Роман Карпов, руководитель комитета по ИБ АРПП «Отечественный софт»: После 2022 года оказалось, что мир свободного ПО не такой уж и свободный

erid: 2SDnjd9yVwU
Роман Карпов, руководитель комитета по ИБ АРПП «Отечественный софт»: После 2022 года оказалось, что мир свободного ПО не такой уж и свободный
Роман Карпов, руководитель комитета по ИБ АРПП «Отечественный софт»: После 2022 года оказалось, что мир свободного ПО не такой уж и свободный
22.07.2025

Безопасная разработка ПО — это возможность избежать кибератак на фундаментальном уровне. О том, как эти практики распространяются в России с учетом нынешних киберугроз и постоянных кибератак, рассказал Роман Карпов, глава комитета по информационной безопасности Ассоциации разработчиков программных продуктов «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK.

Cyber Media: Как глобальные события повлияли на подходы к безопасности ПО в России? 

Роман Карпов: Здесь хочется отметить две ключевых составляющие. Во-первых, эти события принесли нам реализованный риск ИБ — отказ в обслуживании. Это связано с зарубежными поставщиками, которые перестали предоставлять поддержку, обновления ПО и т.д. А во-вторых, российские компании столкнулись с множеством самых разных атак, Россия в какой-то момент стала самой атакуемой страной в мире. 

Эти факторы подтолкнули ИБ-сообщество к пересмотру стратегий в области контроля защищенности, поиском уязвимостей. С риском отказа в обслуживании сложно что-то сделать, кроме как перейти на альтернативное решение. А что касается непосредственно атак, здесь можно предпринять определенные шаги, связанные с минимизацией рисков.

Информационная безопасность — это всегда эшелонированная защита, которая состоит из набора мер и средств. Этот набор мер и средств должен привести к тому, что атака станет для злоумышленника невыгодной. Отсюда внимание к теме безопасной разработки.

Сейчас на острие находятся атаки на цепочки поставок (supply chain). Не секрет, что основная часть ПО, которое сейчас производится в стране, содержит в себе большое количество заимствованных компонентов. Это библиотеки, зависимости, которые написаны другими разработчиками. Разумеется, они помогают упростить разработку, но одновременно появляется угроза бэкдоров, риск возникновения уязвимостей и сторонних вставок в момент компиляции. В среднем ИТ-продукте — тысячи потенциально опасных зависимостей.

И около пяти лет назад ФСТЭК начал последовательную работу, направленную на то, чтобы код ПО и особенно средств защиты информации проходил обязательные проверки. Эти проверки сокращают риск возможных ошибок, которые по сути являются уязвимостями. 

Cyber Media: Какие российские отрасли сейчас наиболее подвержены атакам?

Роман Карпов: Наверно, самая желаемая цель для злоумышленников — это электроэнергетика. Приостановка генерации и вмешательство в работу электросетей сразу обездвижит все, что связано с бытовой деятельностью, коммерцией, государственными функциями. Но при этом АСУ ТП, связанные с энергетикой, находятся в закрытом контуре, поэтому фактически являются недосягаемыми для злоумышленников, но это не значит, что атака не возможна. 

Вторая привлекательная цель — это финансы. Здесь можно украсть данные о том, как деньги зарабатываются и тратятся, да и сами деньги.

В целом, под угрозой все предприятия КИИ, куда по нашему законодательству попадают, наверно, все важные для нашей жизни отрасли — транспорт, связь и так далее. Все эти организации находятся под прицелом атакующей стороны. Здесь интересно вспомнить недавнее мероприятия в Тюмени, где губернатор озвучил, что на регион было совершено беспрецедентное количество атак, счет идет на сотню миллионов. Ни одна из этих атак не завершилась успехом для злоумышленников. Это показывает наш высокий уровень кибербезопасности, высокий уровень нашей зрелости.

Cyber Media: А что насчет отраслей, которые не так тщательно регулируются законодательством? В последнее время с DDoS-атаками, атаками через зависимости столкнулись компании, которые раньше об этих угрозах могли не задумываться, — ритейл, поставщики пользовательского ПО. Начали ли эти отрасли догонять критически важные по уровню безопасности?

Роман Карпов: Я бы сказал, что многие компании, например из ритейла, еще не задумываются об этой проблематике. Возьмем интернет-магазин — у него могут быть украдены пользовательские данные и некая внутренняя информация.

