Блог

К вопросу о безопасности отечественного ПО: о чем говорит опыт вируса Petya

Андрей Колесов
24.07.2017 09:25:11

Один из традиционных доводов в пользу выбора отечественного ПО (и не только ПО, и даже не только ИТ) – оно является более безопасным. В том числе в том плане, что там нет разного рода "опасностей" в виде "нежелательных" для пользователей функций. А почему их там нет? На этот вопрос обычно следует уверенный, но, признаться, довольно странный ответ – "потому что продукт отечественный". Я такой ответ слышу регулярно, в том числе от российских производителей железа.

Странный довод. Следуя такой логике, нужно считать и наши проселочные дороги более безопасными, и дремучие леса с болотами. В отношении ПО все это тем более странно, поскольку сейчас гордостью всей страны являются "наши" хакеры.

Но вот давайте посмотрим на события 27 июня (месяц назад) , когда произошла очередная массовая атака вирусом Petya. Атака прошла по всему миру, но как диагностировали аналитики, главным ее объектом стали компьютерные системы Украины. И как быстро выяснили специалисты, основным средством исходного заражения стало распространения вируса через обновление программы налогового учета MEDoc. И главная тут "фишка" – разработчиком и распространителем этой программы (и обновлений для нее, в том числе и зараженных вирусом) была "своя" – отечественная – украинская компания M.E.Doc.

Вот простой пример того, что "отечественный" совсем не является синонимом безопасный. И более того, есть основания полагать, что возможно даже означает "повышенная" опасность.
Во всяком случае, этот пример с очевидностью показывает, что довод "безопасный, потому что отечественный" является, скажем так, не вполне очевидно достоверным.

Комментариев: 17

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

24.07.2017 22:17:59

Цитата
Один из традиционных доводов в пользу выбора отечественного ПО (и не только ПО, и даже не только ИТ) – оно является более безопасным.

Лично я нигде и никогда не встречал настоящих специалистов по безопасности, которые бы применяли термин "безопасность" и всё что с ним связано не конкретизируя контекст его применения. Ни один специалист не станет утверждать в отношении любого ПО, что оно априори безопасно.
Если речь идёт о совместном употреблении понятия "безопасность" и "отечественное ПО", то речь как правило идёт о совершенно конкретном уровне безопасности, по совершенно конкретному направлению. Как минимум, это контроль кода и невозможность, со стороны зарубежного государства, применить санкции к конкретному продукту для запрета его использования на территории государства, которое его производит.
Кроме того, термин "отечественное ПО", как известно, возник в связи с понятием импортозамещения (в данном случае я имею ввиду конкретно импортозамещение в ИТ-области) и касается оно критичности с точки зрения безопасности применения ПО и "железа" конкретно в государственном секторе. Таким образом, конкретика, как минимум двух вышеупотреблённых понятий, касаемо "санкций" и "контроля кода", это не безопасность вообще, а конкретные виды безопасности в конкретной области применения.

24.07.2017 22:38:24

Я думаю, что в ваших рассуждению содержится важная принципиальная ошибка, характерная для российский "безопасников".

Вы не хотите рассматривать проблему в комплексе, а вместо этого хотите говорить только об отдельных элементах.

Можно сколько угодно говорить о надежности колес автомобиля, но если у него не работает мотор, то никакие колеса просто не нужны.
Помните. как у Аркадия Райкина - "Кто пошил этот костюм?" - "Мы отвечает не за костюм, а за пуговицы. К пуговицам претензии есть?"
Но человеку нужны не пуговицы, а костюм

Пользователю нужно не "отечественное ПО", а "надежное ПО по приемлемой цене".
А "надежность" - это комплексное понятие. Но очень упрощенно - чтобы оно работало в соответствии с требованиями пользователя.

А ваши доводы совершенно несерьезны.
Пример, приведенный в посте, показывает, то "отечественность" совсем не обеспечивает "контроль кода".

И точно также "отечественность" не обеспечивает устойчивость с точки зрение сопровождения и развития ПО.
Простой пример: вы можете купить отличный продукт российского стартапа, но через месяц окажется, что самого стартапа уже не существует.

Примеров много. Например, браузер "Спутник". Ряд российский заказчиков "повелись" на его "отечественность", но проект закрыли. А это был не стартап, а Ростелеком.

