«Серая зона» в ИТ-инфраструктуре: ЦКИТ предупреждает о критических рисках эксплуатации зарубежного программного обеспечения
«Серая зона» в ИТ-инфраструктуре: ЦКИТ предупреждает о критических рисках эксплуатации зарубежного программного обеспечения
Аналитический центр АНО «ЦКИТ» опубликовал доклад «Ландшафт российского рынка прикладного программного обеспечения и его сопоставление с мировым рынком и общими тенденциями (2019–2026)», подготовленный к форуму ЦИПР-2026. Согласно материалам исследования, не менее 30% крупного российского бизнеса продолжают работать на иностранном программном обеспечении, закупленном до 2022 года: без технической поддержки, без обновлений безопасности и вне правового поля. В сегменте корпоративной почты ситуация особенно острая - инсталл-база Microsoft Exchange и Office 365 сохраняется примерно у половины крупных компаний при заблокированном продлении лицензий.
ЦКИТ IT информационные технологии ПО софт Navicon Accenture HRlink Нетрика облачные технологии CorpSoft24 БФТ КЭДО
20.05.2026 17:16
Правообладатель: Агентство iTrend
Оценка от партнеров: плюс / минус
Российский рынок прикладного программного обеспечения демонстрирует устойчивый рост во всех ключевых сегментах. Облачные платформы выросли с 28 до 235 млрд рублей, системы виртуализации — с 10,7 до 19,4 млрд рублей, рынок корпоративной почты достиг 6,98 млрд рублей. Новые сделки в подавляющем большинстве заключаются в пользу российских решений: в сегменте облаков доля иностранных провайдеров не превышает 1% легальных продаж; в виртуализации на российские продукты приходится 80% новых продаж; в системах резервного копирования доля отечественных решений превысила 70%; доля российских почтовых систем в новых продажах выросла с 10% в 2021 году до 58% в 2025 году.
Однако картина новых продаж скрывает другую реальность: эксплуатационную «серую зону». Сотни крупных компаний, включая предприятия из перечня системообразующих, продолжают использовать иностранное ПО, приобретённое до 2022 года. По данным ЦКИТ, расходы крупнейших потребителей в период 2022–2025 годов фактически не выросли: вместо перехода бизнес использует уже оплаченные лицензии с истёкшим сроком поддержки. В сегменте резервного копирования Veeam до 2022 года занимал более 50% российского рынка — около 30% крупных компаний продолжают эксплуатировать его без поддержки, хотя личные кабинеты заблокированы с марта 2024 года. В виртуализации VMware до 2022 года работало на ~80% корпоративных серверов страны; сегодня его доля в эксплуатируемом парке составляет около 40%, однако новые лицензии недоступны — это десятки тысяч серверов без обновлений.
Среди всех классов программного обеспечения наиболее острую проблему представляют корпоративные почтовые системы. Около половины компаний по-прежнему эксплуатируют MS Exchange или Microsoft 365 в условиях, когда продление лицензий заблокировано, техническая поддержка недоступна, а обновления безопасности не поставляются. До 2022 года Microsoft занимал 70–80% российского рынка корпоративной почты; формальное снижение до ~50% в 2025 году отражает лишь новые продажи в пользу отечественных решений — реальная инсталляционная база Microsoft в B2B остаётся массивной и продолжает работать без актуальных патчей.
Это создаёт уникальное сочетание рисков сразу в нескольких аспектах.
Регуляторная плоскость. Использование несертифицированного иностранного ПО на объектах критической информационной инфраструктуры (КИИ) является прямым нарушением требований Федерального закона № 187-ФЗ и подзаконных актов ФСТЭК и ФСБ. Санкции варьируются от административных штрафов до уголовной ответственности руководства.
Кибербезопасность. Почтовый сервер без патчей — первоочередная цель для атак. Отсутствие обновлений безопасности на протяжении нескольких лет означает накопление сотен неустранённых уязвимостей. По данным Positive Technologies, в 2023 году на Microsoft Exchange пришлось 50% всех расследованных атак на публично доступные приложения в России. ФСТЭК предупреждала, что только одна уязвимость в Exchange затронула около 77 тысяч российских серверов. По данным BI.ZONE, 68% целевых атак начинаются именно с электронной почты; Positive Technologies фиксируют, что 92% вредоносной доставки осуществляется через email. Корпоративные адреса сотрудников 94 из 100 крупнейших российских компаний присутствуют в публичных утечках. Дополнительный риск — телеметрия: механизмы передачи диагностических данных Microsoft (MS Diagnostic Data) продолжают функционировать, направляя сведения за рубеж без возможности контроля со стороны российских компаний и регуляторов.
