Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Параноидальные вопросы к безопасности корпоративных ИТ, возникающие из антироссийских санкций Microsoft, Oracle и HP

Параноидальные вопросы к безопасности корпоративных ИТ, возникающие из антироссийских санкций Microsoft, Oracle и HP

Сегодня появились сообщения о том, что Microsoft, Oracle, Symantec и HP «с большими сожалениями и надеждой на сотрудничество в дальнейшем» будут вынуждены отключить часть ПО у российских банков и компаний, которые попали под санкции.

С облаками все понятно – выключили и все, но облака повышенной устойчивостью к подобным ситуациям по определению не обладают. Но банки, как известно, относятся к наиболее консервативным видам бизнеса, которые облачных решений не приемлют.  

Стоит ли подобное заявление понимать, как открытое признание того, что вендоры в своих продуктах сохраняют закладки, позволяющие выключить любое in-house решение по щелчку Госдепа? Конспирологи были правы, и модель ИТ-рынка в котором преобладают глобальные решения попросту не безопасна?

И как это может быть реализовано?

Понятно, что механизм проверки подлинности, установленный в решениях для домашних пользователей, позволяет объявить не подлинными любые продукты проданные в России и соответственно отключить их при первой же проверке по сети.

А с корпоративными продуктами, которые находятся за файерволом и теоретически такую проверку не проходят?

  • Microsoft Forefront TMG построен так, чтобы сливать корпорации информацию с защищенной стороны межсетевого экрана и пропускать внутрь определенные запросы извне? Oracle Database Firewall обеспечивает доступ к корпоративным базам данных для всех наделенных полномочиями со стороны «вашингтонского обкома»?
  • Надо ли полагать, что подобные дверки для АНБ/ФБР/ЦРУ у HP, Cisco и прочих вендоров заложены на аппаратном уровне?
  • Что можно сделать через подобные закладки: скопировать, уничтожить, скомпрометировать данные, нарушить работоспособность системы?

Подобные заявления – это уже не удар по России. Это конец той модели ИТ-рынка, которая сложилась к настоящему моменту. Факт прослушивания спецслужбами США телефонных разговоров европейских политиков вызвал довольно негативную реакцию. Но идея о том, что у США есть возможность полностью заблокировать работу ИТ-систем по довольно незначительному поводу – очень опасный сигнал всему миру. Ваша ИТ-инфраструктура работает только до тех пор, пока интересны вашей страны не сталкиваются с интересами США.

Какой выход в параноидальном мире, где покупать ПО у вендоров не безопасно?

Никаких облачных решений. Никаких гибридных решений. Компания должна полностью владеть всей ИТ-инфраструктурой для критически важных бизнес-процессов. Да, почта тоже только на своих серверах и только в российских доменных зонах. Microsoft активно продает Office 365 в российские государственные и образовательные учреждения? Естественно, практика подобных закупок должна быть немедленно остановлена.

Гетерогенность  - зоопарк решений сегодня становится преимуществом. Можно предположить, что недокументированные лазейки и черные ходы хорошо работают в рамках продуктов одного вендора и гораздо хуже с решениями других вендоров. Я не слышал о стандарте на API для черных ходов. Поэтому уязвимость ИТ-среды построенных на продуктах разных вендоров должна быть меньше.

Отечественные продукты -  можно предположить, что российские разработчики ПО, если и договаривались о размещении специального входа для спецслужб в своих продуктах, то явно не с американскими спецслужбами. Это сложный вопрос кто более страшен для вашего бизнеса ФСБ или ФБР?

ИТ-решения независимых стран. К сожалению, тут выбор не очень большой. Стоит заведомо исключить продукцию компаний нацеленных на американский рынок (- Индия). Страны NATO тоже должны вызывать обоснованные подозрения, тем более они активно участвуют в антировссийских санкциях. В итоге что остается из стран с развитыми ИТ? Китай и Израиль? В любом случае выбирая ПО стоит обращать внимание на продукцию тех  стран, в которых ваша компания заведомо не представлена.

Самописные системы – крупные организации должны делать ставку только на решения собственной разработки, как бы это не было бы дорого и неудобно. Естественно даже в этом случае весь код должен анализироваться службой безопасности на наличие закладок и завербованных агентов среди разработчиков.

Решения с открытым кодом – любой применяемый в компании продукт должен собираться из исходного кода непосредственно при внедрении. Исходный код продукта, естественно должен быть проанализирован и протестирован на возможные закладки, нарушающие безопасность. Никаких заранее скомпилированных бинарных модулей в критически важных для бизнеса решениях быть не может.

