Поставить на открытый код

Поможет ли Open Source устранить дефицит на рынке решений информбезопасности?

В последние месяцы в России была зафиксирована волна киберинцидентов, связанных с атаками на IT-инфраструктуру госорганов и бизнеса. Это повлекло за собой рост спроса на средства защиты. Ситуацию усложнил уход из страны зарубежных вендоров, поставляющих ИБ-решения. Возникший дефицит продуктов в этой сфере можно быстро сократить, импортозаместив их IT-продуктами с открытым исходным кодом, говорят эксперты. О преимуществах и рисках использования Open Source (OS) для ИБ-решений – в материале RSpectr.

НОВЫЕ ЛИЦА

В мае стало известно о появлении в России новой компании, предоставляющей комплексные решения в сфере кибербезопасности. «Сайберус Открытый Код» (CyberOK), как понятно уже из названия, – это разработчик средств защиты на базе открытого кода. Генеральным директором является экс-замглавы Positive Technologies Сергей Гордейчик.

Цель CyberOK – разрабатывать и адаптировать корпоративные решения в области кибербезопасности с открытым исходным кодом, гарантируя их предсказуемый жизненный цикл и сопровождение. В компании подчеркивают, что она поддерживает необходимые методики и инструменты внедрения и эксплуатации таких продуктов, обеспечивает соответствие требованиям регуляторов и будет служить двунаправленным каналом связи с мировой индустрией OS.

Платформа, разрабатываемая CyberOK, ориентирована на реализацию подхода «безопасность как сервис», что делает ее подходящей и для корпоративных заказчиков, которые развивают собственные центры мониторинга и реагирования на киберугрозы, и для провайдеров услуг, которые планируют пополнить собственное портфолио передовыми сервисами.

По словам С.Гордейчика, CyberOK – это первый игрок на рынке кибербезопасности в России, который полностью привержен идее открытого исходного кода. «Некоторые вендоры периодически публикуют точечные решения, но это, как правило, лишь вспомогательные инструменты, не затрагивающие основной бизнес компании. В то же время есть отличные примеры масштабной адаптации и монетизации открытого кода в других нишах, например, Postgres Pro, Arenadata, Astra Linux», – пояснил глава компании в пресс-релизе.

В компании уточняют:

одно из преимуществ использования открытого исходного кода в том, что с его помощью можно быстро устранить дефицит на рынке ПО

В частности, не нужно создавать решения с нуля, тратить годы и вкладывать огромные деньги. При этом стереотип о низком качестве OS на сегодняшний день разрушен. Решения, основанные на использовании Open Source, широко используются в разработке, в том числе и в информационной безопасности. Это уже принятая и отработанная модель.

В дальнейшем произойдет прирост количества подобных компаний, ведь после ухода зарубежных вендоров потребуется закрыть потребности рынка, и готовый каркас на базе OS позволит оперативно занять нишу, заявил в беседе с RSpectr руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин.

КАДРЫ РЕШАЮТ

Эксперты рынка рассказали RSpectr о перспективах и трудностях при разработке и внедрении средств защиты на базе открытого исходного кода.

OS можно рассматривать как промежуточный этап при переходе на отечественное ПО, отмечает руководитель направления защиты прикладных систем компании «Сиссофт» Валерий Ледовской.

Эксперт напомнил, что свободный код разрабатывает сообщество, частью которого являются в том числе крупные зарубежные производители, такие как Microsoft, Oracle и другие. «Можно при этом сделать некоторое собственное ответвление открытого ПО, дальше проверить его безопасность и развивать по своему усмотрению. Конечно, в этом случае такой продукт превратится в проприетарный, но все же это уже не разработка с нуля», – пояснил В.Ледовской.

По словам партнера по управлению департаментом аналитики компании Navicon Марии Авериной, OS может стать решением, которое позволит быстро преодолеть зависимость от западного проприетарного ПО.

Долгие годы российский бизнес предпочитал вкладываться в готовые продукты от зарубежных вендоров. Так что в ряде IТ-направлений у нас в стране не так много доступных, качественных российских аналогов.

Мария Аверина, Navicon:

– Разработка российского ПО с нуля требует времени и ресурсов, которых сейчас катастрофически не хватает. Открытый код позволяет ускорить процесс – над его созданием трудились годами, а то и десятилетиями, разработчики со всего мира. Бесплатные лицензии позволяют удешевить его.

