Безопасность вызывает доверие
ИБ-отрасль предлагает доработать реестры софта Минцифры в части защищенности решений
Специалисты по кибербезопасности предлагают Минцифры доработать пока обсуждаемые проекты новых реестров отечественного программного обеспечения (ПО), а также внести изменения в работу уже существующего реестра, с тем чтобы повысить безопасность опубликованного там ПО. Решением, считает отрасль, может стать дополнительная проверка на уязвимости софта и маркировка таких проверенных IT-решений, по аналогии с уже действующей маркировкой ПО с искусственным интеллектом.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
“Ъ” ознакомился с результатами обсуждения изменений в работе реестра российского ПО Минцифры профильным сообществом ИБ-компаний и специалистов в центре развития индустрии кибербезопасности «Кибердом», направленными в министерство в конце октября. Обращение отрасли касается инициатив, подготовленных и опубликованных Минцифры осенью, которые детализируют работу реестра отечественного ПО, а также предполагают появление двух новых перечней программ.
Так, министерство в конце сентября представило пакет подзаконных актов о создании новых реестров отечественного софта, в том числе с частными корпоративными разработками и так называемым доверенным ПО. Для признания ПО «доверенным» требуется в том числе подтвердить совместимость хотя бы одной версии программы с отечественным процессором, а также наличие техподдержки и системы учета ошибок и уязвимостей для устранения их в течение 30 дней и др. (см. “Ъ” от 22 сентября).
Как сказано в письме рабочей группы в Минцифры, инициатива создает «новую структуру регулирования рынка российского ПО», при этом, в случае сохранения существующих подходов к управлению рисками кибербезопасности и темпов импортозамещения, «положения выступают "заградительным барьером" для включения в него российских продуктов в сфере защиты».
Как поясняют авторы обращения, требование о совместимости с российским процессором является для российских ИБ-средств нереализуемым из-за невозможности протестировать совместимость на практике.
По оценке отрасли, требования сделают невозможным попадание ведущих ИБ-продуктов в реестр «доверенного» ПО. Представители рабочей группы предлагают «проведение публичных программ поиска уязвимостей в обязательном или добровольном порядке в зависимости от типа реестра». И при прохождении тестирования — маркировку такого продукта в реестре, по аналогии с уже ведущимся экспериментом с маркировкой софта, в основе которого технологии искусственного интеллекта (ИИ).
В Минцифры “Ъ” сообщили, что получили предложения: инициативы, признанные целесообразными, были учтены: «Например, скорректированы сроки по поддержке отечественных микропроцессоров разработчиками доверенного ПО». Также в перечень доверенного ПО будут вноситься решения, подтвердившие соответствие «дополнительным требованиям». Но в Минцифры уточнили, что проверка на соответствие указанным требованиям является добровольной для разработчика: «Несоответствие им не приведет к исключению из реестра».
«Отрасль озабочена тем, что доля успешных атак на российские компании через уязвимости в ПО составляет около 30% от общего числа киберинцидентов»,— говорит замгендиректора «Кибердома» Александра Шадюк. Крайне эффективно будет ввести маркировку безопасного ПО с точки зрения уязвимостей. Разработчикам также важно размещать на своих сайтах релевантные контакты для сдачи уязвимостей независимыми исследователями.
Предложенные проектом критерии не предусматривают проведения практических проверок, тестирования решений, говорит руководитель группы по сопровождению GR-проектов ГК «Солар» Андрей Медунов.
Но при определении ПО как «доверенного» важно зафиксировать требования по проведению инструментального анализа кода. Независимый исследователь Дмитрий Кирюхин отмечает, что компании, которые переходят с зарубежных решений на отечественные, а также те, кто самостоятельно разрабатывает решения, далеко не всегда учитывают уровень безопасности своего продукта. «Внутренних команд тестирования безопасности зачастую нет, а при внесении в реестр никакие исследования сторонними лабораториями не проводятся»,— отмечает эксперт. Говоря о трудностях совместимости ПО и отечественного «железа», источник “Ъ” на рынке кибербезопасности добавляет, что российские процессоры не дают нужной производительности и 90% решений на рынке эту совместимость обеспечить не может.