OS DAY: операционные платформы – безопасные, отечественные, новые

OS DAY: операционные платформы –
безопасные, отечественные, новые

Об отечественных операционных платформах на протяжении двух дней говорили специалисты в области системного программирования, собравшиеся в здание РАН на конференцию OS DAY 2017. Обсуждались современные программные продукты, особенности кодинга, новые подходы в системном программировании и, что важнее всего, консолидация усилий представителей ИТ-отрасли, возможность создания единой федеральной программы исследований и подготовки кадров в сфере разработки ОС

Особое место в докладах и дискуссиях этих двух дней уделялось вопросам кибербезопасности. Это не удивительно, ведь буквально за несколько дней до конференции по миру прокатилась «эпидемия» компьютерного вируса WannaCry.

Впрочем, по мнению заместителя директора Федеральной службы по техническому и экспортному контролю России Виталия Лютикова, разработчики в случившемся виноваты менее всего. Проникновение вирусаWannaCry вгосударственные ИТ-системы произошло по вине тех, кто их эксплуатирует, поскольку к моменту распространения вируса патч, закрывающий используемую им уязвимость, был уже разработан и разрешен ФСТЭК к установке. Если бы обновление операционной системы было применено вовремя, это предотвратило бы распространение вируса. Тем не менее, подчеркнул представитель ФСТЭК, «поддержка обновления сертифицированных операционных систем видится очень важной проблемой. Мы столкнулись с тем, что у разработчиков операционных систем внутренние процедуры реагирования на обнаружение уязвимостей просто не отработаны. Мало внимания уделяется поддержке и развитию продукта в ходе его применения. Недостаточно действенны процедуры доведения обновлений и патчей до потребителя. Мы требуем включать в эксплуатационную документацию процедуры обеспечения поддержки ПО. Без этого мы небудем сертифицировать. Это важная задача, так как применение необновленного программного обеспечения на объектах – это очень серьезная проблема в области кибербезопасности».

Этот тезис вызвал понимание у участников конференции. «Нельзя говорить о безопасности продукта абстрактно, – поддержал его Алексей Новодворский, генеральный директор «Базальт СПО». – Надо говорить об оперативном исправлении обнаруженных критических уязвимостей. А для этого нужен прямой, непосредственный контакт с разработчиками программных продуктов. При этом нельзя не отметить, что новые правила исправления уязвимостей всертифицированных ФСТЭК продуктах позволяют пользователям не ждать занимающего много времени инспекторского контроля. Это значительно упростило ситуацию».

Между тем федеральная контрольная служба продолжает разработку национальных стандартов безопасности программного обеспечения вообще и операционных систем в частности, внедрение которых призвано повысить уровень защищенности отечественного ПО. Особое внимание уделяется внедрению процедур безопасной разработки операционных систем. Реализация нового стандарта защиты информации, вступившего в действие 1 июня, позволит минимизировать появление уязвимостей при разработке операционных платформ. Несмотря на то что сегодня его применение носит добровольный характер, ФСТЭК рекомендует разработчикам и производителям ПО внедрять его впроцесс разработки продуктов. «Старые требования безопасности, сформулированные в середине 1990-х годов, устарели, – продолжает мысль коллеги Михаил Костенко, начальник отдела ФСТЭК России. – Появились новые, не учтенные ими угрозы. И если еще четыре года назад вопрос об уязвимостях не поднимался, сейчас он выходит на первый план».

Не удивительно, что намного более серьезные, чем прежде, стандарты безопасности применяются при разработке новых отечественных операционных систем, в первую очередь тех, что базируются не на заимствованных элементах кода, апрописываются «с нуля». В частности, на конференции были представлены:

• специализированная платформа KasperskyOS;
• уникальная система «Фантом», созданная группой компаний DZ-Systems;
• операционная система реального времени для авионики JetOS, разрабатываемая в рамках проекта ГосНИИАС с привлечением Института системного программирования РАН (ИСП РАН) и DZ-Systems;
• многопользовательская защищенная ОС QP ОС, разработанная компанией «Криптософт».

