Редакция 31.05.17
В Российской академии наук 23-24 мая состоялась IV конференция OS DAY, посвящённая созданию операционных систем – основной темой конференции стала безопасность современного российского программного обеспечения.
«Сегодня основная проблема заключается в том, что многие из операционных систем, которые у нас разрабатываются, имеют заимствованное ядро, — отметил заместитель директора Федеральной службы по техническому и экспортному контролю России Виталий Лютиков. — В случае выявления уязвимости мы вынуждены ждать, пока её удалит разработчик. Нужно разрабатывать свой код, чтобы оперативно реагировать на возникающие проблемы».
«Нельзя говорить о безопасности продукта абстрактно, — полагает генеральный директор «Базальт СПО» Алексей Новодворский. — Надо говорить об оперативном исправлении обнаруженных критических уязвимостей. А для этого нужен прямой, непосредственный контакт с разработчиками программных продуктов».
Заместитель директора ЗАО «МВП «СВЕМЕЛ» Константин Попадюшкин полагает, что такая задача решаема: «Мы стараемся поддерживать в актуальном состоянии весь исходный код и функциональность на базе тех изменений, которые в мировом сообществе добавляются к базовой операционной системе (речь о Linux – ред.). Могу сказать, что на российском рынке есть и достаточно конкурентоспособные продукты, тот же «МойОфис». Он широко развернут, у него своя концепция, защита информации, ограничения доступа. В общем, есть достойные продукты, как и всегда. Хотя в закрытом сегменте, да, есть дефицит, допустим, в серьезных графических редакторах: у нас пока нет альтернатив Corel Draw, Adobe Photoshop».
Оригинальную российскую ОС «Фантом» её разработчик, генеральный директор DZ Systems Дмитрий Завалишин, предполагает использовать для беспилотных летательных аппаратов: «Сегодня наша операционная система находится в состоянии «Proof-of-concept», т.е. мы реализовали код, который позволяет убедиться, что сама идея работоспособна, и ищем партнёров, с кем можно продвинуться дальше. Присматриваемся к промышленному применению. Например, под управлением нашей ОС могли бы действовать беспилотные летательные аппараты».
KasperskyOS была официально выпущена в феврале 2017 года. «Работа над этой системой началась еще в 2002 году с идеи, что требуется полноценная, защищённая от злоумышленников среда, — говорит руководитель управления перспективных технологий «Лаборатории Касперского» Андрей Духвалов. – Реализовать такую защищенную среду можно только на уровне операционной системы: она должна быть организована так, чтобы даже при обнаружении «дыр» злоумышленник не смог ими воспользоваться. Программы внутри такой системы при любых условиях будут делать только то, для чего они предназначены в соответствии с заранее прописанными ограничениями».
Получившаяся в итоге микроядерная система – узкоспециализированная, это не универсальный программный продукт, способный составить конкуренцию общецелевым ОС западного производства, но в своей нише она уже нашла покупателей. Это нормально. «Все сегодняшние проекты ориентируются на нишевые применения, которые в состоянии обеспечить финансирование, — говорит Завалишин. — Затраты на то, чтобы сделать операционную систему, настолько велики, что всерьёз рассматривать эту перспективу просто не стоит».
«В принципе эта задача не видится невозможной, но сегодня на неё нет заказчика, — соглашается директор ИСП РАН Арутюн Аветисян. – А разрабатывать ОС просто так, в надежде на неясное будущее, слишком накладно и потому бессмысленно».
Ещё одним важным аспектом информационной безопасности, обсуждавшимся на OS DAY 2017, стал вопрос взаимодействия производителей ПО и его пользователей. «Поддержка обновления сертифицированных операционных систем видится нам очень важной проблемой, — сказал Лютиков. — Мы столкнулись с тем, что у разработчиков ОС внутренние процедуры реагирования на обнаружение уязвимостей просто не отработаны. Мало внимания уделяется поддержке и развитию продукта в ходе его применения. Недостаточно действенны процедуры доведения обновлений до потребителя. Мы требуем включать в эксплуатационную документацию процедуры обеспечения поддержки ПО. Без этого мы не будем сертифицировать».
Выступление Арутюна Аветисяна. Фото (с) Андрей Анненков
Проникновение WannaCry в государственные IT-системы произошло по вине эксплуатантов – ФСТЭК
«Новые правила исправления уязвимостей в сертифицированных ФСТЭК продуктах позволяют пользователям не ждать занимающего много времени инспекторского контроля», — сообщил по этому поводу Новодворский.
По итогам OS DAY участники конференции приняли резолюцию, один из главных пунктов которой — заявление о необходимости создания и реализации единой комплексной программы исследований и разработок в области системного программирования и информационной безопасности под патронажем ИСП РАН. «Достигнуто консолидированное мнение IT-сообщества и разработчиков операционных платформ о необходимости такой программы, направленной на создание новых технологий и кадров, — говорит Аветисян. – Она позволит мобилизовать кадровый и научный потенциал страны, все имеющиеся ресурсы для ответа на вызовы эпохи во всем, что касается информационной безопасности. Мы не должны только защищаться, нужно думать об экспорте наукоёмких технологий. С нашим опытом, с нашим бэкграундом мы более чем конкурентоспособны».
Конференция организована ИСП РАН, DZ Systems, ГосНИИАС, «Свемел», «Базальт СПО», «Открытая Мобильная Платформа», «Лабораторией Касперского», «РусБИТех-Астра», «Тайзен.ру».
http://d-russia.ru/podvedeny-itogi-konferentsii-os-day.html http://creativecommons.org/licenses/by/3.0/legalcode
