Почему импортозамещение делает IT-рынок уязвимее и как с этим справиться

Вопросы безопасности

Последние исследования рынка говорят: 44,7% коммерческих компаний не собираются переходить на отечественное ПО в ближайшее время, 27% ждут, когда закончится лицензия у установленного софта. А вот оставшиеся 22% будут замещать IT-решения на российские еще до того, как иностранные альтернативы перестанут работать — и уже сейчас тестируют отечественное ПО. И именно они могут столкнуться с проблемами по безопасности. Почему так происходит?

Многие российские продукты только выходят на рынок и поэтому находятся на ранних стадиях разработки и развития. В отличие от своих аналогов, которые годами проходили «проверку на прочность», они еще только начинают путь в борьбе с багами и уязвимостями. Сегодня, так как внедрять ПО надо срочно, основной фокус сделан на том, чтобы просто повторить функциональность иностранных IT-решений. Требования по безопасности отходят на задний план.

Дело тут не только в самих разработчиках. Заказчики тоже хотят в первую очередь решить задачи своего бизнеса — о рисках можно будет поговорить потом. Поэтому они не проводят моделирование и оценку угроз, не формируют требования безопасности и не проводят испытаний.

Аудит, призванный оценить безопасность ПО, часто проводят только перед внедрением или не проводят вовсе. Причина — неэффективные процессы ИБ в компании. Многие команды не знакомы с требованиями безопасности, ПО они проверяют только на финальных стадиях — и если находят уязвимости, то устранять их в почти готовом продукте могут дольше, чем IT-решение разрабатывалось. 

К сожалению, с точки зрения регуляторов большого продвижения тут тоже нет. За последний год не вводилось значительных изменений, которые бы влияли на требования по безопасности при производстве ПО. И даже те нормы, что уже существуют, не предъявляются к продуктам ни при включении их в реестр отечественного ПО, ни при внедрении в компанию.

Как решают проблему заказчики

Тот бизнес, который все же вводит проверку безопасности, обычно проверяет продукт на соответствие двум вещам:

• требованиям разных законов, стандартов и указаний регуляторов (их могут быть сотни);
• правилам, исторически принятым в компании. 

Например, в большинстве продуктов пользователи проходят аутентификацию по логину и паролю, а доступ разграничивается на уровне ролей, плюс в каком‑то виде хранятся журналы событий. Это условная «гигиена» для любого приложения, к которой все давно привыкли.

Но для корпоративной инфраструктуры с чувствительными данными этого недостаточно. Тут важными становятся двухфакторная аутентификация, шифрование, защита от утечки данных.

Проблема в том, что после релиза любые изменения в продукте потребуют много времени и будут стоить дорого. Переделать формат журналов на этапе планирования займет один день, после релиза, в готовом продукте — до месяца. Поэтому сложности с ИБ проще предотвратить, чем исправить. Но для этого нужна согласованная работа разных игроков рынка — заказчиков, вендоров и регуляторов.

Срочное импортозамещение: что может пойти не так 

Если игнорировать требования к ИБ, у заказчиков и пользователей софта могут возникнуть проблемы. Некоторые могут появиться сразу, другие — развиваться в долгосрочной перспективе. Особенно опасны последние: из-за различных угроз, связанных с утечкой данных, хакерскими атаками, компания может понести репутационные издержки и в итоге потерять клиентов.

Откуда же сегодня ждать появления рисков из-за импортозамещения ПО?

Чтобы это понять, нужно разобраться в том, как меняется характер атак. Более уязвимой в мире, где многие активы построены на данных, становится персональная и конфиденциальная информация — и хакеры в первую очередь охотятся за ней. К тому же вместе с тем, как усложняются протоколы безопасности, становятся более изощренными и методы взлома.

