Треть крупных российских компаний работает на иностранном софте, который давно никто не чинит

До 30% крупных российских компаний по-прежнему держат корпоративное зарубежное ПО, купленное ещё до 2022 года. Часть этих систем функционирует без техподдержки и обновлений защиты. Хуже всего дела в корпоративной почте — там доля организаций со старой инсталляционной базой Microsoft Exchange и Office 365 доходит до 50%. Такую оценку АНО «Центр компетенций по импортозамещению в сфере ИКТ» подготовило к форуму ЦИПР-2026.

Для бизнеса вопрос давно вышел за рамки самого факта замены вендора. Софт без поддержки превращается в отдельный источник угрозы. Снаружи всё выглядит нормально — сотрудники шлют письма, проводят встречи, обмениваются файлами. А под капотом копится список проблем:

• нет патчей и закрытия уязвимостей;
• отсутствует нормальная поддержка вендора;
• часть лицензий нельзя продлить легально;
• растёт несовместимость с российскими платформами;
• усложняется прохождение требований регуляторов.

Цифры по отдельным сегментам выглядят показательно. В системах резервного копирования порядка 30% компаний до сих пор используют Veeam без поддержки. Личные кабинеты пользователей у этого поставщика заблокированы в России с марта 2024 года, так что обновляться и обращаться за помощью банально некуда.

Гендиректор ЦКИТ Илья Массух охарактеризовал для «Коммерсанта» положение дел с корпоративной почтой как критическое.»Коммерсанта» положение дел с корпоративной почтой как критическое. Почта, по его словам, давно перестала быть просто IT-инструментом и стала артерией управления компанией. Через неё проходят договоры, распоряжения, финансовые документы, согласования, выдача доступов, переписка с клиентами и подрядчиками.

«Каждый месяц промедления — это не сэкономленные деньги, а накопленный риск», — отметил в отчёте Илья Массух.

Microsoft Exchange остаётся болевой точкой не случайно. По данным Positive Technologies, в 2023 году на Exchange пришлось 50% всех расследованных атак на публично доступные приложения в стране. ФСТЭК ранее предупреждала, что одна-единственная уязвимость в этом продукте затрагивает примерно 77 000 российских серверов. Беда в том, что почтовый сервер часто стоит на внешнем периметре и напрямую смотрит в интернет. Спрятать его и забыть не получится — он принимает входящие соединения, общается с пользователями, мобильными устройствами и корпоративными сервисами.

ЦКИТ разнёс угрозы по шести категориям. Критическими признаны три группы:

• технологические риски;
• киберриски;
• юридико-регуляторные угрозы.

Среди самых опасных факторов центр называет удалённое отключение инфраструктуры вендором, несовместимость с российскими операционными системами и невозможность сертификации по требованиям ФСТЭК. Прецедент с отключением уже был. В марте 2024 года Microsoft разом отрубила более 50 облачных сервисов российским юрлицам. Для компаний это стало наглядным напоминанием, что зависимость от чужой облачной инфраструктуры может выстрелить не как технический сбой, а как внезапная потеря доступа.

Председатель совета КС НСБ России Игорь Бедеров тоже считает почту самым уязвимым сегментом. Виртуализацию и бэкапы он называет инфраструктурной прослойкой, а почту — передовой линией обороны. По его оценке, около 80% успешных атак на отечественные компании стартуют с фишинга или эксплуатации дыр в почтовых серверах. Логика понятна — через почту злоумышленники запускают вредоносные вложения, крадут учётные данные, подменяют переписку, атакуют бухгалтерию и проводят BEC-схемы. Старый необновляемый сервер только упрощает им задачу.

Параллельный импорт лицензий Бедеров называет «арендой иллюзии безопасности».

«Уже были случаи закладки вредоносного кода в такие каналы», — предупреждает эксперт.

Руководитель продуктового направления НЕКСТБИ Евгений Сурков полагает, что выбора у бизнеса почти не осталось. Если сложности сохранятся, компаниям придётся либо сворачивать новые проекты, в том числе инвестиционные, либо перекладывать издержки на потребителей. До насыщения рынка и возвращения нормальной конкуренции далеко, поэтому снижения цен ждать не стоит ни в сером импорте, ни в российских продуктах.

При этом Сурков видит в происходящем шанс на консолидацию корпоративных продуктов. Вместо четырёх отдельных решений — мессенджера, ВКС, почты и вебинаров — в компании будут заходить платформы, собирающие эти функции в одном интерфейсе. Тот же путь эксперт прогнозирует для бэкапов, облаков и виртуализации.

Отдельно стоит сказать про комбинацию слабых мест. Если у компании одновременно устаревшая почта и хромающее резервное копирование, риск становится каскадным. Фишинг или дыра в почтовом сервере дают первичный доступ, дальше атакующие развивают присутствие, а при шифровании данных бизнес пытается восстановиться через бэкап-систему, которая сама живёт без поддержки.

Михаил Мишустин на ЦИПР-2026 заявил, что российская IT-отрасль должна перейти от срочного импортозамещения к системной разработке сложных программных экосистем. Льготу по НДС для российского ПО сохранят полностью и распространят на облачные сервисы. Новые данные ЦКИТ в эту логику вписываются ровно — пока треть крупных компаний сидит на старом софте, а в почте доля доходит до половины, считать замену завершённой нельзя.

В редакции CISOCLUB уверены, что импортозамещение нельзя мерить по одному факту, что система пока запускается. Когда почта, бэкапы и другие базовые сервисы работают без поддержки и обновлений, компания копит технический и кибердолг. Половина организаций со старой почтовой инфраструктурой — это не просто наследие прошлого ландшафта, а реальная поверхность атаки. Плановая миграция уже выглядит не тратой на замену, а способом не заплатить кратно больше после инцидента.