ИБ-отрасль предлагает доработать реестры софта Минцифры в части защищенности решений
Обращение отрасли касается инициатив, подготовленных и опубликованных Минцифры осенью, которые детализируют работу реестра отечественного ПО, а также предполагают появление двух новых перечней программ.
Так, министерство в конце сентября представило пакет подзаконных актов о создании новых реестров отечественного софта, в том числе с частными корпоративными разработками и так называемым доверенным ПО. Для признания ПО «доверенным» требуется в том числе подтвердить совместимость хотя бы одной версии программы с отечественным процессором, а также наличие техподдержки и системы учета ошибок и уязвимостей для устранения их в течение 30 дней, пишет «Коммерсантъ».
Как сказано в письме рабочей группы в Минцифры, инициатива создает «новую структуру регулирования рынка российского ПО», при этом, в случае сохранения существующих подходов к управлению рисками кибербезопасности и темпов импортозамещения, «положения выступают "заградительным барьером" для включения в него российских продуктов в сфере защиты». Как поясняют авторы обращения, требование о совместимости с российским процессором является для российских ИБ-средств нереализуемым из-за невозможности протестировать совместимость на практике.
По оценке отрасли, требования сделают невозможным попадание ведущих ИБ-продуктов в реестр «доверенного» ПО. Представители рабочей группы предлагают «проведение публичных программ поиска уязвимостей в обязательном или добровольном порядке в зависимости от типа реестра». И при прохождении тестирования — маркировку такого продукта в реестре, по аналогии с уже ведущимся экспериментом с маркировкой софта, в основе которого технологии искусственного интеллекта (ИИ).
В Минцифры также сообщили, что получили предложения: инициативы, признанные целесообразными, были учтены: «Например, скорректированы сроки по поддержке отечественных микропроцессоров разработчиками доверенного ПО». Также в перечень доверенного ПО будут вноситься решения, подтвердившие соответствие «дополнительным требованиям». Но в Минцифры уточнили, что проверка на соответствие указанным требованиям является добровольной для разработчика: «Несоответствие им не приведет к исключению из реестра».
«Отрасль озабочена тем, что доля успешных атак на российские компании через уязвимости в ПО составляет около 30% от общего числа киберинцидентов»,— сказал замгендиректора «Кибердома» Александра Шадюк. Крайне эффективно будет ввести маркировку безопасного ПО с точки зрения уязвимостей. Разработчикам также важно размещать на своих сайтах релевантные контакты для сдачи уязвимостей независимыми исследователями.
Предложенные проектом критерии не предусматривают проведения практических проверок, тестирования решений, считает руководитель группы по сопровождению GR-проектов ГК «Солар» Андрей Медунов. Но при определении ПО как «доверенного» важно зафиксировать требования по проведению инструментального анализа кода.
Независимый исследователь Дмитрий Кирюхин отмечает, что компании, которые переходят с зарубежных решений на отечественные, а также те, кто самостоятельно разрабатывает решения, далеко не всегда учитывают уровень безопасности своего продукта:
«Внутренних команд тестирования безопасности зачастую нет, а при внесении в реестр никакие исследования сторонними лабораториями не проводятся».