Блог

Лично я нигде и никогда не встречал настоящих специалистов по безопасности, которые бы применяли термин "безопасность" и всё что с ним связано не конкретизируя контекст его применения. Ни один специалист не станет утверждать в отношении любого ПО, что оно априори безопасно.
Если речь идёт о совместном употреблении понятия "безопасность" и "отечественное ПО", то речь как правило идёт о совершенно конкретном уровне безопасности, по совершенно конкретному направлению. Как минимум, это контроль кода и невозможность, со стороны зарубежного государства, применить санкции к конкретному продукту для запрета его использования на территории государства, которое его производит.
Кроме того, термин "отечественное ПО", как известно, возник в связи с понятием импортозамещения (в данном случае я имею ввиду конкретно импортозамещение в ИТ-области) и касается оно критичности с точки зрения безопасности применения ПО и "железа" конкретно в государственном секторе. Таким образом, конкретика, как минимум двух вышеупотреблённых понятий, касаемо "санкций" и "контроля кода", это не безопасность вообще, а конкретные виды безопасности в конкретной области применения.

Я думаю, что в ваших рассуждению содержится важная принципиальная ошибка, характерная для российский "безопасников".

Вы не хотите рассматривать проблему в комплексе, а вместо этого хотите говорить только об отдельных элементах.

Можно сколько угодно говорить о надежности колес автомобиля, но если у него не работает мотор, то никакие колеса просто не нужны.
Помните. как у Аркадия Райкина - "Кто пошил этот костюм?" - "Мы отвечает не за костюм, а за пуговицы. К пуговицам претензии есть?"
Но человеку нужны не пуговицы, а костюм

Пользователю нужно не "отечественное ПО", а "надежное ПО по приемлемой цене".
А "надежность" - это комплексное понятие. Но очень упрощенно - чтобы оно работало в соответствии с требованиями пользователя.

А ваши доводы совершенно несерьезны.
Пример, приведенный в посте, показывает, то "отечественность" совсем не обеспечивает "контроль кода".

И точно также "отечественность" не обеспечивает устойчивость с точки зрение сопровождения и развития ПО.
Простой пример: вы можете купить отличный продукт российского стартапа, но через месяц окажется, что самого стартапа уже не существует.

Примеров много. Например, браузер "Спутник". Ряд российский заказчиков "повелись" на его "отечественность", но проект закрыли. А это был не стартап, а Ростелеком.

Все на самом деле намного сложнее, чем рисуемых вами весьма упрощенных схемах. У вас получается так: на чертежах - отличный самоолет, а на практике - он не летает.

Я уже неоднократно писал, что вопросы безопасность всеми "безопасниками" независимо от национальной, религиозной или государственной принадлежности, всегда рассматриваются комплексно, т.е. как комплекс организационно-технических мероприятий с одной стороны, с другой стороны существует понятия классификации и локализации угроз. Всё это определено в соотвествующих документах по безопасности. Вопрос качества исполнения данных документов, это уже другая часть Мерлезонского балета.

А что есть какое-то "не отечественное ПО", которое априори безопасно?!

Я уже говорил о конкретике примения самого понятия "отечественное ПО", а именно в плане ипортозамещения, которое касается государственного сектора, а не потребителя вообще. Никто не заставляет негосударственныех потребителей закупать исключительно "отечественное ПО".
Что касается государственного сектора то и там всё конкретно, например разработка железа и программного обеспечения, скажем, для Министерства Обороны сильно отличается от гражданского сектора. Отличается оно по применению и разработке и внутри МО.
Разработка ПО и железа для сист ПРО министерства обороны это не тоже самое, что поставка 1С для нужд МО. Оно разное даже для разных ведомств внутри МО. Собственно как и в любом другом государственном секторе.
Например сертификация ФСТЭК для нужд МО обязательна, но вопрос организации применения сертифицированных продуктов т.с. на местах, скажем в отдельной и отдалённой от Арбатского Военного Округа воинской части это уже совсем другая песня, не имеющая никакого отношения в "отечественности ПО". На данном этапе это вопрос не технический, а организационный.

