Тема безопасности операционных систем была одной из центральных на прошедшей к конце мая конференции OSDAY, участники мероприятия смогли получить актуальную информацию из первых рук: ряд докладов был сделан представителями Федеральной службы по техническому и экспортному контролю (ФСТЭК). Хотелось бы при этом отметить, что сотрудники ФСТЭК в своих выступлениях делали акцент на необходимости решения вопросов ИТ-безопасности совместными усилиями регулятора, разработчиков и пользователей, призывая слушателей к сотрудничеству в этой деле.
Начальник управления ФСТЭК Виталий Лютиков напомнил, что его служба — не единственная государственная структура, занимающаяся регулированием вопросов безопасности ПО, есть еще, в частности, ФСБ и Минобороны, которые также имеют соответствующие компетенции в соответствии с действующим законодательством. Но все же именно на ФСТЭК лежат основные функции сертификации ПО на предмет его безопасности, и, конечно, в общем спектре ПО именно ОС занимают ключевую позицию.
Хотя сертификация ОС в ФСТЭК в общем случае не является обязательной, все же она всегда необходима, если речь идет о применении таких продуктов в областях, критически важных для жизнеспособности страны, в первую очередь, это государственные информационные системы, ИТ в органах власти, военно-промышленном комплексе, оборонных, правоохранительных и силовых структурах.
Разговор же о проблемах обеспечения безопасности Виталий Лютиков начал с вопроса о необходимости внедрения процедур безопасной разработки ОС. В начале года принят ГОСТ Р
Важной темой является также обнаружение и устранение уязвимостей в ПО, в том числе уже прошедшем сертификацию. Как известно, многие или даже большинство российских ОС создаются на базе заимствованного программного кода, обычно это ядро системы или какие-то ее отдельные компоненты, и получается, что производитель конечного продукта не может самостоятельно устранить обнаруженные ошибки, в том числе связанные с безопасностью, и вынужден ждать, когда это сделает автор исходного кода. Учитывая сложную ситуацию с вопросами ИБ, задержки с устранением уязвимостей являются недопустимыми. Решением этой проблемы должно стать повышение компетенции российских разработчиков с тем, чтобы они могли самостоятельно устранять критические ошибки, считает Виталий Лютиков.
ФСТЭК сейчас расширяет свою деятельность в направлении контроля прошедшего сертификацию ПО. В частности, ведется фиксация в соответствующем реестре всех обнаруженных уязвимостей и далее отслеживается процесс их устранения, при этом важно, что разработчики обязаны выдать рекомендации пользователям по защите своих информационных систем с учетом существующей бреши еще до ее ликвидации. По словам Виталия Лютикова, практика сертификационной работы ФСТЭК показывает также, что разработчики в документации уделяют недостаточное внимание описанию используемых моделей безопасности и того, как именно эти модели реализуются в их продуктах. Важной темой является и необходимость повышения доверия к драйверам, используемым для связи ядра ОС с аппаратными средствами.
Очень серьезным и актуальным вопросом является поддержка обновления сертифицированных ОС. «Мы столкнулись в последнее время с ситуациями, которые показали, что у разработчиков ПО не отработаны в достаточной степени процедуры ликвидации обнаруженных уязвимостей, речь тут идет не только о выпуске исправлений, но и установке патчей на компьютеры пользователей, — сказал Виталий Лютиков. — Мы довольно часто видим, что основное внимание разработчика сосредоточено исключительно на создание продукта, при этом вопросы его сопровождения уходят у него далеко на задний план. Также наблюдается тенденция, когда разработчик пытается коммерциализировать процесс исправления ошибок, требуя с пользователей плату. Такая практика представляется нам совершенно недопустимой, мы считаем, что разработчик обязан исправлять обнаруженные ошибки, тем более уязвимости, оперативно и бесплатно».
Он пояснил, что ФСТЭК теперь требует обязательного (ранее это было рекомендательной опцией) наличия в документации на сертифицируемое ПО раздела о процедуре поддержки и обновления софта. При этом зарубежные поставщики должны обеспечивать распространение своих обновлений не через свое заграничные сайты, а через локальные ресурсы. Проще говоря, за процесс обновления, как и за обеспечение безопасности ПО в целом, отвечает заявитель на сертификацию, который по определению должен быть российским юридическим лицом.
Другой важной проблемой является то, что даже при наличии обновлений пользователи не спешат их устанавливать. «Доля работающих необновляемых ИТ-систем довольно значительна, — сказал Виталий Лютиков. — Конечно, тут основная вина лежит на заказчиках, возможно, имеет смысл применять к ним какие-то меры воздействия, когда речь идет об их обязанности использовать сертифицированное ПО. Но и поставщики софта должны прикладывать усилия, чтобы упростить процесс исправления ПО, а может быть и контролировать как-то этот процесс».
Насколько оперативно и эффективно работает механизм оперативного исправления критически важных ошибок в сертифицированном ПО? Этот вопрос был задан из зала докладчику с просьбой прокомментировать майскую ситуацию с вирусом WannaCry, когда массовое заражение произошло именно потому, что заказчики не установили выпущенные Microsoft еще в марте заплатки для Windows. Причем, как выяснилось, проблемы возникли в основном именно у заказчиков, обязанных использовать сертифицированное ПО. Нет ли тут вины ФСТЭК, которая недостаточно быстро провела проверку и сертификацию выпущенных вендором патчей?
Отвечая на этот вопрос, Виталий Лютиков возложил ответственность за подобную ситуацию на пользователей. Он пояснил, что существующие правила поддержки сертифицированного ПО в случаях критически опасных ошибок допускают параллельное проведение фактического обновления и проверки патчей в ФСТЭКе. В данном случае многие заказчики не решились на применение данной схемы, к тому же довольно велика доля тех, кто не спешит устанавливать у себя и уже сертифицированные заплатки. Но в общем случае для реализации такое схемы обновления до получения одобрения от ФСТЭКа разработчик должен прописать ее в своей сертификационной документации, чтобы заказчики имел все законные основания применять такой вариант.
Более подробно о требованиях к безопасности ОС рассказал начальник отдела ФСТЭК Михаил Костенко. Он сообщил, что основополагающим документом в этой направлении являются утвержденные Минюстом еще в прошлом году «Требования по обеспечению безопасности информации к информационным системам», которые вступают в силу с 1 июня 2017 г. Этот документ предназначен для всех участников обеспечения безопасности сертифицируемого ПО: разработчиков, заявителей на сертификацию, пользователей и органов по сертификации средств защиты (включая испытательные лаборатории).
Нынешние Требования заменяют собой два руководящих документа, действующих с 1992 и 1997 гг., причем в новом варианте практически по всем позициям усилены требования, а некоторые позиции появились впервые. Это вполне понятно, поскольку ситуация в сфере ИБ за последние двадцать лет существенно изменилась, появились новые сферы применения ИТ, новые угрозы и пр. В частности, если ранее делался акцент на защиту физического периметра использования вычислительных средств, то сегодня нужно защищать отдельные устройства независимо от места из физического расположения (например, мобильное устройство может легко перемещаться за пределы физического периметра). В новых Требованиях выделяют три класса операционных систем: общего назначения (включая мобильные), встраиваемые и реального времени, причем многие новшества связаны именно двумя последними категориями.
Содержание Требований имеет гриф «для служебного пользования», разработчики могут запросить документ в установленном порядке (он прописан на сайте ФСТЭК) и получить его после оплаты выставленного счета. При этом докладчик призвал всех разработчиков активно участвовать в доработке и развитии этого документа, обращаясь с конструктивными замечаниями предложениями в ФСТЭК.