НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

О чем же говорило Минкомсвязи с SAP и Apple? А о чем договорились?

Андрей Колесов
30.07.2014 20:56:23

Пресс-служба Мминкомсвязи сообщила о состоявших в минувшую пятнице встречах руководителя ведомства России Николая Никифорова с региональным директором компании Apple в России Питером Энгробом и генеральным директором компании SAP в СНГ Вячеславом Ореховым. Новость сделана в традиционном для МКС стиле с практически нулевым содержинем, из чего можно пока сделать только один вывод: встречи (их было две, отдельно с каждым) были проведены "для галочки" (отчитаться) с нулевыми результатами.

Судите сами. В сообщении пресс-службы сказано:

Цитата

Одним из ключевых вопросов в повестке встреч было обеспечение прав пользователей на неприкосновенность их личных и персональных данных, а также информационная безопасность для государственных органов и корпоративных клиентов.
Николай Никифоров проинформировал коллег о программе сотрудничества подведомственного Минкомсвязи России ФГУП «НТЦ “Атлас”» и некоторых зарубежных поставщиков программного обеспечения, в частности, компании Microsoft. В рамках данного проекта российские государственные специалисты еще в 2003 году начали получать доступ к исходным кодам всей линейки популярных программных продуктов Microsoft. Такая программа сотрудничества позволяет российским специалистам оперативно изучать новые версии программного обеспечения на предмет наличия в них недекларированных возможностей и оперативно готовить их к сертификации для использования в защищенных контурах информационных систем.

Глава Минкомсвязи России отметил, что перспектива применения таких программных и аппаратных средств в государственных компаниях или бюджетных проектах остается неопределенной, потому что сами государственные заказчики будут отказываться от непроверенной продукции в пользу доверенных решений.


Т.е. все содержание встреч сводилось к тому, чтобы "проинформировать" и "предупредить".... Что ответили участники с "той стороны" - неизвестно. Скорее всего, слово для ответных выступлений им было предоставлено, но, зная стиль поведения зарубежных переговорщиков (тем более, руководителей зарубежных миссий, которые в таких вопросах сами ничего не решают), можно предположить ответы: "с пониманием относимся к проблеме, сами много внимание ей уделяем, будем делать все возможное, доведем предложения МКС до сведения руководства компаний".

Честно говоря, не очень хочется предаваться рассуждениям на тему "что нам ответит Запад". Я считаю, что тема является, на самом деле, весьма спекулятивной и имеющей весьма малое отношение к существу проблемы (обеспечение безопасности).

Позволяет ли доступ к исходному коду чужого ПО решить вопросы информационной и технологической безопасности? Можно ли решить эти вопросы, не имея исходных кодов? Справится ли "Атлас" с проверкой всего (именно всего, нужно ведь и "1С" так же проверять) используемого в России ПО? И зачем вообще поднимать вопросы, в целом уже давно решенные (есть же процедуры по сертификации на предмет безопасности)?

А вот что наш министр мог бы рассказать: каковы итоги многолетней работы "Атласа" по проверке исходного года Microsoft? Об этом за все эти годы МКС (и "Атлас") не говорят ни слова. Что именно "Атлас" изучал? Какой объем кода был проверен? И главное – каковы результаты этих проверок? Много ли "закладок" уделось найти?

Ответов на эти вопросы нет. А в отсутствии этой информации, естественно, возникает вопрос: а ведется ли работа по изучению исходного кода вообще? Или, может быть, код получили, заперли на ключ и отчитались: "код иностранного ПО получили". Как говорится в интернет-тусовках, "прогнули контрагента", получили моральное удовлетворение и можно дальше продолжать жить, как жили раньше....

P.S. Нигде не встречал сообщений о встречах Никифорова по поводу открытия кодов с нашими разработчиками – "1С", ABBYY, "Лаборатория Касперского", ЭОС...
Я что-то пропустил? Уже все давно передано "Атласу"?

Комментариев: 2

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

13.08.2014 17:14:49

Вообще, возможность проверки серьезного программного продукта по кодам вызывает сомнения. Это очень кропотливая работа, требующая высокой квалификации. Разработчики же часто дают обновления, совершенствуя свой продукт. Чтобы успевать за ними надо работать с такой же эффективностью. Но высококвалифицированные программисты, наверное, сами захотят что-то создавать, а не распутывать чужие клубки. (Интересно, сколько получают программисты в "Атласе"?) Кроме того, существует понятие "недекларируемых возможностей", способов реализации которых можно придумать очень много. Есть и масса других проблем. Но все их можно решить, так же как и проблемы с высосанным из пальца "импортозамещением", сосредоточившись на защите сети. Ведь утечка информации, о которой мы беспокоимся, возможна только через сеть. А от инсайдеров ни проверка кодов, ни "импортозамещение" не спасут.

13.08.2014 17:33:16

Я с вами полностью согласен. Тем более, что сколь-нибудь понятного отчета о работе того же "Атласа" просто нет. Может, они положили полученный код на склад, а никаких исследований не делали вовсе.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии