Сегодня можно услышать много разговоров о напряженной геополитической ситуации, росте числа кибер-атак, активности китайских, корейских, украинских (нужное вписать) хакеров и других внешних угроз для государственных информационных ресурсов страны. Собираются совещания, заседают занятые высокооплачиваемые люди и выпускаются резолюции об усилении роли защиты информации в государственных, системообразующих и критически важных информационных системах.
Защищать эти системы профессионалы умеют и без решений Правительства, поэтому внимание первых лиц государства может привнести в процесс защиты разве что большие бюджеты (за это отдельное спасибо), но не принципиально новые технологии. Средства и методики защиты от внешних угроз хорошо известны, выбор технических решений есть на любой бюджет – от бесплатных продуктов с открытым кодом до дорогих продуктов от гартнеровских лидеров. Осталось только определиться с объектом защиты.
И тут оказывается не всё так просто. Практически все государственные и около-государственные системы являются заказными, поскольку базируются на уникальных процессах функционирования государства. Какие-то системы разрабатываются своими силами, какие-то – с помощью сторонних разработчиков. Шутка, в которой, как говорится, лишь доля шутки, гласит – разработчики вносят в системы не только функционал, но и уязвимости. Особенности государственного финансирования разработок – выставление работ на конкурс – приводят к тому, что сначала функционал и сопутствующие уязвимости пишет одна компания, а выиграть конкурс на сопровождение может другая. Таким образом, государственные информационные системы пишутся разными разработчиками, для большинства из которых безопасность, в отличие от функционала, не является приоритетом. Требования по безопасности государственных информационных систем (ГИС) стали формироваться тогда, когда большинство государственных систем уже были написаны и только дорабатывались.
Поэтому защита государственных информационных систем раньше обеспечивалась внешними, как говорят «навесными» средствами безопасности. Однако с увеличением доли атак на прикладном уровне, при которых эффективность «навесных» средств резко падает, безопасность государственных ресурсов потребовала отнести линию обороны вглубь, а именно – начать беспокоиться о защищенности системы в процессе её разработки.
И тут оказалось, что у части унаследованных государственных систем нет исходных кодов. «А зачем нам они?» – спрашивают заказчики, «нам сдается исполняемый код, мы принимаем функционал и довольны, нам исходный код и хранить-то негде». Действительно, фонд алгоритмов и программ (ФАП), который есть, или, по меньшей мере, должен быть в любой государственной организации, заказывающей программное обеспечение, не обязан содержать исходный код приложений. С исходным кодом одна морока – надо ещё проверять, что именно из этого кода собирается в заказное приложение, а для этого необходимо выстраивать процесс его приемки. Более того, исполнители часто стараются так составить договор на разработку информационных систем, чтобы не передавать исходные коды, ссылаясь на то, что в них содержится уникальное «ноу-хау». В результате, возможности анализа уязвимостей в приложениях на раннем этапе сильно уменьшаются.
Так что прежде, чем начинать просить средства из госбюджета на защиту огромного количества информационных систем, разработанных за счёт этого госбюджета, министерствам и ведомствам стоит навести порядок в своем хозяйстве – систематизировать свои ФАПы, добиться от разработчиков передачи актуальных исходных кодов и поддерживать эти фонды в актуальном состоянии. В конце концов – это государственная собственность.