Защиты не напасешься
Разработчики софта не успевают за уязвимостями
Российские разработчики ПО не соблюдают регламенты ФСТЭК в части скорости реагирования на обнаруженные уязвимости. Это грозит отзывами сертификатов, что осложнит поставки госсектору. Сами разработчики связывают ситуацию с ростом спроса на решения и загруженностью «всех уровней поддержки». Источники “Ъ” связывают медлительность вендоров также с тем, что их ПО базируется на открытом коде, устранением уязвимостей в котором занимается «не разработчик, а сообщество», а конкретный продукт перед передачей клиенту приходится тщательно проверять на наличие вредоносных закладок.
Рисунок: Виктор Чумачев, Коммерсантъ
Рисунок: Виктор Чумачев, Коммерсантъ
Как рассказали “Ъ” в Федеральной службе по техническому и экспортному контролю (ФСТЭК), российские разработчики программного обеспечения регулярно нарушают требования ведомства по срокам устранения уязвимостей в своих продуктах. Практика, подчеркнули в службе, показывает «недостаточную эффективность поддержки ПО». «Службы технической поддержки российских вендоров должны реагировать молниеносно на требования заказчиков, но все чаще и чаще возникает ситуация, когда обратной связи по средствам защиты недостаточно»,— говорил заместитель главы ФСТЭК Виталий Лютиков 21 сентября на конференции BIS Summit.
Речь идет о соблюдении требований регламента включения информации об уязвимостях ПО в «Банк данных угроз безопасности информации» ФСТЭК.
По нему вендор софта в случае поступления информации о потенциальной уязвимости в своем ПО должен в течение 30 или 60 дней в зависимости от уровня угрозы принять меры к ее устранению, например разработать правку (патч) для ПО.
Глава совета директоров «Базальт СПО» Алексей Смирнов объясняет, что нарушение регламента ФСТЭК может привести к отзыву у ПО сертификата. Это фактически закроет для вендора возможности поставок госзаказчикам, которые требуют от поставщиков сертифицированный софт.
Российские разработчики софта «отрабатывают инциденты» и вносят правки в ПО вдвое дольше, чем зарубежные, подтверждает гендиректор Factory5 Денис Касимов. Ситуация, по его словам, связана с возросшим спросом на отечественные продукты и, как следствие, ростом нагрузки на специалистов всех уровней технической поддержки.
Российские компании не были готовы к резкому увеличению запросов по обработке инцидентов после ухода западных поставщиков, соглашается директор по разработке ООО «Аурига» Елена Баранова.
«Для сокращения времени на обработку запроса требуются отдельные сервисные команды, что для российских разработчиков может оказаться слишком дорого»,— говорит она. Глава QA-отдела SimbirSoft Марина Тарасова добавляет, что у зарубежных компаний было больше опыта отработки инцидентов, тогда как российские игроки «не всегда обладают необходимой экспертизой и ресурсами для своевременной отработки инцидентов».
Весной 2022 года ФСТЭК отозвала сертификацию у более чем 50 иностранных разработчиков, среди них IBM, Microsoft, Oracle и др. Причиной отзыва сертификатов стало отсутствие технической поддержки вендоров, большинство из которых остановили бизнес в России после начала военных действий на Украине (см. “Ъ” от 28 марта 2022 года).
Впрочем, участники рынка отмечают и важную технологическую причину неторопливости российских поставщиков ПО.
По словам главы комитета по информбезопасности ассоциации «Отечественный софт» Романа Карпова, существенная доля сертифицированного ФСТЭК российского ПО основана на открытом коде, устранением уязвимостей в котором «занимается не конкретный разработчик, а сообщество». «Из-за этого некоторым компаниям тяжело в срок выполнять устранение уязвимостей. Из-за зависимости компаний от сторонних разработчиков решение задачи может растянуться на несколько месяцев»,— поясняет он.
Источник “Ъ” в разработчике общесистемного ПО уточняет, что еще одной проблемой доработки софта, основанного на открытом коде, стали риски внедрения в него недобросовестными участниками сообщества вредоносного кода и «разработчики вынуждены проверять и перепроверять каждое обновление перед передачей пользователю».
Сравнивать российских и зарубежных вендоров по скорости техподдержки и реакции на возможные уязвимости ПО некорректно, настаивают в АПКИТ. «Импортозамещение идет в ускоренном режиме. Поэтому все силы IT-компаний в первую очередь брошены на срочную разработку аналогов или опережающих решений. Сервис, обучение, документирование пока по естественным причинам нехватки ресурсов могут несколько отставать»,— отмечают там.