Отечественный софт пока слишком мягок, а разработчики беспечны
В Совете Федерации с участием представителей Минцифры, Генпрокуратуры и отраслевых специалистов и экспертов состоялось обсуждение более чем актуальной темы «О мерах по снижению количества уязвимостей в публично доступной ИТ-инфраструктуре и отечественном программном обеспечении, а также о повышении защищенности КИИ». Выяснилось, что если с Критической информационной инфраструктурой, как отмечает Минцифры, есть серьезные подвижки и довольно ясные планы, по поводу всего остального вопросов очень много.
тестовый баннер под заглавное изображение
В сущности с тем, что есть проблемы, никто не спорил, более того целью заседания секции Обеспечения технологического суверенитета и информационной безопасности Совета по развитию цифровой экономики при СФ, как было указано, являлось определение круга наиболее актуальных проблем, выработка рекомендаций и, возможно, законодательных инициатив.
О том, в частности, как с точки зрения безопасности связаны публичная инфраструктура и КИИ, подробно рассказал представитель ГП Олег Кипкаев. Он напомнил, что у более чем 70 млн сервисов, имеющихся в российском сегменте сети, примерно у половины есть хотя бы одна ошибка в настройках безопасности, позволяющая организовывать атаки, целью которых может быть, в том числе, и КИИ. В ряду многих мер исправления ситуации ГП предлагает рассмотреть вопрос ответственности руководителей, не принимающих меры для устранения известных уязвимостей. При этом, как следовало из информации за предыдущие три года, предоставленной Минцифры , только по КИИ было выявлено около 5000 уязвимостей различной значимости. По данным отраслевых аналитиков, наибольшее число инцидентов было связано с учреждениями государственного управления,сферы образования и медицины.
Оценку ситуации с КИИ дополнил представлявший ЦБ Андрей Савельев, который сообщил, что за 2025 год треть всех вмешательств в работу финансовых учреждений проводилась в виде DDos атак, 13% пришлось на использование вредоносного программного обеспечения (ПО), 5% – на фишинг, а остальные случаи касались в основном комбинации перечисленного. Из чисто компьютерных инцидентов 38% произошли в результате заражения вредоносным ПО и 14% — взлома систем из-за промахов подрядчиков, поставщиков железа и разработчиков ПО.
Впрочем, наиболее активно в ходе заседания обсуждалась проблема с ПО, в том числе, используемого для обеспечения информационной безопасности, и ответственности его разработчиков за качество своего продукта. Ведущий даже обратил на это особое внимание, указав, что из прозвучавших к тому моменту докладов как минимум три содержали тезис о том, что импортозамещение в этой сфере не делает ее безопасней. По мнению экспертов, отечественные разработчики зачастую используют в своих программах скомпрометированные или непроверенные элементы кодов из публичных источников, а в дальнейшем, как правило, проявляют мало интереса к сопровождению своих продуктов. В результате поставляемое ПО содержит уязвимости, которые не устраняются до выявления инцидента или другого крайнего случая.
Поиску путей решения именно этого типа проблем в ходе дискуссии было посвящено едва ли не наибольшее количество времени. При этом, безусловно, серьезное внимание было уделено и теме формирования Минцифры госреестра так называемого доверенного софта.