До недавнего времени российские свободные проекты использовали, в основном, в достаточно специализированных областях: это системное программирование и развитие экосистемы Linux, научные разработки, высокопроизводительные вычисления и ряд других. Теперь ситуация изменилась. В условиях, когда крупные иностранные вендоры ПО приостановили операционную деятельность в России, государству необходимо срочно наращивать объем импортонезависимого софта, созданного внутри страны. Помимо поддержки развития ПО только для наукоемких отраслей, задача сегодня ставится шире: внедрение российского ПО в госучреждениях, на объектах критической информационной инфраструктуры, в системе образования, а в будущем – и охват всего российского рынка.
Этот тренд отразился на повестке конференции OS DAY 2022: представители государственных ведомств обратились к отечественным разработчикам свободных продуктов с заявлением о готовности оказать им поддержку.
Арутюн Аветисян, директор ИСП РАН (на фото в центре)
Напомним, консорциум OS DAY, организатор одноименной конференции, объединяет ведущих разработчиков отечественных ОС и системного ПО: ИСП РАН, DZ Systems, «Базальт СПО», «Лаборатория Касперского», РЕД СОФТ, «РусБИТех-Астра», «Криптософт», «Открытая мобильная платформа», НИЦ «Институт имени Н.Е. Жуковского». Активное участие в мероприятии проявили РАН, ФСТЭК России, АРПП «Отечественный софт» и НП «РУССОФТ».
Меняется мир – меняются ИТ
Несмотря на оптимистичный посыл конференции в целом, среди ее участников чувствовалась определенная напряженность: сказывался объем срочных задач, которые возлагаются на ИТ-отрасль.
Валерий Егоров, заместитель директора НТП «Криптософт»
Наиболее выразительно высказался по поводу сложившихся в отрасли условий заместитель директора НТП «Криптософт» Валерий Егоров: «Мир изменился... И у сообщества Open Source сейчас фактически нет уверенности в завтрашнем дне». Несмотря на кажущееся преувеличение, эта оценка отражает нынешнюю ситуацию. Государство предпринимает сейчас явные попытки, чтобы придать уверенность разработчикам в правильности выбранного пути, но сильное давление оказывают на них предельно сжатые сроки, данные на осуществление поставленных задач.
Участники конференции OS DAY не ограничились разговорами о российском софте. Они отметили, что сейчас происходят глобальные перемены. «Разработчикам необходимо меняться в изменившемся мире. Нужно максимально концентрировать усилия всех участников рынка на поставленной цели. Другого варианта для сообщества Open Source в России нет», – заявил Валерий Егоров.
Основной тренд в развитии ПО – применение сертифицированных доверенных технологий
Главным признаком происходящих изменений стал отход от прежней концепции «наложенных средств безопасности» для защиты периметра и переход к новой концепции использования доверенного софта. Об этом рассказал начальник управления ФСТЭК России Виктор Шевцов.
Еще несколько лет назад ФСТЭК приняла решение о необходимости перехода на открытое ПО – ИТ-отрасль таким образом получила серьезную поддержку в лице регулятора. Как отметил Арутюн Аветисян, «в настоящее время государство проявляет более открытую позицию в отношении разработчиков, чем даже бизнес».
Виктор Шевцов, начальник управления ФСТЭК России
ФСТЭК России, как один из регуляторов этого рынка, по словам Виктора Шевцова, «стремится создавать доверительные отношения с российскими разработчиками свободного софта, предлагает всестороннюю поддержку отрасли в развитии методологии безопасной разработки и тестирования ПО. В этом же направлении проводится и сертификация российских продуктов».
Как рассказал спикер, до недавнего времени системы защиты информации строились на принципах применения архитектуры наложенных средств защиты. Это было вынужденное решение, поскольку рынок использовал преимущественно продукты зарубежного производства. Для обеспечения информационной безопасности таких решений приходилось разрабатывать специальные средства управления доступом.
Главным инструментом стал программный комплекс Secret Net, разработанный компанией «Код безопасности». Он стал стандартом для защиты конфиденциальной информации от несанкционированного доступа на серверах и рабочих станциях. С его помощью выстраивалась эшелонированная оборона, внутри которой работало «недоверенное ПО». Суть этой архитектуры состояла в том, чтобы лишить применяемое ПО рисков неконтролируемого управления извне и не допустить утечку информации изнутри. Атаки могли быть проведены по командам через закладки, вирусы или встроенные недекларированные возможности.
