Основные риски информационной безопасности значимых объектов критической информационной инфраструктуры (ЗО КИИ) заключаются в том, что функционирующее на нем прикладное программное обеспечение (ПО), которое реализует цифровые бизнес- и технологические процессы, подвержено уязвимостям и недекларированным функциональным возможностям. Для устранения уязвимостей требуется применение обновлений безопасности в ходе жизненного цикла ПО. Трудности возникли в прошлом году, когда из-за ухода зарубежных вендоров с отечественного рынка была прекращена техническая поддержка и получение обновлений ПО, функционирующего на ЗО КИИ.
Так как иностранные вендоры находятся вне нашего правового поля и регуляторики, для того, чтобы гарантировать безопасность ЗО КИИ необходимо реализовывать программы импортозамещения в рамках Указа Президента РФ №166, увеличивая тем самым долю отечественного ПО. Еще одним важным направлением является повышение безопасности процесса разработки прикладного ПО, которое используется за счет инструментальных проверок и поддержки в ходе жизненного цикла согласно 239 приказу ФСТЭК России.
Сегодня государство прилагает немалые усилия не только для того, чтобы увеличить долю отечественных программных продуктов, но и в целях обеспечения контроля за соблюдением российскими вендорами необходимых процедур для поддержания безопасной разработки ПО и выявления уязвимостей в течении жизненного цикла.
Давайте разберемся, почему это важно? Во-первых, регулируя данные процессы, государство распределяет на собственников предприятий-субъектов КИИ (зачастую это коммерческие структуры) ответственность за обеспечение бесперебойного функционирования этих объектов, гарантируя тем самым отсутствие экономических, социальных и экологических негативных последствий от успешно проведенных кибератак на ЗО КИИ. Во-вторых, государство хочет скоординировать всех причастных к обеспечению безопасности КИИ: непосредственно субъектов КИИ, регуляторов ФСТЭК РФ и ФСБ РФ, иных государственных организаций и ведомств с целью предотвращения или минимизации ущерба от кибератак на отдельные организации и отрасли в целом.
Ниже рассмотрим подробнее меры государственной политики по регулированию и поддержке в вопросе безопасности КИИ.
Эволюция развития требований по безопасной разработке ПО
Начнем с небольшой исторической справки. Первые методические документы ФСТЭК России по теме безопасности КИИ были опубликованы в 2007 (тогда использовался термин «Ключевые системы информационной инфраструктуры»). В ходе развития данной системы нормативно-правовых актов сначала выделилось направление по защите АСУ ТП на опасных производствах, где в первых редакциях приказа №31 ФСТЭК России в 2014 году появились меры, связанные с обеспечением безопасной разработки ПО, которые включали в себя как процедуры анализа уязвимостей и статические проверки безопасности исходных кодов (т. е. без исполнения кода), так и динамические проверки и тестирование на проникновение в отношении уже «собранного» ПО.
В 2017 году образовалась действующая система безопасности КИИ, в которой помимо ФСТЭК России значимую роль стали играть ФСБ России, НКЦКИ, ряд министерств, ведомств и госкорпораций. В 2020 году система безопасности ЗО КИИ также была дополнена требованиями к безопасности самого процесса разработки и поставки прикладного ПО для ЗО КИИ, которые вступили в силу с 1 января 2023 года. Теперь разработчики прикладного ПО для ЗО КИИ должны регламентировать процедуры безопасной разработки во внутренней нормативной документации, проводить инструментальные проверки безопасности, а также мероприятия по поддержке ПО в ходе его жизненного цикла.
Если подвести краткое резюме, можно сказать, что первые шаги в направлении импортозамещения программных продуктов в организациях-субъектах КИИ были сделаны в 2014 году, однако, мощным катализатором данного процесса стали события 2022 года, и последовавшие за ними известные Указы Президента №166 и №250, которые обязали субъектов КИИ заменить до 2025 года прикладное импортное ПО и средства защиты из «недружественных» стран на отечественные.
