OS DAY 2020: безопасность ОС гарантирует качество их разработки

Ежегодная конференция разработчиков операционных систем OS DAY 2020 состоялась в этом году в новом формате – онлайн. Такая форма проведения мероприятия была продиктована сложившейся ситуацией с ростом заболеваемости коронавирусом. Несмотря на это, конференция, как и прежде, стала заметным событием в сфере IT, собрав у экранов компьютеров более тысячи участников – представителей коммерческих компаний и научно-исследовательских институтов. Организаторами конференции выступили ИСП РАН, НИЦ "Институт имени Н.Е. Жуковского", а также компании DZ Systems, "Лаборатория Касперского", "Базальт СПО", РЕД СОФТ, "РусБИТех-Астра", "Криптософт", "Открытая мобильная платформа".

Одной из важнейших тем, обсуждавшихся участниками онлайн-форума, стала безопасность операционных систем для встраиваемого оборудования. "Сегодня технологии развиваются с огромной скоростью, происходит оцифровывание всех сфер нашей жизни, – заметил в своем выступлении на открытии конференции Роман Аляутдин, директор департамента компании "Открытая Мобильная Платформа", – на первое место в операционных системах вышла безопасность, встав в один ряд с функциональными возможностями и характеристиками".

И в самом деле, расширение спектра применения встраиваемого оборудования и развитие концепции Интернета вещей ставят перед разработчиками операционного обеспечения ранее не рассматривавшиеся задачи, создают новые требования в отношении безопасности и взломоустойчивости софта, длительности жизненного цикла операционных систем, созданных для управления оборудованием такого типа. Как отметил Дмитрий Завалишин, один из основателей OS DAY, генеральный директор холдинга DZ Systems, это особенно важно, если речь идет о программном обеспечении для индустриального сектора. В этом случае ответственность программиста особенно высока, равно как и возможная цена его ошибки.

Гарантией безопасности операционных систем для встроенного оборудования становится, таким образом, не дополнительное ПО, обеспечивающее их безопасное функционирование, а качество программного кода. "В первую очередь, нужно говорить о том, насколько защищена сама операционная система, во вторую – какие меры защиты она предоставляет для информационных систем, построенных на ее основе, – сказал Андрей Духвалов, руководитель управления перспективных технологий "Лаборатории Касперского". – Учитывая, что привычные средства защиты, например, антивирус, не поставишь на микроконтроллер, управляющий, скажем, "умным" домом, делаем вывод: и первая, и вторая части задачи защиты должны быть изначально построены на архитектурных свойствах самой операционной системы. Другими словами, как сама ОС, так и устройства, построенные на ее основе, должны быть надежны, устойчивы и безопасны "by design", то есть на основе своей архитектуры".

Обсуждая вопросы разработки встроенных операционных систем, участники конференции не могли не коснуться такой тематики, как использование Open Source. Сегодня значительное число компаний, разрабатывающих программное обеспечение, отказывается от создания проприетарных программ в пользу открытого кода. "Россия движется к более активному использованию Open Source-технологий в крупных проектах, как коммерческих, так и государственных, – отметил Дмитрий Завалишин. – Хочется надеяться, это усилит наши позиции в соответствующих сообществах. Фактически участие в работе над проектами Open Source, как правило, происходит в рамках коммерческих заказов, которые требуют того или иного развития открытого кода".

"Как и любое ПО, особенно системное, операционная система должна быть свободной и открытой, – сказал Антон Бондарев, генеральный директор компании Embox. – Отечественные компании и разработчики должны влиять на ее развитие, адаптировать ее к конкретным условиям, в том числе – осуществлять специализированные доработки, касающиеся безопасности и надежности, оказывать поддержку и так далее. Скорее всего, это должно быть отражено в лицензии, которая должна позволять закрывать конечную реализацию устройств или критические разделы системы. Разработка собственной закрытой ОС будет либо обходиться очень дорого, либо существенно уступать мировым аналогам, либо и то и другое".

По мнению старшего программного архитектора "Лаборатории Касперского" Игоря Сорокина, разработка операционных систем с использованием открытого кода не только выгоднее, но и безопаснее. "Открытый программный код потенциально будет противостоять атакам с целью нарушения его безопасности более успешно, чем программный код, которые не придерживается этих принципов, – подчеркнул он. – Это происходит потому, что открытый исходный код исследуют и анализируют специалисты всего сообщества. Очевидно, что возможности сообщества гораздо больше, чем возможности отдельной, пусть и крупной компании, что приведет к обнаружению "узких" мест в таком коде быстрее, чем в коде, доступ к которому имеют только инженеры компании. Конечно, остается такой риск, как возможность глубоко анализа кода хакерами. Однако если открытый исходный код реализации типовых решений разработан с таким же качеством, что и коммерческий "закрытый" – разработана система тестирования, проведен фаззинг, пентестинг и так далее, – то риски минимальны".

"Стопроцентной безопасности не бывает, – резюмировал Арутюн Аветисян, директор Института системного программирования им. В.П. Иванникова РАН. – Но внедрение лучших практик в процессы проектирования, разработки и верификации ОС позволяет повысить уровень доверия к их безопасности и взломоустойчивости". Он также отметил, что значимую роль в этом вопросе играют контроль и жесткие требования в отношении информационной безопасности со стороны российских регуляторов. И очень важно, что у нас в стране уже есть соответствующие технологии мирового уровня, которые показывают, что применять эти требования на практике – реально.

Восьмая конференция OS DAY состоится в 2021 году, как надеются ее организаторы, в очном режиме. Впрочем, полученный в этом году опыт организации онлайн-мероприятий тоже будет учтен и использован для привлечения к работе форума участников, которые не смогут присутствовать лично.