Российский софт заинтересовал американцев
Специалисты аналитического центра США из Совета по международным отношениям (Council on Foreign Relations, CFR) выступили с призывом проверить надежность российской операционной системы Astra Linux, разрабатываемой «Группой Астра». Информация об этом опубликована в статье «Россия становится все более изолированной в цифровом плане и зависимой от Китая» (Russia’s Becoming More Digitally Isolated – and Dependent on China), размещенной на сайте CFR.
Эксперты CFR призывают протестировать надежность Astra Linux силами участников мирового сообщества свободного программного обеспечения. Российская ОС, как видно из названия, базируется на ядре Linux. CNews писал, что в начале августа 2024 г. она обновилась до версии 1.8 и перешла на ядра Linux линейки 6.х.
Также в CFR считают, что протестировать безопасность Astra Linux следует еще и специалистам спецслужб. Первым на это обратил внимание «Хабр».
Отметим, что Astra Linux – это самая известная и самая распространенная в России отечественная операционная система. В 2021 г. компания «Русбитех-Астра» (непосредственный разработчик ОС, входит в «Группу Астра») заняла 69% рынка разработчиков ОС против 43% в 2020 г., обогнав по темпам роста конкурентов – «Базальт СПО» («Альт»), «Ред софт» («Ред ОС»), НТЦ ИТ РОСА (РОСА). В 2024 г. доля Astra Linux, по версии Strategy Partners, выросла до 76%.
Что американцам известно про Astra Linux
CFR – это, по ее же собственному заверению, независимая организация. Но важно учитывать тот факт, что в ее руководстве есть не только бизнесмены, но также люди, которые вполне могли быть связаны с военной сферой. Например, совет директоров CFR включает в себя бывших журналистов и разведчиков. Компанию им составляет и бывший финдиректор холдинга Alphabet, в который входят Google, YouTube и ряд других компаний.
«Аналитики в Соединенных Штатах и ??странах-партнерах также должны использовать разведданные с открытым исходным кодом, чтобы понять, как Россия внедряет такие технологии, как операционная система Astra Linux. Astra Linux широко используется в российских военных и разведывательных системах, что, возможно, создает уязвимости, которые могут быть использованы в больших масштабах», – говорится в статье CFR.
В статье также отмечено, что Astra Linux – это «настраиваемая и (предположительно) защищенная версия операционной системы с открытым исходным кодом».
«Переключившись на китайские и отечественные продукты, Россия дополнительно теряет доступ к талантам в области кибербезопасности в Соединенных Штатах, Западной Европе, Японии и других странах. Возможно, что у разработчиков Astra Linux меньше возможностей для более широкой базы людей, чтобы тестировать и защищать свой код. Это могут быть области, в которых Соединенные Штаты и их союзники могут использовать преимущество в киберпространстве», – отмечено в документе.
В CFR также явно сомневаются в технологической независимости России от иностранных государств. «Хотя Кремль может приветствовать свою растущую технологическую изоляцию и создание реестров операционных систем и программного обеспечения, его потребность в китайских технологиях означает что угодно, но только не технологическую независимость», – уверяют авторы статьи.
Что говорят разработчики Astra Linux
Представители «Группы Астра» заверили CNews, что безопасность Astra Linux – ключевой приоритет. «"Группа Астра" располагает достаточными ресурсами для тестирования кода, оперативного устранения уязвимостей, уделяет большое внимание таким технологиям, как мандатное разграничение доступа и контроль целостности, замкнутая программная среда и другим средствам защиты. Мы плотно взаимодействуем с центром безопасности ядра Linux Института системного программирования РАН. Год назад мы запустили программу Bug Bounty, которая позволяет выявлять и оперативно устранять слабые места в наших средствах защиты информации».
В компании также отметили, что акцент на кибербезопасности «Группа Астра» будет лишь усиливать. «В текущих реалиях, когда число кибератак на российскую критическую инфраструктуру кратно возросло, мы продолжим развивать и усиливать наши технологии защиты, укреплять внутреннюю инфраструктуру безопасной разработки, а также инструментарий проверки и анализа кода», – заверили CNews представители «Группы Астра», добавив, что на фоне нынешней международной обстановки «также усилены меры по выявлению вредоносных включений в программное обеспечение, проводится дополнительный антивирусный контроль с применением нескольких специализированных средств».
Отечественные власти тоже ужесточают требования для отечественных разработчиков ПО в плане его безопасности. «Российские регуляторы, осознавая важность информационной безопасности и технологического суверенитета, накладывают достаточно жесткие требования для разработчиков средств защиты информации. В частности, это касается процессов разработки безопасного программного обеспечения и оперативного устранения уязвимостей», – сказали CNews в «Группе Астра».
Поделиться