Российские фирмы продолжают работать на неподдерживаемом программном обеспечении

Многие российские компании продолжают работать на неподдерживаемом программном обеспечении, осознавая риски, но откладывая решения.

Показателен пример корпоративной почтовой инфраструктуры. По данным отраслевого исследования, 57 процентов российских компаний продолжают использовать Microsoft Exchange Server уже после завершения основной поддержки. Причем значительная часть - на версиях, для которых не выпускаются даже базовые обновления безопасности. Это означает, что уязвимости в таких системах больше никто не закрывает. Они становятся постоянной точкой входа для атак.

Бизнес хорошо понимает масштаб проблемы: более половины топ-менеджеров оценивают необходимость замены критической инфраструктуры на поддерживаемые (преимущественно отечественные) решения, а почти четверть уже сталкивались с инцидентами - от фишинга до компрометации учетных записей. Однако одновременно 68 процентов организаций не приняли решения о миграции или сознательно откладывают его.

Причина не в недооценке угроз, а в экономике: основные затраты перехода лежат не в лицензиях, а в пересборке интеграций, переобучении команд и риске остановки бизнес-процессов. Для многих компаний это означает необходимость одновременно финансировать старую и новую инфраструктуру, что в условиях ограниченных бюджетов становится серьезным барьером. В результате формируется накопленный риск - до первого крупного инцидента.

На практике большинство компаний в ближайшие годы будут жить в гибридной модели, сочетая устаревшие системы с новыми. В этой реальности задача бизнеса - научиться управлять связанными с ним рисками.

Ее решение начинается с признания проблемы на уровне управления. Вопрос эксплуатации неподдерживаемого ПО должен обсуждаться на уровне советов директоров. Пока это остается внутренней задачей ИТ-директора, решения будут приниматься в логике краткосрочной оптимизации. Следующий шаг - аудит и исследования. Компаниям необходимо понимать, какие именно системы находятся без поддержки, какие из них доступны из внешнего контура и какие данные они обрабатывают. Без этого невозможно оценить риск и управлять им.

Если систему нельзя заменить быстро, ее необходимо максимально изолировать: сегментировать сеть, ограничить доступ, усилить контроль учетных записей, внедрить дополнительные средства мониторинга. Фактически речь идет о создании защитного периметра вокруг устаревших решений.

Параллельно необходимо пересматривать экономику ИТ-решений. Сравнивать системы только по стоимости владения уже недостаточно. В расчет стоит включать вероятность инцидентов, стоимость простоя и потенциальные штрафы. И в этой логике многие "дешевые" решения оказываются существенно дороже.

Наконец, неизбежен вопрос миграции. Но он все чаще решается не через резкие переходы, а через поэтапные сценарии: пилоты, гибридные схемы, постепенный вывод устаревшего ПО. Это снижает операционные риски, но требует зрелого управления и долгосрочного планирования.

Отдельное измерение - соответствие требованиям регуляторов. Использование неподдерживаемого ПО само по себе не всегда является прямым нарушением, но требует наличия компенсирующих мер и документированного обоснования. Иначе любая проверка может превратиться в проблему. Не говоря уже о взломе и утечке данных.