Деятельность государства по регулированию и поддержке безопасной разработки ПО
Говоря об основах текущей политики государства в вопросе безопасной разработки программного обеспечения, можно выделить сразу несколько основных направлений.
Первое – это создание необходимой регуляторики. На сегодняшний день уже разработан комплекс стандартов, регламентов, указов для отрасли по вопросу безопасной разработки ПО, а также выстроено взаимодействие с техническими комитетами. При техническом комитете 362 существует рабочая группа, которая при участии специалистов Института системного программирования РАН (ИСП РАН), ФСТЭК России и экспертного сообщества занимается разработкой стандартов для безопасной разработки программного обеспечения. Также к данному направлению можно отнести развитие системы лицензирования деятельности по технической защите информации и созданию средств защиты информации (СЗИ), что направлено на повышение качества оказания услуг по информационной безопасности в целом и по безопасной разработке в частности.
Второе – это поддержка отечественных разработчиков ПО и СЗИ с помощью системы грантов и субсидий. К примеру, Фонд РФРИТ активно финансирует проекты по разработке как прикладного ПО, так и СЗИ.
Кроме того, при поддержке государства создаются центры компетенций по импортозамещению, где эксперты прорабатывают вопросы, связанные с определением приоритетности поддержки тех или иных программных продуктов, описывают схемы выстраивания процессов и критерии оценки эффективности данных программных средств. Сегодня таких центров насчитывается уже порядка тридцати.
Расширяется взаимодействие с профильными ассоциациями, сообществами, в рамках которых организуется обмен опытом, знаниями с экспертами в области импортозамещения ПО. К этому направлению можно отнести инициативу ИСП РАН и ФСТЭК России по созданию Технологического центра исследования безопасности ядра Linux — по сути это комьюнити разработчиков, которые совместно стараются сделать свободно распространяемый код безопасней.
Третье – это создание условной “базы знаний”. К этому можно отнести ведение государственных реестров: СЗИ, прикладного отечественного ПО, радиоэлектронного оборудования и пр.
Не так давно стало известно об инициативе Минцифры по созданию национального репозитория исходного кода. В репозитории могут быть опубликованы те продукты или модули, которые разработчики сочли возможным отдать в свободное владение. Эти программные продукты и модули будут проверены на безопасность и могут быть использованы в других проектах как готовые программные решения.
Четвертое – это методическая поддержка, которую вендорам ПО и специалистам ИБ организаций оказывают государственные ведомства и представители регулятора. Примером могут служить методические материалы, разработанные Национальным координационным центром по компьютерным инцидентам (НКЦКИ), методика по оценке приоритетности обновлений, а также предложенная ФСТЭК России методика проверки обновлений программных продуктов на безопасность.
Кроме того, есть множество государственных информационных систем и ресурсов, таких, как АСОИ ФинЦЕРТ, ГосСОПКА, База данных уязвимостей (БДУ) ФСТЭК. К примеру, в БДУ ФСТЭК России содержатся сведения об актуальных угрозах и уязвимостях, которые специалисты ИБ могут использовать для оценки наличия уязвимостей в их инфраструктуре.
Нельзя не сказать о запуске Минцифрой программы Bug Bounty, которая призвана привлекать добровольцев для выявления уязвимостей в государственных информационных системах (ГИС), которые являются ЗО КИИ. Стартовать решили с проверки портала Госуслуги. В течение трёх месяцев более 8,4 тыс. участников проверяли защищённость портала, в итоге было обнаружено 34 уязвимости, большинство из которых со средним и низким уровнем критичности. Далее этот опыт может быть тиражирован на другие ГИС.
Кроме того, в рамках Указа Президента РФ №250 те ЗО КИИ, которые доступны из сети интернет, могут быть проверены на защищенность специалистами ФСБ России, т. е., по сути, во время тестирования на проникновение могут быть смоделированы действия злоумышленников.
Позитивные и негативные тенденции
Начнем с позитива. Очевидно, что программа и перечень мер по обеспечению безопасной разработки программных продуктов российскими вендорами действительно обширны.
