Контакты
Подписка 2024

Кибербезопасность как основа долгосрочного развития ИТ

Арутюн Аветисян, 09/08/23

Одно из ключевых направлений обеспечения кибербезопасности в современном мире связано с созданием и внедрением технологий безопасной разработки (Secure Development Lifecycle, SDL), которые повышают качество программ на всех этапах, от дизайна до эксплуатации. Исторически во всем мире это направление развивалось и развивается под воздействием регуляторики. У нас в стране вопросами правового регулирования данной области занимается, в частности, ФСТЭК России, где создан специальный подкомитет по формированию требований к разработке безопасного программного обеспечения (ПО).

Автор: Арутюн Аветисян, директор Института системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН), академик РАН

Вначале лучшие практики безопасной разработки применялись к специализированным решениям: средствам защиты информации, критической инфраструктуре. Однако в последние годы возникла глобальная тенденция применять их и в других отраслях. Например, в 2021 г. Европейское космическое агентство предложило стандарт для аэрокосмической отрасли, где указано, что без процесса безопасной разработки создание программ невозможно, и ключевыми технологиями названы инструменты статического анализа и фаззинга с символьным выполнением.

В России в июне 2023 г. была принята Концепция Национальной технологической инициативы (НТИ) "Сейфнет", согласно которой создание программ для любых рынков НТИ должно соответствовать лучшим практикам и стандартам разработки безопасного ПО. Все это показывает, что каждая компания, которая занимается созданием информационных технологий, должна вкладывать ресурсы в безопасную разработку – без этого невозможно сохранить конкурентоспособность.

isprasopen-2022-30

Чтобы создавать безопасное ПО, в первую очередь необходимы ключевые системные инструменты сборки, анализа и тестирования, обеспечивающие весь жизненный цикл разработки. И они в нашей стране есть. По сути, Россия сейчас – единственная страна, кроме США, где существует стек конкурентоспособных технологий безопасной разработки. Остальные страны используют, как правило, американские инструменты (например, технологии анализа кода Synopsis Coverity, Perforce Klocwork и др.). В России удалось развить это наукоемкое направление благодаря наличию серьезных научных школ, ведь создание инструментов анализа требует не столько больших ресурсов, сколько глубоких знаний в таких областях системного программирования, как компиляторные технологии, верификация программ и др. Например, в нашем институте первые исследования и разработки в этой новой научной области появились еще в 2002 г. в рамках совместной работы с компанией Nortel Networks.

За минувшие годы мы прошли путь от идей и фундаментальных исследований до продуктов и создали полный стек технологий безопасной разработки, конкурентоспособных на мировом уровне, – от безопасного компилятора для С и С++ до технологий анализа бинарного кода. В настоящее время наши инструменты внедрены как в ведущих мировых компаниях (например, Samsung Electronics), так и более чем в 100 отечественных ("Лаборатория Касперского", "Код безопасности", "РусБИТех", "Базальт СПО", СберТех и др.). Из последних разработок стоит упомянуть инструмент Natch для определения поверхности атаки, который разработан уже с учетом сертификационных требований ФСТЭК России. На базе всего этого опыта в 2018 г. мы инициировали создание в России новой научной специальности ВАК "Кибербезопасность", которая была одобрена РАН и принята Минобрнауки в 2021 г. при поддержке ФСТЭК России и крупного бизнеса.

Однако одного только наличия инструментов безопасной разработки недостаточно. Необходимы модели работы, которые консолидируют усилия академического сообщества, бизнеса, государства и создают возможность совместной работы над огромным объемом открытого кода, на основе которого создается большинство ИТ-продуктов. Совместный анализ кода с помощью инструментов безопасной разработки позволяет, в частности, избежать дублирования работ, которое происходит, когда сотни компаний параллельно проверяют на безопасность один и тот же код, тратя на это большие человеческие и финансовые ресурсы.

