFID) и пр.

Источник изображения: АНО ВТ

Дополнительно АНО ВТ считает целесообразным определить первый и второй уровни признания продукции российской для периферийных устройств, в которых отсутствует отечественный процессор, но используется центральный микроконтроллер. Это могут быть, например, мониторы. Новая классификация, по мнению авторов инициативы, позволит «стимулировать применение российской компонентной базы и даст преференции такой продукции». В настоящее время к первому уровню относятся ПК и серверы, оснащённые российским процессором. Второй уровень — это техника, в составе которой отсутствует отечественный чип.

Участники рынка также предлагают Минпромторгу «зафиксировать проходные баллы на 2025–2026 гг., которые не предполагают резких скачков, а направлены на плавный рост». В целом, как ожидается, инициатива АНО ВТ обеспечит присутствие в реестре Минпромторга техники российских компаний и в то же время позволит нарастить реальный процент локализации. Отмечается, что в соответствии с действующими требованиями набирать баллы для признания электроники отечественной поставщикам становится всё сложнее. К тому же это требует огромных вложений и времени.

Ключевые компании Евросоюза, включая Airbus, Deutsche Telecom, Orange и ещё 15 местных игроков подвергли острой критике проект схемы сертификации в области кибербезопасности в ЕС (CCS). По данным Datacenter Dynamics. Новый механизм работает на руку американским гиперскейлерам, упрощая им участие в облачных тендерах региона.

В числе прочих компаний, подписавших письмо есть EDF, OVHcloud, Ionos, Exoscale, Telecom Italia, Aruba (IT), Dassault Systems, Capgemini и Eutelsat. Компании уже обратились с совместным письмом к руководству ЕС и высокоранговым чиновникам Еврокомиссии, подчёркивая, что последнюю версию проекта необходимо отклонить, поскольку та не обеспечивает суверенности облаков. Ранее проект предусматривал, что желающие участвовать в конкурсах на поставку облачных сервисов обязаны быть независимы от зарубежных законов стран, не являющихся членами Евросоюза.

Источник изображения: Guillaume Périgois/unsplash.com

В первую очередь новый вариант может упростить жизнь гиперскейлеров вроде Amazon, Microsoft и Google, которым более не потребуется создавать совместные предприятия с европейскими бизнесами для хранения и обработки персональных данных в случае, если новый вариант проекта всё-таки одобрят. Пока на облачном рынке ЕС доминируют американские игроки. Местные бизнесы давно жалуются на злоупотребления положением на рынке. Microsoft даже вела переговоры с ассоциацией облачных провайдеров ЕС CISPE после того, как та выразила озабоченность вероятным вытеснением с рынка малых игроков.

Представители европейского бизнеса подчёркивают, что включение в число обязательных условий в виде наличия штаб-квартир в Европе и контроля со стороны ЕС критически важно для того, чтобы ограничить доступ к европейским данным по требованию иностранных законов. Например, речь идёт об американском Законе об облаках (US Cloud Act) или китайском «Законе о национальной разведке» (National Intelligence Law). Кроме того, бизнес требует поощрять рассмотрение клиентами из ЕС местных облачных продуктов вроде Gaia-X. Без таких требований закон серьёзно ударит по суверенным облачным решениям в Европе, которые или уже доступны, или ещё разрабатываются.

Министерство цифрового развития, связи и массовых коммуникаций РФ, по сообщению газеты «Ведомости», приравняло коммерческих CDN-провайдеров к компаниям, предоставляющим услуги хостинга. Таким образом, на сетях CDN должны устанавливаться технические средства для обеспечения функций оперативно-розыскных мероприятий (СОРМ).

О новой инициативе рассказали директор по развитию инфраструктуры «Яндекса» и генеральный директор CDNvideo. Минцифры направило разъяснения в отношении статуса CDN в ответ на запрос «ВымпелКома» (бренд «билайн»). В ведомстве сообщили, что в соответствии с 149-ФЗ «Об информации, информационных технологиях и о защите информации» под провайдером хостинга понимается лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения сведений в информационной системе с постоянным подключением к интернету.

Источник изображения: pixabay.com

«При предоставлении услуги доставки контента (CDN) владельцем сервиса предоставляются вычислительные мощности для размещения информации в информационной системе, постоянно подключенной к сети интернет, в связи с чем указанные в письме лица [CDN-провайдеры] являются провайдерами хостинга», — говорится в ответе Минцифры.

Вместе с тем подчёркивается, что «письмо носит информационно-разъяснительный характер» и «не содержит правовых норм или общих правил, конкретизирующих нормативные предписания, и не является нормативным правовым актом». Как говорят участники рынка, из разъяснения Минцифры следует, что CDN-провайдеру необходимо направить заявку в Роскомнадзор, а затем совместно с местным органом ФСБ согласовать план установки оборудования СОРМ. По оценкам генерального директора RUVDS, для крупнейших игроков рынка с доходами 200–500 млн руб. разовые вложения в СОРМ могут превысить 10 млн руб.

Представитель «Яндекса» указывает на то, что, в соответствии с нормами Минцифры, требования законодательства по установке СОРМ должны соблюдать только те операторы, для которых CDN является бизнесом, то есть, они предоставляют свои вычислительные мощности для других клиентов. Вместе с тем компании, которые развивают CDN в собственных интересах, под правила по внедрению СОРМ не подпадают.

Еврокомиссией принята новая схема отчётности о выбросах дата-центров. Она поможет эффективнее отслеживать прогресс операторов в деле достижения эко- и энергоустойчивости, передаёт Datacenter Dynamics. схема Data centres in Europe является частью Европейской директивы по энергоэффективности (European Energy Efficiency Directive или EED), которая должна помочь до 2030 года снизить общее энергопотребление ЕС на 11,7 %, а углеродные — на 55 %.

Согласно новым правилам, предоставляемая операторами информация будет отправляться в центральную базу данных, где станет применяться для прозрачного и мотивированного планирования и принятия решений странами — участницами Евросоюза и Еврокомиссией, а также для оценки ключевых характеристик устойчивости ЦОД.

Правила распространяются на все дата-центры ёмкостью более 500 кВт. Операторы будут обязаны сообщать о площади ЦОД, установленной мощности, энергопотреблении, индексе PUE, температурных показателях и утилизации «мусорного» тепла, выделяемого в процессе работы ЦОД. Наконец, необходимо будет докладывать об использовании воды и возобновляемой энергии.

Источник изображения: Christian Lue/unsplash.com

Операторы будут обязаны предоставлять данные ежегодно. Первый «дедлайн» сначала назначили на 15 мая 2024 года, но позже перенесли на 15 сентября. Тем не менее, в дальнейшем отчёты за предыдущий год должны будут подаваться до 15 мая текущего. Вероятно, Еврокомиссия перенесла изначальную дату, прислушавшись к жалобам на то, что у операторов осталось слишком мало времени для сбора первичной отчётности.