Блог

К вопросу о безопасности отечественного ПО: о чем говорит опыт вируса Petya

Андрей Колесов
24.07.2017 09:25:11

Один из традиционных доводов в пользу выбора отечественного ПО (и не только ПО, и даже не только ИТ) – оно является более безопасным. В том числе в том плане, что там нет разного рода "опасностей" в виде "нежелательных" для пользователей функций. А почему их там нет? На этот вопрос обычно следует уверенный, но, признаться, довольно странный ответ – "потому что продукт отечественный". Я такой ответ слышу регулярно, в том числе от российских производителей железа.

Странный довод. Следуя такой логике, нужно считать и наши проселочные дороги более безопасными, и дремучие леса с болотами. В отношении ПО все это тем более странно, поскольку сейчас гордостью всей страны являются "наши" хакеры.

Но вот давайте посмотрим на события 27 июня (месяц назад) , когда произошла очередная массовая атака вирусом Petya. Атака прошла по всему миру, но как диагностировали аналитики, главным ее объектом стали компьютерные системы Украины. И как быстро выяснили специалисты, основным средством исходного заражения стало распространения вируса через обновление программы налогового учета MEDoc. И главная тут "фишка" – разработчиком и распространителем этой программы (и обновлений для нее, в том числе и зараженных вирусом) была "своя" – отечественная – украинская компания M.E.Doc.

Вот простой пример того, что "отечественный" совсем не является синонимом безопасный. И более того, есть основания полагать, что возможно даже означает "повышенная" опасность.
Во всяком случае, этот пример с очевидностью показывает, что довод "безопасный, потому что отечественный" является, скажем так, не вполне очевидно достоверным.

Комментариев: 17

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

24.07.2017 22:17:59

Цитата
Один из традиционных доводов в пользу выбора отечественного ПО (и не только ПО, и даже не только ИТ) – оно является более безопасным.

Лично я нигде и никогда не встречал настоящих специалистов по безопасности, которые бы применяли термин "безопасность" и всё что с ним связано не конкретизируя контекст его применения. Ни один специалист не станет утверждать в отношении любого ПО, что оно априори безопасно.
Если речь идёт о совместном употреблении понятия "безопасность" и "отечественное ПО", то речь как правило идёт о совершенно конкретном уровне безопасности, по совершенно конкретному направлению. Как минимум, это контроль кода и невозможность, со стороны зарубежного государства, применить санкции к конкретному продукту для запрета его использования на территории государства, которое его производит.
Кроме того, термин "отечественное ПО", как известно, возник в связи с понятием импортозамещения (в данном случае я имею ввиду конкретно импортозамещение в ИТ-области) и касается оно критичности с точки зрения безопасности применения ПО и "железа" конкретно в государственном секторе. Таким образом, конкретика, как минимум двух вышеупотреблённых понятий, касаемо "санкций" и "контроля кода", это не безопасность вообще, а конкретные виды безопасности в конкретной области применения.

24.07.2017 22:38:24

Я думаю, что в ваших рассуждению содержится важная принципиальная ошибка, характерная для российский "безопасников".

Вы не хотите рассматривать проблему в комплексе, а вместо этого хотите говорить только об отдельных элементах.

Можно сколько угодно говорить о надежности колес автомобиля, но если у него не работает мотор, то никакие колеса просто не нужны.
Помните. как у Аркадия Райкина - "Кто пошил этот костюм?" - "Мы отвечает не за костюм, а за пуговицы. К пуговицам претензии есть?"
Но человеку нужны не пуговицы, а костюм

Пользователю нужно не "отечественное ПО", а "надежное ПО по приемлемой цене".
А "надежность" - это комплексное понятие. Но очень упрощенно - чтобы оно работало в соответствии с требованиями пользователя.

А ваши доводы совершенно несерьезны.
Пример, приведенный в посте, показывает, то "отечественность" совсем не обеспечивает "контроль кода".

И точно также "отечественность" не обеспечивает устойчивость с точки зрение сопровождения и развития ПО.
Простой пример: вы можете купить отличный продукт российского стартапа, но через месяц окажется, что самого стартапа уже не существует.

