Руководство МЧС обеспокоено тем, что ведомственная система «Атлас опасностей и рисков» работает на австрийской платформе ProxmoX Virtual Environment, а также получает данные из ресурсов американского NASA. МЧС хочет оценить риски дальнейшего использования системы «в текущих геополитических и экономических условиях». Эксперты называют среди наиболее вероятных проблем «вредоносные закладки» и угрозу отключения со стороны западных разработчиков. Но импортозамещение таких ресурсов может оказаться очень дорогостоящим.
Фото: Юрий Мартьянов, Коммерсантъ
“Ъ” ознакомился с письмом директора департамента образовательной и научно-технической деятельности МЧС Александра Бондара первому замминистра Александру Чуприяну от 27 апреля. Господин Бондар сообщает, что в информационной системе МЧС «Атлас опасностей и рисков» используется иностранное ПО, в частности австрийская платформа ProxmoX Virtual Environment (VE), а также NASA EOSDIS GIBS (открытый сервис NASA, который позволяет выгружать спутниковые снимки Земли).
«В текущих экономических и геополитических условиях представляется целесообразным провести оценку рисков дальнейшего использования в системах иностранного программного обеспечения»,— отмечает господин Бондар.
В пресс-службе МЧС не стали подтверждать или опровергать подлинность письма. На основе данных из «Атласа опасностей и рисков» в МЧС принимаются в том числе управленческие решения, отметили в министерстве, подчеркнув, что при эксплуатации системы «выполняются все требования по информационной безопасности». В МЧС добавили, что система виртуализации ProxmoX VE является программным обеспечением с открытым кодом, которое позволяет создавать и управлять виртуальными машинами, а также позволяет осуществлять централизованное управление виртуализацией. Одним из открытых источников данных также служит NASA EOSDIS GIBS, из которой получается справочная и иная информация, подтвердили в пресс-службе.
Согласно паспорту цифровой трансформации МЧС, опубликованному на сайте ФГИС КИ, система «Атлас опасностей и рисков» запущена в 2021 году, общие затраты на ее создание составили 112 млн руб.
При этом министерству для развития системы потребуется еще порядка 100 млн руб. до 2024 года, следует из документа.
По сути «Атлас опасностей и рисков» — это интерактивная карта, на которой размещена информация о ЧС и происшествиях, происходящих в России. Система состоит из двух частей: открытой, доступной для граждан, и закрытой. Последняя доступна для сотрудников МЧС, там отображается больший массив данных о событиях, «включая те, что происходят на Украине», рассказал источник “Ъ”, близкий к министерству.
Опрошенные “Ъ” эксперты по и кибербезопасности согласны, что риски использования ProxmoX VE в информационных системах МЧС действительно существуют.
Один из вариантов — это отключение работы ПО для России, другой — добавление «закладок» в ProxmoX VE, пояснил руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Ильназ Гатауллин: «"Закладка" позволяет злоумышленникам получить первичный доступ в инфраструктуру, чтобы потом распространиться внутри сети и получить доступ ко всем данным».
Вероятность того, что использование ProxmoX VE на территории РФ, несмотря на свободную лицензию GNU GPL, будет ограничено, существует, отмечает глава Центра компетенций по импортозамещению в сфере ИКТ Илья Массух: «Примеров таких действий со стороны разработчиков достаточно: в частности, по операционным системам на базе Linux — CentOS и Ubuntu».
Исполнительный директор научно-исследовательского центра АО «Швабе» в МФТИ Лоран Акопян считает, что существенных рисков при применении EOSDIS нет в силу распределенной открытой архитектуры системы. Однако идею провести аудит рисков, связанных с использованием указанного и другого иностранного ПО, эксперт называет разумной, полагая, что это может привести к возникновению «новых возможностей для российских технологических компаний». Заменить подобные системы реально, добавляет господин Акопян, хотя «объем необходимых для этого инвестиций может остановить даже государство от решения подобных задач на фоне разнообразных open-source-компонентов».