Роман Мылицын, директор по инновациям ГК Astra Linux, в интервью порталу «Безопасность пользователей сети Интернет» (www.safe-surf.ru) рассказал о ключевых аспектах реализации требований информационной безопасности и направлениях развития индустриальной экосистемы операционной системы Astra Linux.
Работы над созданием Astra Linux начались в 2008 году. 13 лет развития – это много или мало для операционной системы? Насколько зрелым сегодня является продукт компании?
Прежде всего отмечу, что основные усилия компании изначально были направлены на обеспечение безопасности программного обеспечения, из которого формируется дистрибутив Linux. То есть двенадцать лет назад мы видели своей главной задачей предоставление пользователям качественного дистрибутива, обладающего собственными средствами защиты информации. Именно инструменты защиты информации для дистрибутива на базе Linux мы развивали в первую очередь. Впоследствии, когда количество пользователей нашего продукта выросло, мы сфокусировались на совершенствовании самой операционной системы, стали дорабатывать и развивать графический интерфейс, создавать собственные утилиты, и так далее. Таким образом, если мы говорим о тринадцати годах развития подсистемы безопасности (что изначально было ключевой особенностью Astra Linux), то эта подсистема является очень зрелой. Аналогов ей на рынке практически нет. Сама же операционная система тоже прогрессировала все это время, в том числе благодаря усилиям представителей мировой экосистемы Linux. Мы тоже последовательно улучшали Astra Linux все это время.
Считаю, что в целом наша ОС является современным и хорошо развитым продуктом, востребованным на рынке. Конечно, есть еще, что стоит улучшить, доработать в нашей системе. С точки зрения домашнего пользователя, наверное, система нуждается в дополнительных усовершенствованиях, например, в плане поддержки каких-то самых современных игр. Но в восприятии нашего целевого потребителя (а это органы государственной власти, госорганизации, объекты критической информационной инфраструктуры, госкорпорации, у которых свои критерии и потребности в поддержке информационных систем, специфические требования по защите информации, развитию графических средств) наш продукт является очень зрелым. И мы видим, как органы государственной власти и их подведомственные учреждения в массовом порядке начинают успешно применять Astra Linux.
Госкорпорации также предпринимают шаги в этом направлении. В конце прошлого года ключевая системообразующая компания страны «Росатом» объявила о планомерном переводе своей масштабной ИТ-инфраструктуры на импортонезависимые программно-аппаратные решения. В рамках трехлетнего договора нашу операционную систему вкупе с техподдержкой планируется поставить в 87 территориально распределенных дочерних организаций, каждая из которых имеет свою специфику и огромный перечень сценариев применения отечественной ОС: производственные процессы, документооборот, взаимодействие с ГИС и пр. Безусловно, проект станет важнейшим этапом для импортозамещения в России. Я считаю, это явный показатель состоятельности продукта и его соответствия бизнес-требованиям такого уровня структур.
В каком возрасте «Astra Linux» достигла достаточной степени зрелости?
Примерно к 2016 году можно было сказать, что продукт действительно стал зрелым.
Главным стимулом для создания и развития Astra Linux стала государственная политика импортозамещения? Или были другие важные мотивы?
Когда начиналась разработка нашего дистрибутива, практически никто не говорил об импортозамещении, тем более не существовало централизованной политики в этом направлении. Поэтому наши мотивы были иными. Это запросы наших потребителей – органов власти и специалистов, ответственных за защиту информации на местах. Наличие этих запросов стало для нас основным стимулом к разработке. Приоритетом, как уже говорилось, была подсистема безопасности. Потому что, например, реализовать какие-то сложные сценарии по разграничению прав доступа на существовавших в тот момент решениях было практически невозможно. Я говорю о тех сценариях, где необходимо обеспечить обработку информации нескольких уровней секретности. Даже теперь, если мы возьмем компьютеры с обычными Linux или Windows и попробуем на их базе создать внутреннюю корпоративную инфраструктуру, то убедимся в отсутствии готовых (из коробки) решений, позволяющих автоматически разграничить доступ к информации разных уровней секретности. Как раз нехватка решений, позволяющих реализовать такие сценарии разграничения, а также высокая потребность в них у многих заказчиков, изначально стали основными стимулами для развития ОС Astra Linux. Поэтому к моменту запуска программы импортозамещения, которая и сейчас является драйвером рынка отечественных ИT-решений, мы уже имели вполне конкурентоспособный продукт.
Для любой ОС важна экосистема. Это и совместимое ПО, и оборудование, и система технической поддержки клиентов. Каковы масштабы экосистемы Astra Linux на сегодняшний день?
