Олег Карпицкий:
«Надо стараться использовать имеющиеся наработки и сохраняющиеся возможности, чтобы дальше развивать отечественные решения»

На вопросы «СА» о влиянии санкций на ИТ-отрасль и способах минимизировать новые угрозы отвечает генеральный директор ООО «НТЦ ИТ РОСА»

Досье Карпицкий Олег Станиславович, генеральный директор ООО «НТЦ ИТ РОСА» Олег Карпицкий имеет более чем 20-летний опыт в разработке и коммерциализации отечественных ИТ-решений, предназначенных для корпоративного рынка и госсектора. Ранее Олег Карпицкий занимал руководящие должности в таких российских компаниях-производителях ПО и оборудования, как АСКОН, Digital Design, СКАУТ.

–  Существует проект государственной Стратегии поддержки свободного ПО, которое планировалось сделать драйвером развития российской ИТ-отрасли. У этой идеи были изначально и сторонники, и противники. Нынешние санкции, которые значительно ограничивают нашу конкурентоспособность, ставят под сомнение рациональность массового перехода на опенсорсные решения. Если иностранные разработчики заблокируют свои исходные коды для российских пользователей, то часть проектов просто остановится.  Есть ли какие-то варианты выхода из этой ситуации?

– Вариантов выхода из такой ситуации, которую вы описали, есть два. Первый – чисто гипотетический, он, по сути своей, нереальный вариант. Но может устранить все указанные вами угрозы, если начать делать все самим, с нуля – микроэлектронику, те же процессоры, платы, чипы памяти, весь софт. Сколько времени и инвестиций на это потребуется, даже не буду оценивать.

Второй вариант – практический. Надо стараться использовать имеющиеся наработки и сохраняющиеся возможности, чтобы дальше развивать отечественные решения. Проблема же затрагивает не только опенсорсные российские решения.

Российское проприетарное ПО находится в не менее сложной ситуации. Наверно, больше 90% (это экспертная оценка) отечественного проприетарного софта базируется на решениях Microsoft и Oracle. Для этих компаний начинать сейчас новую ветку разработки своих приложений на Linux или какой-то отечественной платформе – означает удваивать или утраивать затраты на разработчиков и существенно откатываться назад в прошлое по функциональности собственных решений.

Итак, какие практические угрозы видим мы и как на них реагируем?

Первая угроза – блокирование каких-то компонентов открытого ПО, которые мы используем, а точнее, не блокирование, а лицензионный запрет на его использование на территории РФ (и, скажем, Белоруссии). Это возможно, да. Но такое решение обратной силы не имеет, и будет законным с момента внесения правок в лицензионное соглашение на компонент или приложение.

Вторая угроза – сознательное внесение злонамеренных изменений в код опенсорсных продуктов, например, для блокирования ПК, для уничтожения пользовательских данных и тому подобное.

Обе эти угрозы мы купируем тем, что скопировали исходные коды всех компонентов и приложений, используемых нами для создания собственных продуктов, по состоянию на 24 февраля 2022 года. И теперь у нас, при необходимости, есть возможность вести своими силами доработки некоторых опенсорсных проектов, которые могут быть дискредитированы перечисленными выше способами.

Безусловно, мы значительно усилили проверки на безопасность всех применяемых нами компонентов ПО. Это реально большая работа, ведь наш репозиторий,  который мы поддерживаем и развиваем, содержит более 50 000 различных опенсорс-приложений и компонентов. К слову говоря, это один из самых больших репозиториев в мире.

Отдельную угрозу при этом представляет физическое ограничение коммуникационных каналов связи в нашу страну, что не позволит нам получать доступ к новым версиям продуктов. Однако этот сценарий представляется маловероятным.

– На GitHub уже существует немало репозиториев, где в коде присутствуют вредоносные закладки, которые способны причинить ущерб серверам и компьютерам пользователей в России. Как обезопасить опенсорные решения сегодня?  Ваши советы компаниям и пользователям.

– Наш совет пользователям в случае подобных подозрений или опасений следующий. Используйте:

• российские репозитории и дистрибутивы, которые изначально собираются, развиваются и поддерживаются российскими разработчиками;
• продукты, сертифицированные, например, ФСТЭК;
• продукты, прошедшие полную процедуру анализа уязвимостей (это касается внедрения внутренних процессов безопасного программирования в компании-разработчике ПО):
• открытые программные продукты.

В частности, репозиторий НТЦ ИТ РОСА находится под нашим полным контролем, собирается нашей собственной автоматизированной сборочной системой (ABF), все серверные мощности, которые задействует НТЦ ИТ РОСА при разработке и дистрибуции ПО, размещены в России. У нас есть срез исходных кодов всех пакетов по состоянию на досанкционный период, что позволяет вернуться при необходимости к безопасной версии пакетов.

