Использование иностранного программного обеспечения во многих сферах бизнеса за прошедшие годы стало стандартом де-факто. Операционные системы, офисные приложения, СУБД и большинство других бизнес-критичных ИТ-функций в России реализованы на импортных продуктах и решениях. Но изменение геополитической обстановки обнажило уровень зависимости российской инфраструктуры от западных вендоров. Запрет на закупки оборудования и программного обеспечения для крупнейших госкорпораций стал главным фактором, который привел правительство и российские компании к необходимости выстраивания стратегии импортозамещения.
В чем опасность?
Риск отсутствия технической поддержки и обновлений программных продуктов влияет на безопасность использования ИТ-систем: новые уязвимости в популярных продуктах обнаруживают почти каждый день, поэтому без обновлений хакеры имеют на руках работоспособные эксплойты. В конечном счетеэто может привести к приостановке критичных бизнес-процессов, а в масштабах страны – к социально-экономическому и политическому кризису.
Рассмотрим более подробно риски использования импортного программного обеспечения в сфере информационной безопасности. Хотя средств защиты в реестре российского программного обеспечения достаточно много, базой для большинства из них является операционная система иностранного производства. В категории «средства обеспечения информационной безопасности» представлено более 220 средств защиты, при этом около 85% из них функционируют под управлением операционных систем семейства Windows.
Зачастую некоторыми вопросами ИБ разработчики пренебрегают в попытке реализовать широкий функционал за короткие сроки. Отличается подход у разработчиков ИБ-средств: они изначально понимают, что средства защиты информации (далее – СЗИ) становятся для организации неким щитом, который принимает на себя все атаки злоумышленников. Кроме того, в большинстве стран принята система сертификации средств защиты, в ходе которой программное обеспечение и оборудование подвергаются испытаниям на проверку реализации заложенного функционала и безопасности работы СЗИ.
Аналогичная система выстроена и в России. Для защиты государственной тайны, государственных информационных систем и ряда других инфраструктурных систем российские регуляторы предлагают использовать сертифицированные средства защиты в аттестованной среде. Это означает, что без процедуры сертификации защитные механизмы не являются доверенными, поскольку могут содержать закладки и уязвимости. В процессе аттестации проверяется уровень доверия окружения, в котором установлено СЗИ. В частности, проверяется и степень доверия к системному программному обеспечению.
Подтвердили обоснованность такого подхода и разоблачения Эдварда Сноудена в 2013–2014 гг. В своих заявлениях он рассказал о сотрудничестве глобальных американских ИТ-вендоров с правительством США, в рамках которого в базовых операционных системах и библиотеках были встроены специальные программные закладки, позволяющие удаленно реализовывать различные недекларированные возможности. Тогда, два года назад, производители отрицали подобные факты вмешательства АНБ США в их работу, но в августе 2016 г. были опубликованы примеры закладок, которые позволяли снимать данные с ИБ-оборудования производства крупнейших американских и китайских вендоров.
Другой пример – обнаружение ФСБ России в июле текущего года шпионского программного обеспечения, внедренного в инфраструктуру 20 российских органов государственной власти, научных и военных учреждений, предприятий ОПК и других объектов критически важной инфраструктуры.
Вместе с тем, импортное системное программное обеспечение используется в большинстве государственных информационных систем. По данным реестра Роскомнадзора, около 80% информационных систем построено на операционных системах иностранного производства, не имеющих открытых исходных текстов. И даже среди оставшихся 20% операционных систем не более трети – российской разработки. С учетом возможного присутствия закладок в операционных системах большая часть российских государственных информационных систем находится под угрозой.
Способы борьбы
В связи с произошедшими событиями ИБ-специалисты уже не могут, как раньше, риски недекларированных возможностей в системных программных продуктах повсеместно признавать неактуальными. Угроза существует, и один из способов ее нейтрализации – использование системного ПО, прошедшего сертификацию у российских регуляторов (ФСТЭК, ФСБ России и др.). Однако отдельным компаниям совершить переход на российское системное программное обеспечение сложно: нужно координировать процесс миграции по всей ИТ-продукции, в первую очередь средствам защиты как критичным элементам любой информационной системы. Именно такая миграция на российские системные продукты и есть одна из важных целей импортозамещения.
Курс на импортозамещение был взят в 2014 г. Сегодня создан реестр российского программного обеспечения, и государственные организации (с недавнего времени – и госкорпорации) должны при выборе программных решений отдавать предпочтение представленным в нем продуктам. Процесс создания условий для импортозамещения идет, и помимо законодательных преференций на закупку правительство реализует различные инициативы по поддержке российских разработчиков для создания конкурентоспособных продуктов.
