
Странный довод. Следуя такой логике, нужно считать и наши проселочные дороги более безопасными, и дремучие леса с болотами. В отношении ПО все это тем более странно, поскольку сейчас гордостью всей страны являются "наши" хакеры.
[spoiler]
Но вот давайте посмотрим на события 27 июня (месяц назад) , когда произошла очередная массовая атака вирусом Petya. Атака прошла по всему миру, но как диагностировали аналитики, главным ее объектом стали компьютерные системы Украины. И как быстро выяснили специалисты, основным средством исходного заражения стало распространения вируса через обновление программы налогового учета MEDoc. И главная тут "фишка" – разработчиком и распространителем этой программы (и обновлений для нее, в том числе и зараженных вирусом) была "своя" – отечественная – украинская компания M.E.Doc.
Вот простой пример того, что "отечественный" совсем не является синонимом безопасный. И более того, есть основания полагать, что возможно даже означает "повышенная" опасность.
Во всяком случае, этот пример с очевидностью показывает, что довод "безопасный, потому что отечественный" является, скажем так, не вполне очевидно достоверным.
Отечественное происхождение ПО как необходимый признак безопасности отвечает только на первую угрозу — умышленную. Считается, что разработка ПО, ведущаяся в РФ российскими гражданами и контролируемая на всех этапах производства в подавляющем большинстве случаев будет избавлена от «недекларируемых» возможностей (НДВ), не описанных в документации, сознательно имплементированных в исходный код продукта. Чего, совершенно точно, нельзя сказать о ПО зарубежного производства, исходный код которого не опубликован, и можно лишь неопределенно утверждать по отношению к свободному ПО. Надо ясно понимать: никакие проверки не способны до конца выявить наличие заложенных изначально особенностей функционирования конечного продукта (ПО). Гарантии здесь просты — производственная дисциплина, контроль разработки, проверки исходного кода, разработчики — российские граждане. И фатальность выявления недекларированных возможностей или даже серьезного подозрения в этом для дальнейшей судьбы продукта. Создавать качественное ПО, развивать его, выводить на рынок ради использования НДВ — это неприемлемо дорогой, сложный и ненадежный путь для злоумышленников. Есть масса эффективных альтернатив, которые, к сожалению, работают.
Иное дело, когда нарушение необходимого признака безопасности срабатывает против разработчиков отечественного ПО, не обладающих необходимым уровнем профессионализма и невольно создающих угрозы безопасности, не ведая об этом. Самый простой пример — применение в составе своих продуктов заимствованных модулей (подсистем, сред разработки и пр.). С одной стороны, такие модули являются проверенными функционально полными компонентами, а с другой —могут иметь известные (кому надо) и никому больше не ведомые уязвимости, способные привести к недекларируемой работе весь комплекс ПО в целом.
Считается, что профессионализма российским разработчикам не занимать. Но это верно только для лучших программистов, но не для всей отрасли. При современном кадровом голоде компания-разработчик далеко не всегда способна привлечь специалистов высочайшей квалификации и составить из них устойчивый коллектив, существующий годами. Не меньше проблем связано с полноценной реализацией всего комплекса технологий, на которых основана продуктовая модель бизнеса в мире ПО. Например, с качеством проектирования и тестирования ПО, с его защитой от реализации «хотелок» крупных заказчиков, с подготовкой менеджеров, управляющих процессами, обеспечивающими жизненных цикл продукта, управление качеством. А ведь эти процессы должны нормально работать на фоне сочетания быстрого роста, возникающего, если продукт становится востребованным, и кадрового голода.
И нельзя забывать, что достаточный признак безопасности ПО — качество продукта и высокий профессиональный уровень разработки. Если это соблюдается, то тогда, кто же откажется от российского безопасного ПО?
Профессионализм надо срочно повышать, не уповая на расхожие стереотипы, а занимаясь системной работой на всех ключевых участках: в системе образования и подготовке ИТ-менеджеров, в привлечении молодежи в инженерные специальности, в создании взаимоувязанных стандартов (государственных, отраслевых, корпоративных) в сфере построения и взаимодействия ИС для госзаказчика, в возрождении института экспертов, в развитии и защите реальной конкуренции компаний-разработчиков, в привлечении частных инвесторов в сферу разработки российского ПО… И тогда фактор неосведомленности перестанет быть значимым для рынка.
Вы неверно поняли мысль автора (мою).
"Отечественный" не формирует "необходимое" ни в коей мере!
А в наших условиях - вполне, возможно, вообще формирует что-то обратное. Не всегда, но зачастую.