«Синий экран» КИИ
Грозит ли сбой, аналогичный инциденту с Microsoft, критической инфраструктуре РФ
Глобальный сбой в работе компьютеров, работающих под управлением ОС Windows, 19 июля ударил по компаниям из различных отраслей, включая особо чувствительные. Причина появления «синего экрана» – неудачное обновление антивируса CrowdStrike. Россию этот инцидент не затронул лишь потому, что продукты этого вендора не распространены в стране, обращают внимание эксперты. Может ли подобное произойти с российским ПО, установленным на объектах критической информационной инфраструктуры (КИИ), – в материале RSpectr.
ЦЕНА ОШИБКИ
Сбой затронул около 8,5 млн устройств на базе Windows, отметила в беседе с RSpectr партнер и заместитель гендиректора «КОРУС Консалтинг» Мария Бар-Бирюкова.
Мария Бар-Бирюкова, «КОРУС Консалтинг»:
– Была выведена из строя ИТ-инфраструктура авиакомпаний и аэропортов, банков, операторов связи, фондовых бирж, медицинских учреждений. Кроме того, по ряду оценок, пострадало более 300 тыс. коммерческих организаций по всему миру.
Председатель совета директоров «Базальт СПО» Алексей Смирнов напомнил, что
масштабный сбой произошел не по вине Microsoft, а из-за установки неудачного обновления антивирусной программы CrowdStrike
Он недоумевает, почему обновления были сделаны сразу на работающих системах, а не проверены предварительно на стенде.
Алексей Смирнов, «Базальт СПО»:
– Это грубое нарушение правил эксплуатации. Странно, что такое произошло во многих компаниях в мировом масштабе. Использование наложенных средств защиты, особенно с закрытым кодом, когда нет возможности провести независимый аудит, чревато серьезными проблемами.
RSpectr опросил экспертов, насколько возможна ситуация, аналогичная случившейся, в части российского ПО, которое используется на объектах критической информационной инфраструктуры (КИИ).
Директор технического департамента RTM Group Федор Музалевский в беседе с RSpectr высказал мнение, что вероятность такого сценария невысока:
системный софт объектов КИИ обновляется не так часто
Но для прикладного и системного ПО отечественной разработки, по его словам, вероятность выхода из строя намного выше. Поскольку ввиду скромного рынка и малых объемов тестирование вендоры осуществляют не всегда полноценно.
Федор Музалевский, RTM Group:
– Произошедший сбой был вызван средством защиты – это отдельный класс ПО, ближе всего оно к системному. Однако такие проблемы могут быть спровоцированы почти любым системным софтом.
Любая система безопасности, которая глубоко интегрируется в хостовую информационную систему (где разворачивается платформа виртуализации), может вывести эту систему из строя, прокомментировал RSpectr технический директор ITentika Александр Чиченин.
Александр Чиченин, ITentika:
– Вероятность подобного сценария в России несколько ниже. У нас используется достаточно широкий перечень систем ИБ, и одновременное возникновение в них критических сбоев практически исключено.
ТЕОРИЯ ВЕРОЯТНОСТИ
Руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников считает, что теоретическая вероятность подобного сценария есть для любых объектов и для любого ПО.
Но для КИИ такая вероятность крайне низка
Дмитрий Овчинников, «Газинформсервис»:
– Это обусловлено тем, что на подобных объектах набор ПО и средств защиты достаточно статичен, предварительно проверен на совместимость и, в отличие от коммерческих систем, не подвержен активным изменениям и еженедельным обновлениям.
Отдельные разработчики российского ПО несут ответственность за безопасность своих продуктов и
не вводят массовые обновления без согласования с заказчиками,
продолжил заместитель гендиректора Staffcop Юрий Драченин. Кроме того, российский рынок софта для КИИ диверсифицирован, нет единого лидера, чьи продукты используются массово, как в случае с Microsoft, обратил он внимание RSpectr.
Юрий Драченин, Staffcop:
– В соответствии со стандартами разработки ПО для КИИ производители обязаны использовать как минимум два российских антивируса при разработке продуктов. Это исключает появление вирусов в программе на этапе ее создания.
Руководитель направления «Автоматизация» компании «Нетрика» Дмитрий Косарев уверен, что
российский ИТ-рынок демонстрирует высокую степень устойчивости благодаря активной политике импортозамещения
По его словам, за последние два года многие отечественные компании, особенно в госсекторе и на объектах КИИ, перешли на отечественные программы, что значительно снизило долю продуктов Microsoft на рынке.
Дмитрий Косарев, «Нетрика»:
– Наряду с импортозамещением важную роль в стабильности работы играет то, что объекты КИИ ограниченно используют облачную инфраструктуру или не используют вовсе, все ПО чаще всего размещается в локальных центрах обработки данных.
