Андрей Бирюков, InfoWatch: компаниям нужны реальные модели угроз

Импортозамещение в 2014 и 2022 годах: что изменилось?

– В 2014 году ни санкции, ни взятый государством курс на импортозамещение – на разработку и применение ИТ-решений существенно не повлияли. Выросли цены на все продукты, которые продавались в долларах, в том числе на «железо», но при этом все продолжали их использовать. Админ, эксплуатирующий решение, всегда мог убедительно обосновать, почему на новое переходить не надо и чем именно хорошо привычное – тем самым саботируя процесс перехода.

Сейчас по запросам клиентов мы видим, что началось реальное импортозамещение и операционных систем, и прикладного ПО.

Пришлось ли что-то менять в разработке InfoWatch в 2022 году?

– После февральских событий последовали настоятельные требования ФСТЭК о необходимости выполнять все SDL рекомендации (Security Development Lifecycle, жизненный цикл безопасной разработки – прим. ред.). Особый упор делался на минимизацию рисков того, что сторонние библиотеки, используемые в продукте, принесут с собой нечто нежелательное. В нашем случае никаких срочных изменений делать не пришлось, мы планомерно развиваем SDL практики, и все рекомендации уже оказались выполнены. Инфраструктура разработки у нас своя, облачных сервисов мы не использовали, все необходимые библиотеки на этапе сборки берутся из локального репозитория, а изменения в новых версиях сторонних компонент проходят процедуру ревью.

Андрей Бирюков, технический директор компании InfoWatch

Каким вы видите будущее отечественных операционных систем?

– Новое предложение Минцифры о том, что входящие в реестр отечественного ПО продукты обязательно должны быть совместимы с российскими операционными системами, вполне здравое. Другое дело, что отечественных ОС, как оказалось, очень много: например, в том же реестре Минцифры их заявлено больше десятка – вряд ли это связано с реальными потребностями рынка. Решения InfoWatch могут сейчас работать на трех российских операционных системах, но кажется, что и три много. Тут, наверное, все встанет на свои места со временем. Развитие отечественного системного софта будет зависеть от того, кто из вендоров сможет обеспечить качество как самой ОС так и ее сопровождения.

В России есть ниши в ИТ, которые уже почти полностью импортозамещены: антивирусы, DLP-системы, статические анализаторы кода. Мы видим, что если разработчик делает хороший продукт, то импортозамещение происходит само собой. В контексте ОС – важна стоимость владения: насколько сильно будет «страдать» админ при обслуживании системы. Для пользователя же сама операционная система не очень важна, он ее вообще не должен замечать.

Возможны ли полностью российские ИТ-решения?

– Если совсем коротко – нет. Длинный ответ предполагает уточнение того, что именно считать «полностью российским»? В любом ПО сейчас используются сторонние библиотеки, иностранные средства разработки. Заместить это за разумный срок в полном объеме и в сравнимом качестве невозможно, потому что они создавались десятки лет десятками миллионов разработчиков. Подход, когда мы используем лучшие мировые практики и не «изобретаем велосипед», выглядит более разумным.

Другое дело, что инфраструктура разработки должна быть построена так, чтобы на нее нельзя было воздействовать снаружи, а все используемые компоненты должны изменятся предсказуемым образом, чтобы избежать появления в них зловредного кода. Мы в InfoWatch, например, при «затягивании» обновления сторонней библиотеки анализируем изменения относительно прошлой версии.

Что делать сейчас бизнесу, чтобы обеспечить безопасность?

– Все рекомендации давно придуманы. Сначала понять, от чего хотим защищаться, то есть составить модель угроз, причем не формальную, а реальную. Глядя на эту модель, понять, на какие риски можно пойти, а какие риски неприемлемы, и что компания может себе позволить. Спектр и критичность угроз, как и стоимость защиты от них будет разная. Нет универсального решения. Нужен профессиональный  подход и здравый смысл.