ФСТЭК поищет закладки
В России создадут систему для безопасной разработки ПО
Федеральная служба по техническому и экспортному контролю (ФСТЭК) планирует к 2024 году создать доверенную среду разработки программного обеспечения стоимостью 510 млн руб. Решение необходимо, чтобы российские софтверные компании при создании ПО для объектов критической информационной инфраструктуры не могли случайно или намеренно оставить в нем уязвимости. Эксперты признают возможность таким образом повысить безопасность, но опасаются, что впоследствии государство может обязать вести разработку ПО для своих нужд только в этой системе.
“Ъ” обнаружил на портале госзакупок, что ФСТЭК 16 февраля объявила тендер начальной ценой 510 млн руб. на «создание унифицированной среды разработки безопасного отечественного программного обеспечения». Работы необходимо выполнить до декабря 2024 года.
Судя по технической документации проекта, ведомство хочет получить набор программных решений, в котором российские софтверные разработчики смогут писать исходно доверенные с точки зрения информационной безопасности решения для субъектов критической информационной инфраструктуры (КИИ, к ним относятся, например, банки, объекты энергетики, оборонные ведомства и др.).
В ФСТЭК на запрос “Ъ” не ответили.
В Минцифры пояснили “Ъ”, что сегодня в России отсутствует такая среда разработки: «Если она и есть, то создана сугубо под себя отдельными компаниями и не доступна всем». Таким образом, создание именно унифицированной среды позволит использовать ее широкому кругу заинтересованных разработчиков, добавили в министерстве.
Сейчас софтверные компании подтверждают надежность своих продуктов, проходя длительную экспертизу ФСТЭК. Процедура призвана снизить риски наличия в софте так называемых бэкдоров (дефект алгоритма, который позволяет получить несанкционированный доступ к данным или удаленному управлению системой). «Внедрение принципов безопасной разработки призвано снизить количество уязвимостей в исходном коде, что повлияет на общий уровень безопасности программных продуктов и информационных систем»,— говорят в Минцифры.
Данные об уязвимостях как зарубежного, так и отечественного софта всплывают регулярно. Так, в январе стало известно о вредоносном коде в модулях 1С, который встраивался в софт во время доработки модулей у программистов на аутсорсинге (см. “Ъ” от 26 января). Тогда же появилась информация об уязвимости открытой операционной системы (ОС) Linux, которая лежит в основе российских ОС, установленных в банках, на промышленных объектах и в госсекторе (см. “Ъ” от 27 января). В начале 2021 года ФСТЭК планировала создать специальный исследовательский центр для проверки безопасности ОС на базе ядра Linux (см. “Ъ” от 11 февраля 2021 года), но информации, что он заработал, нет.
По мнению собеседника “Ъ” на софтверном рынке, унифицированная среда разработки безопасного ПО необходима, чтобы ФСТЭК могла фактически в реальном времени контролировать процесс его создания: «Впоследствии российские компании могут обязать разрабатывать софт для субъектов КИИ исключительно в этой системе, чтобы снизить риски информационной безопасности».
Дмитрий Комиссаров, гендиректор «Новых облачных технологий», в интервью “Ъ” в октябре 2020 года:
«Мы считаем, что двигаться в сторону программистов государству было бы правильно. Это стимулирует экономику».
Сейчас российской унифицированной среды разработки действительно не существует, отмечают эксперты. Разработчики используют различные среды, что потенциально несет множество рисков, связанных, например, с воровством кода, «закладками» и даже элементарным отключением или ограничением доступа к такой среде, например, по политическим причинам, поясняет директор R&D-центра IVA Technologies Виктор Петров.
«В основе подхода ФСТЭК лежит тезис о том, что большая часть угроз начинается с неправильных инструментов у разработчиков или их недостаточно качественной подготовки к созданию продукта. В итоге он получается дырявым, чем могут воспользоваться злоумышленники»,— считает коммерческий директор компании «Код безопасности» Федор Дбар. Директор R&D-центра IVA Technologies Виктор Петров признает, что задуманная ФСТЭК среда необходима, но сомневается в реалистичности проекта: «Заложенных денег хватит в лучшем случае на реализацию пилота». Создание же полноценной унифицированной среды разработки, по мнению эксперта, обойдется «на порядок дороже». Заместитель директора центра промышленной безопасности компании «Информзащита» Игорь Рыжов считает маловероятным и то, что проект можно реализовать в заданный в условиях срок.