Примеров много. Например, браузер "Спутник". Ряд российский заказчиков "повелись" на его "отечественность", но проект закрыли. А это был не стартап, а Ростелеком.

Все на самом деле намного сложнее, чем рисуемых вами весьма упрощенных схемах. У вас получается так: на чертежах - отличный самоолет, а на практике - он не летает.

24.07.2017 23:30:04

Цитата
Вы не хотите рассматривать проблему в комплексе, а вместо этого хотите говорить только об отдельных элементах.

Я уже неоднократно писал, что вопросы безопасность всеми "безопасниками" независимо от национальной, религиозной или государственной принадлежности, всегда рассматриваются комплексно, т.е. как комплекс организационно-технических мероприятий с одной стороны, с другой стороны существует понятия классификации и локализации угроз. Всё это определено в соотвествующих документах по безопасности. Вопрос качества исполнения данных документов, это уже другая часть Мерлезонского балета.
Цитата
Пользователю нужно не "отечественное ПО", а "надежное ПО по приемлемой цене".

А что есть какое-то "не отечественное ПО", которое априори безопасно?!
Цитата
И точно также "отечественность" не обеспечивает устойчивость с точки зрение сопровождения и развития ПО.

Я уже говорил о конкретике примения самого понятия "отечественное ПО", а именно в плане ипортозамещения, которое касается государственного сектора, а не потребителя вообще. Никто не заставляет негосударственныех потребителей закупать исключительно "отечественное ПО".
Что касается государственного сектора то и там всё конкретно, например разработка железа и программного обеспечения, скажем, для Министерства Обороны сильно отличается от гражданского сектора. Отличается оно по применению и разработке и внутри МО.
Разработка ПО и железа для сист ПРО министерства обороны это не тоже самое, что поставка 1С для нужд МО. Оно разное даже для разных ведомств внутри МО. Собственно как и в любом другом государственном секторе.
Например сертификация ФСТЭК для нужд МО обязательна, но вопрос организации применения сертифицированных продуктов т.с. на местах, скажем в отдельной и отдалённой от Арбатского Военного Округа воинской части это уже совсем другая песня, не имеющая никакого отношения в "отечественности ПО". На данном этапе это вопрос не технический, а организационный.
Цитата
И точно также "отечественность" не обеспечивает устойчивость с точки зрение сопровождения и развития ПО.
Простой пример: вы можете купить отличный продукт российского стартапа, но через месяц окажется, что самого стартапа уже не существует.

Я опять о конкретном - где именно применяется и какое именно отечественное ПО. Первое где - в госсекторе или нет. Если в госсекторе, то где именно т.е. требуется сертификации ФСТЭК или нет. Если да, то ЕДОКовская проблема с точки зрения кода была бы обнаружена. Обновления для сертифицированных продуктов, также перед установкой проверяются, как и основной продукт. Об этом мы уже говорили. Там где применяются сертифицированные средства, весь комплекс организационно-технических мер безопасности совершенно отличен от других структурных подразделений.
А "отличные продукты российского стартапа" в критичные области государственного сектора не закупаются.




25.07.2017 00:02:48

Цитата
И точно также "отечественность" не обеспечивает устойчивость с точки зрение сопровождения и развития ПО.

Уточню. Как вам видится устойчивость сопровождения и развития отечественного продукта 1С? Лично я считаю, что продукт, который официально определён для применения в госструктурах будет соответствующим образом финансироваться и с точки зрения сопровождения и развития. А вот негосударственные структуры должны сами определятся на какую лошадку ставить. У них маненько другие критерии.

25.07.2017 17:20:14

Никто тут вопросы создания ПРО страны не обсуждает. Оставим в стороне вопросы МО и КГБ - пусть разбираются сами.
Речь идет, например, об автоматизации органов управления и подведомственных предприятий Владимирской области. Они за последние 7 лет уже два раза делали "переходы" из-за "импортозамещения". Это они "влетели" со "Спутником" и не только с ним.

В посте приводится конкретный пример: именно "отечественное ПО" стала каналом нарушения работоспособности госсистем (в данном случае - Украины).

