XI Научно-практическая конференция OS DAY 2024 состоялась в Москве на базе Российского экономического университета имени Г.В. Плеханова. В ней приняло участие более семисот ИТ-специалистов из всех регионов России – представителей коммерческих ИТ-компаний и научных институтов, программистов и производителей аппаратных систем. Главным вопросом, обсуждавшимся в ходе конференции, традиционно стало создание кибериммунных операционных систем. В этот раз актуальнейшая для ИТ-отрасли тема рассматривалась с точки зрения инженерных или архитектурных решений, обеспечивающих ответы на модели угроз.
За минувшие одиннадцать лет конференция OS DAY превратилась в одно из опорных мероприятий отрасли, авторитетную дискуссионную площадку, где на обсуждение выносятся самые животрепещущие вопросы российского ИТ. Во многом подчеркивает это и состав консорциума организаторов – ведущих отечественных создателей операционных систем – ИСП РАН, «Лаборатория Касперского», НТП «Криптософт», «Открытая мобильная платформа», Группа Астра, «Базальт СПО», РЕД СОФТ, НТЦ ИТ РОСА и НИЦ «Институт имени Н.Е. Жуковского».
По составу докладчиков и уровню докладов, темам выступлений и оживленности дискуссий можно легко судить о том, насколько та или иная тема важна для ИТ-сообщества сегодня. На OS DAY 2024 прозвучали доклады о новых подходах к созданию защищенных операционных систем – автоматизации процессов анализа безопасности, инструментах доверенной разработки и доверенной загрузки, мониторинга и диагностики, различных подходах к построению безопасной архитектуры ОС. А наиболее активно обсуждалась тема разработки и внедрения новых национальных стандартов, в частности, ГОСТа Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», регламентирующего сам процесс разработки ПО, который должен вступить в действие до начала 2025 года.
Серьезную дискуссию вызвал доклад Анны Мелеховой, системного программиста, архитектора ПО «Лаборатории Касперского», «Безопасность микроядра. Нужны ли бинарные митигации, если следуешь принципу secure-by-design?», заставивший вспомнить старый спор разработчиков проприетарных операционных систем и ОС, созданных на основе Open Source, о том, какой тип «операционки» более надежен и безопасен.
– Уровень конкуренции между системами разных типов высок и постоянно нарастает, – говорит Роман Симаков, директор департамента развития системных продуктов РЕД СОФТ. – Когда какой-либо продукт строится на основе Open Source, вендор отвечает за его надежность, в том числе – за информационную безопасность своих клиентов. Программный код изучается при помощи всех известных методов и совершенствуется, притом в этой модели любой желающий может провести аудит исправлений и проанализировать суть ошибок и вероятность последствий. Проприетарные продукты не дадут подробной информации, как и возможности всем группам исследователей анализировать код заранее.
С другой стороны, как отмечает Роман Мылицын, руководитель отдела перспективных исследований и специальных проектов Группы Астра, качественная разработка безопасного программного обеспечения и активное развитие средств защиты информации требуют значительной концентрации ресурсов и профильных специалистов, которая в настоящее время недоступна «опенсорсным» операционным системам.
– Со стороны проприетарных систем, безусловно, конкуренция в этом сегменте гораздо выше, – говорит он.
Признает возможность обеспечить высокий уровень безопасности отечественных проприетарных ОС и правомерность создавшейся конкуренции Алексей Киселёв, руководитель направления разработки операционных систем компании РОСА.
– В нынешних реалиях Open Source проекты могут стать источником атаки, – констатирует он, – но, с другой стороны, проще можно проверить этот код на уязвимости с помощью базы cve и проведя статический анализ. В то же время проприетарные продукты, если они не дают исходный код, то проверить их решение невозможно. С другой стороны, если продукт сделан в России с нуля без использования Open Source, то с большой долей вероятности это может гарантировать отсутствие заведомо заложенных «черных ящиков». Однако это все зависит от профессионализма разработчика и от того, насколько хорошо написан код.
На преимуществах именно такого подхода – создания кода собственными силами с многократной его проверкой на уязвимости – настаивает Валерий Егоров, технический директор НТП «Криптософт».
– Наиболее серьёзные угрозы безопасности представляет необдуманное использование чужого кода, написанного в чужой стране, согласно концепции открытого ПО, – утверждает он. – Это подтверждается постоянно и многократно возникающими проблемами с Linux, в частности. Те уязвимости, которые предаются огласке, представляют собой лишь вершину айсберга: проверить весь объём чужого кода не представляется физически возможным. Выход только один – использование в максимальной степени собственного кода или, как минимум, кода, написанного в России. Это позволит обеспечить адекватное взаимодействие с разработчиками ПО при возникновении проблем.
Андрей Духвалов, директор департамента перспективных технологий «Лаборатории Касперского», уверен, что с точки зрения защищенности между проприетарными и опенсорсными ОС особой разницы нет.
– Гораздо важнее безопасные процессы разработки, применение проверенных, безопасных архитектурных конструкций, минимизация кодовой базы и другие принципы безопасной разработки, – считает он.
В этом отношении российская ИТ-отрасль как раз и собирается сделать шаг вперед с внедрением стандартизирующего процессы разработки безопасного программного обеспечения ГОСТа. Насколько успешно будет проходить этот процесс, нам предстоит узнать в следующем году.
Автор текста: Иван Троицкий
Автор фотографий: Вадим Мелешко
Информация и фото предоставлены Оргкомитетом конференции OS DAY