Для проверки безопасности операционных систем (ОС) на базе ядра Linux Федеральная служба по техническому и экспортному контролю (ФСТЭК) за 300 млн руб. создаст исследовательский центр. Такие ОС сегодня уже используют госсектор и силовые структуры, но в их основе лежит зарубежный программный код, в безопасности которого власти не уверены. Эксперты и российские разработчики OC на Linux признают обоснованность задачи, но считают важным допуск к работе над ней всех заинтересованных сторон.
Фото: Олег Харсеев, Коммерсантъ / купить фото
ФСТЭК 5 февраля объявила тендер стоимостью 300 млн руб. на создание центра исследований безопасности ОС, сделанных на базе ядра Linux, обнаружил “Ъ” на портале госзакупок. Исполнителя проекта выберут 2 марта, он должен завершить все работы к декабрю 2023 года. Основная цель проекта — повысить защищенность отечественных ОС на Linux и снизить возможные последствия от кибератак на объекты критической информационной инфраструктуры (КИИ), которые используют такие ОС, отмечается в закупочной документации. В федеральной службе не ответили на запрос “Ъ”.
Linux — свободно распространяемая для разработчиков операционная система, которая легла в основу «семейства» Linux. Системы на Linux обычно распространяются бесплатно в виде различных дистрибутивов — заархивированных файлов, готовых для установки. Почти все российские операционные системы созданы на базе Linux, в их число входят Alt Linux, Astra Linux, РЕД ОС, Rosa Linux.
К КИИ относятся IT-системы госорганов, банков, объектов транспорта, связи, здравоохранения, предприятий оборонной, топливной, атомной промышленности и энергетики. Сейчас также уже большинство крупных систем корпоративного уровня работают на ОС «семейства» Linux, говорит руководитель направлений защиты АСУТП и КИИ центра информационной безопасности «Инфосистемы Джет» Александр Карпенко. Используют такие операционные системы и силовики. Так, в январе 2020 года “Ъ” сообщал, что МВД закупило компьютеры на отечественной операционной системе (ОС) Astra Linux на 1,4 млрд руб.
Стремление ФСТЭК взять под контроль разработку отечественных ОС вполне понятно, считает гендиректор группы компаний ИВК Григорий Сизоненко.
Дело в том, что отечественные разработчики программных продуктов берут за основу файлы для установки Linux из зарубежных хранилищ — репозиториев Red Hat, Debian и Suse, поясняет эксперт. Поэтому ФСТЭК, по его мнению, не может быть уверен в безопасности созданных на основе Linux систем и отсутствия в них зарубежных «закладок». Сейчас гарантию их отсутствия дает только разработка ОС на базе российского репозитория «Сизиф».
Пример возможной «закладки» был опубликован в одном из документов на сайте WikiLeaks, говорит господин Сизоненко. Речь шла о программе Gyrfalkon 2.0, разработанной на финансовый грант ЦРУ. Это «закладка» в операционную систему, предназначенная для организации канала утечки данных пользователей ОС. В документе разъясняется, как внедрить такое шпионское ПО в репозитории для установки Linux, рассказывает господин Сизоненко. «Не исключаю, что ФСТЭК обладает более полной информацией о рисках, связанных с разработкой ОС на основе зарубежных исходных кодов»,— добавляет эксперт. По его мнению, логично, что регулятор хочет сделать ядро отечественных операционных систем более прозрачным.
Сейчас усилия разработчиков операционных систем по исследованию кода ядра Linux очень разрознены и не могут обеспечить гарантии отсутствия уязвимостей и ошибок в системе, отмечает заместитель гендиректора ГК Astra Linux Юрий Соснин.
По его словам, Google уже несколько лет работает над проблемой, но пока не исследовала и половины кода ядра Linux, который исчисляется миллионами строк. Создание центра компетенции и исследований в этой сфере, по мнению господина Соснина можно приветствовать и поддерживать. Однако, подчеркивает он, важно, чтобы в проект были вовлечены все разработчики, заинтересованные в качестве своей продукции.