А вы продолжаете общие рассуждения о национальной безопасности, не понимая того, что главные угрозы для национальной безопасности - не снаружи, а внутри...

25.07.2017 18:16:38

Цитата
Речь идет, например, об автоматизации органов управления и подведомственных предприятий Владимирской области. Они за последние 7 лет уже два раза делали "переходы" из-за "импортозамещения". Это они "влетели" со "Спутником" и не только с ним.

Ну вот вам свежий пролёт в отсутствии терминов, которые вас так пугаёт -
"импортазамещения" и "отечественного ПО".
Что касается Владимирской области, то разве там тоже проблемы программного кода? По-моему там налицо проблемы организационные т.с. внедренческие. Какое отношение организационная проблема внедрения имеет к проблеме украинской и "отечественности"?
Цитата
В посте приводится конкретный пример: именно "отечественное ПО" стала каналом нарушения работоспособности госсистем (в данном случае - Украины).

У ПО нет национальности с точки зрения кода. Если не считать вашего банального примера с украинской системой, то хочу напомнить, что основные масса нарушений, от последних вирусных атак, связано с программным обеспечением ну прямо совсем не "отечественного ПО" Microsoft Windows. А пример с украиной банальный, потому, как забили ребята разработчики на безопасность, как и клиенты. Одни завалили контроль, как самого кода, так и кадровый контроль. Другие наплевали на антивирусную безопасность и правила обновления т.с. "продакшэн" систем. В нормальных организациях никто не обновляет работающие системы напрямую. И это делается не только ради выявления вот таких моментов намеренного зловредного кода, но и особенностей работы обновления вообще.
Я не национальную безопасность "вообще" обсуждаю. Я с этими проблемами работаю ежедневно и у меня нет проблем.
При этом ничего волшебного я не делаю. Есть правила безопасности и их просто надо выполнять, хотя бы на базовом уровне.

Вы приводите примеры из области нарушения или игнорирования мер безопасности, но зачем-то валите всё на "отечественность ПО" и "импортозамещение". Они тут вообще не при чём.
Надеюсь вы не станете игнорировать приведённые мной выше примеры с IBM в Швеции и Microsoft по всему миру?!
Кстати, система безопасности от IBM внедрена у нас Сбербанке, а система безопасности от Microsoft обсуждалась к внедрению там же. Мы жарко спорили, как-то о внедрении этого "неотечественного ПО" в Сбербаке.

25.07.2017 18:42:32

Цитата
. Мы жарко спорили, как-то о внедрении этого "неотечественного ПО" в Сбербаке.

Много разговор помню, а споров не могу вспомнить. Там не было вообще предмета для спора smile:-)

25.07.2017 18:53:38

Как скажите.

25.07.2017 18:59:47

В оценке нашей переписки, как по форме, так и по содержанию мы можем расходится и это нормально.
Нормально так же и то, что Сбербанку не только абсолютно наплевать на наши оценки собственных действий, но ещё больше наплевать на тему и суть нашего спора/разговора.

25.07.2017 19:42:18

Я оцениваю иначе суть нашего обмена мнениями smile:-)

25.07.2017 20:13:13

Аминь. smile;)

31.07.2017 15:31:52

Вообще-то исходное утверждение "Один из традиционных доводов в пользу выбора отечественного ПО (и не только ПО, и даже не только ИТ) – оно является более безопасным." - ложно. Посему и обсуждать СЛЕДСТВИЯ из него не имеет смысла...

31.07.2017 15:50:22

Я искренне нахожусь в растерянности. Уже не первый раз встречаюсь с таким заявлением - о том, что мое утверждение является ложным.
Я могу потратить некоторое время и привести доказательства обратного (что это - истина). Но не буду этого делать.
Такое впечатление, что мы с вами живем в разных странах.

31.07.2017 16:41:22

Что ж Вы так тревожитесь? Насколько я понял сие утверждение не Ваше личное, а откуда-то почерпнутое.
У нас плюрализм мнений. Лично я таких утверждений нигде, кроме как от Вас, ещё не встречал, да оно и НЕ логично.
С профессиональной же т.з. Donat Lipkovsky 25.07.2017 18:16:38 Вам правильно расписал:

Цитата
Вы приводите примеры из области нарушения или игнорирования мер безопасности, но зачем-то валите всё на "отечественность ПО" и "импортозамещение". Они тут вообще не при чём.