Действительно, наличие экосистемы – важный критерий ее популярности и успешности применения. Создание операционной системы как таковой, без целостного окружения, не дает возможности использовать ее эффективно. Если у вас нет совместимого оборудования и ПО, то такая операционная система сама по себе никому не нужна. Наверное, поворотным моментом в формировании собственной экосистемы Astra Linux стал 2016 год, когда у нас обозначилась четкая позиция по созданию специального подразделения взаимодействия с технологическими партнерами, и была запущена специальная программа Ready for Astra Linux. Началась системная работа по обеспечению тестирования на совместимость как программного, так и аппаратного обеспечения. Стала формироваться наша экосистема.
Мы продолжаем из года в год проводить исследования, подписывать протоколы совместимости с различными продуктами. Сейчас экосистема Astra Linux включает в себя более 1300 совместимых программных и аппаратных решений – прикладного и офисного ПО, антивирусов, принтеров, ноутбуков, планшетов и так далее... Поэтому, рекомендуя клиенту переход на Astra Linux, мы уверены, что у него не будет проблем, связанных с поиском ПО и оборудования, корректно работающих под ее управлением. Кстати, на нашем официальном сайте есть специальный раздел «Совместимое ПО и оборудование» – это своего рода каталог продуктов, успешно прошедших тестовые испытания и официально получивших подтверждающий сертификат Ready for Astra Linux. Там заказчики могут выбрать из очень внушительного списка подходящие им решения, которые стопроцентно поддерживаются Astra Linux.
Кроме того, хотелось бы отметить, что мы делаем акцент на совместимости с вычислительной техникой и ПО, имеющими статус «произведенных на территории Российской Федерации». И это, на мой взгляд, очень важно, потому что таким образом мы, вендоры, помогаем друг другу развивать рынок российских решений и формируем отечественный программно-аппаратный стек. Впрочем, мы активно сотрудничаем и с иностранными производителями, обеспечивая совместимость Astra Linux с их продуктами. Для формирования такой полноценной экосистемы (и в целом инфраструктуры взаимодействия с партнерами) потребовалось около пяти лет. И сейчас уже можно сказать, что технологическая кооперация между производителем ОС Astra Linux и производителями вычислительной техники и ПО выстроена системно и на высоком уровне. Уровень этой отраслевой кооперации достаточно высок.
В чем, на ваш взгляд, была главная сложность при формировании экосистемы Astra Linux? И есть ли у нее российская специфика, в чем она заключается?
На самом деле российской специфики здесь нет. Особенности формирования экосистем для ОС везде одинаковые – в любом государстве, в любой точке мира. Если разработчик может доказать, что его операционной системой реально пользуются и на нее есть спрос, то только тогда для такой ОС появляется возможность формирования экосистемы и инфраструктуры для создания совместных продуктов и решений. Если мы хотим, чтобы какой-то производитель что-то разработал под Astra Linux, мы прежде всего должны убедить его в том, что у нас есть достаточный объем рынка и нашу ОС выбирают пользователи. Коммерческие компании, разрабатывающие прикладные решения, ПО, технику, оценивают именно это – наличие реальных потребителей и их количество. Поэтому главная сложность при создании экосистемы была в том, чтобы убедить разработчиков в целесообразности создания совместимых с Astra Linux антивирусных средств, средств защиты информации и других технологических решений.
С этой задачей мы справились. Подтвердили практическими кейсами и спрос, и возможность масштабного применения в различных сценариях. Теперь на нашем рынке даже есть первая система автоматизированного проектирования, которая разрабатывалась и тестировалась именно с оглядкой на ОС Astra Linux. Но это произошло только после того, как реальные потребители нашей ОС дали понять, что такая система автоматизированного проектирования им необходима.
Какие российские продукты информационной безопасности совместимы с Astra Linux?
Решение вопросов информационной безопасности внутри ОС не закрывает всех проблем по защите информационных ресурсов предприятия. Кроме защиты самой ОС требуется обезопасить каналы связи, поставить антивирусный заслон, предотвратить утечку информации, и так далее. Поэтому для Astra Linux сформировался большой набор продуктов, реализующих дополнительные функции защиты информации. Это средства защиты каналов связи (ViPNet Client, «Континент-АП»), криптографические средства (КриптоПро CSP, ViPNet CSP), средства двухфакторной аутентификации («Рутокен», JaCarta)…
Таких средств для нашей ОС существует большое количество. Практически все российские производители средств информационной безопасности тестируют свои продукты на совместимость и интегрируют их с Astra Linux.
