Новости ИСП РАН

27 Июня, 2019

ИСП РАН и Минобрнауки обсудили кибербезопасность на форуме «Армия-2019»

26 июня ИСП РАН и Минобрнауки РФ в рамках форума «Армия-2019» провели круглый стол «Системное программирование как ключевое направление противодействия киберугрозам». Модератором дискуссии выступил директор Института А.И. Аветисян. Сквозной темой круглого стола стала консолидация усилий российских разработчиков по созданию и поддержке безопасного ПО.

Первым выступил начальник управления ФСТЭК России Д.Н. Шевцов, который напомнил о введении новых требований к ПО с 1 июня 2019 года. Обновлённые правила отражены в двух документах. Это «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» и «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении», доработанная при активном участии ИСП РАН. Кроме того, Шевцов рассказал об участии Института в повышении квалификации специалистов по выявлению уязвимостей и напомнил о создании в ведомстве нового подкомитета по разработке безопасного ПО (руководителем назначен сотрудник ИСП РАН В.А. Падарян).

Д.Н. Шевцов (ФСТЭК России): «Чем больше мы говорим о новых документах, тем больше информированных людей».

Шевцов заявил, что одна из важнейших задач сегодня – это повышение «культуры информирования об уязвимостях», и посоветовал разработчикам активнее участвовать в пополнении базы уязвимостей ФСТЭК. Он сообщил также, что в настоящее время существует не менее 40 операционных систем российского производства, в то время как разработчикам целесообразнее «не распыляться», а объединить усилия и заняться созданием ПО, совместимого с другими отечественными продуктами.

Заведующий отделом Математических методов квантовых технологий МИАН им. В.А. Стеклова А.Н. Печень рассказал о главных сферах применения квантовой криптографии (передача информации без возможности прослушивания), а также постквантовой криптографии (обеспечение секретности на длительный период времени). Печень подчеркнул необходимость создания алгоритмов шифрования, которые будут устойчивы к появлению квантовых компьютеров через 10-15 лет, а также рассказал о развитии квантовых технологий в России и в мире. В частности, в 2016 году соответствующий отдел был создан в МИАН; в 2018 году Центр квантовых технологий появился в МГУ им. М.В. Ломоносова.

А.Н. Печень (МИАН): «ИСП РАН хорошо дополняет наши фундаментальные знания».

Печень сообщил, что сейчас критически важными открытыми задачами остаются следующие: протоколы на когерентных состояниях, доказательство стойкости, обнаружение уязвимостей и развитие постквантовой криптографии, связанной с разработкой систем, которые нельзя взломать с помощью квантового компьютера.

Заместитель директора по базовым информационным технологиям НТП «Криптософт» В.Ю. Егоров рассказал о разработке в компании собственной операционной системы, которая полностью создана в России и не является клоном других ОС. Система развивается уже 15-й год, работает на платформах ARM, Intel, Эльбрус и др. Впервые она была использована в области встраиваемых решений, позже появились решения в области серверного ПО и автоматизированных рабочих мест. В настоящее время ведётся работа по сертификации ОС по линии ФСТЭК, а также проводится разработка прикладных решений. В заключение, Егоров пригласил всех заинтересованных разработчиков участвовать в создании данного ПО.

Следующим выступил директор по продукту «РусБИТех-Астра» (ГК Astra Linux) Р.Н. Мылицын, который сообщил о подходах к разработке Astra Linux. В частности, это архитектурный подход (разработка ОС в соответствии с требованиями безопасности) и процессный подход (основное – тестирование и верификация). По словам Мылицына, в классической поставке ОС установлены 8 уровней доверия, при необходимости их можно расширить до 256. Он отметил, что компания придерживается следующих принципов: выпускать новую ОС раз в полтора года, а обновления – как минимум ежеквартально. Такой подход помогает обеспечивать должный уровень безопасности. Мылицын рассказал о работе по поиску и устранению уязвимостей, которые регулярно направляются в банк данных ФСТЭК, а также сообщил об использовании технологий ИСП РАН (в частности, AstraVer Toolset, Crusher, Svace). По словам Мылицына, сейчас одна из важнейших задач компании – покрыть всеми инструментами для поиска уязвимостей весь репозиторий для ОС, который находится в общем доступе.

Р.Н. Мылицын («РусБИТех-Астра»): «К концу года мы уже сможем продемонстрировать первые результаты анализа ОС Astra Linux Common Edition».

Руководитель группы ЗАО НТЦ «Модуль» Л.А. Гореликов посвятил своё выступление инструментальным средствам разработки и отладки встроенного ПО систем реального времени ответственного применения. По его словам, сейчас основная проблема – это отсутствие подходящего программного обеспечения (доверенных компиляторов и др.). В данной области используется либо устаревший и не всегда надёжный open source, либо лицензированное ПО из США, применение которого может быть проблематичным из-за санкций. В таких условиях всё более актуальной становится задача создания отечественной инструментальной платформы по предоставлению средств разработки соответствующего ПО, и решить её можно только с помощью консолидации усилий.

Директор департамента сертификации «НПО Эшелон» В.В. Вареница рассказал о тестировании уязвимостей в веб-приложениях. Он привёл ряд статистических данных, касающихся использования различных языков программирования. В частности, он отметил постепенное снижение популярности С/С++ и Java, а также рост популярности Python, Go и TypeScript в период с 2015 года. Далее Вареница рассказал о дефектах в привязке к языкам программирования (С/С++ – Buffer Overflow, Race Conditions, Command Injections, Dangerous Functions и Directory Traversal; .Net/Java/Python – Common Injection, Directory Traversal, Information Leakage). Вареница подчеркнул, что критичные классы дефектов менее актуальны для современных языков. Значительную часть выступления он посвятил адаптированной методике выявления уязвимостей, состоящей из пяти шагов и использующей, в частности, статический и динамический анализ кода, фаззинг-тестирование и формирование тестов на проникновение.

