Должны дать 101% безопасности

IX международая научно-практическая конференция OS DAY 2022

27.07.2022
12:40

О том, как добиться максимальной безопасности отечественных операционных систем, говорили на IX международной научно-практической конференции OS DAY 2022 российские программисты, ученые и представители служб-регуляторов.

 

Объектом особого внимания в отношении безопасности остается свободное программное обеспечение. Альтернативы использованию свободного программного обеспечения сегодня практически не существует. Даже в проприетарных операционных системах, как признают их разработчики, присутствуют компоненты на основе СПО, как минимум, прикладные программы. Поэтому вопрос о безопасности свободного кода представляется сегодня одним из самых актуальных.

 

Этой теме были посвящены многие доклады конференции, ее же обсуждали на круглом столе «Доверенное отечественное ПО: риски сегодняшнего дня и модели долгосрочного устойчивого развития», который состоялся в рамках OS DAY 2022. «Безопасность операционных систем – сложная тема, – отметил, открывая дискуссию, Арутюн Аветисян, директор ИСП РАН. – Но мы продолжаем создавать новые технологии и развивать существующие, стремиться к технологическому суверенитету. Наиболее значимые шаги в этом направлении – запуск Технологического центра исследования безопасности ядра Linux под эгидой ФСТЭК России и создание по близкой схеме инфраструктуры для систематического исследования безопасности критичных компонентов».

 

Несмотря на то, что Технологический центр создан относительно недавно, уже можно подвести первые итоги его работы. К нынешнему дню сформированы процессы сопровождения ветки ядра Linux версии 5.10, рекомендуемой для использования при конструировании отечественных операционных систем. Создана экспертная группа, состоящая из представителей 14 российских компаний, в рамках которой формируются принципы функционирования Технологического центра и отрабатывается применение разработанных методик исследования безопасности ядра. В ходе этих работ уже удалось выявить несколько десятков ошибок, исправления для них были отправлены в международное сообщество разработчиков и включены последними в основную ветку ядра. Разработкам технологического центра уже находится применение при создании отечественного софта, российские операционные системы постепенно перестраиваются для работы с программным обеспечением, рекомендованным Технологическим центром.

 

«Основное направление нашей деятельности в обеспечении защиты информации – это применение сертифицированных доверенных технологий, сертифицированных операционных систем, средств виртуализации, средств контейнеризации, сертифицированных систем управления базами данных, – подчеркнул в выступлении на круглом столе Дмитрий Шевцов, начальник управления ФСТЭК России. – Мы движемся в направлении разработки собственных технологий, на которые можно уверенно полагаться, используя их в критической инфраструктуре Российской Федерации».

 

«Среда исполнения приложений должна быть надежной и безопасной, – отметил Роман Симаков, директор департамента развития системных продуктов РЕД СОФТ. – Разработчики и пользователи ожидают от продукта точной и безотказной работы. Запуская приложение в операционной системе, они полностью доверяют свои ресурсы и безопасность ее среде. Следуя этим потребностям, производители ОС должны дать 101% гарантии безопасности при работе всех приложений на своей базе».

 

Обсуждались на конференции и вопросы безопасности проприетарных систем. Так, на выставке технологий, проходившей в рамках OS DAY 2022, были представлены созданная в НТП «Криптософт» суверенная отечественная операционная система QP ОС, а также разработка «Лаборатории Касперского», создатели которой говорят о высокой степени надежности своего продукта.

 

«Сегодня на первый план выходят так называемые кибериммунные операционные системы, где кибериммунитет обеспечивается разделением ИТ-системы на изолированные части и контролем взаимодействий между ними, – прокомментировала Анна Кан, начальник аналитического отдела департамента координации и сопровождения программ НИЦ «Институт имени Н.Е. Жуковского». – Большинство возможных атак на кибериммунную систему неэффективно: она продолжит выполнять свои функции даже в условиях агрессивной среды и не позволит злоумышленнику внедриться в нее».

 

Однако противостояние двух различных подходов к созданию системного ПО давно сошло на нет. «Дискуссия «за СПО», или «против СПО» давно потеряла смысл, – считает Дмитрий Завалишин, генеральный директор ГК DZ Systems, один из основателей OS DAY. Базисом всего софта, который будет развиваться в мире, отныне и навсегда будет Open Source, и от этого никуда не деться».

 

С ним согласился и директор департамента компании «Открытая Мобильная Платформа» Роман Аляутдин, который сказал, что современные решения без Open Source компонентов сделать уже попросту сложно. «Даже проприетарные решения будут вынужденно содержать в себе компоненты СПО, – отметил он. – Это видно на примере таких крупных корпораций, как Google, Microsoft и так далее».