Как организованы техническая поддержка клиентов и взаимодействие с партнерами? Расскажите подробнее о программе Ready for Astra Linux.
У нас все достаточно просто, в отличие от некоторых других вендоров, которые принимают чужой продукт на тестирование лишь за определенную плату. Мы это делаем бесплатно. Нужно зайти на наш сайт, где в специальном разделе указаны пять шагов, которые необходимо совершить, чтобы стать участником программы. Достаточно просто написать нам о желании протестировать свою продукцию на совместимость с Astra Linux. Мы предложим несколько вариантов.
Это может быть «самотестирование», так называемый режим self certificated, когда разработчик берет на себя единоличную ответственность, что его продукт полностью совместим с Astra Linux. В этом случае выдается соответствующий сертификат о том, что разработчик самостоятельно все проверил и подтверждает, что его продукт полностью совместим с нашей операционной системой.
Либо проводится двусторонняя сертификация на совместимость, когда продукт тестируют наши инженеры и специалисты разработчика. Испытывают в том числе по нашей методике, учитывающей различные сценарии использования продукта. По результатам такого тестирования составляется протокол, где указывается что было протестировано, какой функционал подвергся испытаниям, потребовалось ли при этом произвести какие-то дополнительные настройки или нет. Такой протокол сохраняется у обеих сторон. Дополнительно выдается сертификат на совместимость для конкретного прикладного решения.
Таким образом, разработчик данного решения всегда может объявить на рынке о наличии сертификата совместимости с Astra Linux, а при необходимости предъявить протокол, где указаны все детали тестирования. Это серьезно помогает клиентам при принятии решения и добавляет уверенности в том, что нужный им набор продуктов разных производителей при внедрении действительно будет корректно функционировать. Более того, все вендоры, объявившие о совместимости, уже не смогут отказать заказчику в технической поддержке, аргументируя свое решение тем, что его продукт был установлен на неподдерживаемую ОС.
Сертификат – это гарантия сопровождения в рамках обязательств производителей как операционной системы, так и сопряженных с ней решений – оборудования или ПО.
Достаточно ли в стране специалистов для развития экосистемы? Как ведется подготовка кадров для работы с Astra Linux?
Нехватка специалистов все время ощущается в ИТ-отрасли, во всех ее сегментах, будь это программное обеспечение или что-то другое. Существует и определенный дефицит кадров для работы с Astra Linux. Это касается как нашей компании, с точки зрения разработки, так и наших партнеров – им тоже требуются хорошие специалисты для разработки их продуктов. Мы работаем над этим.
Во-первых, готовим и обновляем обучающие материалы, в том числе для разработчиков. На нашем портале всегда можно скачать документацию по разработке ПО для Astra Linux.
Одновременно ведется работа по созданию образовательных программ и курсов. Эти материалы передаются вузам, учебным центрам и даже школам для организации обучения. Пишутся вопросы для школьных олимпиад, и так далее.
В результате сегодня можем говорить о создании наиболее крупной в России системы обучения специалистов и пользователей по отечественному продукту, включающей в себя порядка 200 вузов и сотни коммерческих учебных центров по всей стране. Эти центры укомплектованы квалифицированными преподавателями и могут централизованно организовать обучение для сотрудников любой организации в любых регионах страны.
Мы полагаем, что количество обученных специалистов, умеющих пользоваться, администрировать и разрабатывать программные продукты под ОС Astra Linux будет стремительно расти. Через два-три года мы увидим, что большинство технических специалистов в стране умеют, готовы и желают работать с нашей операционной системой.
Расскажите о ключевых аспектах реализации требований по безопасности для главных продуктов компании: системы специального назначения Astra Linux Special Edition и системы общего назначения Astra Linux Common Edition.
В плане безопасности мы сфокусировали работу на двух основных направлениях. Первое – это оперативное и своевременное устранение уязвимостей в программном обеспечении, которое поставляется в составе ОС. Второе, как мы и говорили вначале, это разработка собственных средств безопасности, которые позволяли бы снизить риски, связанные с эксплуатацией выявляемых уязвимостей.
Вообще, любая ОС в целом – это некий баланс между ее функциональностью и ее удобством, гибкостью. Если мы говорим, что основной задачей будет защита информации, то конечно наши потребители будут выбирать версию нашей ОС Astra Linux Special Edition, которая включает очень большой набор сертифицированных средств защиты информации. Если же основная задача заключается в обработке информации, не содержащей в себе конфиденциальных сведений, в том числе составляющих государственную тайну, то потребители будут выбирать ОС Astra Linux Common Edition, как более гибкую. В настоящий момент ситуация выглядит таким образом.