Все на самом деле намного сложнее, чем рисуемых вами весьма упрощенных схемах. У вас получается так: на чертежах - отличный самоолет, а на практике - он не летает.

24.07.2017 23:30:04

Цитата
Вы не хотите рассматривать проблему в комплексе, а вместо этого хотите говорить только об отдельных элементах.

Я уже неоднократно писал, что вопросы безопасность всеми "безопасниками" независимо от национальной, религиозной или государственной принадлежности, всегда рассматриваются комплексно, т.е. как комплекс организационно-технических мероприятий с одной стороны, с другой стороны существует понятия классификации и локализации угроз. Всё это определено в соотвествующих документах по безопасности. Вопрос качества исполнения данных документов, это уже другая часть Мерлезонского балета.
Цитата
Пользователю нужно не "отечественное ПО", а "надежное ПО по приемлемой цене".

А что есть какое-то "не отечественное ПО", которое априори безопасно?!
Цитата
И точно также "отечественность" не обеспечивает устойчивость с точки зрение сопровождения и развития ПО.

Я уже говорил о конкретике примения самого понятия "отечественное ПО", а именно в плане ипортозамещения, которое касается государственного сектора, а не потребителя вообще. Никто не заставляет негосударственныех потребителей закупать исключительно "отечественное ПО".
Что касается государственного сектора то и там всё конкретно, например разработка железа и программного обеспечения, скажем, для Министерства Обороны сильно отличается от гражданского сектора. Отличается оно по применению и разработке и внутри МО.
Разработка ПО и железа для сист ПРО министерства обороны это не тоже самое, что поставка 1С для нужд МО. Оно разное даже для разных ведомств внутри МО. Собственно как и в любом другом государственном секторе.
Например сертификация ФСТЭК для нужд МО обязательна, но вопрос организации применения сертифицированных продуктов т.с. на местах, скажем в отдельной и отдалённой от Арбатского Военного Округа воинской части это уже совсем другая песня, не имеющая никакого отношения в "отечественности ПО". На данном этапе это вопрос не технический, а организационный.
Цитата
И точно также "отечественность" не обеспечивает устойчивость с точки зрение сопровождения и развития ПО.
Простой пример: вы можете купить отличный продукт российского стартапа, но через месяц окажется, что самого стартапа уже не существует.

Я опять о конкретном - где именно применяется и какое именно отечественное ПО. Первое где - в госсекторе или нет. Если в госсекторе, то где именно т.е. требуется сертификации ФСТЭК или нет. Если да, то ЕДОКовская проблема с точки зрения кода была бы обнаружена. Обновления для сертифицированных продуктов, также перед установкой проверяются, как и основной продукт. Об этом мы уже говорили. Там где применяются сертифицированные средства, весь комплекс организационно-технических мер безопасности совершенно отличен от других структурных подразделений.
А "отличные продукты российского стартапа" в критичные области государственного сектора не закупаются.




25.07.2017 00:02:48

Цитата
И точно также "отечественность" не обеспечивает устойчивость с точки зрение сопровождения и развития ПО.

Уточню. Как вам видится устойчивость сопровождения и развития отечественного продукта 1С? Лично я считаю, что продукт, который официально определён для применения в госструктурах будет соответствующим образом финансироваться и с точки зрения сопровождения и развития. А вот негосударственные структуры должны сами определятся на какую лошадку ставить. У них маненько другие критерии.

25.07.2017 17:20:14

Никто тут вопросы создания ПРО страны не обсуждает. Оставим в стороне вопросы МО и КГБ - пусть разбираются сами.
Речь идет, например, об автоматизации органов управления и подведомственных предприятий Владимирской области. Они за последние 7 лет уже два раза делали "переходы" из-за "импортозамещения". Это они "влетели" со "Спутником" и не только с ним.

В посте приводится конкретный пример: именно "отечественное ПО" стала каналом нарушения работоспособности госсистем (в данном случае - Украины).

А вы продолжаете общие рассуждения о национальной безопасности, не понимая того, что главные угрозы для национальной безопасности - не снаружи, а внутри...

25.07.2017 18:16:38

Цитата
Речь идет, например, об автоматизации органов управления и подведомственных предприятий Владимирской области. Они за последние 7 лет уже два раза делали "переходы" из-за "импортозамещения". Это они "влетели" со "Спутником" и не только с ним.

