Цифровые технологии уже давно играют ключевую роль в жизни общества, и их развитие неразрывно связано с вопросами безопасности. Может ли быть достигнута 100%-ная безопасность и могут ли быть уязвимы сами средства защиты информации?
Автор: Ярослав Гальчук, инженер группы сопровождения разработки компании «Газинформсервис»
Оглавление
Одна голова хорошо, а две – лучше
Чтобы СЗИ могли обеспечивать максимальную безопасность, необходима тщательная проработка их функциональности. В этом процессе ключевую роль играет тесное сотрудничество между разработчиками и пользователями. Практика показывает, что объединение их усилий – залог безопасного использования технологий и снижения рисков киберугроз. Именно поэтому в мире кибербезопасности появляется все больше альянсов. Многие крупные интеграторы и вендоры в области информационной безопасности придают большое значение открытой коммуникации и сотрудничеству с партнерами и заказчиками. Компании работают над совместимостью продуктов собственной разработки и коллаборированных решений. Это позволяет приблизить заказчика к более качественному продукту. Как говорится, одна голова хорошо, а две – лучше.
На шаг впереди
Важно отметить, что разработчики СЗИ должны быть на шаг впереди киберпреступников, используя самые современные технологии и практики для обеспечения безопасности. В отличие от стандартных приложений, при разработке СЗИ вопрос собственной уязвимости прорабатывается гораздо строже и тщательнее. Заказчики должны быть уверены в безопасности поставляемых решений.
Что может дать такую уверенность и насколько она обоснована?
Во-первых, сегодня многие комплексы СЗИ функционируют во взаимодействии с определенной инфраструктурой, которую требуют регуляторы, а им принято доверять.
Во-вторых, эта инфраструктура должна включать только сертифицированные операционные системы и программное обеспечение. Однако даже эти компоненты могут иметь ошибки и уязвимости, влияющие на безопасность всей системы.
Склоняюсь к тому, что абсолютной неуязвимости не существует: всегда есть множество потенциальных рисков и подводных камней. Однако, если говорить именно об уязвимостях, то можно сказать, что сами СЗИ зачастую достаточно надежны, но они не могут функционировать вне операционной системы, и здесь уже возникают риски.
Минимизировать риски
Для обеспечения безопасности информационных систем необходимо внедрять практики РБПО, а также следовать стандартам безопасной разработки на всех этапах создания и эксплуатации программного обеспечения. В качестве примера можно привести компанию «Газинформсервис» и ее СЗИ Efros Defence Operations.
При разработке Efros Defence Operations реализуются требования национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Этот стандарт направлен на достижение целей, связанных с предотвращением появления, выявлением и устранением недостатков и недекларированных возможностей в ПО, и содержит общие требования, предъявляемые к разработчикам и производителям ПО при реализации процессов разработки безопасного программного обеспечения.
В рамках РБПО применяются различные инструменты безопасности, которые позволяют обнаруживать уязвимости и ошибки в коде на ранних этапах разработки, что снижает риски и затраты на исправление ошибок.
Хранение всех исходных кодов осуществляется в локальных репозиториях, организована изоляция среды сборки (build-агентов, репозиториев, хранилищ образов и артефактов).
Встать на путь полной безопасности
Но даже при выполнении всех вышеуказанных мер и наличии идеально защищенной операционной системы, крайне сложно обеспечить полную безопасность, если заказчик не выполняет ряд важных действий, а именно: своевременно не устанавливает обновления и патчи от вендоров.
Безопасность ПО – это общая ответственность вендоров и пользователей. Объединив усилия, мы сможем минимизировать риски и обеспечить высокий уровень защиты от киберугроз. К сожалению, на практике иногда бывает по-другому: запустили ПО и забыли. В большинстве случаев необходима дальнейшая комплексная работа: техническая поддержка, экспертиза, участие клиента. Объединение усилий всех участников цифрового мира – разработчиков, вендоров и пользователей – это залог безопасного использования цифровых технологий и снижения рисков киберугроз. Только совместными усилиями можно защитить информацию от новых, изощренных атак и обеспечить безопасное будущее в цифровом мире. А главное, больше не задаваться вопросом «уязвимы ли неуязвимые?» и быть неуязвимыми для атак злоумышленников.
ITSec_articles