Здесь ключевую роль начинает играть финансовый вопрос. Коммерческая организация будет сравнивать стоимость внедрения средств ИБ с возможным ущербом от кибератаки — какой штраф мы заплатим? Если штраф несоизмеримо меньше бюджета на защиту, скорее всего, бизнес примет решение платить штраф. Если вспомнить самые громкие утечки B2C-сервисов за последние годы, мы увидим, что после таких инцидентов люди не перестают ими пользоваться. 

Cyber Media: Очевидно, введение оборотных штрафов изменит эту математику.

Роман Карпов: Да, компании будут учитывать возможные материальные штрафы, угрозы репутационного ущерба и все прочее.

Cyber Media: Как в этом контексте бизнес может смотреть на внедрение практик безопасной разработки? Это тоже потребует инвестиций, однако Secure-by-Design-продукт с меньшей вероятностью подвергнется взлому, и компания таким образом избежит всех связанных с кибератакой рисков.

Роман Карпов: Здесь компании нужно построить TCO-модель (Total Cost of Ownership, совокупная стоимость владения) и посчитать, сколько будет стоить найти и поправить ошибку на этапе разработки, а сколько — на этапе эксплуатации приложения.

В первую очередь затраты на безопасную разработку — это затраты на людей. Даже если компания не стремится к сертификации своего ПО, а хочет просто повысить его безопасность, ей понадобится нанимать специалистов, где-то — создавать полноценные подразделения. Понадобятся технические писатели, которые будут документировать все процессы и изменения. Можно посмотреть ГОСТ Р 56939-2024, где это все подробно расписано.

Помимо людей, понадобится инструментарий. Здесь можно выбирать и open source, и коммерческие инструменты. Это, например, средства статического анализа кода. ФСТЭК сейчас проводит мероприятия, направленные на сравнение статических анализаторов. 

Затраты на эти программные средства составляют в районе 3 миллионов рублей. Эта цифра может расти, если у компании в разработке находятся сразу несколько продуктов. В таком случае нужно параллельно исследовать несколько приложений, поэтому расходы растут.

Cyber Media: Помимо программной составляющей, есть также вопросы методологий, практик, регламентов. Как АРПП «Отечественный софт» продвигает это направление?

Роман Карпов: В рамках АРПП мы видим свою главную задачу как популяризацию безопасных подходов к разработке ПО. Чем больше организаций включаются в эти процессы, тем безопаснее становится сам рынок. 

С этой целью мы регулярно проводим практические конференции — Дни безопасной разработки ПО, на базе крупных ИБ-вендоров, таких как «Лаборатория Касперского», «ИнфоТеКС», Positive Technologies, «Код Безопасности». Диалог между разработчиками, аналитиками и регуляторами помогает выработать общие подходы, ускорить реализацию требований и снизить затраты.

Помимо этого, мы помогаем организациям формировать требования в рамках стандартов, которые регулятор вводит для разных классов систем. Например, если мы видим, что на рынке сформировалась определенная ниша неких СЗИ, мы выходим к регулятору с инициативой, чтобы эти новые СЗИ классифицировать, сформировать требования к ним. Эта работа связана с сертификацией изделий такого класса.

Например, сейчас мы готовим инициативу, связанную с модернизацией классификатора ПО Минцифры. Идет работа по трем доменам: средства защиты информации, ПО для разработки и системное программное обеспечение. Мы хотим расширить эти классы в классификаторе, чтобы они были лучше видны и в процессах импортозамещения, и при анализе рынка.

Cyber Media: Расскажите, как компании начать процесс внедрения безопасных практик разработки.

Роман Карпов: В компании должны быть выделенные специалисты, способные работать с инструментами и могут провести первичную разметку исходного кода продуктов, которые попадут под проверки безопасности. Понадобится развернуть тестовые стенды и прочую инфраструктуру.

Это самый первый этап, после которого начинается большая работа с результатами срабатывания на основе этой разметки. Вместе с разработчиками нужно изучать эти результаты, отделять ложноположительные срабатывания от действительных угроз. Разработчики смогут принимать обоснованные решения о том, нужны ли исправления. Так что помимо владения инструментами нужно глубокое знание самого кода и продукта — понимание, что именно делает код.

Cyber Media: На каком этапе конвейера разработки нужно внедрять эти проверки?

Роман Карпов: Универсального решения, наверно, нет, все зависит от того, как выстроен процесс внутри организации. Лучшая практика — это проверка кода перед коммитом в основную ветку.