Astra Linux является официальным российским производным дистрибутивом от Debian GNU/Linux. Сведениям из Википедии не всегда стоит доверять, но там сообщается, что «сначала над проектом Debian работала небольшая сплоченная группа хакеров мира свободного ПО». Отсюда вопрос: возможно ли существование скрытых угроз для информации пользователей Astra Linux, обусловленных связкой с Debian?
Безусловно, всегда есть риск, что в свободном программном обеспечении будут найдены ошибки или уязвимости. Поэтому система безопасности нашей ОС построена таким образом, что ее основные компоненты, отвечающие за разграничение доступа, целостность компонентов ОС и ее аудит, являются более доверенными, чем все остальное ПО в системе. И сейчас выявление уязвимостей или проблем с программным обеспечением, которое было написано не нами, а было нами заимствовано, позволяет снизить эти угрозы до вполне приемлемого уровня. Но мы понимаем эти угрозы, не сбрасываем их со счетов, и умеем с ними работать, снижая значимость соответствующих рисков.
Как в компании выстроен процесс безопасной разработки?
Начнем с того, что в ГК Astra Linux полностью выполняются требования ГОСТ по безопасной разработке – это изолированная среда разработки, а также интеграция средств статического и динамического анализа на уязвимости непосредственно в среду разработки.
В компании создан так называемый стенд доверия, задачей которого является непрерывный процесс поиска уязвимостей в ПО. На каждую из выявленных уязвимостей составляется паспорт, определяется какой функционал может быть затронут уязвимостью, каким образом можно устранить данную уязвимость. Вся эта информация направляется в банк данных ФСТЭК России. Регулятор публикует эту информацию, и каждый потребитель может увидеть уязвимости, выявленные в операционной системе ранее, узнать в каких из обновлений эти уязвимости устранены.
И таким образом функционирует весь процесс безопасной разработки. То есть мы реализовали и архитектурное решение по встраиванию средств защиты информации в ОС, и процессный подход при поиске уязвимостей. Осуществляются как оперативное устранение уязвимостей, так и извещение пользователей о необходимости обновления.
На главной странице сайта Astra Linux есть возможность сообщить об уязвимости системы. Как часто к вам приходят такие сообщения? Какие уязвимости вскрываются? Насколько они опасны?
Ежемесячно мы получаем несколько таких сообщений. Но пока о каких-то серьезных уязвимостях в них не сообщалось. Мы планируем развивать и рекламировать этот ресурс для того, чтобы потребители и исследователи могли направлять нам действительно полезную информацию. А сейчас в сообщениях, к сожалению, больше запросов по каким-то техническим моментам, вопросов, связанных с работой системы безопасности Astra Linux.
В России уже созданы десятки дистрибутивов ОС на базе Linux. Усилия явно размываются, ресурсы тратятся на создание множества экосистем. Сколько отечественных ОС на базе Linux должно остаться на рынке? Назовите оптимальное число.
Отвечать на вопрос о том, сколько отечественных ОС должно остаться на рынке – все-таки не в моей компетенции. Но действительно в России созданы десятки дистрибутивов ОС на базе Linux. Ведь создание такого дистрибутива – достаточно простая задача. Мы все помним, например, историю Дениса Попова из Нижнего Тагила, школьника, создавшего свой дистрибутив Linux. Создать – несложно. Трудно обеспечить сопровождение и развитие дистрибутива на протяжении длительного времени, а также найти такие особенности в своих разработках, которые позволят потребителям заинтересоваться и купить этот продукт. Еще нужно убедить других разработчиков в целесообразности создания набора решений для данной ОС, в формировании для нее большой устойчивой экосистемы. Вот именно это требует значительных ресурсов.
Поэтому усилия в стране если и размываются, то главным образом при создании дистрибутивов. А ресурсы, необходимые для создания реальных экосистем ОС на базе Linux, напротив, концентрируются. Сейчас мы на практике видим, что какой-нибудь программный продукт разрабатывается под две-три версии ОС на базе Linux, не более того. Есть, конечно, исключения. Некоторые производители создают программы для почти десятка ОС на базе Linux. Но таких уже мало. В основном все ориентируются на две-четыре ОС. Потому что поддерживать свой продукт для десятка дистрибутивов практически невозможно.
Полагаю, оптимальное число Linux-подобных ОС определит сам рынок, учитывая потребности заказчиков и возможности разработчиков по созданию экосистем для своих ОС.
Источник: www.safe-surf.ru