Однако для российских разработчиков средств защиты условия практически не изменились: сертификация ФСТЭК и ФСБ России и раньше была обязательной процедурой для применения СЗИ в госорганизациях. Например, более 15 лет назад на рынок было выведено большинство продуктов нашей компании, которые и сейчас, развиваясь на высококонкурентном рынке, соревнуются в первую очередь с российскими аналогами. Сегодня в большей степени выигрывают от импортозамещения разработчики базового ПО: СУБД, ОС и офисного ПО (PostgreSQL, «Мой Офис» и др.)
Дальнейшее развитие рынка средств защиты информации лежит в двух областях: закрытие потребностей пользователей в тех областях, где российских аналогов ранее не существовало, и интеграция с российскими бизнес-приложениями, приходящими на смену западным аналогам. Есть также потребность в средствах защиты, которые работают на российских базовых технологиях – операционных системах и СУБД. Зарегистрированные в реестре продукты информационной безопасности, как уже было отмечено, в большинстве своем работают на иностранных операционных системах.
Эффективность защитных средств
Существуют две серьезные проблемы в применении иностранных системных продуктов. Первая – отсутствие адаптации технологий под реалии российского рынка и требования регуляторов. Если устаревшие документы, разработанные Гостехкомиссией России, почти полностью соответствовали аналогичным требованиям стандартов других стран (в первую очередь США), то современная нормативная деятельность ФСТЭК России совершенно самостоятельна и серьезно отличается от требований, предъявляемых в других странах.
Основное расхождение – в сегменте наложенных средств защиты. Ни один иностранный продукт не пытается дублировать функции операционной системы, поскольку необходимости в этом нет. Вместе с тем, по мнению законодателей, операционная система, разработанная в иностранном государстве, не может считаться надежной и доверенной с точки зрения защиты информации. И это правильный подход. Потому сертификация иностранных продуктов на соответствие требованиям безопасности информации зачастую выполняется по низким классам защиты и только небольшими партиями для отдельных заказчиков.
Вторая проблема – отсутствие доверия к иностранным продуктам. Для снижения риска наличия программных закладок и недекларированных возможностей российские регуляторы проводят спецпроверки, специсследования (для программно-аппаратных устройств) и проверки исходных текстов программ. Мало кто из зарубежных организаций готов доверить свою интеллектуальную собственность регулятору из иностранного государства, хотя подобные прецеденты были. Кроме того, вполне возможно, что иностранным вендорам действительно есть что скрывать. Так или иначе, но сертификация иностранный компаний с исследованием исходных кодов программ практически не проводится, что сокращает перечень информационных систем, в которых можно применять такие продукты.
Третья проблема – нежелание зарубежных производителей оперативно исправлять ошибки в системном программном обеспечении, обнаруженные российскими исследователями. В частности, ФСТЭК организовала собственную базу угроз и уязвимостей, с помощью которой служба рассчитывает обязать иностранных производителей устранять ошибки, которые были указаны в ее базе. В базу данных ФСТЭК заносятся все уязвимости и ошибки программирования, которые стали известны широкому кругу лиц или были получены сотрудниками регуляторов от доверенных источников. Далее, после публикации информации об уязвимости, регулятор принимает различные меры. Если проблема обнаружена в сертифицированном продукте, следует работа с вендором для скорейшего исправления проблемы или, в крайнем случае, отзыв сертификата соответствия, если заявитель не готов исправить ошибку. Для несертифицированного ПО, системных и прикладных программ, которые могут быть задействованы для функционирования сертифицированных продуктов и средств защиты, ФСТЭК требует проведения анализа влияния уязвимости, который осуществляется при очередном инспекционном контроле. Если уязвимость может так или иначе затронуть сертифицированный продукт, разработчик такого решения должен найти способ нейтрализовать уязвимость либо отказаться от данной зависимости.
Вместо заключения
Импортозамещение реализуется, но движется не без препятствий. Пока основной стратегией его является замена прикладного ПО с параллельной разработкой системного. В дальнейшем планируется перенести прикладные решения на российскую базу. Вложение средств в российские продукты позволит им развиваться и выходить на качественно новый уровень. Сложности импортозамещения еще и в сроках реализации: за два-три года невозможно все средства перенести на российские платформы, а вот доверия к западным продуктам уже нет.
Выходом уже сейчас может стать использование наложенных российские средств защиты, сертифицированных ФСТЭК и/или ФСБ России, – они позволяют контролировать поведение системного ПО и обеспечивать безопасность. Это обеспечит надежный контроль конфиденциальной информации. Примером таких решений являются Secret Net, vGate и другие продукты компании «Код безопасности».
