Доверенному ПО – центр в помощь

О создании Технологического центра безопасности отечественных операционных систем было объявлено в марте 2021 года. Его учредителями стали ФСТЭК и ИСП РАН.

https://www.comnews.ru/content/216941/2021-10-18/2021-w42/kolkhozom-bagam

На круглом столе "Доверенное отечественное ПО: риски сегодняшнего дня и модели долгосрочного устойчивого развития", который проходил на конференции OS Day 2022 "Технологические основы безопасности операционных систем", были представлены первые результаты работы этого центра.

Как отметил начальник управления ФСТЭК России Дмитрий Шевцов, его открытие стало одним из шагов по реализации новой стратегии защиты информации, где во главу угла ставится не использование наложенных средств, а создание изначально доверенного ПО, включая операционные системы, гипервизоры виртуализации, СУБД. При этом сертификация доверенного ПО, а это дорогая и долгая процедура, занимает существенно меньше времени, если код прошел аудит в Центре компетенции. В настоящее время уже сертифицировано три российских операционных системы. С системами защиты информации дело обстоит несколько сложнее, но появление первых продуктов – дело обозримого будущего. Также Дмитрий Шевцов проинформировал о том, что методические рекомендации по защите контейнеров готовы для регистрации в Минюсте, а процесс разработки рекомендаций по защите виртуальных сред будет завершен уже к осени текущего года.

Ведущий научный сотрудник ИСП РАН Алексей Хорошилов поделился подробностями работы Центра по сопровождению кода ядра Linux. За основу было взято ядро 5.10 с длительным сроком поддержки. Удалось выявить несколько десятков ошибок, данные о которых были отправлены разработчикам. Из этих ошибок 23 приняты сообществом разработчиков. Также Центром ведется доработка ядра, направленная на повышение его безопасности. Не менее важной задачей является портирование на другие архитектуры: "Эльбрус", RISC V, ARM.

Заместитель директора Департамента обеспечения кибербезопасности Минцифры России Евгений Хасин рассказал о работе над российским репозиторием свободного ПО. Однако эта мера необходимая, но недостаточная. Необходимо расширять участие российских компаний в работе над свободными проектами, которое в настоящее время явно недостаточно. При этом зарубежные корпорации активно "открывают" свои разработки, что позволяет контролировать продукты и при этом привлекать для их совершенствования большое количество внешних разработчиков. Также необходимо вовлекать в процесс создания СПО вузы, чтобы в работе над ПО участвовали студенты. Евгений Хасин посетовал на недостаточное внимание СМИ к данной теме.

Далее участники обсуждали то, как найти баланс между открытостью и закрытостью. По мнению заместителя генерального директора "Базальт СПО" Алексея Новодворского, разработка свободного ПО дело частных лиц, а не компаний и не государств. Примерами таких проектов являются ядро Linux, все разработки GNU, а также репозиторий "Сизиф" от "Базальт СПО". Вместе с тем, немало и таких продуктов, которые хоть и под свободными лицензиями, контролируются корпорациями, и повлиять на развитие данных решений сложно, а то и невозможно.

Однако начальник отдела перспективных исследований и специальных проектов ГЕ Astra Роман Мылицын обратил внимание на то обстоятельство, что все защищенные решения, в том числе на базе СПО, имеют закрытый код. Открытость кода является угрозой. К тому же слепо доверять открытому коду нельзя, и уповать на то, что сообщество будет заниматься тщательным аудитом, нельзя.

Основатель группы компаний DZ Systems, организатор и член программного комитета OS Day Дмитрий Завалишин назвал несколько факторов, которые влияют на "национальную принадлежность" ПО, в том числе свободного. Это, во-первых, то, кто формирует стратегию развития продукта, и, во-вторых, кто занимается технической поддержкой. В итоге есть немало проектов, которые с полным правом можно назвать американскими.

Исполнительный директор АРПП "Отечественный софт" Ренат Лашин признал, что с использованием СПО связано много рисков, связанных с позицией правообладателей, безопасностью, технической поддержкой. Эти вопросы, безусловно, необходимо решать. Но когда все ключи собраны и замок открывается, то никаких вопросов не возникает.

Директор ИСП РАН Арутюн Аветисян призвал к тому, чтобы ПО стало мироцентричным, а не тяготело к какой-то одной стране. И процесс данного перехода необходимо возглавить. Доступ к ПО не должен быть ограничен, как доступ к продовольствию, чистому воздуху или воде.