Одну из таких моделей работы реализует наш институт совместно с партнерами при поддержке регулятора. На базе ИСП РАН функционирует созданный при поддержке ФСТЭК России Технологический центр исследования безопасности ядра Linux, где ведется систематический поиск уязвимостей и подготовка соответствующих патчей. В настоящее время этот Центр расширяется, в него добавляются исследования критичных компонентов операционных систем. Фактически идет работа над созданием доверенного репозитория базовых компонентов открытого системного ПО.

isprasopen-2022-82

Сейчас в этом процессе принимают участие более 50 компаний, частично они уже объединились в консорциум. В работе над репозиторием принимают участие и некоторые вузы (в том числе региональные, например Чувашский государственный университет); поиском уязвимостей занимаются также студенты кафедр системного программирования МГУ, МФТИ и ВШЭ, где преподают сотрудники ИСП РАН. Результаты исследований открыты и доступны всем участникам консорциума. В той же модели ведутся работы в Исследовательском центре доверенного искусственного интеллекта ИСП РАН (создан по инициативе Минэкономразвития России). Результаты деятельности этих центров уже есть: около 200 патчей приняты в основную ветку ядра Linux, более 50 – в популярные фреймворки машинного обучения TensorFlow и PyTorch. Подчеркну: это исправления ошибок, которые до нас не находил еще никто в мире!

Вокруг доверенного репозитория создаются профильные образовательные программы, формируется широкое сообщество профессионалов, которые работают в разных компаниях, обучаются в вузах, даже живут в разных юрисдикциях, но при этом решают общие задачи, связанные с безопасностью систем. Насколько это позволяет экономить ресурсы, можно понять на простом примере. Сейчас продукты на основе ядра Linux создают более 200 российских компаний. При этом большинство из них самостоятельно проверяют код на безопасность. Между тем целесообразнее было бы перейти от конкуренции к кооперации и вместе работать над повышением безопасности ядра. Хочу еще раз подчеркнуть, что вся эта работа – и создание инструментов, и формирование репозитория – ведется в тесном сотрудничестве с ФСТЭК России. В частности, институт является Центром компетенции по вопросам безопасной разработки и анализа кода сертифицируемого программного обеспечения.

Учитывая весь наш опыт, основанный на консолидации усилий со стороны академического сообщества, государства и бизнеса, мы подготовили к реализации комплексный научно-технический проект (КНТП), которому дал положительную оценку профильный Экспертный совет по приоритетному направлению Стратегии научно-технологического развития России. Надеемся, что в ближайшее время КНТП будет запущен. Его реализация обеспечит дальнейшее гармоничное развитие сформировавшегося сообщества и сохранит конкурентоспособность отечественных инструментов безопасной разработки. При необходимости эту модель работы можно будет существенно масштабировать за счет запуска дополнительных проектов, что обеспечит долгосрочное устойчивое развитие всей отрасли ИТ в России и конкурентное преимущество нашим компаниям.

Темы:ИСП РАНФСТЭКБезопасная разработкаЖурнал "Информационная безопасность" №3, 2023

Актуальные вопросы защиты информации
Организатор: ФСТЭК России
14 февраля 2024

Жми для участия
Кибербезопасность в новой реальности
15 февраля 2024. Подходы и инструменты управления процессом безопасной разработки. От сертификации СЗИ к сертификации РБПО
Регистрируйтесь и приходите на ТБ Форум 2024!
Статьи по той же темеСтатьи по той же теме

  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.
  • Сертификация СЗИ – курс на РБПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    На рубеже 2023–2024 гг. положение разительно отличается от картины пятитилетней давности. Практики РБПО требуются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта.
  • 50 лет ФСТЭК России
    18 декабря исполняется 50 лет со дня основания Гостехкомиссии СССР, которая в 2004 г. стала называться ФСТЭК России. Редакция журнала “Информационная безопасность” задала вопросы экспертам рынка, чтобы вместе рассмотреть важные вехи проходимого пути.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Traffic Inspector Next Generation: NGFW, сертифицированный ФСТЭК России
    Александр Вишняков, руководитель проектов ООО “СМАРТ-СОФТ”
    Cертифицированный универсальный шлюз безопасности Traffic Inspector Next Generation FSTEC от российской компании "Смарт-Софт", надежное решение с хорошим потенциалом развития
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
15 февраля 2024. Доверенные отечественные ИТ-системы и российское ПО для ключевых отраслей
Регистрируйтесь!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
Жми, чтобы участвовать