Безусловно, позитивным итогом их реализации станет внедрение в субъектах КИИ всех необходимых инструментов безопасной разработки ПО, а также технических мер безопасности, которые должны функционировать в ходе жизненного цикла данного ПО. Причем, в силу регулярных проверок, эти меры будут носить систематический и постоянный, а не разовый характер.
Благодаря требованиям законодательства и регуляторов, в субъектах КИИ будут документированы многие процедуры по безопасной разработке и выявлению уязвимостей в ходе жизненного цикла, чего ранее, зачастую, не было.
Следующим позитивным моментом станет повышение осведомленности за счет описанных выше информационных ресурсов, поддерживаемых государством, что позволит специалистам ИБ на местах самостоятельно проводить анализ защищенности своей инфраструктуры на предмет уязвимостей и принимать оперативные решения по их устранению или разработке компенсирующих мер. К примеру, телеграм-канал БДУ ФСТЭК регулярно публикует сообщения о выявленных критичных уязвимостях.
В целом, реализация комплекса мер по поддержке безопасной разработке ПО способствует повышению качества кода, его безопасности и безопасности ЗО КИИ в целом.
К негативным тенденциям можно отнести прежде всего отсутствие отечественных аналогов многих программных продуктов и ИТ-технологий, особенно в сегментах промышленности.
Кроме того, в ИТ и ИБ ощущается значительный кадровый голод, что отмечают все участники рынка, а не только субъекты КИИ. Если говорить откровенно, то специалистов зачастую пугает большая ответственность за нарушение безопасности ЗО КИИ — как административная, так и уголовная. Да и сам по себе процесс импортозамещения содержит достаточно большой объем работ, ведь внедрение нового программного обеспечения требует изменения бизнес-процессов, обучения людей, написание новых интеграций с существующими ИТ-системами и т. д.
И, наконец, еще одной колоссальной проблемой, о которой совсем недавно на пресс-конференции говорили представители ФСТЭК России, является отсутствие у субъектов КИИ бюджетов, необходимых для реализации всех требований по информационной безопасности. А отсутствие бюджетов означает, соответственно, отсутствие возможности закупать те программные средства защиты и инструменты, которые должны быть использованы.
Ближайшие перспективы сферы импортозамещения и безопасной разработки ПО
По теме безопасной разработки в части регуляторики ожидается в ближайшее время завершение разработки серии стандартов по безопасной разработке прикладного ПО Техническим комитетом 362.
ФСТЭК России планирует разработать методические рекомендации либо регламент по сертификации процедуры безопасной разработки ПО. Выход этих документов позволит ускорить процедуры сертификации и проведения инспекционного контроля ПО. А с появлением национального репозитория у разработчиков появится возможность использовать готовый проверенный код для своих проектов.
В вопросах кадрового обеспечения с достаточной степенью вероятности можно прогнозировать укрепление тренда на «шеринг» компетенций и аутсорсинга специалистов в области ИБ и ИТ. Обусловлен он тем, что не каждый субъект КИИ может позволить себе нанять специалиста с требуемыми компетенциями.
Мы прогнозируем, что крупные организации, оценив риски отказа вендоров от своих обязательств, задумаются о создании «самописного» ПО. Возможно появление собственной разработки внутри объектов КИИ, либо на уровне головных организаций, но тут опять же мы приходим к вопросу кадрового голода, будет ли достаточно для этого специалистов.
Кроме того, можно прогнозировать ограничения на корпоративном уровне удаленной работы из-за рубежа разработчиков ПО над проектами для ЗО КИИ. За последний год данный тренд уже получил распространение в финансовой отрасли.
Со стороны разработки в организациях начнется более активное внедрение инструментария для поддержки безопасности своих продуктов: статических и динамических анализаторов кода, проверок безопасности заимствованных компонент и библиотек. Также стоит ждать и укрепления технологического партнерства между отечественными разработчиками ПО, проведение проверок на совместимость программных средств, совместная разработка платформенных решений, а также реализация концепции «Secure by Design», то есть проработки вопросов безопасности на самых ранних этапах архитектуры ПО.