Я опять о конкретном - где именно применяется и какое именно отечественное ПО. Первое где - в госсекторе или нет. Если в госсекторе, то где именно т.е. требуется сертификации ФСТЭК или нет. Если да, то ЕДОКовская проблема с точки зрения кода была бы обнаружена. Обновления для сертифицированных продуктов, также перед установкой проверяются, как и основной продукт. Об этом мы уже говорили. Там где применяются сертифицированные средства, весь комплекс организационно-технических мер безопасности совершенно отличен от других структурных подразделений.
А "отличные продукты российского стартапа" в критичные области государственного сектора не закупаются.

Уточню. Как вам видится устойчивость сопровождения и развития отечественного продукта 1С? Лично я считаю, что продукт, который официально определён для применения в госструктурах будет соответствующим образом финансироваться и с точки зрения сопровождения и развития. А вот негосударственные структуры должны сами определятся на какую лошадку ставить. У них маненько другие критерии.

Никто тут вопросы создания ПРО страны не обсуждает. Оставим в стороне вопросы МО и КГБ - пусть разбираются сами.
Речь идет, например, об автоматизации органов управления и подведомственных предприятий Владимирской области. Они за последние 7 лет уже два раза делали "переходы" из-за "импортозамещения". Это они "влетели" со "Спутником" и не только с ним.

В посте приводится конкретный пример: именно "отечественное ПО" стала каналом нарушения работоспособности госсистем (в данном случае - Украины).

А вы продолжаете общие рассуждения о национальной безопасности, не понимая того, что главные угрозы для национальной безопасности - не снаружи, а внутри...

Ну вот вам свежий пролёт в отсутствии терминов, которые вас так пугаёт -
"импортазамещения" и "отечественного ПО".
Что касается Владимирской области, то разве там тоже проблемы программного кода? По-моему там налицо проблемы организационные т.с. внедренческие. Какое отношение организационная проблема внедрения имеет к проблеме украинской и "отечественности"?

У ПО нет национальности с точки зрения кода. Если не считать вашего банального примера с украинской системой, то хочу напомнить, что основные масса нарушений, от последних вирусных атак, связано с программным обеспечением ну прямо совсем не "отечественного ПО" Microsoft Windows. А пример с украиной банальный, потому, как забили ребята разработчики на безопасность, как и клиенты. Одни завалили контроль, как самого кода, так и кадровый контроль. Другие наплевали на антивирусную безопасность и правила обновления т.с. "продакшэн" систем. В нормальных организациях никто не обновляет работающие системы напрямую. И это делается не только ради выявления вот таких моментов намеренного зловредного кода, но и особенностей работы обновления вообще.
Я не национальную безопасность "вообще" обсуждаю. Я с этими проблемами работаю ежедневно и у меня нет проблем.
При этом ничего волшебного я не делаю. Есть правила безопасности и их просто надо выполнять, хотя бы на базовом уровне.

Вы приводите примеры из области нарушения или игнорирования мер безопасности, но зачем-то валите всё на "отечественность ПО" и "импортозамещение". Они тут вообще не при чём.
Надеюсь вы не станете игнорировать приведённые мной выше примеры с IBM в Швеции и Microsoft по всему миру?!
Кстати, система безопасности от IBM внедрена у нас Сбербанке, а система безопасности от Microsoft обсуждалась к внедрению там же. Мы жарко спорили, как-то о внедрении этого "неотечественного ПО" в Сбербаке.

Много разговор помню, а споров не могу вспомнить. Там не было вообще предмета для спора

Как скажите.

В оценке нашей переписки, как по форме, так и по содержанию мы можем расходится и это нормально.
Нормально так же и то, что Сбербанку не только абсолютно наплевать на наши оценки собственных действий, но ещё больше наплевать на тему и суть нашего спора/разговора.

Я оцениваю иначе суть нашего обмена мнениями

Аминь.

Вообще-то исходное утверждение "Один из традиционных доводов в пользу выбора отечественного ПО (и не только ПО, и даже не только ИТ) – оно является более безопасным." - ложно. Посему и обсуждать СЛЕДСТВИЯ из него не имеет смысла...

Я искренне нахожусь в растерянности. Уже не первый раз встречаюсь с таким заявлением - о том, что мое утверждение является ложным.
Я могу потратить некоторое время и привести доказательства обратного (что это - истина). Но не буду этого делать.
Такое впечатление, что мы с вами живем в разных странах.