Национальные системы – проект с НПП развивался и организовывался довольно нелепо и, как и ожидалось, закончился ничем. Однако, я должен признать, что сама идея сегодня весьма своевременна, особенно с учетом того, что огромная доля заказов на ИТ-решения в России исходят от государственных компаний. Как минимум критическим элементом инфраструктуры становится собственный межсетвеой экран, гарантирующий отсутствие лазеек для чужих спецслужб.

Должен признать, риск того, что в ПО имеются закладки, позволяющие его отключить удаленнно, конечно, не нулевой, но все же не слишком большой. Маловероятно, такой сценарий может быть задействован только один раз и его реализация будет означать начало глобальной войны. А в конце я хочу привести два более вероятных сценария с менее масштабными оследствиями: отказ от поддержки и обновлений и отзыв лицензий.

Отказ в поддержке и обновлении решений выглядит, как наиболее вероятный вариант поддержки санкций со стороны ИТ-вендоров. Продажи подобные шаги, конечно, снизят, но если их применять только в отношении отдельных компаний, то и потери будут не критичны. Вот только, что в этом случае предполагается делать с такими программами, как Software Assurance или Подписки, которые Microsoft очень активно продавал крупным компаниям.

Может быть, я ошибаюсь, и речь идет всего лишь об отзыве лицензий на программное обеспечение. Интересно, а предусмотрен ли в этом случае возврат средств уплаченных за лицензии и особенно за консалтинг? Что там госзакупки предусматривают за неисполнение обязательств? Штрафы и недопущение к дальнешим торгам? Жалко, что вендоры напрямую далеко не всегда работают с такими заказчиками. Совсем недавно у нас государственные учреждения и крупные компании работали на пиратском ПО. Я думаю, что многие охотно вернутся к этой практике. В этом случае все последствия сведутся к тому, что более 10 лет успешного лоббирования лицензионного ПО, конечно, пропадут и скорее всего вернутся не скоро.  

Дополнительные материалы

Комментарии (9)

  • Аватар

    Перерва Станислав [paranoya], 30 апреля 2014, 16:13

    1

    Не факт, что Газета.Ру имеет журналистов, которые поняли правильно комментарий, отсюда "отключения" ПО.

    Если, вдруг, обнаружатся возможности по удалённому отключению работоспособности ПО, то все американские фирмы по производству ПО пойдут курить в сторонку, ибо моментально все откажутся от их продуктов.

    Для того, чтобы отключить какой-нибудь Oracle database или MS SQL, нужно иметь доступ к этому ПО снаружи, а этого, зачастую, не существует.

    Открытый код ещё не значит, что без закладок.

    На самом деле, факт закладок в наиболее распространённом ПО приведёт ко всеобщей параноий и к переходу на арифмометры, счёты и локальные сети типа "флешканет". :)

    Чтобы усилить эффект от статьи предложу:

    Существующие компиляторы так-же являются ПО, которое может включать закладки в компилируемый код. Поэтому нужно будет написать свой компилятор. А так как компилятор компилирует под ОС, а ОС - это ПО, то нужна своя ОС.

    Прямо так и вижу, каждая фирма нанимает кучу программистов, которые пишут свою ОС, компилятор, сопуствующее ПО и необходимое ПО. Спрос на программистов вырастает в разы, зарплаты увеличиваются, в ВУЗах вводят дополнительные специальности связанные с разработкой ПО. Студенты уже не идут в менеджеры, а идут в программисты. Россия выходит на первое место по производству ПО. Через пять лет создаётся государственный научно-исследовательский институт по ПО. Через десять лет Россия строит первый нейроно-квантовый компьютер маштаба всей страны и запускает на нём полностью самообучаемую интеллектуальную ОС, которая управляет всеми аспектами жизни в России. Госаппарат стремительно сокращается до рзамеров одного местного контроллёра на один населённый пункт. Введённая двумя годами ранее электронная валюта взамен рубля называется "элру", сокращение от ЭЛектронного РУбля. Страна переходит на пластиковые биометрические паспорта, совмещающие в себе все функции ныне существующих документов (паспорт, водительские права, мед. и  пенсионные страховые документы, свидетельства о рождении, больниченые карты... и, конечно же, кошелёк).

