Куда утекают инженерные данные: риски для бизнеса и российские решения

Недавние инциденты с громкими хакерскими атаками показывают: даже компании с мощными системами защиты на лицензионном программном обеспечении (ПО) под наблюдением центров оперативного мониторинга не застрахованы от кибератак. Яркий пример, ставший известным в 2024 г., – взлом китайскими хакерами баз данных концерна Volkswagen. Злоумышленники за пять лет похитили около 19 000 технических документов о разработке электромобилей и трансмиссий, оставаясь все это время незамеченными.

В России в особой группе риска компании, до сих пор применяющие западный софт без официальной технической поддержки со стороны разработчиков. Особенно уязвим сектор инженерного проектирования, где обрабатываются конфиденциальная техническая документация и чертежи объектов критической информационной инфраструктуры (КИИ). По данным исследования Positive Technologies, промышленность (машиностроение и строительство) – вторая по популярности цель хакеров после госсектора.

Лицензия или ловушка

Бизнес неохотно отказывается от выстроенных процессов и привычного иностранного софта для чертежей и 3D-моделей механизмов, машин и зданий. Их создают с помощью систем автоматизированного проектирования (САПР).

Многие иностранные вендоры прекратили техническую поддержку российских пользователей, но некоторые отечественные компании не отказались от их ПО, а выбрали пиратские версии. Это огромная ошибка. Во-первых, за коммерческое использование пиратского софта предусмотрена уголовная ответственность (ст. 146 УК РФ). В случае успешной хакерской атаки расследование и наказание неминуемы. Во-вторых, это создает дополнительные риски: пиратские версии часто содержат уязвимости и могут быть специально модифицированы для кражи данных.

Вдобавок использование нелицензированного софта создает риски технических сбоев. Например, в феврале 2024 г. один из иностранных вендоров обновил службы лицензирования, что привело к массовой блокировке нелегальных копий его программ по всему миру. Технические сбои в нелицензионном ПО могут привести к браку в проектах, срыву сроков и штрафам.

Российские пользователи порой не задумываются, как зарубежные программы обходятся с их конфиденциальными данными. Программы передают информацию на серверы за границей в зашифрованном виде, поэтому, какие именно данные уходят за рубеж и каким образом могут использоваться, не известно.

При использовании зарубежных САПР сложно подтвердить соответствие проектов российским стандартам, что блокирует доступ к госконтрактам. А в случае участия в иностранных проектах – легальность ПО для валидации BIM-моделей (Building Information Modeling, цифровые трехмерные модели зданий).

Проектировать по-русски

Инженерные данные – стратегический актив для бизнеса, поэтому без полного контроля над инструментами проектирования невозможно говорить о цифровой безопасности.

Инженерное сообщество наблюдает множество знаковых примеров миграции на отечественные САПР-продукты.

Один из крупнейших был реализован ООО «Газпром проектирование» (генеральный проектировщик – ПАО «Газпром», выполнявший ПИР всех знаковых проектов, в том числе газопровода «Сила Сибири»). В 2022 г. компания заместила американский AutoCAD на российский nanoCAD, направив на миграцию около 100 млн руб. Переход на отечественные решения занял у «Газпром проектирования» полтора года, с 2023 г. оно проектирует все объекты в российском софте, включая линейку продуктов nanoCAD, рассказывал в беседе с нами заместитель гендиректора по информационным технологиям ООО «Газпром проектирование» Вячеслав Гурьянов. Критически важной для компании стала адаптация этих решений под операционную систему RED OS. С тех пор она реализовала множество проектов, из которых более 80 площадных объектов были выполнены с применением технологий информационного моделирования полностью на отечественных САПР.

Самое очевидное и действенное решение в текущей ситуации – отказаться от иностранного софта и перейти на САПР-комплексы от российских разработчиков. Безопасность продуктов отечественных вендоров регулируется национальным законодательством, а сами они открыты к сотрудничеству в области защиты информации, обеспечивают оперативную поддержку и возможность развивать продукт под специфические задачи конкретного бизнеса и отрасли.