Конференция OS Day, объединившая создателей и заказчиков отечественных операционных систем, за несколько лет стала признанной площадкой, на которой собираются почти все ведущие разработчики ОС. Директор Института системного программирования РАН Арутюн Аветисян отметил: «Разрабатывать операционные платформы можно только в рамках сообщества, в кооперации единомышленников, имеющих возможность целенаправленно и методично на открытой площадке обсуждать задачи по созданию конкурентоспособных во всем мире российских решений. Однако развиваться без регулятора в РФ невозможно, поэтому мы будем приглашать представителей ФСТЭК, а также ведомств, определяющих необходимость той или иной ИТ-продукции и формирующих заказ на операционное ПО».
Сообщение заместителя директора ФСТЭК России Виталия Лютикова «Основные направления повышения защищенности операционных систем» было посвящено внедрению сертифицированных процедур безопасной разработки ПО, стандартам защиты информации и угрозам безопасности. Большинство отечественных ОС в той или иной степени включают заимствованный код, что усложняет оперативное реагирование на изменения, выявление и устранение уязвимостей. У многих производителей системного ПО вообще нет процедур проверки обновлений на уязвимости, что, однако, не снимает с них ответственности — отвечать за безопасность ОС должны те, кто подал заявку на включение в Единый реестр российских программ. В июне вступают в действие «Требования безопасности информации к операционным системам», уже имеется ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности», но, несмотря на призыв ФСТЭК к сотрудничеству и сбору конструктивных предложений, участники отечественного рынка системного ПО не спешат выполнять требования и пожелания регуляторов. Действительно, соответствующие процедуры поддержки сделают дороже выпуск ОС, и здесь без активного внедрения средств автоматизации не обойтись.
Как отметил Аветисян, в условиях роста сложности ОС и среды разработки, широкого использования параллелизма и распределенных конфигураций традиционные способы анализа кода вручную уже не работают. Например, только ядро Astra Linux — это 17 млн строк кода, а весь дистрибутив — 150 млн. Для автоматического поиска уязвимостей и ошибок применяются: статический анализ, фаззинг (проверка программы на возможность обработки случайным образом сгенерированных входных данных), динамический анализ, а для нейтрализации известных, но не исправленных ошибок используется обфускатор, запутывающий код и усложняющий восстановление алгоритмов программ.
Андрей Духвалов, руководитель департамента перспективных технологий «Лаборатории Касперского», рассказал про защиту встраиваемых систем на основе KasperskyOS, безопасность в которой предусмотрена на уровне архитектуры: здесь запрещено все, что не разрешено. Если среда не допускает реализацию недекларированных возможностей, то злоумышленник не сможет воспользоваться даже неизвестной разработчикам ОС уязвимостью.
Большой интерес вызвал доклад представлявшего ассоциацию «Тайзен.ру» Андрея Тихонова «Платформа Tizen для встраиваемых решений и Интернета вещей». Tizen уже используется в 50 млн различных устройств, включая носимые, и обладает хорошим потенциалом для роста, особенно в условиях поддержки ведущих производителей оборудования и ПО, что открывает этой системе выход на рынок Интернета вещей.
Вместе с тем на рынке ОС для смартфонов сегодня фактически сложилась монополия, и если для рядового потребителя это, вероятно, нормально, то для корпоративного создается угроза безопасности: отечественным компаниям и организациям требуется доверенная мобильная платформа. Такую платформу представил на конференции Сергей Аносов из компании «Открытая мобильная платформа». Российская защищенная мобильная операционная система Sailfish Mobile OS RUS прошла сертификацию ФСБ, для нее уже создано несколько сотен приложений, а механизмы защиты встроены не только в ядро операционной системы, но и во все основные компоненты: контролируется целостность файловой системы и загрузчика, гарантируется соблюдение корпоративных политик безопасности как на уровне ОС, так и с помощью систем управления мобильными устройствами, запрещается установка ПО из недоверенных источников. Правда, для этой ОС пока нет доверенного оборудования. Среди других интересных сообщений можно отметить доклады «Построение защищенных операционных систем на основе технологий виртуализации» Дмитрия Зегжды из Санкт-Петербургского политехнического университета им. Петра Великого, а также «ОСРВ МАКС — российская операционная система реального времени для микроконтроллеров» Павла Бойко из компании «АстроСофт».
Одним из следствий программы по импортозамещению стал выход на отечественный рынок компаний с низкой культурой разработки, предлагающих, в частности, полностью отгородиться от внешнего сообщества разработчиков ОС. Это весьма опасная тенденция: вне сообщества, как отметили участники конференции, система за год-два автономного развития неизбежно обособляется, вплоть до того, что не получится даже синхронизировать ее с новыми версиями ядра. Такая стратегия, по словам Аветисяна, ведет в тупик: «Современные операционные платформы невозможно без существенных рисков разрабатывать и поддерживать ни силами отдельной компании, ни даже государства. Заниматься сегодня развитием собственной операционный среды, как в свое время делали HP или IBM, все равно как если бы автомобилестроители строили дороги только для своих машин».
ФАС впервые аннулировала закупку госорганом Windows-систем
«Центр компетенций по импортозамещению в сфере ИКТ» добился в Федеральной антимонопольной службе отмены контракта Росархива на сумму 13,5 млн руб. на закупку программного обеспечения на базе Windows. Еще одна жалоба будет подана против Федеральной налоговой службы, сообщают «Известия».
Комиссия ФАС по контролю в сфере закупок признала закупку иностранного программного обеспечения Федеральным архивным агентством необоснованной. Конкурс касался автоматизации ФКУ «Российский государственный архив социально-политической истории».
Росархив разместил на сайте госзакупок информацию о приобретении серверов, работающих на базе Microsoft Windows и программного обеспечения, совместимого с этой платформой. В технической документации говорилось, что «общесистемное программное обеспечение должно базироваться на стандартных, широко апробированных решениях, обладающих совместимостью с программным обеспечением, применяемым в РГАСПИ в настоящее время, и в связи с этим строиться преимущественно на платформе Microsoft Windows». Кроме того, требовалось, чтобы проектные решения строились с учетом дальнейшей интеграции с процессорами Intel.
Победителем конкурса стало ООО «123 солюшнс», обязавшееся выполнить контракт за 13,5 млн руб. Теперь Росархив обязан аннулировать договор, вернуть участникам конкурса внесенные в качестве обеспечения средства, до 1 июня отчитаться об исполнении предписания.
В решении комиссии ФАС от 18 мая, на которое ссылается издание, отмечается, что заказчик не разместил в системе госзакупок обоснование невозможности соблюдения запрета на допуск иностранного ПО к данной закупке.
По словам руководителя Центра компетенций Ильи Массуха, это первое заявление, которое было подано организацией против госоргана, ранее жалобы касались закупок госкорпораций.