Блог

Этот вопрос обозначился в самом начале конференции OSDAY ("День ОС", по тематике разработки операционных систем в России), проведенной Институтом системного программирования РАН в Москве, во время выступления представителя ФСТЭК Виталия Лютикова.[spoiler]





А суть вопрос выглядит так. Вот к примеру, есть организация, которая в силу известных причин может применять только ПО, имеющее соответствующий сертификат ФСТЭК на предмет ее безопасности. Кстати, отдельным вопросом является то, что собственно гарантирует наличие такого сертификата...

Итак некий вендрор получается такой сертификат для своего продукта "МоеПО". Вы покупаете у вендора ЕгоПО, устанавливаете его и начинаете работать. И в случае необходимости демонстрируете проверяющим людям ("тем, кому надо") этот сертификат.

Вопрос 1: Где гарантия, что вы приоберили именно то ПО, которое прошло проверку в ФСТЭК? Наверное, каждый дистрибутив должен сопровождаться некой "электронной подписью" (например, в виде какой-то контрольной суммы), что-то вроде пломбы.
Интересно узнать – как это происходит на практике, я лично довольно плохо представляю себе эту процедуру, учитывая сложность и объемность ПО.

Но предположим, что вы купили именно то, проверенное, ПО. Но где гарантии, что заказчик установил у себя именно его? Контрольную сумму дистрибутива можо проверить, а как проверить контрольную сумму уже установленной системы?

Но дальше, как известно, практически любое ПО обновляется. Причем обновления идут в двух возможных направлениях
Обновления, которые делает вендор (устраняет ошибки, добавляет возможности и пр.)
2) обновления, которые делает сам пользователь (то же самое, но самостоятельно, возможно с помощью привлечения внешних исполнителей.

Понятно, что если вы вносите изменений в сертифицированное ПО (вскываете "пломбу"), то оно уже становится несертифицированным.

И как тут быть?

Поясню ситуацию на бытовом примере. Вот у меня дома есть электросчетчик (считате потребляемую мной электроэнергию). Я тут недавно выяснил, что в 2012 году правительство России провело за меня его приватизацию: раньше счетчик был собственностью Мосэнерго, а в 2012 году стал мои (но я не знал об этом).

Так вот: счетчик это мой, но доступа к нему я не имею (сделать внутри какие-то обновления, новые функции). Он опломбирован печатью Мосэнерго. То есть счетчик мой, но с ним я ничего не имею право (забавно, не правда ли?).
А если я захочу что-то сделать, что должен вызывать сотрудника Мосэнерго...

Так вот, по аналогии, получается, что и к сертифицированному ПО (например, ОС) заказчик не должен иметь доступа на предмет ее коррекции, в том числе обновления. И делать что-то может только через ФСТЭК.

А иначе, какая же это "безопасность", если через неделю после сертификации вендор присылает патч, в котором запросто может оказаться что-то очень "небезопасное"?

Собственно эти вопросы и были заданы выступающему.
Он сообщил, что все свои патчи вендор также должен отдавать в ФСТЭК на предмет проверки.
Но ведь вполне очевидно, что такая проверка может занять немало времени (дел у ФСТЭК много и без того), дело-то может быть срочным!!!

Как выяснилось, именно такая ситуация возникла с недавним вирусом WannaCry.
Знаете, оказывается, почему пораженными оказались именно государственные ИТ-системы (не только в России, но и в других странах)? Потому что госзаказчики (и кажется, не только в России) не устанавливали патчи, выпущенные в марте, ожидая их проверки "там где надо". А пока "мирные жители" ждали (почти два месяца), киберпрестуники решили не ждать...

И что в результате? В результате получилось, что именно процедура обеспечения безопасности как раз нарушила эту самую безопасность. А если бы никакой сертификации не было, что нужные заплатки были бы установлены сразу же, и никакого нарушения работоспособности ИТ-систем не было.

Вот такой парадокс, совсем не забавный...