Использование Open source для защиты информационных систем и КИИ
1. Проблематика проприетарных решений
В первом квартале 2022 г. производители зарубежных решений в области ИТ-индустрии, и, в частности, информационной безопасности ушли с российского рынка, оставив своих бывших Заказчиков один на один с оборудованием, программным обеспечением, стремительно устаревающими базами знаний и в отдельных случаях полностью нефункционирующими решениями.
Возможности быстро импортозаместить зарубежные решения не оказалось почти ни у кого: даже если есть бюджет на закупку и внедрение новых решений далеко не все решения в области информационной безопасности имеют отечественные аналоги. Фокус переносится на решения некоторых дружественных стран и свободного программного обеспечения, о котором далее и пойдет речь.
2. Положение Open Source в России
Open source - программное обеспечение, распространяемое на условиях свободного лицензионного договора, на основании которого пользователь получает право использовать программу в любых, не запрещенных законом целях; получать доступ к исходным текстам (кодам) программы как в целях её изучения и адаптации, так и в целях переработки, распространять программу (бесплатно или за плату, по своему усмотрению), вносить изменения в программу (перерабатывать) и распространять экземпляры изменённой (переработанной) программы с учетом возможных требований наследования лицензии*(Свободное программное обеспечение в госорганах :: Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (digital.gov.ru)).
Есть несколько видов Open source:
· Разрешительная лицензия (MIT, Apache License, BSD, WTFPL, ISC, CC0-1.0, Unlicense);
· Ограничительная Copyleft лицензия (GNU GPL, Mozilla Public License).
Мировой рынок open source решений непрерывно растет не менее, чем на 20% в денежном эквиваленте в последние годы (по данным Statista) и ориентировочно (по данным ResearchAndMarkets) достигнет 67 млрд. долл. к 2026 г. Практически каждое современное решение имеет в своем составе отдельные open sourceмодули (в «ванильном» или доработанном виде).
В России с каждым годом рынок open source также растет, в том числе и при поддержке Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры), которое активно продвигало свободное программное обеспечение и в государственные органы с целью уменьшения затрат на программное обеспечение и снижения коррупции, упрощения адаптации программного обеспечения под инфраструктуру (путем доработок), минимизации угроз наличия недекларированных возможностей в зарубежном проприетарном ПО.
Однако в 2022м году многие доводы Минцифры стали неактуальны, и мы столкнулись с новой реальностью и проблемами:
· Уровень доверия к Open source снижается, появляются закладки с вредоносным ПО и политическими лозунгами, рост вредоносного ПО в open source за 2022 год оценивается в 20 раз;
· Вводятся нормативные ограничения по использованию Open source (Методика тестирования обновлений безопасности программных, программно-аппаратных средств (ФСТЭК России));
· Исчезла поддержка (прямая) Open source ПО от производителя (касается недружественных стран). Нередко при использовании свободного программного обеспечения Заказчик покупал enterpriseтехническую поддержку от производителя ПО, которая помимо поддержки могла и включать платные функции программного обеспечения (в том числе функции безопасности);
· Закрылся доступ российским разработчикам к GitHub (c 2018 года принадлежит Microsoft).
В ответ на возникшие и ограничения в 2022 году активно развивается Российское ИБ Community, использующее и разрабатывающее (и дорабатывающее) Open source: АНО «Открытый код», АНО «Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий», проекты Технологический центр исследования безопасности ядра Linux, унифицированная среда разработки безопасного ПО и др., куда входят именитые производители отечественных решений, а также Заказчики с большой экспертизой в разработке и использовании open source.
В октябре 2022 года Правительство принимает постановление, которое предполагает создание ( в рамках эксперимента) до 2024 г. нового некоммерческого фонда / некоммерческой организации Russian Open Source Foundation, которая должна объединить основных разработчиков софта с открытым кодом, включая Сбербанк, ВТБ, Mail.ru Group, «Яндекс», Postgres Pro, Arenadata и др., задача которой будет состоять в координации деятельности сообществ разработчиков, образовательных и научных организаций, ведение отечественного репозитория и зеркал крупнейших зарубежных репозиториев с доверенным (проверенным) ПО.