В данном случае Россию эта проблема не коснулась только потому, что
решения по защите конечных точек от компании CrowdStrike никогда не были у нас распространены
В том числе в те времена, когда об импортозамещении практически никто не говорил, обратил внимание RSpectr директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров.
Теймур Хеирхабаров, BI.ZONE:
– Мнение, что успешное импортозамещение нас спасло, я не разделяю. Важно понимать, что в разработке сложного ПО, как правило, задействовано большое количество людей, а людям свойственно ошибаться.
Но риски возникновения подобного сценария можно существенно сократить, если разработчики и пользователи будут следовать ряду рекомендаций в части выпуска и установки обновлений, подчеркнул эксперт.
ВАЖНОСТЬ ТЕСТИРОВАНИЯ
В нашей стране действительно значительная часть критической инфраструктуры работает не на Windows, рассказал RSpectr гендиректор хостинг-провайдера RUVDS Никита Цаплин. По его мнению, в России есть свои ОС на базе семейства Linux, и они используются в чувствительных сферах.
Никита Цаплин, RUVDS:
– Использование Linux снижает вероятность взлома или наличия уязвимостей, но не исключает их. Например, в 2022 году обновление Ubuntu (дистрибутив GNU/Linux) привело к тому, что виртуальные машины в облаке Microsoft Azure под этой ОС вышли из строя, а в прошлом году в программе для этого семейства ОС Free Download Manager был найден бэкдор, который оставался незамеченным три года.
Заместитель генерального директора NGR Softlab Дмитрий Пудов полагает, что
вероятность повторения аналогичного масштабного сбоя в РФ не такая уж и низкая
CrowdStrike – заметный игрок на глобальном рынке ИБ, второй по капитализации на рынке, имеющий десятки тысяч клиентов по всему миру, прокомментировал он RSpectr.
На российском рынке представить аналогичный сценарий не представляет труда, говорит эксперт.
Дмитрий Пудов, NGR Softlab:
– Сейчас производители ПО сосредоточены на расширении своего функционала и быстрой доставке его на рынок, поэтому ряд вопросов (QA, технический долг) могут оставаться без должного внимания и соответствующего ресурсного обеспечения.
Более того, на рынке много молодых компаний и стартапов, которые еще не сформировали качественные процессы производства ПО, но уже активно завоевывают внимание клиентов, продолжил эксперт. При этом
даже системообразующие и заметные игроки пока недостаточно инвестируют в программы технологической совместимости, раннего тестирования
Это повышает риски возникновения подобных инцидентов.
Опыт показывает, что подобные сбои происходят на стыке технологий, когда в компаниях используется несколько разнородных систем и платформ от разных поставщиков и, соответственно, разных инженерных команд, сообщил RSpectr директор по стратегии и развитию технологий Axiom JDK Роман Карпов. Он добавил, что open-source-решения без техподдержки повышают риски. Их можно исключить, имея поддержку инженеров поставщика самой системы, которые знают все ее нюансы, уверен эксперт.
Самое неверное решение, к которому можно прийти на волне сбоя, – полный отказ от установки обновлений ПО и экспертных данных (базы сигнатур, правил детектирования угроз) либо существенное увеличение циклов регулярной установки обновлений, продолжил Теймур Хеирхабаров. Все это, по его мнению,
неизбежно приведет к расширению поверхности атаки – если не устанавливаются обновления, то не устраняются регулярно обнаруживаемые уязвимости
Теймур Хеирхабаров, BI.ZONE:
– В случае решений безопасности для конечных точек это может повлечь за собой превращение их в практически бесполезные пустышки: если не устанавливаются обновления, то решения перестают защищать от новых угроз.
Сбой может произойти с любой системой, и важно быть к этому готовым, полагает автор продукта Solar appScreener Даниил Чернов. В беседе с RSpectr он отметил, что существуют общепринятые практики, минимизирующие риски при обновлениях.
Даниил Чернов, Solar appScreneer:
– Прежде чем устанавливать обновление на «боевые» системы, необходимо тщательно протестировать его в специально подготовленном тестовом контуре, максимально приближенном к реальным условиям эксплуатации.
Второй момент, по словам эксперта, – наличие плана «Б», куда входят регулярное резервное копирование и отлаженные механизмы восстановления данных.
Предотвратить подобные ситуации можно,
аккуратно тестируя любые обновления в окружении, сходном с рабочей средой
подчеркнул в беседе с RSpectr руководитель группы разработки продуктов и решений Linx Cloud Евгений Макарьин. Это, по его словам, необходимо делать не только при использовании средств защиты, но и в случае с любым другим ПО, связанным с критической инфраструктурой.
Екатерина Лаштун
Изображение: RSpectr, Freepik