Специалисты консорциума «Телекоммуникационное оборудование» подготовили методологию экспертной оценки программного обеспечения для телекоммуникационного оборудования, ориентированную на соблюдение балльной системы, установленной постановлением № 719. Этот документ уже передан в Минпромторг и ВНИИР. Его главная цель — выявление недобросовестных поставщиков, которые выдают зарубежный софт, встроенный в их устройства, за собственные разработки. По оценкам, число таких компаний может достигать почти половины.
Как стало известно CNews, автономная некоммерческая организация «Консорциум «Телекоммуникационное оборудование» (АНО ТКО) подготовила и отправила в Минпромторг и ФГБУ «ВНИИР» проект методики, предназначенной для экспертной оценки ПО в телекоммуникационном оборудовании на предмет его соответствия критериям, закрепленным в постановлении правительства № 719.
В настоящее время в российской нормативной базе отсутствует единый официальный регламент, который бы четко описывал порядок проверки программного обеспечения: что именно подлежит проверке, каким образом это следует делать и на каких аспектах необходимо сосредоточиться, сообщил CNews представитель компании-производителя телекоммуникационного оборудования. В самом постановлении указан только объект проверки, но не раскрывается процедура ее проведения, а также отсутствуют унифицированные примеры заданий.
Разработка документа велась совместно с участниками консорциума — организациями, которые самостоятельно создают ПО для телекоммуникационных устройств: «Иртея», Yadro, «Булат», «Софтайм», «Т8», «Элтекс» и другими. Официальное письмо было направлено в Минпромторг и ВНИИР в марте 2026 года.
Предложенная методика вводит единые принципы проведения экспертизы. Она предусматривает проверку прав вендора на программное обеспечение и его исходные коды, подтверждение факта включения софта в реестр отечественного ПО Минцифры, а также верификацию способности самого российского разработчика осуществлять модернизацию этого ПО.
«В основу этого документа легла действующая нормативная база, а внутри пошагово изложены рекомендации о том, как проверять наличие прав на ПО и инструменты разработки, а также присутствие ПО в виде исходных кодов, включение этого ПО в реестр Минцифры и подтверждение возможности его разнообразной модернизации самим вендором, — объяснил CNews Григорий Ревазян, генеральный директор АНО «Телекоммуникационное оборудование». — Данная методика позволит ужесточить контроль за владением ПО, улучшить качество и прозрачность экспертизы, а также сделать более ясными требования к производителям в отношении программного обеспечения, включая те, что влияют на его безопасность».
Как отметил Ревазян, в методике представлен перечень стандартных задач для различных категорий оборудования — базовых станций, маршрутизаторов, систем DWDM и других. В частности, при проверке программного обеспечения для базовых станций необходимо продемонстрировать способность изменять параметры синхронизации и транспорта (передача пользовательского трафика), управление (контролируемая перезагрузка), установку соединения и взаимодействие с абонентскими устройствами, настройку радиомодуля, а также работу с портами и интерфейсами. Для DWDM примером может служить задача по генерации ошибок в системе управления при программной передаче трафика или переключение с основного порта агрегатора на резервный.
Стандартные процедуры проверки сегодня включают анализ наличия исходного кода, штата разработчиков, истории создания программного обеспечения, которое реализовано в конкретном продукте и на нем протестировано, а также возможности модификации и обновления софта, рассказал CNews заместитель технического директора компании «Элтекс» Валерий Айдагулов.
«По нашим подсчетам, до половины производителей телекоммуникационного оборудования могут быть недобросовестными, — продолжает Айдагулов. — Сложность в том, что навыки и компетенции для создания телеком-оборудования, понимание принципов работы протоколов и развитие функциональности требуют значительного времени. Однако сейчас появилось множество компаний, возникших из ниоткуда и заявляющих, что они обладают всеми этими возможностями. Это просто невозможно, а значит, программное обеспечение было просто приобретено».
Применение отечественного ПО является одним из ключевых требований для признания телекоммуникационного оборудования российским в соответствии с постановлением № 719. Без этого статуса производитель не может полноценно участвовать в государственных закупках и, что особенно важно, поставлять оборудование на объекты критической информационной инфраструктуры (КИИ).
К псевдолокализованному ПО (импортному софту с незначительными доработками) возникают серьезные вопросы с точки зрения безопасности, считают в АНО ТКО. Потенциальные «закладки» в таком софте могут нарушать работу сетей связи и приводить к утечкам данных. Кроме того, вендор, не имеющий доступа к исходным кодам, не может обеспечить дальнейшую техническую поддержку и своевременное исправление ошибок.
В будущем внедрение методики должно привести к исключению из реестра недобросовестных производителей, которые используют иностранное ПО без доработок или с минимальными изменениями, чтобы быстрее вывести продукт на рынок под видом локализованного российского, полагают авторы методики.
По мнению независимого эксперта и автора Telegram-канала @abloudrealtime Алексея Бойко, опасность использования такого псевдолокализованного ПО заключается в низком качестве этих продуктов, а также в том, что в них могут быть заложены недокументированные возможности: от простых «шпионских» закладок до полноценных бэкдоров, позволяющих управлять этим ПО.
При этом, как отмечает Бойко, реальные инциденты уже происходили.
«В сложных технологических сегментах заимствование может быть рабочим инструментом на старте, но не становится фундаментом для развития, — говорит директор дивизиона стратегических программ YADRO Александр Понькин. — Если архитектура, исходный код и логика развития решения находятся вне российского контура, уже через одно-два поколения продукта зависимость от внешних технологий может оказаться еще глубже, чем была изначально».
Бойко считает, что необходимо провести технический аудит исходного кода для выявления возможных скрытых механизмов; проанализировать компоненты (прежде всего, используемые библиотеки и opensource-решения), а также выполнить эксплуатационную проверку программного обеспечения на оборудовании в изолированной среде до его внедрения. Без проверки исходного кода вряд ли можно считать те или иные инструменты эффективными, заключил эксперт.
