В понедельник, 12 августа, Совет по международным отношениям США (Council on Foreign Relations, CFR) опубликовал в своем блоге очередной провокационный пост, посвященный международным санкциям. Автор материала, в частности призывает аналитиков и союзников США применять разведывательные средства и сведения из открытых источников для анализа того, как Россия использует в рамках импортозамещения такие технологические разработки, как операционная система Astra Linux.
Хотя CFR, как частная организация, формально заявляет о своей независимой позиции в оценке международной политики, в ее руководстве, согласно публичным данным, присутствуют бывшие сотрудники разведки, банкиры, бизнесмены и журналисты: например, финансовый директор компании Alphabet. Говорить о неангажированности такого менеджмента можно только с большой долей скепсиса.
В статье, в частности, идет речь о том, что операционная система Astra Linux активно используется в военных и разведывательных информационных системах РФ. При этом ее разработка базируется на Open Source технологиях. Это, по мнению автора, свидетельствует о потенциальном наличии в Astra Linux уязвимостей, которые могут быть использованы для проведения кибератак на российскую инфраструктуру.
Дословно колумнист CFR пишет: «Astra Linux широко используется в российских военных и разведывательных системах, что, возможно, создает уязвимости, которые могут быть использованы в больших масштабах. Это … адаптированная и (предположительно) усовершенствованная версия операционной системы с открытым исходным кодом... Вполне возможно, что разработчики Astra Linux имеют меньше возможностей для тестирования и защиты своего кода более широким кругом пользователей. Это может быть областью, где Соединенные Штаты и их союзники могут использовать преимущества в киберпространстве».
В материале, таким образом, высказывается мнение, что разработчики Astra Linux имеют ограниченные возможности для тестирования и обеспечения безопасности своего кода, и это может стать слабым местом системы, открытым для кибератак.
Впрочем, при чтении статьи возникают большие вопросы к компетенции автора. Например, в ней содержится абсурдное утверждение о том, что российская промышленность добывает чипы, извлекая их из бытовых приборов наподобие холодильников. Такое высказывание можно было бы принять за иронию, – если бы не исключительно серьезная общая тональность материала.
В то же время автор справедливо отмечает, что российские разработчики используют в своих программных продуктах компоненты на основе свободного ПО, которое, согласно мировой практике, при отсутствии дополнительных механизмов защиты, потенциально может являться небезопасным.
К слову, что в начале года ICT-Online.ru выпустил обзор, посвященный надежности отечественных операционных систем, где эти аспекты рассмотрены более подробно.
«Группа Астра» быстро отреагировала на данное сообщение, опубликовав от имени пресс-службы развернутый официальный комментарий. По мнению разработчика, столь активная зарубежная агитация в очередной раз подтверждает верность бизнес-стратегии Группы – фокусировки на создании безопасных решений, усиленных собственными средствами защиты информации. Причем этот принцип компания взяла за основу не столько из-за геополитической обстановки, сколько из-за понимания его важности в принципе.
«Информационная безопасность зашита в ДНК «Астры» – это наш ключевой приоритет. Он не определяется геополитической конъюнктурой: мы занимаемся вопросами защищенности своих продуктов постоянно, чтобы отвечать высоким требованиям регуляторов и клиентов. Но в текущих реалиях, когда число кибератак на российскую критическую инфраструктуру кратно возросло, мы продолжим развивать и усиливать наши технологии защиты, укреплять внутреннюю инфраструктуру безопасной разработки, а также инструментарий проверки и анализа кода», – отметили в компании.
В сообщении заверяется, что «Группа Астра», вопреки мнению зарубежного колумниста, располагает достаточными ресурсами для тестирования кода и оперативного устранения уязвимостей. Она уделяет большое внимание таким технологиям, как мандатное разграничение доступа и контроль целостности, замкнутая программная среда и другим средствам защиты.
В качестве дополнительных мер безопасности разработчик выделяет плотное взаимодействие с центром безопасности ядра Linux Института системного программирования РАН и запуск программы Bug Bounty, которая позволяет выявлять и оперативно устранять слабые места в наших средствах защиты информации. Кроме того, в арсенале «Группы Астра» – уникальная запатентованная теоретическая разработка – способ обеспечения безопасности информационных потоков, реализованный в подсистеме безопасности PARSEC собственной разработки. Она создана на основе адаптированной для операционных систем семейства Linux, современной и верифицированной формальной модели безопасности управления доступом.
«В связи со сложившейся международной обстановкой также усилены меры по выявлению вредоносных включений в программное обеспечение, проводится дополнительный антивирусный контроль с применением нескольких специализированных средств, – сообщает разработчик. – Российские регуляторы, осознавая важность информационной безопасности и технологического суверенитета, накладывают достаточно жесткие требования для разработчиков средств защиты информации. В частности, это касается процессов разработки безопасного ПО и оперативного устранения уязвимостей. Приоритеты в сфере информационной безопасности у бизнеса и государства совпадают, во многом благодаря усилиям ФСТЭК России, которая существенно модернизировала требования к ИБ компаний и лидирует направление в области разработки безопасного программного обеспечения».
Отмечается, что ОС Astra Linux сертифицирована ФСТЭК России по первому уровню доверия и классу защиты.
Вместе с тем эксперты «Группы Астра» напоминают, что защищенность ИТ-инфраструктуры зависит от всего комплекса средств ИБ, который используется в организации, а также от того, насколько эти продукты интегрированы и усиливают друг друга. Поэтому «Группа Астра» настоятельно рекомендует заказчикам использовать весь комплекс средств защиты информации, необходимый для защиты информации с учетом конкретной модели угроз, правильно выбирать режимы функционирования, внимательно следовать рекомендациям и методическим инструкциям по настройке безопасности средств защиты информации, в том числе ОС Astra Linux, и своевременно применять обновления, направленные на устранение потенциальных уязвимостей.