• Для обеспечения безопасности наши разработчики применяют методики и мероприятия, объединенные концепцией DevSecOps:
• проведение статического анализа кода на безопасность (насколько корректно написан сам код);
• проведение динамического анализа кода (анализ исполняемого кода);
• анализ уязвимостей по открытым источникам;
• получение обратной связи от пользователей о найденных уязвимостях: у многих крупных заказчиков выделены внутренние службы, ответственные за информационную безопасность как собственных ИТ-разработок, так и внешних решений;
• анализ «на проникновение», или так называемый этичный хакинг.

Эти методики и технологии встроены в график выпуска продукта как на промежуточных этапах разработки, так и по итогам создания конечного продукта.

– Какие опенсорсные проекты можно развивать в условиях санкций? Могут ли они помочь сегодня в импортозамещении, например, заменить часть проприетарных иностранных решений? Что для этого необходимо?

– Конечно, могут, таких примеров много. Достаточно просто взглянуть на каталог «Импортозамещение», который ведет Ассоциация разработчиков программных продуктов «Отечественный софт». НТЦ ИТ РОСА – участник этой ассоциации уже много лет.

В каталоге можно ознакомиться с тем, какие продукты предлагаются отечественными разработчиками для замещения определённых иностранных продуктов. В нем можно подбирать отечественные решения как по разделам ПО, так и по названию зарубежного вендора или программного продукта.

А для развития опенсорс-проектов на замену проприетарных иностранных решений нам необходимы, в первую очередь, квалифицированные мейнтейнеры и разработчики.

– Когда может быть создана российская ветка ядра Linux? Что для этого потребуется?

– Такая работа уже ведется несколькими российскими разработчиками, в том числе специалистами НТЦ ИТ РОСА, при общей координации со стороны ФСТЭК и при взаимодействии с ИСП РАН по этому вопросу.

– Как Вы считаете,  что поможет нашей стране добиться технологической независимости?

Помогут три вещи:

1. Сотрудничество госструктур, определяющих стратегию развития ИТ-отрасли и страны, в целом, с представителями самой отрасли. Нужно, чтобы компании-разработчики четко понимали замысел государства в обеспечении ИТ-независимости страны и могли планировать и бюджетировать свое развитие на многие годы вперед.
2. Управленческая воля с обеих сторон.
3. Интенсивное развитие системы образования для обеспечения индустрии ИТ-специалистами нужной квалификации по опенсорс-направлению.

Имеющиеся на рынке ИТ-продукты уже вполне конкурентоспособны, а помощь ИТ-отрасли со стороны государства, которая сейчас осуществляется, вполне разумная.

– Ваш ответ санкционным ограничениям. Что сегодня вы предлагаете компаниям и пользователям? Есть ли какие-то предложения им с учетом нынешней ситуации? Где Rosa Linux сейчас наиболее востребована? Где еще можно ее применять?  Насколько она безопасна? Как быстро осуществляется техподдержка? Что вы планируете в ней улучшать и когда?

– НТЦ ИТ РОСА – это не только ОС ROSA Linux.. Сегодня «Научно-технический центр информационных технологий РОСА» – это многопрофильный российский разработчик системного программного обеспечения. Наша программная платформа включает разнообразные операционные системы на базе собственного Linux-дистрибутива, среду виртуализации, инфраструктурные сервисы, защищенные приложения, которые полностью соответствуют требованиям отечественного законодательства.

В связи с опасностью автоматических обновлений, «закладок» и т.п. мы перевели наши системы на ручное обновление. Все пакеты проверяются и при необходимости дорабатываются для удобства и безопасности пользователей.

Например, в новых версиях различных популярных браузеров были обновлены сертификаты безопасности для того, чтобы заблокировать сайты находящихся под санкциями банков. Однако мы убрали из браузера, встроенного в наши ОС, эти ограничения, и в наших ОС сайты доступны без дополнительных действий пользователя.

Наши решения применяются в государственных организациях и частных компаниях, в школах и  университетах. Удобный интерфейс (приближенный логически и графически к замещаемым иностранным ОС) и легкий «порог вхождения» делают ROSA Linux отличным выбором для пользователей-новичков.

Безопасность решений компании осуществляется с помощью постоянного анализа пакетов, входящих в дистрибутив, а также наличия собственной сборочной системы (ABF). Все наше ПО в положенные сроки проходит сертификацию ФСТЭК. Техподдержка осуществляется в режиме 24´7, и в среднем скорость ответа не превышает двух часов.

Мы также планируем улучшения в области инструментализации и технологичности централизованного управления большой ИТ-инфраструктурой, идут работы над унификацией подобных решений. Кроме того значительные усилия направлены на создание большого количества решений «из коробки» и с удобным графическим интерфейсом. Вот таков наш ответ санкционным ограничениям.

Ключевые слова: опенсорсные решения, ОС, угрозы, сертификат безопасности, код, приложение, ручное обновление, браузер, ИТ-инфраструктура, проприетарный, санкции

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи