Аналитическое подразделение АНО «ЦКИТ» представило доклад «Обзор российского рынка прикладного ПО и его сравнение с глобальными трендами (2019–2026)». Как следует из результатов исследования, как минимум 30% крупных российских предприятий по-прежнему используют зарубежное программное обеспечение, приобретенное до 2022 года: без техподдержки, без патчей безопасности и вне правового поля. В сегменте корпоративной электронной почты ситуация особенно критична — примерно половина крупных компаний сохраняет установленную базу Microsoft Exchange и Office 365, несмотря на блокировку продления лицензий. Об этом CNews проинформировали представители АНО «ЦКИТ».
Рынок прикладного ПО в России показывает уверенный рост во всех ключевых категориях. Облачные платформы увеличились с 28 до 235 млрд рублей, системы виртуализации — с 10,7 до 19,4 млрд рублей, а рынок корпоративной почты достиг отметки 6,98 млрд рублей. Подавляющее большинство новых контрактов заключается в пользу российских продуктов: в облачном сегменте доля иностранных провайдеров не превышает 1% легальных продаж; в виртуализации отечественные решения занимают 80% новых сделок; в системах резервного копирования доля российских разработок превысила 70%; а доля отечественных почтовых систем в новых продажах выросла с 10% в 2021 году до 58% в 2025 году.
Однако статистика новых продаж скрывает иную реальность — эксплуатационную «серую зону». Сотни крупных организаций, включая предприятия из списка системообразующих, продолжают эксплуатировать иностранное ПО, купленное до 2022 года. По данным ЦКИТ, расходы крупнейших заказчиков в период 2022–2025 годов практически не увеличились: вместо миграции бизнес использует уже оплаченные лицензии с истекшим сроком поддержки. В сегменте резервного копирования Veeam до 2022 года занимал более 50% российского рынка — около 30% крупных компаний продолжают его использовать без поддержки, хотя личные кабинеты заблокированы с марта 2024 года. В виртуализации VMware до 2022 года работал на ~80% корпоративных серверов страны; сейчас его доля в эксплуатируемом парке составляет примерно 40%, однако новые лицензии недоступны — это десятки тысяч серверов без обновлений.
Среди всех категорий ПО наиболее остро стоит проблема корпоративных почтовых систем. Около половины компаний по-прежнему используют MS Exchange или Microsoft 365 в условиях, когда продление лицензий заблокировано, техподдержка отсутствует, а обновления безопасности не поставляются. До 2022 года Microsoft занимал 70–80% российского рынка корпоративной почты; формальное снижение до ~50% в 2025 году отражает только новые продажи в пользу отечественных решений — реальная инсталляционная база Microsoft в B2B остается значительной и продолжает функционировать без актуальных патчей.
Это порождает уникальное сочетание рисков сразу в нескольких направлениях.
Нормативная среда. Применение неверифицированного зарубежного программного обеспечения на объектах критической информационной инфраструктуры (КИИ) представляет собой прямое несоблюдение положений Федерального закона № 187-ФЗ, а также нормативных актов ФСТЭК и ФСБ. Меры ответственности включают как административные штрафы, так и уголовное преследование должностных лиц.
Защита от киберугроз. Почтовый сервер, не получающий обновлений, становится приоритетной мишенью для злоумышленников. Если исправления безопасности отсутствуют в течение нескольких лет, это приводит к накоплению сотен неликвидированных уязвимостей. Согласно отчету Positive Technologies, в 2023 году на Microsoft Exchange приходилась половина всех зафиксированных атак на общедоступные приложения в России. ФСТЭК отмечала, что лишь один дефект безопасности в Exchange затронул порядка 77 тысяч российских серверов. Исследование BI.ZONE показывает, что 68% целенаправленных атак берут начало именно с электронной почты; Positive Technologies фиксирует, что 92% вредоносного трафика распространяется через email. Служебные адреса сотрудников 94 из 100 крупнейших российских компаний обнаружены в публичных утечках данных. Дополнительную угрозу создает телеметрия: механизмы сбора диагностической информации Microsoft (MS Diagnostic Data) продолжают работу, передавая данные за границу без возможности контроля со стороны российских организаций и регулирующих органов.
