Андрей Бирюков, InfoWatch: компаниям нужны реальные модели угроз

23 сентября в рамках саммита BISS-2022, посвященного информационной безопасности, состоялась сессия «Технологическая независимость. Взаимодействие ИТ и ИБ». В ней принял участие технический директор InfoWatch Андрей Бирюков. По завершении саммита эксперт рассказал ICT-Online.ru о трендах и нюансах в сфере импортозамещения, поделился опытом своей компании в области безопасной разработки.

Импортозамещение в 2014 и 2022 годах: что изменилось?

– В 2014 году ни санкции, ни взятый государством курс на импортозамещение – на разработку и применение ИТ-решений существенно не повлияли. Выросли цены на все продукты, которые продавались в долларах, в том числе на «железо», но при этом все продолжали их использовать. Админ, эксплуатирующий решение, всегда мог убедительно обосновать, почему на новое переходить не надо и чем именно хорошо привычное – тем самым саботируя процесс перехода.

Сейчас по запросам клиентов мы видим, что началось реальное импортозамещение и операционных систем, и прикладного ПО.

Пришлось ли что-то менять в разработке InfoWatch в 2022 году?

– После февральских событий последовали настоятельные требования ФСТЭК о необходимости выполнять все SDL рекомендации (Security Development Lifecycle, жизненный цикл безопасной разработки – прим. ред.). Особый упор делался на минимизацию рисков того, что изменения сторонних библиотек, попадающие в код продукта, принесут с собой нечто нежелательное. В нашем случае никаких срочных изменений делать не пришлось, мы планомерно развиваем SDL практики, и все рекомендации уже оказались выполнены. Инфраструктура разработки у нас своя, облачных сервисов мы не использовали, все необходимые библиотеки на этапе сборки берутся из локального репозитория.

 

Андрей Бирюков, технический директор компании InfoWatch

Андрей Бирюков, технический директор компании InfoWatch

 

Каким вы видите будущее отечественных операционных систем?

– Новое предложение Минцифры о том, что входящие в реестр отечественного ПО продукты обязательно должны быть совместимы с российскими операционными системами, вполне здравое. Другое дело, что отечественных ОС, как оказалось, очень много: например, в том же реестре Минцифры их заявлено больше десятка – вряд ли это связано с реальными потребностями рынка. Решения InfoWatch могут сейчас работать на трех российских операционных системах, но кажется, что и три много. Тут, наверное, все встанет на свои места со временем. Развитие отечественного системного софта будет зависеть от того, кто из вендоров сможет обеспечить качество как самой ОС так и ее сопровождения.

В России есть ниши в ИТ, которые уже почти полностью импортозамещены: антивирусы, DLP-системы, статические анализаторы кода. Мы видим, что если разработчик делает нормально свой продукт, импортозамещение происходит само собой. В контексте ОС – важна стоимость владения: насколько сильно будет «страдать» админ при обслуживании системы. Для пользователя же сама операционная система не очень важна, он ее вообще не должен замечать.

Возможны ли полностью российские ИТ-решения?

– Если совсем коротко – нет. Длинный ответ предполагает уточнение того, что именно считать «полностью российским»? В любом ПО сейчас используются сторонние библиотеки, иностранные средства разработки. Заместить это за разумный срок в полном объеме и в сравнимом качестве невозможно, потому что они создавались десятки лет десятками миллионов разработчиков. Подход, когда мы используем лучшие мировые практики и не «изобретаем велосипед», выглядит более разумным.

Другое дело, что инфраструктура разработки должна быть построена так, чтобы на нее нельзя было воздействовать снаружи, а все используемые компоненты должны изменятся предсказуемым образом, чтобы избежать появления в них зловредного кода. Мы в InfoWatch, например, при «затягивании» обновления сторонней библиотеки анализируем изменения относительно прошлой версии.

Что делать сейчас бизнесу, чтобы обеспечить безопасность?

– Все рекомендации давно придуманы. Сначала понять, от чего хотим защищаться, то есть составить модель угроз, причем не формальную, а реальную. Глядя на эту модель, понять, на какие риски можно пойти, а какие риски неприемлемы, и что компания может себе позволить. Спектр и критичность угроз, как и стоимость защиты от них будет разная. Нет универсального решения. Нужен профессиональный  подход и здравый смысл.

 

Рубрики: Безопасность

Ключевые слова: информационная безопасность, InfoWatch