Операционные риски. Возможность удалённого отключения инфраструктуры, несовместимость с российскими операционными системами, деградация SLA и утрата внутренних компетенций по обслуживанию устаревающих систем превращают корпоративную почту в точку потенциального операционного коллапса. Это уже не теоретический сценарий: в марте 2024 года Microsoft единовременно отключил более 50 облачных сервисов российским юридическим лицам; Veeam в тот же период начал блокировать личные кабинеты клиентов, предоставив лишь 30-дневный grace-период. Отключение способно произойти именно в момент критического инцидента, когда требуется восстановление данных.
Экономические издержки. Серый импорт лицензий и компонентов обходится на 30–100% дороже официальных цен с учётом курсовых рисков. Компании, пытающиеся взыскать убытки с ушедших западных вендоров, практически не имеют судебных перспектив: количество успешных исков стремится к нулю.
Репутационные и финансовые последствия. Публичный инцидент, связанный с компрометацией почтовой инфраструктуры на объекте КИИ – не только угроза потери капитализации и рост прямых потерь бизнеса. Это отказы контрагентов от партнёрства и отзыв страховых покрытий.
ЦКИТ систематизировал риски продолжения эксплуатации западного ПО по шести категориям. Три из них (технологические, кибербезопасность и юридико-регуляторные) классифицированы как критические. Операционные, экономические и репутационно-финансовые риски оцениваются как высокие. Ни одна категория не получила оценку ниже «высокого» уровня.
Среди технологических угроз особого внимания заслуживает риск удалённого отключения: системы западных вендоров технически допускают деактивацию на стороне производителя. В сфере кибербезопасности ключевым вектором являются атаки через механизмы легитимных обновлений, которые теперь недоступны российским пользователям, то есть система уязвима и при получении обновления, и в его отсутствие. В правовом поле риски определяются ужесточением санкционного давления и расширением требований к импортозамещению на объектах КИИ.
«Мы фиксируем опасную инерцию: бизнес рационально откладывает миграцию, пока система «ещё работает». Но каждый месяц промедления — это не сэкономленные деньги, а накопленный риск, который однажды реализуется одновременно по нескольким фронтам: регуляторному, операционному и репутационному, – отмечает Илья Массух, директор АНО «ЦКИТ». – Особенно критична ситуация с корпоративной почтой: это не просто ИТ-инструмент, это артерия управления бизнесом. Компания, чья почтовая система выведена из строя или скомпрометирована, парализована полностью. Российский рынок предлагает зрелые, функционально конкурентоспособные решения. Вопрос уже не в том, мигрировать или нет; вопрос в том, успеет ли компания сделать это организованно или будет вынуждена действовать в режиме аварии».
По оценке ЦКИТ, ключевым риском при затягивании с переходом является необходимость экстренной миграции в несравнимо более короткие сроки и при несравнимо более высоких затратах. Серый импорт западных компонентов, к которому прибегают компании, чтобы продлить жизнь устаревшей инфраструктуре, обходится на 30–100% дороже, не даёт никаких гарантий качества и SLA, создаёт дополнительные правовые риски и формирует курсовую зависимость.
Плановый переход на российские решения, напротив, позволяет распределить нагрузку на ИТ-команду, пройти процедуры сертификации без спешки, обеспечить обучение персонала и сохранить непрерывность бизнес-процессов. Российский рынок корпоративной почты, систем резервного копирования, виртуализации и облачных платформ на сегодняшний день располагает зрелыми продуктами, уже прошедшими испытания в крупных корпоративных средах, отмечают в АНО «ЦКИТ».
Об АНО «ЦКИТ»
Центр компетенций по импортозамещению в сфере ИКТ (ЦКИТ) — профильная организация, созданная для содействия переходу российских органов власти и бизнеса на отечественное программное обеспечение. ЦКИТ ведёт аналитическую и экспертную деятельность, разрабатывает методические рекомендации по миграции ИТ-инфраструктуры, формирует реестр совместимости российских программных продуктов. ЦКИТ создан в 2016 году во исполнение поручений Президента Российской Федерации В.В. Путина.
Оценка от партнеров: плюс 0 / минус 0