Что ж Вы так тревожитесь? Насколько я понял сие утверждение не Ваше личное, а откуда-то почерпнутое.
У нас плюрализм мнений. Лично я таких утверждений нигде, кроме как от Вас, ещё не встречал, да оно и НЕ логично.
С профессиональной же т.з. Donat Lipkovsky 25.07.2017 18:16:38 Вам правильно расписал:

Т.е. вы сначала обвинили меня во лжи, а потом - в неспособности к собственному мнению и в плагиате. Чудесно!

С одной стороны, с автором трудно не согласиться. Однако же посыл здесь не полный, оттого и мысль до конца не сформулирована. Тезис «безопасный поскольку отечественный» формирует только необходимое, но отнюдь не достаточное условие безопасности. Почему это так? Попробуем для начала уточнить содержание термина «безопасный». В обсуждаемом контексте он означает, что используемое ПО не создаст для пользователя критической ситуации, не остановит вычислительный процесс в АС, не скопирует учетные записи и пр. Т.е. ПО не станет причиной неприятных проблем. Но если эти причины есть, то надо учитывать, что они могут быть созданы или умышленно, или по неосторожности (или по неумению).

Отечественное происхождение ПО как необходимый признак безопасности отвечает только на первую угрозу — умышленную. Считается, что разработка ПО, ведущаяся в РФ российскими гражданами и контролируемая на всех этапах производства в подавляющем большинстве случаев будет избавлена от «недекларируемых» возможностей (НДВ), не описанных в документации, сознательно имплементированных в исходный код продукта. Чего, совершенно точно, нельзя сказать о ПО зарубежного производства, исходный код которого не опубликован, и можно лишь неопределенно утверждать по отношению к свободному ПО. Надо ясно понимать: никакие проверки не способны до конца выявить наличие заложенных изначально особенностей функционирования конечного продукта (ПО). Гарантии здесь просты — производственная дисциплина, контроль разработки, проверки исходного кода, разработчики — российские граждане. И фатальность выявления недекларированных возможностей или даже серьезного подозрения в этом для дальнейшей судьбы продукта. Создавать качественное ПО, развивать его, выводить на рынок ради использования НДВ — это неприемлемо дорогой, сложный и ненадежный путь для злоумышленников. Есть масса эффективных альтернатив, которые, к сожалению, работают.

Иное дело, когда нарушение необходимого признака безопасности срабатывает против разработчиков отечественного ПО, не обладающих необходимым уровнем профессионализма и невольно создающих угрозы безопасности, не ведая об этом. Самый простой пример — применение в составе своих продуктов заимствованных модулей (подсистем, сред разработки и пр.). С одной стороны, такие модули являются проверенными функционально полными компонентами, а с другой —могут иметь известные (кому надо) и никому больше не ведомые уязвимости, способные привести к недекларируемой работе весь комплекс ПО в целом.
Считается, что профессионализма российским разработчикам не занимать. Но это верно только для лучших программистов, но не для всей отрасли. При современном кадровом голоде компания-разработчик далеко не всегда способна привлечь специалистов высочайшей квалификации и составить из них устойчивый коллектив, существующий годами. Не меньше проблем связано с полноценной реализацией всего комплекса технологий, на которых основана продуктовая модель бизнеса в мире ПО. Например, с качеством проектирования и тестирования ПО, с его защитой от реализации «хотелок» крупных заказчиков, с подготовкой менеджеров, управляющих процессами, обеспечивающими жизненных цикл продукта, управление качеством. А ведь эти процессы должны нормально работать на фоне сочетания быстрого роста, возникающего, если продукт становится востребованным, и кадрового голода.
И нельзя забывать, что достаточный признак безопасности ПО — качество продукта и высокий профессиональный уровень разработки. Если это соблюдается, то тогда, кто же откажется от российского безопасного ПО?

Профессионализм надо срочно повышать, не уповая на расхожие стереотипы, а занимаясь системной работой на всех ключевых участках: в системе образования и подготовке ИТ-менеджеров, в привлечении молодежи в инженерные специальности, в создании взаимоувязанных стандартов (государственных, отраслевых, корпоративных) в сфере построения и взаимодействия ИС для госзаказчика, в возрождении института экспертов, в развитии и защите реальной конкуренции компаний-разработчиков, в привлечении частных инвесторов в сферу разработки российского ПО… И тогда фактор неосведомленности перестанет быть значимым для рынка.

Вы неверно поняли мысль автора (мою).
"Отечественный" не формирует "необходимое" ни в коей мере!
А в наших условиях - вполне, возможно, вообще формирует что-то обратное. Не всегда, но зачастую.