Эксплуатационные угрозы. Риски удаленного отключения инфраструктуры, несовместимость с отечественными операционными системами, ухудшение условий SLA и потеря внутренних навыков обслуживания устаревающих систем превращают корпоративную почту в источник потенциального операционного кризиса. Это уже не гипотетическая ситуация: в марте 2024 года Microsoft единовременно деактивировал более 50 облачных сервисов для российских юридических лиц; Veeam в тот же период начал ограничивать доступ к личным кабинетам клиентов, предоставив лишь 30-дневный льготный период. Отключение может произойти именно в момент критического инцидента, когда требуется восстановление данных.
Финансовые затраты. Неофициальный импорт лицензий и комплектующих обходится на 30–100% дороже официальных расценок с учетом валютных колебаний. Компании, пытающиеся взыскать убытки с покинувших рынок западных вендоров, практически лишены судебных перспектив: число успешных исков стремится к нулю.
Репутационные и финансовые риски. Публичный инцидент, связанный с компрометацией почтовой инфраструктуры на объекте КИИ, представляет собой не только угрозу снижения капитализации и рост прямых убытков бизнеса. Это также отказ контрагентов от сотрудничества и аннулирование страховых полисов.
ЦКИТ систематизировал риски дальнейшего использования западного ПО по шести категориям. Три из них (технологические, кибербезопасность и нормативно-правовые) признаны критическими. Операционные, экономические и репутационно-финансовые риски оцениваются как высокие. Ни одна категория не получила оценку ниже уровня «высокий».
Среди технологических угроз особенно выделяется риск дистанционного отключения: системы зарубежных производителей технически позволяют проводить деактивацию со стороны поставщика. В области кибербезопасности основным направлением становятся атаки через механизмы законных обновлений, которые теперь недоступны для российских пользователей, из-за чего система уязвима как при получении обновления, так и без него. В юридической сфере риски связаны с усилением санкционного давления и ужесточением требований к импортозамещению на объектах критической информационной инфраструктуры.
«Мы наблюдаем опасную инерцию: бизнес сознательно откладывает миграцию, пока система «еще функционирует». Однако каждый месяц задержки — это не сэкономленные средства, а накапливающийся риск, который в итоге проявится сразу по нескольким направлениям: регуляторному, операционному и репутационному, – отметил Илья Массух, директор АНО «ЦКИТ». – Особенно остро стоит вопрос с корпоративной почтой: это не просто ИТ-инструмент, а ключевой канал управления бизнесом. Компания, чья почтовая система выведена из строя или взломана, оказывается полностью парализованной. Российский рынок предлагает зрелые и функционально конкурентоспособные продукты. Вопрос уже не в том, стоит ли мигрировать, а в том, успеет ли компания сделать это планомерно или будет вынуждена действовать в аварийном режиме».
По данным ЦКИТ, основным риском при затягивании перехода становится необходимость срочной миграции в гораздо более сжатые сроки и с гораздо более высокими затратами. Серый импорт западных компонентов, к которому прибегают компании для продления срока службы устаревшей инфраструктуры, обходится на 30–100% дороже, не предоставляет гарантий качества и SLA, создает дополнительные юридические риски и формирует зависимость от курсов валют.
Напротив, плановый переход на российские решения позволяет равномерно распределить нагрузку на ИТ-отдел, пройти процедуры сертификации без спешки, организовать обучение персонала и обеспечить непрерывность бизнес-процессов. Российский рынок корпоративной почты, систем резервного копирования, виртуализации и облачных платформ сегодня предлагает зрелые продукты, уже проверенные в крупных корпоративных средах, подчеркивают в АНО «ЦКИТ».