Ну вот вам свежий пролёт в отсутствии терминов, которые вас так пугаёт -
"импортазамещения" и "отечественного ПО".
Что касается Владимирской области, то разве там тоже проблемы программного кода? По-моему там налицо проблемы организационные т.с. внедренческие. Какое отношение организационная проблема внедрения имеет к проблеме украинской и "отечественности"?
Цитата
В посте приводится конкретный пример: именно "отечественное ПО" стала каналом нарушения работоспособности госсистем (в данном случае - Украины).

У ПО нет национальности с точки зрения кода. Если не считать вашего банального примера с украинской системой, то хочу напомнить, что основные масса нарушений, от последних вирусных атак, связано с программным обеспечением ну прямо совсем не "отечественного ПО" Microsoft Windows. А пример с украиной банальный, потому, как забили ребята разработчики на безопасность, как и клиенты. Одни завалили контроль, как самого кода, так и кадровый контроль. Другие наплевали на антивирусную безопасность и правила обновления т.с. "продакшэн" систем. В нормальных организациях никто не обновляет работающие системы напрямую. И это делается не только ради выявления вот таких моментов намеренного зловредного кода, но и особенностей работы обновления вообще.
Я не национальную безопасность "вообще" обсуждаю. Я с этими проблемами работаю ежедневно и у меня нет проблем.
При этом ничего волшебного я не делаю. Есть правила безопасности и их просто надо выполнять, хотя бы на базовом уровне.

Вы приводите примеры из области нарушения или игнорирования мер безопасности, но зачем-то валите всё на "отечественность ПО" и "импортозамещение". Они тут вообще не при чём.
Надеюсь вы не станете игнорировать приведённые мной выше примеры с IBM в Швеции и Microsoft по всему миру?!
Кстати, система безопасности от IBM внедрена у нас Сбербанке, а система безопасности от Microsoft обсуждалась к внедрению там же. Мы жарко спорили, как-то о внедрении этого "неотечественного ПО" в Сбербаке.

25.07.2017 18:42:32

Цитата
. Мы жарко спорили, как-то о внедрении этого "неотечественного ПО" в Сбербаке.

Много разговор помню, а споров не могу вспомнить. Там не было вообще предмета для спора smile:-)

25.07.2017 18:53:38

Как скажите.

25.07.2017 18:59:47

В оценке нашей переписки, как по форме, так и по содержанию мы можем расходится и это нормально.
Нормально так же и то, что Сбербанку не только абсолютно наплевать на наши оценки собственных действий, но ещё больше наплевать на тему и суть нашего спора/разговора.

25.07.2017 19:42:18

Я оцениваю иначе суть нашего обмена мнениями smile:-)

25.07.2017 20:13:13

Аминь. smile;)

31.07.2017 15:31:52

Вообще-то исходное утверждение "Один из традиционных доводов в пользу выбора отечественного ПО (и не только ПО, и даже не только ИТ) – оно является более безопасным." - ложно. Посему и обсуждать СЛЕДСТВИЯ из него не имеет смысла...

31.07.2017 15:50:22

Я искренне нахожусь в растерянности. Уже не первый раз встречаюсь с таким заявлением - о том, что мое утверждение является ложным.
Я могу потратить некоторое время и привести доказательства обратного (что это - истина). Но не буду этого делать.
Такое впечатление, что мы с вами живем в разных странах.

31.07.2017 16:41:22

Что ж Вы так тревожитесь? Насколько я понял сие утверждение не Ваше личное, а откуда-то почерпнутое.
У нас плюрализм мнений. Лично я таких утверждений нигде, кроме как от Вас, ещё не встречал, да оно и НЕ логично.
С профессиональной же т.з. Donat Lipkovsky 25.07.2017 18:16:38 Вам правильно расписал:

Цитата
Вы приводите примеры из области нарушения или игнорирования мер безопасности, но зачем-то валите всё на "отечественность ПО" и "импортозамещение". Они тут вообще не при чём.

