OS DAY:
Между security и safety

Надежность и безопасность, безотказность и устойчивость к хакерским атакам – эти важнейшие вопросы современного системного программирования стали главной темой для обсуждений на конференции OS DAY 2018, которая состоялась в мае в Москве, в здании Российской академии наук. Авторитетный форум собрал специалистов в области разработки и производства софтверных систем со всей России

Конференция OS DAY проводится уже пятый раз, она стала для отрасли системного программирования одним из заметных и даже ключевых событий. Сегодня это коммуникационная площадка, объединяющая теоретиков и практиков системного программирования, производителей аппаратного обеспечения и его заказчиков, позволяющая обмениваться опытом и налаживать деловые контакты даже тем, кто за пределами форума ведет друг с другом конкурентную борьбу.

«Самое главное, что между участниками возникают связи, появляется стремление к сотрудничеству, понимание, что успеха сегодня можно добиться, только объединяя усилия, что, когда обе стороны побеждают, – это лучше, чем один победитель и один проигравший», – отмечает Арутюн Аветисян, директор ИСП РАН, председатель программного комитета конференции.

Актуальность вопроса надежности операционных систем, ставшая стержневой темой конференции, ни у кого не вызывает сомнений.

С одной стороны, необходимо упомянуть участившиеся хакерские атаки. Сегодня – это дело рук не любителей, а профессионалов. Об этом говорят изменение характера атак, серьезная многовекторная структура, глубокая эшелонированность. С другой – нельзя забывать о том, что сложность программного кода возрастает с каждым днем. Как следствие, растет и число ошибок.

«Понятие ошибки давно вышло за пределы банального неудобства для пользователя, – говорит Дмитрий Завалишин, генеральный директор DZ Systems, один из основателей OS DAY. – Сегодня safety и security слились в одно. И если мыговорим об ошибках программного кода, позволяющих хакеру получить доступ к данным, то они же являются потенциальными источниками сбоев самой программы. Если в системе есть уязвимость, она в любом случае станет причиной возникновения проблемы. Проблемы, которая либо возникнет сама, либо будет создана извне, умышленно. Иными словами, говоря слово "надежность", мы подразумеваем устойчивость и к сбоям, и к взломам».

Об опасностях, которые вызывает к жизни рост сложности кода, на конференции говорилось немало. Андрей Духвалов, руководитель управления перспективных технологий «Лаборатории Касперского», отметил, что при разработке системного ПО необходимо применять лучшие практики по разработке безопасного кода, такие как SDLC, MILS и другие.

«Рост объема кода неминуемо приводит к увеличению числа ошибок, что однозначно сказывается на надежности и безопасности ПО, – рассказал он. – Однако в современных условиях системное ПО должно быть разработано таким образом, чтобы предоставлять приложениям свои сервисы даже в условиях вирусной и/или хакерской атаки. Это свойство можно назвать иммунитетом, по аналогии с биологией. Далее системное ПО должно предоставлять современные security-сервисы приложениям, такие как доверенная загрузка/обновления, доверенный аудит/логгирование, ключевая инфраструктура и многие другие. Без этого разрабатывать современные надежные и устойчивые информационные системы невозможно».

Еще одной из причин увеличения числа ошибок, приводящих к возникновению уязвимостей кода, участники конференции назвали давление, которое оказывает на разработчиков ПО рынок, диктующий сокращение сроков разработки, вынуждая использовать готовые решения, опираться на готовую элементную базу, не всегда отвечающую требованиям безопасности.

Этой ситуацией значительно обеспокоен главный регулятор в сфере обеспечения технической защиты информации – Федеральная служба по техническому и экспортному контролю РФ.

«В основе разработки большинства отечественных операционных систем лежат зарубежные продукты, – отметил заместитель директора ФСТЭК России Виталий Лютиков. – Это достаточно серьезная проблема, которую нам предстоит решать. Перед нами лежат два пути: либо разработка собственных ОС, либо повышение доверия к имеющимся программным продуктам путем их верификации. Собственная разработка на данном этапе развития проблематична, поэтому нам предстоит двигаться в направлении верификации». Сегодня регулятор разрабатывает соответствующие стандарты, которые позволят унифицировать процесс верификации ПО.

Подход, озвученный представителем ФСТЭК, далеко не нов и вызывает полную поддержку у представителей отрасли системного программирования.

«Вопросы надежности должны изначально решаться на стадии проектирования и анализа программного кода, а в дальнейшем сопровождаться регламентами жизненного цикла, – говорит Александр Оружейников, начальник НТЦ-1«РусБИТех-Астра». – При проектировании нужно продумать систему эшелонированной защиты, а в ходе реализации обязательно следует проводить анализ программного кода и его верификацию».

«На каждом этапе необходимо решать соответствующие задачи, – соглашается с ним Рустам Рустамов, первый заместитель генерального директора РЕД СОФТ. – В процессе программирования необходимо думать и грамотно писать код, в процессе тестирования готовых продуктов – думать и составлять грамотные системы тестирования. Если можно автоматизировать защиту от ошибок, нужно это обязательно сделать. Как кашу маслом не испортишь, так итесты лишними не бывают. Если не доработать на одном этапе, придется дорабатывать на другом. Исправления ошибок на ранних этапах всегда дешевле».

Были на конференции представлены и наглядные результаты труда отечественных специалистов в области системного программирования – целый ряд программных продуктов, представляющих собой как закрытые решения на основе открытого кода, так и собственные разработки российских программистов, созданные «с нуля», в частности операционные системы, как узкоспециализированные, так и общего профиля, пользовательские.

«С инженерной точки зрения наше ПО точно не хуже, а то и лучше зарубежных аналогов, – отметил Андрей Духвалов. – Однако, чтобы быть успешным на мировом рынке, нужно обладать, я бы сказал, бизнес-смелостью и не бояться конкурировать с признанными лидерами. Ну и, конечно, нужно понимать и следовать "правилам игры" в ИТ-бизнесе».

Сергей Кормилицын

Комментарии могут оставлять только зарегистрированные пользователи