Для того чтобы реализовать такой подход на практике, по мнению М.Авериной, нужны программы подготовки и переквалификации кадров. Большинство IТ-инженеров в России специализируется на проприетарных решениях от глобальных вендоров, и переобучать их внутри компании дорого и долго.

По словам эксперта,

если подготовку OS-разработчиков удастся поставить «на поток» при участии государства, можно будет говорить об импортозамещении с помощью открытых технологий

Инструменты OS действительно достойны внимания, отмечает А.Кузьмин. Однако, по его словам, не стоит относиться к ним, как к лекарству от всех бед, тем более в условиях интенсивных атак. Решений с открытым исходным кодом на рынке много, и каждое требует специфической экспертизы.

Антон Кузьмин, ГК Innostage:

– В целом применение Open Source мало чем отличается от собственной разработки. По сути, это каркас, который кто-то придумал за вас. Однако поддерживать его и достраивать под ваши конкретные задачи все равно кто-то должен. А значит, вам нужны ресурсы для разработки функционала и ИБ-команда для противодействия компьютерным атакам.

Эксперт в сфере информационной безопасности Алексей Лукацкий в своем блоге также написал о том, что для работы с OS нужны квалифицированные сотрудники, которые будут дорабатывать софт под себя, проводить проверку/аудит чужого кода.

Кроме того, компаниям необходимы средства для формирования независимых IT-решений.

«Open Source – это не про бесплатно. Не надо путать его с freeware (бесплатное ПО). Даже если это программное обеспечение пишут комьюнити, то для корпоративного рынка важна поддержка, а она не бывает бесплатной. А учитывая требования к персоналу, который может работать с OS, затраты на него могут быть достаточно значительными. Поэтому смотреть надо не с точки зрения экономики, а с точки зрения цифрового суверенитета и независимости», – говорит эксперт.

А.Кузьмин, в свою очередь, указывает на то, что обязательным дополнением к решению на базе OS будет требование к вендору в части наличия сервиса эксплуатации/доработки и технической поддержки ПО для его адаптации под специфику заказчика.

Руководитель отдела информационной безопасности Linxdatacenter Георгий Беляков отмечает, что, в случае если OS-продукт является популярным в своем сегменте, типовые проблемы, связанные с установкой и настройкой таких средств, могут быть уже решены.

РИСКИ И НЕОПРЕДЕЛЕННОСТЬ

По словам А.Лукацкого, корпоративные заказчики любят предсказуемость и уверенность, что разработчику не надоест его творение. С OS неопределенность гораздо выше, чем у проприетарных решений.

Г.Беляков полагает, что основным риском использования OS-решений является отсутствие технической поддержки и гарантий на устранение уязвимостей. Также очень часто требуется применять сертифицированные средства защиты информации (например, для государственных информационных систем), в этом случае использовать OS будет невозможно.

Группа, создающая OS-решения, может изменить вид лицензирования, предупреждает генеральный директор компании WaveAccess Александр Азаров. «Если оно залито в монолит приложения, то вычленить и переписать его может оказаться дороже, чем само создание приложения. Тогда и дальнейшее коммерческое использование будет под вопросом», – подчеркивает эксперт.

Кроме того, по его словам, поддержка OS-решения может быть затруднена в будущем с изменением конъюнктуры рынка: возможно закрытие доступа к исходным кодам или введение санкций по отношению к странам, использующим их.

Директор по развитию бизнеса компании RooX Никита Евгенов рассказал о том, что

участились случаи внедрения вредоносного кода или компрометирующей информации в открытых библиотеках и компонентах

Никита Евгенов, RooX:

– Нужно больше времени на проверку безопасности кода. Работа над исправлением ошибок, обнаружением и закрытием уязвимостей велась и раньше. Сейчас потребуются дополнительные усилия, чтобы проверить и устранить из общего кода потенциальные угрозы.

Начальник отдела системной архитектуры компании «Информзащита» Никита Наговицын добавляет, что у OS остро стоит вопрос обеспечения безопасности обновлений, полученных из открытых источников, которые могут содержать широкий спектр угроз.

Многие решения в области защиты информации, причем не только отечественные, основываются на OS. «Ввиду тенденции на импортозамещение и поддержки IТ-отрасли стоит ожидать роста числа новых продуктов, большая часть из которых будет основываться на использовании готовых OS-решений», – резюмирует Н.Наговицын.

Изображение: RSpectr, Adobe Stock