31.07.2017 17:21:08

Т.е. вы сначала обвинили меня во лжи, а потом - в неспособности к собственному мнению и в плагиате. Чудесно! smile:-)

31.08.2017 14:46:03

С одной стороны, с автором трудно не согласиться. Однако же посыл здесь не полный, оттого и мысль до конца не сформулирована. Тезис «безопасный поскольку отечественный» формирует только необходимое, но отнюдь не достаточное условие безопасности. Почему это так? Попробуем для начала уточнить содержание термина «безопасный». В обсуждаемом контексте он означает, что используемое ПО не создаст для пользователя критической ситуации, не остановит вычислительный процесс в АС, не скопирует учетные записи и пр. Т.е. ПО не станет причиной неприятных проблем. Но если эти причины есть, то надо учитывать, что они могут быть созданы или умышленно, или по неосторожности (или по неумению).

Отечественное происхождение ПО как необходимый признак безопасности отвечает только на первую угрозу — умышленную. Считается, что разработка ПО, ведущаяся в РФ российскими гражданами и контролируемая на всех этапах производства в подавляющем большинстве случаев будет избавлена от «недекларируемых» возможностей (НДВ), не описанных в документации, сознательно имплементированных в исходный код продукта. Чего, совершенно точно, нельзя сказать о ПО зарубежного производства, исходный код которого не опубликован, и можно лишь неопределенно утверждать по отношению к свободному ПО. Надо ясно понимать: никакие проверки не способны до конца выявить наличие заложенных изначально особенностей функционирования конечного продукта (ПО). Гарантии здесь просты — производственная дисциплина, контроль разработки, проверки исходного кода, разработчики — российские граждане. И фатальность выявления недекларированных возможностей или даже серьезного подозрения в этом для дальнейшей судьбы продукта. Создавать качественное ПО, развивать его, выводить на рынок ради использования НДВ — это неприемлемо дорогой, сложный и ненадежный путь для злоумышленников. Есть масса эффективных альтернатив, которые, к сожалению, работают.

Иное дело, когда нарушение необходимого признака безопасности срабатывает против разработчиков отечественного ПО, не обладающих необходимым уровнем профессионализма и невольно создающих угрозы безопасности, не ведая об этом. Самый простой пример — применение в составе своих продуктов заимствованных модулей (подсистем, сред разработки и пр.). С одной стороны, такие модули являются проверенными функционально полными компонентами, а с другой —могут иметь известные (кому надо) и никому больше не ведомые уязвимости, способные привести к недекларируемой работе весь комплекс ПО в целом.
Считается, что профессионализма российским разработчикам не занимать. Но это верно только для лучших программистов, но не для всей отрасли. При современном кадровом голоде компания-разработчик далеко не всегда способна привлечь специалистов высочайшей квалификации и составить из них устойчивый коллектив, существующий годами. Не меньше проблем связано с полноценной реализацией всего комплекса технологий, на которых основана продуктовая модель бизнеса в мире ПО. Например, с качеством проектирования и тестирования ПО, с его защитой от реализации «хотелок» крупных заказчиков, с подготовкой менеджеров, управляющих процессами, обеспечивающими жизненных цикл продукта, управление качеством. А ведь эти процессы должны нормально работать на фоне сочетания быстрого роста, возникающего, если продукт становится востребованным, и кадрового голода.
И нельзя забывать, что достаточный признак безопасности ПО — качество продукта и высокий профессиональный уровень разработки. Если это соблюдается, то тогда, кто же откажется от российского безопасного ПО?

Профессионализм надо срочно повышать, не уповая на расхожие стереотипы, а занимаясь системной работой на всех ключевых участках: в системе образования и подготовке ИТ-менеджеров, в привлечении молодежи в инженерные специальности, в создании взаимоувязанных стандартов (государственных, отраслевых, корпоративных) в сфере построения и взаимодействия ИС для госзаказчика, в возрождении института экспертов, в развитии и защите реальной конкуренции компаний-разработчиков, в привлечении частных инвесторов в сферу разработки российского ПО… И тогда фактор неосведомленности перестанет быть значимым для рынка.