    За счёт сокращения госаппарата коррупция практически исчезает и у правительства оказывается на руках очень много денег, которые нужно вкладывать и они вкладываются в развитие науки, техники. Через двенадцать лет объявлется о старте проекта "Жилой Марс" и через девять лет к Марсу летит первый в мире космический корабль с поселенцами.

    Все эти достижения оказывают влияния и на геополитику. Все старания США по ограничению взаимодействия мира с Россией оказывают негативное влияние на весь мир. Отключенная от газа Европа еле сводит концы с концами и ей не помогают все зелёные и экономичные технологии. На своём горбу Европу тянет Германия. В бывших социаличтических странах становится популярной идея присоединения к России.

    Пока ещё более-менее неплохо живёт Великобритания. Китай уже не ориентируется на Запад и все свои достижения по тихоньку ворует у России, что даёт ему ещё больший рывок в развитии. Индия, видя такое превосходство России, идёт на любые уступки по контролю за ПО со стороны России, лишь бы выжить в этом мире.

    По мере продвижения всё больше стран отворачивааются от США и вскоре в НАТО остаётся только один член - США.

    Всё это не даётся так просто и самим США, вскоре у них вспыхивает второй "Чёрный вторник", а за ним следует и вторая "Великая депрессия" из которой США выходит разделённая на два государства. Главным штатом новой южной страны становится штат Техас с временной столицей в Остине. А главой новой северной страны становиться штат Нью-Йорк, со столицей в городе Нью-Йорк.

    Доллар стремительно теряет свою валютную значимость вместе с Евро.

    Все страны хотят работать с Россией и поэтому принимают "элру" как вторую международную валюту, первой валютой становится китайский юань, но не на долго, через год "элру" становится первым и так остаётся.

    :)

    • Аватар

      [Edward], 02 мая 2014, 13:56

      0
      Отличный набросок для фантастического романа ))
    • Аватар

      Oleg Kondor [СКС - Монтаж], 03 мая 2014, 17:03

      0
      Есть в Вашем плане одна ошибка. " Студенты уже не идут в менеджеры, а идут в программисты." а там МАТАН, на этом их обучение заканчивается))))
    • Аватар

      Яковлев Андрей Михайлович [swtws], 04 мая 2014, 06:56

      0
      В шутке доля шутки. Больше 10 лет назад MS пришлось признать, что линкер вставляет в код свою серийку и слепок железа. А вендоры не дураки, само собой, потеряешь рынок - назад тебя уже не пустят.
  • Аватар

    Пустовит Андрей [apustovit], 30 апреля 2014, 17:00

    0
    Забыли еще свой язык программирования на основе 1С, чтобы было много операторов на русском языке. Чтобы нельзя было на аутсорс отдавать в Индию )))
  • Аватар

    [Alexandrov], 01 мая 2014, 14:52

    -1

    смена уважения к человеку на презрение, и все разумные вещи написанные в статье перечеркиваются, одной фразой :
    "есть возможность полностью заблокировать работу ИТ-систем по довольно незначительному поводу – очень опасный сигнал всему миру."

    Вам реально там в Москве кажеться повод НЕЗНАЧИТЕЛЬНЫМ??!!!

  • Аватар

    [Edward], 02 мая 2014, 13:55

    0

    Валерий, а чему Вы удивляетесь?
    http://www.opennet.ru/opennews/art.shtml?num=39619
    Я уверен, что подобные бэкдоры есть абсолютно во всех железках, не важно каких вендоров, "наших" или "ваших".

    Тоже самое касается и ПО.
    да файрволы не помогут в этом случае (в большинстве случаев), если приложению разрешен доступ наружу, за обновлениями например. Да ладно, что уж там, инструкции вендор может пропихнуть в обновлениях и через контролируемый вами сервер обновлений.

    Касательно, кто более страшен для вашего бизнеса ФСБ или ФБР.
    Размышляя получается, что опасаться ФБР(АНБ и т.д.) можно только в случае, если Ваше предприятие разрабатывает какие то стратегически важные продукты, ноу-хау и т.д.
    А с нашей стороны Вы можете интересовать не только ФСБ ))

    Мое мнение: на первом месте решения с открытым кодом, на втором самописные (если позволяет бюджет). И да, выкладывайте самописные в открытый доступ ))

  • Аватар

    [stps], 28 сентября 2018, 12:58

    0
    Еще возможна "утечка" информации об уязвимостях необновленных версий, на какой-нибудь дохлый хакерский сайтик. Можно даже не связанная с фирмой.