Как противостоять угрозам безопасности ПО?

Центральной темой XI научно-практической конференции OS DAY 2024, состоявшейся в Москве, в Российском экономическом университете имени Г.В. Плеханова, стала  тема безопасности операционных систем на уровне инженерных или архитектурных решений, обеспечивающих ответы на модели угроз. Также в ходе состоявшегося в рамках конференции круглого стола «Национальные стандарты по разработке безопасного программного обеспечения» обсуждались перспективы внедрения до начала 2025 года нового ГОСТа, призванного стандартизировать процессы безопасной разработки.

Конференция OS DAY из локального ИТ-события давно превратилась одно из опорных мероприятий отрасли, форум, привлекающий внимание специалистов как в России, так и за ее пределами. Этому способствует и высокая степень актуальности затрагиваемых тем, и звездный состав организаторов – ИСП РАН, «Лаборатория Касперского», НТП «Криптософт», «Открытая мобильная платформа», Группа Астра, «Базальт СПО», РЕД СОФТ, НТЦ ИТ РОСА и НИЦ «Институт имени Н.Е. Жуковского». 

Так, в опубликованном буквально за несколько дней до OS DAY 2024 Указе Президента Российской Федерации «Об утверждении приоритетных направлений научно-технологического развития и перечня важнейших наукоемких технологий» среди приоритетных направлений указана «безопасность получения, хранения, передачи и обработки информации», а среди технологий – «технология создания доверенного и защищенного системного и прикладного программного обеспечения». То есть – ключевые темы конференции, обсуждение которых было запланировано еще весной.  

Степень важности этих тем преуменьшать нельзя: глобальные вызовы современности буквально вынуждают придавать особое внимание защищенности системного программного обеспечения, безопасности прикладных программ и доверенности аппаратной части. Однако с этими вопросами связано значительное число сложностей.

– Проблемой видится то, что Open Source стал небезопасен, и недоброжелатели могут действительно вшивать «черные ящики» в пакеты, которые могут потом быть использованы в ОС, – говорит Алексей Киселёв, руководитель направления разработки операционных систем компании РОСА. – Наиболее серьезные угрозы безопасности для отечественного ПО могут происходить от уязвимостей в прикладных программах и компонентах, таких, как OpenSSH. Часто в новых версиях программ появляются уязвимости, через которые можно осуществить атаку на операционную систему. 

Что особенно неприятно, так это то, что уязвимости, чреватые серьезными последствиями, могут отыскаться даже в защитных программах.

–Наиболее серьезные угрозы безопасности находятся не в пространстве ядра, а на уровне совместимости средств защиты информации разных производителей, – отмечает Роман Мылицын, руководитель отдела перспективных исследований и специальных проектов Группы Астра. – Зачастую же проблема – в качестве программного обеспечения. 

О качестве ПО, между тем, –  вопрос сложный. Если речь идет о программном обеспечении, создаваемом отечественными компаниями с нуля, здесь, разумеется, даже можно не искать заведомо вредоносный код. Однако если квалификация разработчиков недостаточна, «дыры» в безопасности могут возникнуть из-за использования небезопасных функций и ошибок в коде. Если же говорить про Open Source, то тут чаще всего код написан довольно профессионально, однако никто не застрахован от встроенных «закладок» и «бэкдоров». Об этом напоминает Валерий Егоров, технический директор НТП «Криптософт».

– Наиболее серьёзные угрозы безопасности представляет необдуманное использование чужого кода, написанного в чужой стране, согласно концепции открытого ПО, – утверждает он. – Проверить весь объём чужого кода не представляется физически возможным. Выход только один – использование в максимальной степени собственного кода или, как минимум, кода, написанного в России.

Впрочем, возможны и другие пути выхода из сложившейся ситуации, в первую очередь, –  описанные в обсуждавшемся на конференции ГОСТе.

– Если над программным обеспечением работают распределенные команды независимых разработчиков, которые вносят свои изменения в код, каждое изменение необходимо тщательно отслеживать, проверять на закладки, ошибки, атаки на цепочки поставок, ошибки кода, – говорит Олег Шапошников, начальник отдела ИБ компании РЕД СОФТ.

Целый список потенциальных угроз перечислило сообщество OWASP – открытый проект обеспечения безопасности веб-приложений. В TOP-10 опасностей, подстерегающих создателей ПО, вошли нарушение контроля доступа, недочёты криптографии, инъекции, небезопасный дизайн, небезопасная конфигурация, использование уязвимых или устаревших компонентов, ошибки идентификации и аутентификации, нарушения целостности программного обеспечения и данных, ошибки логирования и мониторинга безопасности, подделка запросов на стороне сервера.

Впрочем, даже если программное обеспечение будет практически безупречным и максимально защищенным, останется еще одна угроза, от которой программисты защитить свое детище не в силах – недостаточный уровень подготовки конечного пользователя в отношении правильного и безопасного использования средств защиты.

– Серьезную проблему представляет собой неготовность системных администраторов и пользователей к эксплуатации новых программных продуктов, – отмечает Алексей Новодворский, советник генерального директора «Базальт СПО». – Причем тут мы говорим не только о переходе на новые для них ОС, но и о стремлении обойти инструкции и регламенты для «упрощения жизни». Рецепты обхода и отказа от средств защиты нетрудно найти в сети. Задача вендора ОС – организация доступного обучения, разъяснение последствий таких действий и, конечно, работа над упрощением интерфейсов, стремление сделать их удобными и привычными для пользователя.

Как следствие, задачи, которые стоят перед отечественной ИТ-отраслью, постоянно усложняются. Если еще чуть более десяти лет назад речь шла всего лишь о создании достаточно мощных и эффективных наложенных средств безопасности, то сегодня на конференции OS DAY говорят уже о защищенности ПО на уровне кода и о формировании культуры пользователя создаваемых программ. Фронт работ растет, требования становятся все более жесткими, однако, даже сравнивая программы OS DAY за минувшие 11 лет, можно прийти к справедливому выводу: ИТ-отрасль в России крепнет и становится сильней с каждым годом.