Контакты
Подписка 2025

Кибербезопасность как основа долгосрочного развития ИТ

Арутюн Аветисян, 09/08/23

Одно из ключевых направлений обеспечения кибербезопасности в современном мире связано с созданием и внедрением технологий безопасной разработки (Secure Development Lifecycle, SDL), которые повышают качество программ на всех этапах, от дизайна до эксплуатации. Исторически во всем мире это направление развивалось и развивается под воздействием регуляторики. У нас в стране вопросами правового регулирования данной области занимается, в частности, ФСТЭК России, где создан специальный подкомитет по формированию требований к разработке безопасного программного обеспечения (ПО).

Автор: Арутюн Аветисян, директор Института системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН), академик РАН

Вначале лучшие практики безопасной разработки применялись к специализированным решениям: средствам защиты информации, критической инфраструктуре. Однако в последние годы возникла глобальная тенденция применять их и в других отраслях. Например, в 2021 г. Европейское космическое агентство предложило стандарт для аэрокосмической отрасли, где указано, что без процесса безопасной разработки создание программ невозможно, и ключевыми технологиями названы инструменты статического анализа и фаззинга с символьным выполнением.

В России в июне 2023 г. была принята Концепция Национальной технологической инициативы (НТИ) "Сейфнет", согласно которой создание программ для любых рынков НТИ должно соответствовать лучшим практикам и стандартам разработки безопасного ПО. Все это показывает, что каждая компания, которая занимается созданием информационных технологий, должна вкладывать ресурсы в безопасную разработку – без этого невозможно сохранить конкурентоспособность.

isprasopen-2022-30

Чтобы создавать безопасное ПО, в первую очередь необходимы ключевые системные инструменты сборки, анализа и тестирования, обеспечивающие весь жизненный цикл разработки. И они в нашей стране есть. По сути, Россия сейчас – единственная страна, кроме США, где существует стек конкурентоспособных технологий безопасной разработки. Остальные страны используют, как правило, американские инструменты (например, технологии анализа кода Synopsis Coverity, Perforce Klocwork и др.). В России удалось развить это наукоемкое направление благодаря наличию серьезных научных школ, ведь создание инструментов анализа требует не столько больших ресурсов, сколько глубоких знаний в таких областях системного программирования, как компиляторные технологии, верификация программ и др. Например, в нашем институте первые исследования и разработки в этой новой научной области появились еще в 2002 г. в рамках совместной работы с компанией Nortel Networks.

За минувшие годы мы прошли путь от идей и фундаментальных исследований до продуктов и создали полный стек технологий безопасной разработки, конкурентоспособных на мировом уровне, – от безопасного компилятора для С и С++ до технологий анализа бинарного кода. В настоящее время наши инструменты внедрены как в ведущих мировых компаниях (например, Samsung Electronics), так и более чем в 100 отечественных ("Лаборатория Касперского", "Код безопасности", "РусБИТех", "Базальт СПО", СберТех и др.). Из последних разработок стоит упомянуть инструмент Natch для определения поверхности атаки, который разработан уже с учетом сертификационных требований ФСТЭК России. На базе всего этого опыта в 2018 г. мы инициировали создание в России новой научной специальности ВАК "Кибербезопасность", которая была одобрена РАН и принята Минобрнауки в 2021 г. при поддержке ФСТЭК России и крупного бизнеса.

Однако одного только наличия инструментов безопасной разработки недостаточно. Необходимы модели работы, которые консолидируют усилия академического сообщества, бизнеса, государства и создают возможность совместной работы над огромным объемом открытого кода, на основе которого создается большинство ИТ-продуктов. Совместный анализ кода с помощью инструментов безопасной разработки позволяет, в частности, избежать дублирования работ, которое происходит, когда сотни компаний параллельно проверяют на безопасность один и тот же код, тратя на это большие человеческие и финансовые ресурсы.

Одну из таких моделей работы реализует наш институт совместно с партнерами при поддержке регулятора. На базе ИСП РАН функционирует созданный при поддержке ФСТЭК России Технологический центр исследования безопасности ядра Linux, где ведется систематический поиск уязвимостей и подготовка соответствующих патчей. В настоящее время этот Центр расширяется, в него добавляются исследования критичных компонентов операционных систем. Фактически идет работа над созданием доверенного репозитория базовых компонентов открытого системного ПО.

isprasopen-2022-82

Сейчас в этом процессе принимают участие более 50 компаний, частично они уже объединились в консорциум. В работе над репозиторием принимают участие и некоторые вузы (в том числе региональные, например Чувашский государственный университет); поиском уязвимостей занимаются также студенты кафедр системного программирования МГУ, МФТИ и ВШЭ, где преподают сотрудники ИСП РАН. Результаты исследований открыты и доступны всем участникам консорциума. В той же модели ведутся работы в Исследовательском центре доверенного искусственного интеллекта ИСП РАН (создан по инициативе Минэкономразвития России). Результаты деятельности этих центров уже есть: около 200 патчей приняты в основную ветку ядра Linux, более 50 – в популярные фреймворки машинного обучения TensorFlow и PyTorch. Подчеркну: это исправления ошибок, которые до нас не находил еще никто в мире!

Вокруг доверенного репозитория создаются профильные образовательные программы, формируется широкое сообщество профессионалов, которые работают в разных компаниях, обучаются в вузах, даже живут в разных юрисдикциях, но при этом решают общие задачи, связанные с безопасностью систем. Насколько это позволяет экономить ресурсы, можно понять на простом примере. Сейчас продукты на основе ядра Linux создают более 200 российских компаний. При этом большинство из них самостоятельно проверяют код на безопасность. Между тем целесообразнее было бы перейти от конкуренции к кооперации и вместе работать над повышением безопасности ядра. Хочу еще раз подчеркнуть, что вся эта работа – и создание инструментов, и формирование репозитория – ведется в тесном сотрудничестве с ФСТЭК России. В частности, институт является Центром компетенции по вопросам безопасной разработки и анализа кода сертифицируемого программного обеспечения.

Учитывая весь наш опыт, основанный на консолидации усилий со стороны академического сообщества, государства и бизнеса, мы подготовили к реализации комплексный научно-технический проект (КНТП), которому дал положительную оценку профильный Экспертный совет по приоритетному направлению Стратегии научно-технологического развития России. Надеемся, что в ближайшее время КНТП будет запущен. Его реализация обеспечит дальнейшее гармоничное развитие сформировавшегося сообщества и сохранит конкурентоспособность отечественных инструментов безопасной разработки. При необходимости эту модель работы можно будет существенно масштабировать за счет запуска дополнительных проектов, что обеспечит долгосрочное устойчивое развитие всей отрасли ИТ в России и конкурентное преимущество нашим компаниям.

Темы:ИСП РАНФСТЭКБезопасная разработкаЖурнал "Информационная безопасность" №3, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
    Борис Позин, технический директор ЗАО "ЕС-лизинг", д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН
    Проблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства.
  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Управление уязвимостями: ожидание – реальность и рекомендации
    Сергей Уздемир, заместитель генерального директора по ИТ, АЛТЭКС-СОФТ
    ФСТЭК России разработала и утвердила методический документ по организации управления уязвимостями (VM), который устанавливает цикл этапов работ по VM. Излагаемые в нем подходы универсальны для любых организаций и тесно пересекаются с зарубежными стандартами, в частности с ISO/IEC 27002, Control 8.8 – Management of Technical Vulnerabilities.
  • Protestware: как защитить код?
    Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security
    Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...