3. Решение проблем использования Open source
Open source так или иначе используется практически во всех разрабатываемых промышленных приложениях и системах, поэтому с их применением необходимо вводить дополнительные организационно-технические меры по проверке используемых образов и пакетов:
· Внедрить использование инструментария статического анализа кода (SAST) при разработке приложений. Самыми распространенными российскими решениями в классе являются Appscreener от Ростелеком-Солар и PT Application Inspector от Positive Technologies;
· Внедрить использование инструментария анализа зависимостей (SCA), которые в том числе входят в состав SAST, но в различных процессах используются и отдельно. К таким решениям относится Opensource решение Dependency-Check от OWASP, российское решение CodeScoring;
· Внедрить процесс проверки всех загружаемых из внешних репозиториев пакетов для контроля наличия в open source уязвимостей. Такими решениями взамен ушедшего с рынка Sonatype Nexusявляются российские комплексные решения CodeScoring OSS Firewall, Rubytech RepoController, позволяющие полностью автоматизировать процесс безопасного зеркалирования внешних репозиториев, а также сервисы Kaspersky Open Source Software Threats Data Feed, PositiveTechnologies PyAnalysis. Также можно использовать и open source – Google OSV-Scanner.
4. Кому можно использовать Open source?
Есть ощущение, что нормативная база использования Open source в Российской Федерации только зарождается – как на уровне Заказчиков, используемых свободное программное обеспечение, так и на уровне государства (с проведением эксперимента «по предоставлению права использования программ для электронных вычислительных машин, алгоритмов, баз данных и документации к ним, в том числе исключительное право на которые принадлежит Российской Федерации, на условиях открытой лицензии по созданию условий для использования открытого программного обеспечения».
Сейчас могут возникать вопросы: каким Заказчикам можно использовать Open Source? Можно ли использовать Open Source для защиты КИИ и соответствия ФЗ-187, ФСТЭК-239, защиты ГИС и соответствия ФСТЭК-17? Прямых запретов использования свободно распространяемого ПО нет:
· Указ Президента РФ от 30.03.2022 № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" определяет запрет использования иностранного программного обеспечения на значимых объектах критической информационной инфраструктуры с 01.01.2025 и исключение закупок иностранного ПО и программно-аппаратных комплексов с 31.03.2022;
· Указ президента РФ от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" определяет запрет использования средств защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении РФ, российских юридических и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
Мы видим, что со временем требование уточнилось (хотя указ 250 не отменяет 166), термин иностранное программное обеспечение заменяется на ПО, странами происхождения которых являются иностранные недружественные государства. Впоследствии можем увидеть уточнения в части свободно распространяемого ПО (open source).
В любом случае Open source нельзя однозначно отнести к категориям, указанным выше, поскольку развитием программного обеспечения занимается не государство или коммерческие организации, а инициативные разработчики независимо от принадлежности к той или иной организации и государству (до 2022 г. и аккаунты российских разработчиков делали вклад в open source продукты). При реализации дополнительных мер по анализу используемого ПО на наличие уязвимостей, описанных в разделе 3, а также наращивания внутренних компетенций для обеспечения сопровождения Open source (или поиска компетентных подрядчиков, готовых обеспечить требуемый уровень технической поддержки), использование свободно распространяемого ПО допускается.
Стоит иметь в виду, что в соответствии с требованиями ФСТЭК-239 при выборе средств зашиты информации необходимо учитывать наличие ограничений на возможность их применения субъектом критической информационной инфраструктуры на любом из принадлежащих ему значимых объектов критической информационной инфраструктуры со стороны разработчиков (производителей) или иных лиц (пункт 31). Ограничений в обеспечении технической поддержки нет – вы можете использовать как услугу производителя, так и услуги подрядных организаций (интеграторов, дистрибьюторов), а также обеспечение поддержки собственными силами.
А как быть с требованиями по сертификации при использовании Open source?
Для государственных информационных систем (ГИС) в соответствии с Приказом ФСТЭК России от 11.02.2013 г. № 17 требуется применение средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации. Но если заглянуть в Государственный реестр сертифицированных средств защиты информации, то можно увидеть сертифицированные поэкземплярно (схема сертификации – 1) Open source инструменты, используемые Заказчиками для реализации мер ФСТЭК по защите информации (например, OpenAM для ЕМИАС).
Для защиты объектов КИИ в соответствии с Приказом ФСТЭК России от 25.12.2017 г. № 239 требуется применение средств защиты прошедших оценку соответствия в форме обязательной сертификации, в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации. В отсутствии требований других нормативных актов по использованию сертифицированных средств защиты допускается проведение испытаний для подтверждения соответствия реализации используемыми средствами защиты требований ФСТЭК для соответствующего уровня доверия, класса защиты (при наличии). Проведение испытаний по уровню доверия выше 6-го является довольно трудоемким и сложным процессом.
Компания Стайл Телеком готова предложить услуги по обоснованию, внедрению и сопровождению (технической поддержке) свободно распространяемого программного обеспечения в рамках построения комплексных систем обеспечения информационной безопасности и управления информационной безопасностью.