«В сегодняшних условиях единственно правильный подход к обеспечению кибербезопасности – использование ОС с интегрированными средствами безопасности», – считает Андрей Духвалов, руководитель управления перспективных технологий «Лаборатории Касперского».

Необходимо отметить, что разрабатываемые сегодня отечественные операционные платформы не являются универсальными. «Затраты на то, чтобы сделать общецелевую ОС – конкурента Windows, – настолько велики, что всерьез рассматривать это сегодня невозможно, – подчеркнул Дмитрий Завалишин, генеральный директор группы компаний DZ Systems. – Ни один из разработчиков на это и не рассчитывает. Все проекты, которые сегодня есть, ориентируются нате или иные нишевые применения, которые в состоянии обеспечить финансирование этой тематики».

«Как показывает практика, чем «специальнее» заказчики информационных систем, чем выше уровень конфиденциальности информации, обрабатываемой ими, тем чаще для повседневной деятельности используются не только рыночные продукты, но и специально разработанное для таких заказчиков программное обеспечение», – соглашается с ним Александр Оружейников, начальник НТЦ-1 «РусБИТех-Астра».

Собственно, именно для того, чтобы разработчики не замыкались в своих узких направлениях, и была задумана конференция OS DAY. «Это не просто обмен опытом, а во многом возможность, выслушав коллег, скорректировать собственное видение вопроса, свое мировоззрение, – говорит Анна Кан, начальник сектора ГосНИИАС. – Понятно, что новые идеи приходят в умные головы практически одновременно и одинаково, но в их реализации неизбежно будут определенные нюансы. Кто-то на проблему может посмотреть с несколько другой стороны, и это, в свою очередь, позволяет нам тоже немного подкорректировать свой взгляд на вещи».

«Кроме главной и общей задачи – безопасности российского программного обеспечения, – мы видим и коммерческий аспект, – отмечает Юрий Ходос, заместитель директора компании «Свемел». – И понимаем, что лучшего эффекта можно добиться в том случае, если у этого направления возникнет не конкурентная, а соревновательная среда. Мы благодарны за организацию площадки OS DAY, на базе которой реализуется синергетический эффект».

Справедливость этого утверждения подтверждает и тот факт, что сама конференция OS DAY 2017 была проведена благодаря своего рода синергетическому эффекту: она организована силами сразу нескольких компаний. Есть основания полагать, что это сотрудничество продолжится и в дальнейшем. «Ситуация сегодня такова, – говорит Арутюн Аветисян, директор Института системного программирования РАН, – что развивать направление разработки операционных платформ в целом можно только в рамках сообщества, в кооперации, потому что никому в одиночку сил на это просто не хватит. Нам пора консолидироваться, сообща использовать опыт, который накопил каждый в отдельности, запустить иначать реализовывать комплексную программу исследований и разработок, направленную на создание новых технологий и кадров. Она позволит максимально эффективно использовать имеющиеся ресурсы – информационные, кадровые, материальные – для того, чтобы двигаться вперед, развиваться и смело встречать любые новые вызовы, в том числе в области информационной безопасности».

Заявление о необходимости создания такой программы стало одним из главных пунктов резолюции, принятой по итогам конференции. Участие индустриальных партнеров в ее реализации позволит апробировать и внедрять новые инструменты, определять дальнейшие направления разработок.

Также участники конференции отметили необходимость поддержки отечественных операционных платформ для создания безопасного, надежного и эффективного программного обеспечения. Для успешного перехода на отечественное офисное ПО предлагается провести аудит государственных информационных систем, значительная часть которых спроектирована и разработана таким образом, что позволяет работать с ними только пользователям ОС Windows.

Разработчики предлагают Минкомсвязи России решить вопрос о переходе государственных ведомств на средства электронной подписи под ОС, включенные в единый реестр ПО. Сформулировано предложение регуляторам, ведомствам иорганам стандартизации включать в нормативные акты требования применения при подготовке документов форматы файлов, соответствующие ГОСТ Р ИСО/МЭК 26300-2010 и свободно распространяемых шрифтов, отказавшись отиспользования проприетарных форматов и шрифтов, увеличивающих зависимость от зарубежного софта.

Подготовила Анна Новомлинская

Комментарии могут оставлять только зарегистрированные пользователи