(Secret_Net «Модель безопасности Secret Net для российских программных продуктов. Источник: «Код безопасности»)
В настоящее время ситуация коренным образом изменилась. Основным трендом стало применение сертифицированных, доверенных технологий в таких программных решениях, как ОС, средства виртуализации и контейнеризации, СУБД. «ФСТЭК намерен двигаться по пути разработки собственных технологий. Эти системы можно использовать в системах КИИ», – отметил Виктор Шевцов.
Главная идея безопасного использования софта, таким образом, заключается в переходе от модели защищенного периметра, выстраиваемого вокруг недоверенного ПО, к модели использования свободного доверенного ПО. Благодаря тому, что ФСТЭК имеет возможность провести полное исследование ПО, поставляемого с исходными кодами, у регулятора есть возможность контролировать наличие или отсутствие в нем недекларируемых возможностей. Новая модель избавляет от наращивания программных систем «лишними эшелонами защиты». Эта модель безопасности становится проще и обеспечивает более надежную защиту от внешних угроз.
Создание новой экосистемы ПО в России началось
Напомним, что в 2021 году под эгидой ФСТЭК создан центр компетенции для проверки безопасности операционных систем на базе ядра Linux. В начале этого года в ведомстве был также запущен проект по исследованию безопасности критических компонентов Linux. Важным шагом на пути становления новой экосистемы программных разработок стало принятие сертифицированной версии ядра Linux 5.10 за основу для развития в ближайшем будущем других системных и прикладных компонентов доверенной программной среды.
На ядро Linux нового поколения (выпущено в конце 2020 года – прим. ред.) уже перешли три российские операционные системы: «Альт», Astra Linux и РЕД ОС. Остальные российские ОС на базе Linux также планируют этот переход, но сроки перехода представитель ФСТЭК охарактеризовал как «от начала 2023 года до бесконечности». Вероятно, часть разработчиков предпочитает дождаться перехода ФСТЭК на следующую ступень сертифицированной версии ядра Linux.
Статистика по переходу сертифицированных ОС на ядро Linux 5.10, данные ФСТЭК России
Помимо определения базового набора системных функций, ФСТЭК также проводит сертификацию российских средств сетевой безопасности на совместимость работы с базовым ядром Linux 5.10. По опубликованной информации ведомства, пока ни один из российских продуктов этого класса не перешел на поддержку сертифицированного ядра Linux. Как заявил Виктор Шевцов, значительная часть российских сетевых средств безопасности планирует переход на ядро Linux 5.10 только к концу 2023 года.
Статистика по переходу сертифицированных средств сетевой безопасности на ядро Linux 5.10, данные ФСТЭК России
Новая модель безопасности предполагает также пересмотр требований к сертификации по уровням защиты. В настоящее время ФСТЭК готовит список критериев, которые позволят определять при сертификации ПО его соответствие новым требованиям ФСТЭК. Предварительный список требований для средств виртуализации и контейнеризации был представлен в презентации ФСТЭК.
Требования по безопасности информации к средствам виртуализации, данные ФСТЭК России
Требования по безопасности информации к средствам контейнеризации, данные ФСТЭК России
Необходимо развивать сообщество разработки свободного ПО
Государственную поддержку разработчиков свободного софта проявляет и Минцифры. Об этом рассказал Евгений Хасин, заместитель директора Департамента обеспечения кибербезопасности Минцифры. Он отметил изменения, которые происходят в мире в отношении свободного ПО: в первую очередь, ограничение доступа российских разработчиков к международным репозиториям GitHub и GitLab. В новой ситуации Минцифры планирует способствовать созданию отечественных аналогов этих ресурсов.
Евгений Хасин, замдиректора Департамента обеспечения кибербезопасности Минцифры
Минцифры видит свою цель не только в том, чтобы обеспечить защищенность и достоверность инструментов, размещаемых на российских площадках, но и в том, чтобы сделать их привлекательными для разработчиков свободного ПО. Как будут достигаться эти цели, пока не ясно. Министерство ждет от сообщества разработчиков советов и пожеланий.
Как отметил Евгений Хасин, необходимо развивать сообщество, формировать новую среду для появления отечественных разработок: «Без этого отечественная отрасль будет развиваться ограниченно».