31.07.2017 17:21:08

Т.е. вы сначала обвинили меня во лжи, а потом - в неспособности к собственному мнению и в плагиате. Чудесно! smile:-)

31.08.2017 14:46:03

С одной стороны, с автором трудно не согласиться. Однако же посыл здесь не полный, оттого и мысль до конца не сформулирована. Тезис «безопасный поскольку отечественный» формирует только необходимое, но отнюдь не достаточное условие безопасности. Почему это так? Попробуем для начала уточнить содержание термина «безопасный». В обсуждаемом контексте он означает, что используемое ПО не создаст для пользователя критической ситуации, не остановит вычислительный процесс в АС, не скопирует учетные записи и пр. Т.е. ПО не станет причиной неприятных проблем. Но если эти причины есть, то надо учитывать, что они могут быть созданы или умышленно, или по неосторожности (или по неумению).

Отечественное происхождение ПО как необходимый признак безопасности отвечает только на первую угрозу — умышленную. Считается, что разработка ПО, ведущаяся в РФ российскими гражданами и контролируемая на всех этапах производства в подавляющем большинстве случаев будет избавлена от «недекларируемых» возможностей (НДВ), не описанных в документации, сознательно имплементированных в исходный код продукта. Чего, совершенно точно, нельзя сказать о ПО зарубежного производства, исходный код которого не опубликован, и можно лишь неопределенно утверждать по отношению к свободному ПО. Надо ясно понимать: никакие проверки не способны до конца выявить наличие заложенных изначально особенностей функционирования конечного продукта (ПО). Гарантии здесь просты — производственная дисциплина, контроль разработки, проверки исходного кода, разработчики — российские граждане. И фатальность выявления недекларированных возможностей или даже серьезного подозрения в этом для дальнейшей судьбы продукта. Создавать качественное ПО, развивать его, выводить на рынок ради использования НДВ — это неприемлемо дорогой, сложный и ненадежный путь для злоумышленников. Есть масса эффективных альтернатив, которые, к сожалению, работают.

Иное дело, когда нарушение необходимого признака безопасности срабатывает против разработчиков отечественного ПО, не обладающих необходимым уровнем профессионализма и невольно создающих угрозы безопасности, не ведая об этом. Самый простой пример — применение в составе своих продуктов заимствованных модулей (подсистем, сред разработки и пр.). С одной стороны, такие модули являются проверенными функционально полными компонентами, а с другой —могут иметь известные (кому надо) и никому больше не ведомые уязвимости, способные привести к недекларируемой работе весь комплекс ПО в целом.
Считается, что профессионализма российским разработчикам не занимать. Но это верно только для лучших программистов, но не для всей отрасли. При современном кадровом голоде компания-разработчик далеко не всегда способна привлечь специалистов высочайшей квалификации и составить из них устойчивый коллектив, существующий годами. Не меньше проблем связано с полноценной реализацией всего комплекса технологий, на которых основана продуктовая модель бизнеса в мире ПО. Например, с качеством проектирования и тестирования ПО, с его защитой от реализации «хотелок» крупных заказчиков, с подготовкой менеджеров, управляющих процессами, обеспечивающими жизненных цикл продукта, управление качеством. А ведь эти процессы должны нормально работать на фоне сочетания быстрого роста, возникающего, если продукт становится востребованным, и кадрового голода.
И нельзя забывать, что достаточный признак безопасности ПО — качество продукта и высокий профессиональный уровень разработки. Если это соблюдается, то тогда, кто же откажется от российского безопасного ПО?

Профессионализм надо срочно повышать, не уповая на расхожие стереотипы, а занимаясь системной работой на всех ключевых участках: в системе образования и подготовке ИТ-менеджеров, в привлечении молодежи в инженерные специальности, в создании взаимоувязанных стандартов (государственных, отраслевых, корпоративных) в сфере построения и взаимодействия ИС для госзаказчика, в возрождении института экспертов, в развитии и защите реальной конкуренции компаний-разработчиков, в привлечении частных инвесторов в сферу разработки российского ПО… И тогда фактор неосведомленности перестанет быть значимым для рынка.

