Российский софт оказался «дырявым» и небезопасным. Разработчики не успевают выпускать патчи – не хватает денег и опыта

Разработчики российского ПО не успевают отрабатывать инциденты безопасности, рискуя лишиться сертификата безопасности ФСТЭК и потерять доступ к госзакупкам. Сроки закрытия уязвимостей постоянно срываются. Корень зла участники рынка видят в неопытности российских разработчиков по части латания «дыр», недостаточном финансировании и в резко возросшем спросе на отечественное ПО, к которому разработчики оказались не готовы.

Опасный российский софт

Российских разработчиков ПО поймали на постоянном нарушении требований, выдвигаемых Федеральной службой по техническому и экспортному контролю России (ФСТЭК) к безопасности их софта. Как пишет «Коммерсант», в Службе указывают на «недостаточную эффективность поддержки ПО», вследствие чего сроки устранения найденных в программах уязвимостей постоянно срываются.

«Службы технической поддержки российских вендоров должны реагировать молниеносно на требования заказчиков, но все чаще и чаще возникает ситуация, когда обратной связи по средствам защиты недостаточно»,— говорил заместитель главы ФСТЭК Виталий Лютиков.

В коде российского ПО все чаще скрываются неприятные сюрпризы

У ФСТЭК есть особый регламент внесения сведений о «дырах» в программном обеспечении в специальный «Банк угроз и безопасности», который курируют эксперты Службы. Российским разработчикам дается от 30 до 60 дней на устранение той или иной бреши с момента появления информации о ней в том реестре.

Указанное требование ФСТЭК российскими разработчиками регулярно не выполняется, что может обернуться для них весьма неприятными последствиями.

Лень и медлительность до добра не доведут

ФСТЭК может приостановить действие выданного той или иной программе сертификата безопасности или вовсе отозвать его, сообщил изданию глава совета директоров «Базальт СПО» Алексей Смирнов. По его словам, такое решение ФСТЭК повлечет отлучение компании – разработчика от госзакупок, поскольку наличие сертификата безопасности – одно из самых часто встречающихся в тендерах требований к российскому софту.

Кто виноват

Российские разработчики ПО очень быстро раскрыли причину происходящего. Так, гендиректор компании Factory5 (отечественный разработчик комплексных решений для управления активами и интеллектуального анализа больших данных промышленных компаний) Денис Касимов заявил изданию, что российские компании зачастую отрабатывают инциденты безопасности вдвое дольше в сравнении с зарубежными. Он объяснил это резко возросшим спросом на российское вследствие ухода иностранных компаний из страны.

Это одно из многочисленных последствий 24 февраля 2022. Касимов уточнил, что рост спроса на российский софт повлек за собой и увеличение нагрузки на специалистов технической поддержки.

На чрезмерно быстрый рост востребованности отечественного ПО в России посетовала и директор по разработке ООО «Аурига» Елена Баранова. Она указала «Коммерсанту», что компании оказались не готовы «к резкому увеличению запросов по обработке инцидентов после ухода западных поставщиков».

Некоторым компаниям, возможно, не хватает специалистов, которые бы занимались отработкой инцидентов безопасности, а у кого-то на это банально нет денег, сообщила изданию Елена Баранова. «Для сокращения времени на обработку запроса требуются отдельные сервисные команды, что для российских разработчиков может оказаться слишком дорого», – сказала она.

Другие представители ИТ-сферы пеняют на неопытность российских разработчиков ПО в вопросах отработки инцидентов безопасности на фоне зарубежных компаний. Об этом изданию сказала, в частности, руководитель QA-отдела SimbirSoft Марина Тарасова – по ее словам, российские разработчики «не всегда обладают необходимой экспертизой и ресурсами для своевременной отработки инцидентов».

Угроза более чем реальна

Получить сертификат безопасности ФСТЭК не очень просто – гораздо проще лишиться его, иногда без возможности быстрого восстановления. Например, весной 2022 г. ФСТЭК отозвала свои сертификаты, выданные Oracle, Microsoft, IBM и целому ряду других иностранных компаний, в особенности американских, дружно покинувших российский рынок. Причиной отзыва стало прекращение с их стороны технической поддержки на территории России.

Российские компании тоже могут лишиться такого сертификата – как сообщал CNews, в конце сентября 2023 г. это случилось с компанией «Доктор веб», разработчиком средств безопасности линейки Dr.Web. Причина случившегося доподлинно не установлена – сертификат был лишь приостановлен, но не отозван, но все ограничения были сняты спустя всего несколько часов после введения.