04 февраля 2020 г. в Общественной палате РФ глава НАНГС принял участие в обсуждении безопасности исходного кода программного обеспечения, используемого в объектах критической информационной инфраструктуры

В Общественной палате РФ 4 февраля прошел круглый стол, посвященный обсуждению эффективных механизмов управления качеством безопасного исходного кода программного обеспечения, используемого в системе органов управления и регулирования, а также на объектах критической информационной инфраструктуры. Обсуждение проводилось под эгидой координационного совета Негосударственной сферы безопасности России и госкорпорации «Ростех».

В заседании принял участие президент Национальной Ассоциации нефтегазового сервиса, член Комитета РСПП по цифровой экономике Виктор Хайков.

Заместитель председателя Комиссии Общественной палаты РФ по безопасности и взаимодействию с ОНК Михаил Аничкин заметил, что тематика круглого стола для рядового обывателя достаточно сложна, тем не менее проблема, которая является следствием масштабных изменений в области информационной безопасности, требует обсуждения.

«Старые, традиционные подходы и концепции уже не обладают требуемой эффективностью, новые только создаются и пока не обрели контуры устойчивой системы. Уровень потенциальной угрозы в области информационной безопасности постоянно растет, потому что человечество полностью зависит от автоматизированных систем, пронизывающих практически все сферы деятельности. И уязвимость этих систем для кибератак может привести к серии глобальных катастроф. Речь идет о существенных кардинальных изменениях», — пояснил он.

«Действительность такова, что действующие меры безопасности программного продукта остаются актуальными в среднем в течение двух минут после начала кибератаки — после этого локализуется несколько сотен новых уязвимостей, и если раньше это были действия одиночек, то сейчас действуют организованные преступные группы, управляемые порой спецслужбами», — предупреждает заместитель генерального директора АО «Концерн “Автоматика”» — главный конструктор Андрей Новиков.

Среди основных тенденций он называет направленность кибератак на госучреждения и увеличение сложности противодействия им. Предупредительной же мерой безопасности, по мнению Андрея Новикова, является раннее выявление уязвимости исходного кода, которое должно происходить на уровне разработки.

«Нами взят вектор на разработку отечественного программного обеспечения, на импортозамещение. Вместе с тем сложившаяся практика показала, что ускоренные темпы таких разработок приводят к недостаточному тестированию и анализу; в результате проблемы выявляются в процессе эксплуатации — это тяжело устранимые последствия», — рассуждает эксперт.

Для устранения проблемы требуется формирование нормативно-правовых основ управления качеством исходного кода программного обеспечения, в первую очередь создание единой системы национальных стандартов, определяющих критерии оценки метода и методики таких испытаний, а также требования к необходимой документации, считает он.

Директор Института системного программирования РАН Арутюн Аветисян согласился, что основная проблема заключается в ошибках, сделанных при разработке программного обеспечения. Кроме того, считает он, сегодня уже не работает система «охраны по периметру»: антивирусы, файрволы.

«В стране достаточно технологий, чтобы мы не били тревогу, что ничего нет. Но и много чего надо делать, здесь нельзя останавливаться — каждый день появляются новые задачи, и надо развиваться», — говорит он.

Что такое качество программных продуктов? — задается вопросом коммерческий директор ООО «ГК «Инфотактика» Артем Медведев. Основное мерило качества — удовлетворенность клиентов, а безопасность — один из его наиболее важных критериев, говорит он, поэтому необходимо разработать метрики оценки качества и безопасности.

За последние три-четыре года Федеральной службой по техническому и экспортному контролю (ФСТЭК) России были разработаны документы, которые обеспечивают все необходимые требования по обеспечению защиты безопасности информационных и автоматических систем, заявил руководитель департамента ФСТЭК России Дмитрий Шевцов.

«Основная проблема, которую мы выявили, — низкая культура разработки программного обеспечения. Мы все привыкли быстро разрабатывать и продавать, а вот тестировать еще не привыкли, только отдельные крупные компании, которые могут себе это позволить, это действительно дорого, — внедряют процедуры безопасной разработки и качественно тестируют свое программное обеспечение», — сожалеет он.

Вопросы обеспечения безопасности, надежности и качества информационных систем и программно-аппаратных комплексов обрели статус комплексной технической проблемы, которая требует серьезной работы, сошлись во мнении эксперты. Все озвученные докладчиками предложения и сделанные в ходе дискуссии выводы вошли в итоговую резолюцию круглого стола. Кроме того, было принято решение о создании при Комиссии Общественной палаты РФ по безопасности и взаимодействию с ОНК рабочей группы по вопросам управления качеством исходного кода программного обеспечения безопасных цифровых технологий. Дмитрий Шевцов предложил включить в эту группу представителей Минкомсвязи России, ФСБ России, Минобороны России, а также представителей банковской сферы.