Cyber Media: А должен ли код проходить проверку после этого коммита? Ведь в программе могут появиться уязвимости из-за ошибок интеграции, работы зависимостей, сочетания разных модулей ПО между собой.

Роман Карпов: Здесь потребуются разные исследования. Если упрощать, статический анализ определяет определенные паттерны в коде, которые могут привести к уязвимости. После сборки к проверкам подключаются динамические анализаторы, которые оценивают общую работу программы, смотрят на потоки данных, прогнозируют, можно ли их перехватить или изменить.

Есть и композиционный анализ, который оценивает сборку в целом — может быть, в приложении обнаружится какая-то устаревшая библиотека с уязвимой зависимостью. Именно набор разных исследований в процессе разработки и позволяет повысить качество продукта.

Cyber Media: Существуют ли на рынке российские динамические анализаторы, которые справляются с задачами на уровне зарубежных аналогов?

Роман Карпов: Здесь ситуация сложнее, чем со статическим анализом. Динамический анализ сильно зависит от стека технологий, которые использует компания. Поэтому универсального анализатора, который подойдет всем, нет.

Лично наш опыт, когда мы начали развивать безопасную разработку около пяти лет назад, — фаззер для Java нам пришлось писать самим, потому что средств динамического исследования виртуальных машин Java попросту не было.

Cyber Media: Можно ли говорить, что в какой-то перспективе весь процесс разработки будет охвачен российскими средствами проверок?

Роман Карпов: Если выстраивать полноценную безопасность, то нам необходимы инструменты, которым мы сможем доверять. Поэтому все проверки нужно контролировать.

Тот же ИСП РАН уже предлагает большой набор инструментов: «Блесну» или Crusher можно использовать для динамического анализа, Natch— для формирования поверхности атаки. Коллеги целенаправленно занимаются этим направлением. К сожалению, не знаю насчет других игроков рынка, может быть, и у них есть подобные средства.

Cyber Media: Какие риски возникают при использовании иностранных репозиториев? 

Роман Карпов: Здесь есть самые разные риски: от вставки каких-то политических лозунгов до появления полноценных бэкдоров под капотом библиотек.

Я делю создателей ПО на два лагеря: есть разработчики-пользователи, а есть разработчики-разработчики. Первые применяют готовые библиотеки и фреймворки, из которых создают свои системы. Вторые пишут много сложного исходного кода, работают на системном уровне.

Соответственно, появляется угроза: если мы не знаем от и до, из чего состоит наш исходный код, включая скачанную откуда-то стороннюю библиотеку, которая в этом исходном коде лежит, то всегда есть вероятность, что в этой библиотеке есть что-то постороннее. Есть случаи, когда люди на протяжении нескольких лет небольшими функциями добавляют код, который начинает формировать бэкдор.

Из этой ситуации есть два пути: либо целиком писать код самим, либо нанимать людей, которые способны в этом коде разобраться. Иначе компания сталкивается с ситуациями, о которых постоянно говорят в новостях в связи со взломами.

Cyber Media: Недавно была история про блокчейн-разработчика, который скачал троян под видом open-source-инструмента для разработки. В результате лишился криптовалюты на 500 тыс. долларов. Можно ли говорить о более или менее целенаправленных атаках, которые направлены специально против определенной сферы или именно российских разработчиков?

Роман Карпов: Да, встречались модули, которые работали по GeoIP или по комбинации условий, показывающих, что приложение из тестовой среды перешло в продуктивную. 

В целом я бы сказал, что после 2022 года мир open source поменялся. Оказалось, что свободный код не такой уж и свободный, он превращается в своеобразное оружие. Потому что очевидно, что open source используют все, так почему бы туда не закладывать какие-то компоненты, чтобы целенаправленно кому-то навредить.

Cyber Media: Какие будущие угрозы можно сейчас спрогнозировать, учитывая существующие тренды развития?

Роман Карпов: Фантазия в принципе не ограничена ничем. Главное — понять, что пока мы не контролируем процесс создания используемых программ, те данные, которые мы в эти программы загружаем, фактически начинают принадлежать не только нам.

Общий тренд можно назвать позитивным. Практики безопасной разработки развиваются, все больше компаний начинают ими пользоваться, проверять зависимости в своих продуктах, писать код Secure-by-Design.

erid: 2SDnjeeGwRx erid: 2SDnjeeGwRx
Популярные материалы

Комментарии 0