Так, в июне оператор связи «Инфотел», который подключает банки и юридических лиц к системе электронного взаимодействия с ЦБ, подвергся атаке группировки хактивистов. Из-за этого в работе нескольких крупных банков-клиентов произошел масштабный сбой. В течение трех дней в сети опубликовали данные клиентов 12 российских компаний. В их список вошли такие крупные игроки, как торговая сеть «Ашан», производитель матрацев и товаров для сна «Аскона», издательская группа «Эксмо-АСТ». И все это могло быть вызвано упущениями в сфере ИБ.

Как утверждают эксперты, среди наиболее распространенных способов атак на компании — социальная инженерия и эксплуатация уязвимостей в ПО. Атакам подвергаются не только сотрудники, но и сетевое оборудование, веб-ресурсы. Уязвимости ПО и всей IT-инфраструктуры появляются в том числе потому, что к вендорам и решениям не предъявляются требования по безопасности.

В итоге возникает критический для бизнеса момент — остановка бизнес-процессов из-за потенциальных атак и сбоев и открытие возможностей для мошенничества. Например, недостаточное тестирование ролевой модели в одном из банков привело к тому, что работники call-центра получили возможность просматривать кодовые слова VIP-клиентов и менять номера телефона для отправки одноразовых паролей.

Как импортозамещаться быстро и безопасно

Чтобы выявлять и предупреждать уязвимости и атаки, нужны квалифицированные кадры. Согласно исследованию К2Тех, в 2023 году 77% российских компаний столкнулись с необходимостью расширить штат ИБ-специалистов. При этом нужных людей на рынке недостает. Что с этим делать?

Среди решений — поиск талантливых кадров внутри продуктовой команды и развитие их компетенций по безопасной разработке.

Для этого можно использовать практику Security-чемпионов. Компании с этим подходом развивают сотрудников, которые знают, как создавать безопасные продукты. Такие разработчики выступают «адвокатами» ИБ внутри команды. Обычно они хорошо знают продукт со стороны разработчика — а значит, могут оценить его и со стороны злоумышленника. Понимая особенности продукта и процессов разработки, они могут быстро и качественно удовлетворить требования по безопасности.

Но это лишь кратковременный «костыль». В долгосрочной перспективе, чтобы избежать проблем с уязвимостью ПО, нужно развивать культуру информационной безопасности.

Команда разработчиков часто воспринимает задачи по обеспечению безопасности продукта как второстепенные. По их мнению, они только оттягивают момент, когда продукт можно будет вывести на рынок. Об уязвимостях специалисты планируют позаботиться позже, уже в процессе эксплуатации ПО. Именно такой подход нужно менять — на проактивный с точки зрения ИБ.

Кроме того, в большинстве компаний ИБ-процессы выстроены неэффективно — в основном применяются технические инструменты контроля. Проблема в том, что они позволяют узнать о проблемах в продукте только непосредственно перед релизом. Выявив уязвимость, команда вынуждена вернуться к этапу проектирования архитектуры или написания кода — это сильно увеличивает сроки разработки. А вот если бы команда понимала требования по безопасности на старте, она могла бы минимизировать количество ситуаций, когда выявленные дефекты вынуждают отложить очередной релиз.

Что можно сделать прямо сейчас

Если вы запускаете процедуру импортозамещения, то:

1. необходимо формулировать понятные требования по безопасности к вендорам ПО и собственным разработчикам;
2. оценивать актуальные угрозы для своей компании и систем, которые вы импортозамещаете;  
3. налаживать взаимодействие между участниками процесса производства ПО — в том числе разработчиков с экспертами по ИБ. 

Внедрение этих практик не требует дорогостоящих инструментов. Достаточно обучить и мотивировать команду — это позволит перейти от циклического поиска дефектов и устранения инцидентов к созданию безопасных продуктов по умолчанию. 

А продукт, который изначально проектируется или внедряется с учетом требований, будет быстрее проходить проверки безопасности, будет менее подвержен атакам и сбоям и проще внедряться в эксплуатацию.

Мнение редакции может не совпадать с точкой зрения автора