Григорий Сизоненко: Опасные связи

11 мая 2021, 15:59

Григорий Сизоненко, генеральный директор Группы компаний ИВК

Российские сети связи сегодня построены в основном на зарубежном оборудовании и программном обеспечении. Риски такого положения вещей, как принято говорить, «сложно переоценить». Даже люди, далекие от ИТ, знают, что зарубежный софт и «железо» обладают недекларированными возможностями – обеспечивают перехват извне обрабатываемых данных или вмешательство в управление программными комплексами. Зарубежное программное обеспечение и оборудование в инфраструктуре сетей связи представляют реальную угрозу национальной безопасности России.

Очевидно, что эту инфраструктуру надо как можно быстрее перевести на защищенное, сертифицированное российское программное обеспечение и оборудование. Первый шаг в этом направлении государство сделало: Минкомсвязи России разработал требования к современным системам связи, закрепленные в Приказе № 582 10.2019 «Об утверждении требований к функционированию систем управления сетями связи при возникновении угроз устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования».

Теперь надо сделать второй шаг: обозначить критерии, сроки и порядок перевода сетей связи на российское программное обеспечение и оборудование. Это в первую очередь важно для владельцев критической информационной инфраструктуры, в состав которой входят сети связи.

Какими главными критериями необходимо руководствоваться при выборе программных и аппаратных средств?

Одними из основных требований Приказа № 582 названы «поддержка средств связи российскими юридическими лицами, не находящимися под контролем иностранных юридических и (или) физических лиц» и «осуществление модернизации средств связи на территории Российской Федерации российскими юридическими лицами, не находящимися под контролем иностранных юридических и (или) физических лиц». Однако при выборе программного и аппаратного обеспечения для построения сетей связи важно учесть не только то, где создан и поддерживается программный продукт, но и на какой основе он развивается. Цифровая инфраструктура любого масштаба и сложности базируется на двух компонентах: операционной системе и процессоре компьютера. Реальную технологическую независимость могут обеспечить только операционная система, развивающаяся на основе находящегося в юрисдикции Российской Федерации российского независимого репозитория и компьютеров с процессорами, архитектура которых создана российскими инженерами.

Другие ключевые требования Приказа № 582 гласят, что необходимо исключить возможности:

нарушения работоспособности средств связи посредством несанкционированного и совершаемого без контроля владельца системы управления удаленного обновления средств связи с территории иностранного государства»; управления средствами связи с территории иностранного государства; нарушения работоспособности средств связи посредством несанкционированной и совершаемой без контроля владельца системы управления передачи информации о состоянии и функционировании средств связи за пределы территории Российской Федерации, за исключением информации, связанной с обеспечением маршрутизации трафика.

Действительно, программное обеспечение уже стало своего рода оружием в экономической и политической борьбе. Производители проприетарного зарубежного софта реализуют в своих продуктах скрытую функциональность («закладки»), оставляя возможность вмешательства извне в работу информационных систем. Это вмешательство выражается в краже и порче ценных данных, в перехвате управления информационными системами. Использование ПО с открытым кодом снижает вероятность этого риска, но не исключает его полностью. Например, на сайте WikiLeak опубликован секретный документ от 26 ноября 2013 года, срок действия которого определен до ноября 2038 года. Он описывает специальную программу Gyrfalkon 2.0 – «закладку» в операционную систему для организации канала утечки данных. В документе прямо разъясняется, как внедрить это шпионское ПО в репозитории Debian, SUSE и Red Hat. Gyrfalkon 2.0 разработана на финансовый грант ЦРУ. Гарантию отсутствия такого рода «закладок» дает только операционные системы, развивающиеся на основе российского технологически независимого репозитория.