В.В. Вареница («НПО Эшелон»): «Коллеги из ИСП РАН передали нам Svace для наших внутренних тестов, за что им отдельное спасибо».

В заключение он сравнил применяемые в компании методы с новой методикой ФСТЭК России.

После перерыва коротко выступил В.В. Медведев – директор Департамента инноваций и перспективных исследований Минобрнауки РФ. Он подчеркнул, что сейчас необходимо придерживаться одновременно двух направлений: защищать национальные интересы и в то же время сотрудничать со всем миром в области цифровых технологий.

В.В. Медведев (Минобрнауки РФ): «Без открытой позиции, без сотрудничества в мировом масштабе, говорить о каких-то крупных прорывных решениях ни одно государство не может».

Следующим докладчиком стал А.П. Духвалов, руководитель управления перспективных технологий «Лаборатории Касперского». Он подчеркнул, что «в существующем мире в любой области человеческой активности нельзя конкурировать без применения информационных технологий», а в случае их применения неизбежно появляются киберугрозы. По словам Духвалова, «закладывать устойчивость нужно на уровне разработки систем». «Наложенные средства в современном мире не могут предоставить достаточный уровень защиты. Тут очень важен комплексный подход, и начинается этот подход… с безопасной разработки софта. Киберзащита должна начинаться с процесса разработки и архитектуры», – подчеркнул Духвалов. В частности, он положительно отозвался об инструменте статического анализа Svace, разработанном в ИСП РАН.

А.П. Духвалов («Лаборатория Касперского»): «Svace – мощнейшее средство для повышения устойчивости и иммунности информационных систем».

В заключение Духвалов поддержал других участников круглого стола, говоривших о необходимости консолидации усилий в сфере кибербезопасности. По его словам, в идеале должна появиться «кооперация из разных индустрий» или, как минимум, «экосистема разработчиков, которые применяют безопасные средства и методы».

Следующим выступил В.А. Пиков – начальник научно-исследовательской лаборатории по защите информации ФГБУ «ЦНИИ ВВС» (Минобороны России). Он рассказал, что институт уже более полувека задаёт научно-обоснованные требования тактико-технических заданий по созданию авиационной техники нашей страны. Важную роль занимают требования по обеспечению требуемого уровня защищённости государственной тайны и защиты информации. Для улучшения качества работы профессионального сообщества институт регулярно проводит мероприятия, на которые приглашаются все участники круглого стола. Пиков упомянул о сотрудничестве с ФСТЭК России, АО «НПО РусБИТех», АО «НПО Эшелон» и многими другими компаниями, а также рассказал о работе с ГОСТ Р 56939-2016 по разработке безопасного ПО. Он подчеркнул, что все образцы техники, представленные на форуме, «высокотехнологичны как никогда», а вопросы защиты информации с каждым днем становятся всё актуальнее и актуальнее, поэтому необходимо тесное сотрудничество с представителями науки. По словам Пикова, в настоящее время всем организациям в данной сфере важна совместная работа над адаптацией требований регуляторов к построению систем защиты информации образцов вооружения, военной и специальной техники.

А.С. Баранов (первый заместитель главного конструктора ИУС – начальник НТЦ ИУС, ПАО «Компания Сухой») рассказал о проблеме отсутствия в нормативной базе профилей ОСРВ для встраиваемых систем. По его словам, для таких систем необходима разработка отдельного профиля защиты с автоматическим управлением. Далее он рассказал об особенностях ОСРВ «БагрОС-4000», у которой отсутствуют заимствованные компоненты ПО, поддерживаются многоядерные микропроцессоры, а также все основные архитектуры микропроцессоров (Эльбрус, MIPS, Мультикор, PowerPC, ARM, Intel). Кроме того, система протестирована по ГОСТ Р 51904-2002 и сертифицирована по требованиям защиты информации в 8-м управлении ГШ ВС РФ. Он уточнил, что при создании ОС возникла необходимость разработать, согласовать и утвердить отдельное задание по безопасности.

Управляющий директор «Росплатформы» Владимир Рубанов посвятил своё выступление российским программно-определяемым ИТ-инфраструктурам и облакам нового поколения. Он отметил, что общий цифровой суверенитет страны зависит от суверенитета расположения, информационной безопасности и суверенитета используемых технологий. Далее Рубанов подробно описал гиперконвергентный стек технологий ЦОДа в «суверенной редакции». Стек основан на обычном аппаратном обеспечении и суверенном ПО на основе комбинации технологий международных лидеров (переданы с полными исходными кодами и правами на дальнейшую разработку), доработанных open source компонентов и собственных разработок. Кроме того, Рубанов рассказал о едином госреестре ЗАГС, разработанном при участии «Росплатформы».

Круглый стол завершился обсуждением ключевых проблем в области создания безопасного ПО. В частности, речь шла о создании специальных нормативов для встроенных систем реального времени, проведении совместной работы ФСТЭК и ИСП РАН по разработке безопасного компилятора и разработке базового набора инструментов, подтверждённых регулятором.

А.И. Аветисян (ИСП РАН): «Наша цель – создать сообщество людей, которых объединяет одно дело: улучшить вокруг себя технологическую среду».

В 2018 году в рамках предыдущего военно-технического форума ИСП РАН провёл круглый стол на тему «Системное программирование и информационная безопасность».