31.08.2017 15:05:04

Цитата
Тезис «безопасный поскольку отечественный» формирует только необходимое


Вы неверно поняли мысль автора (мою).
"Отечественный" не формирует "необходимое" ни в коей мере!
А в наших условиях - вполне, возможно, вообще формирует что-то обратное. Не всегда, но зачастую.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Интересно

Статьи

Сказки о безопасности: Уничтожение документов
— Курт! Срочно одевайтесь и берите с собой дежурную бригаду. У нас проблема! — Что случилось …

Светодиоды — ещё один способ кражи данных с изолированных компьютеров
Изобретательность хакеров не знает границ — помимо физических методов увода информации типа установки …

Сказки о безопасности: Новая метла
По пятницам вечером Потапыч обожал просто расслабиться и, посидев со стаканом выдержанного меда …

Сказки о безопасности: Недоумок и утечка
— Потапыч, у нас неприятности! — Ха, а когда у меня утро начиналось иначе? Что случилось …

Сказки о безопасности: Автомобиль эры смартфонов
─ Шеф, доброе утро! Как вы относитесь к широкой интеграции электронного управления в автомобили …

Решения

Миграция с VMware на OpenStack с минимальным даунтаймом
Опытные ИТ-руководители понимают: если корпоративная инфраструктура или ее часть выйдет из строя, большинство …

Маленькая грязная тайна отрасли безопасности
В последние годы центральное место в обсуждении вопросов сетевой безопасности занимают постоянные угрозы повышенной …

Упрощение аварийного восстановления в сложных виртуальных средах
В данном техническом документе рассматривается Выбор правильной стратегии резервного копирования виртуальных машин для эффективного управления...

Непрерывная защита данных
Данный технический документ позволит ответить на вопрос, соответствует ли технология непрерывной защиты данных (CDP …

Скрытые издержки виртуализации
Для того чтобы проект по виртуализации позволил достичь ожидаемых результатов и предполагаемой рентабельности …

Блог

Как запретить Uber отслеживать местоположение вашего iPhone, когда вы не используете приложение
Увы, большинство приложений для iOS, требующих отслеживания вашего местоположения, дают вам выбор то ...

Вопросы информационной безопасности на примере квартального автошлагбаума
Опубликованный месяц назад пост о проблема обеспечения "защищенной" работы дворового автошлагбаума ( ...

Как защитить интернет-аккаунт от взлома?
В субботу вечером получил сообщения от Гугл о блокировке моего Gmail-аккуанта по случаю "попытки вхо ...

Насколько безопасна электронная система голосования для избрании депутатов?
Этот вопрос возник вчера во время беседы с кандидатом в муниципальные депутаты в нашем районе, котор ...

TOR — не Dark Web
Несмотря на то, что в Федеральном законе № 276-ФЗ «О внесении изменений в Федеральный закон «Об инфо ...

 

Лидеры читательского рейтинга

Статьи

Записи в блогах

Панорама

Ритейл: как повысить продажи с помощью современных ИТ-решений?
Всё начиналось с крайне простых по сегодняшним меркам вещей. Сначала интернет …
“Мы не продаем системы хранения данных, мы продаем опыт”
Рынок систем хранения данных на флэш-памяти быстро растет и переживает революционные времена. Одноуровневую …
ASUS ZenFone 4 Selfie Pro (ZD552KL): снимаются все!
Селфи-снимки стали неотъемлемой частью современной культуры. И потому покупатели, задумываясь о приобретении …
Десятилетний юбилей APC в составе Schneider Electric: конвергенция технологий
Основанная в 1981 г. компания АРС с самого начала своей истории активно развивала направления …
Новое поколение Secure Web Gateway от Symantec и почему архитектура прокси является наиболее эффективной для веб-защиты
и почему архитектура прокси является наиболее эффективной для веб-защиты Интернет является современным центром …

Интересно

 

Создание сайта - студия iMake
© 2017 АО «СК ПРЕСС».
Информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.