31.08.2017 15:05:04

Цитата
Тезис «безопасный поскольку отечественный» формирует только необходимое


Вы неверно поняли мысль автора (мою).
"Отечественный" не формирует "необходимое" ни в коей мере!
А в наших условиях - вполне, возможно, вообще формирует что-то обратное. Не всегда, но зачастую.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Интересно

Статьи

Сказки о безопасности: Ложный фитнес
— Доброе утро, шеф! К вам немного странная делегация. — Доброе утро, Мари! А в чем …

Сказки о безопасности: Чековая беспечность
— Доброе утро, Потапыч! — Доброе утро, Хрюша! Что случилось? Что привело тебя ко мне в такую-то …

Сказки о безопасности: FaceID
— Доброе утро, Иоганн! — Доброе утро, Рита! У нас все хорошо? — Боюсь нет. Я вчера была …

Квантовый компьютинг опасен для криптографии и криптовалют
Грядущая эра квантового компьютинга потребует новых технологий и подходов для сохранения надежности криптографии …

Сказки о безопасности: Большое видео
— Доброе утро, Иоганн! — Доброе, господин комиссар! Хотя уверен, что совсем не доброе! Ведь …

Мы в социальных сетях

PC Week/RE в Facebook PC Week/RE в Контакте PC Week/RE в Google+ PC Week/RE в Одноклассниках PC Week/RE в Twitter

Решения

Миграция с VMware на OpenStack с минимальным даунтаймом
Опытные ИТ-руководители понимают: если корпоративная инфраструктура или ее часть выйдет из строя, большинство …

Маленькая грязная тайна отрасли безопасности
В последние годы центральное место в обсуждении вопросов сетевой безопасности занимают постоянные угрозы повышенной …

Упрощение аварийного восстановления в сложных виртуальных средах
В данном техническом документе рассматривается Выбор правильной стратегии резервного копирования виртуальных машин для эффективного управления...

Непрерывная защита данных
Данный технический документ позволит ответить на вопрос, соответствует ли технология непрерывной защиты данных (CDP …

Скрытые издержки виртуализации
Для того чтобы проект по виртуализации позволил достичь ожидаемых результатов и предполагаемой рентабельности …

Блог

Вопросы информационной безопасности на примере квартального автошлагбаума
Опубликованный месяц назад пост о проблема обеспечения "защищенной" работы дворового автошлагбаума ( ...

Как защитить интернет-аккаунт от взлома?
В субботу вечером получил сообщения от Гугл о блокировке моего Gmail-аккуанта по случаю "попытки вхо ...

Насколько безопасна электронная система голосования для избрании депутатов?
Этот вопрос возник вчера во время беседы с кандидатом в муниципальные депутаты в нашем районе, котор ...

TOR — не Dark Web
Несмотря на то, что в Федеральном законе № 276-ФЗ «О внесении изменений в Федеральный закон «Об инфо ...

К вопросу о безопасности отечественного ПО: о чем говорит опыт вируса Petya
Один из традиционных доводов в пользу выбора отечественного ПО (и не только ПО, и даже не только ИТ) ...

 

Лидеры читательского рейтинга

Статьи

Записи в блогах

Панорама

Виртуализация и автоматизации ресурсов сети помогут ИТ-отделам соответствовать современным требованиям бизнеса
Рост цифровой экономики ведет к быстрым и серьезным переменам в организациях. ИТ-отделы сталкиваются с требованиями все быстрее предоставлять приложения и службы пользователям.
Тенденции развития поддержки корпоративных ЦОДов
Цифровая революция требует, чтобы ИТ стали источником генерации нового бизнеса. Многие ИТ-организации в связи …
Veritas Backup Exec 16 для SMB
В условиях, когда данные становятся ценным активом для бизнеса, их надежная защита превращается в одну из важнейших задач. Продукты компании Veritas позволяют решить ее эффективно при любой конфигурации информационных систем заказчика.
История успеха: Ferrari реорганизует процессы поставок и оптимизирует управление материалами с помощью Infor LN
Компания Ferrari — один из мировых лидеров по проектированию, конструированию, производству и продаже самых узнаваемых спортивных автомобилей класса люкс. Для повышения эффективности и упрощения управления своими внутренними процессами компания приняла решение о внедрении системы управления ресурсами предприятия Infor® LN.
4 способа повышения рентабельности инвестиций (ROI) при использовании не только решения ERP по планированию ресурсов предприятия, но и системы управления складами WMS
Основная задача складского хозяйства — идеальное выполнение заказов. Модуль складского учета, входящий в состав решения по планированию ресурсов предприятия (ERP), решает эту задачу в условиях очень малых и малых складов.

Интересно

 

Создание сайта - студия iMake
© 2017 АО «СК ПРЕСС».
Информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.