Евгений Доможиров: Настало время быть открытым для open source
Уход зарубежных вендоров и санкции не прошли бесследно для российских компаний. Но и бизнес, и ИТ-отрасль смогли оправиться от удара и продолжить свое развитие. Более того, российские компании ставят перед собой новые амбициозные цели. Насколько этому помогло открытое ПО и как в нынешних условиях обеспечить кибербезопасность, мы поговорили с Евгением Доможировым, генеральным директором компании CESCA.
Какие факторы побуждают компании переходить на открытое ПО? И насколько целесообразно его использование?
Раньше компании, прежде всего руководствовались желанием сэкономить. Бесплатные решения на открытом ПО применялись повсеместно — от ERP-систем любого класса до систем информационной безопасности и мониторинга. В нынешних условиях мы все знаем, что способствует такому переходу: западные вендоры ушли, оставив за собой выжженную землю. И компании, и даже крупные структуры решают обратиться в открытому ПО, что вполне логично. Но нужно помнить, что любое отрытое ПО — это чаще всего незавершенный продукт. То есть он не отработан по всем циклам тестирования и развития, не все полностью задокументировано так, как это делается для «коробочных» решений. В такой ситуации нужно либо привлекать нишевого игрока — компанию, которая хорошо знакома с продуктами и готова их дорабатывать под требования заказчика, либо развивать компетенции своих внутренних специалистов. Так что, к слову, открытое ПО на самом деле не бесплатно. Вопрос лишь в том, когда и кому придется платить. Что касается целесообразности, это вопрос сложный. К примеру, применять подобные решения в бизнес-критичных системах опасно. Но компании вынуждены переходить на такого рода продукты из-за отсутствия коммерческих предложений, которые прежде закрывали их потребности.
До ухода западных вендоров поддержкой открытого ПО занималась компания Red Hat. По сути, она обеспечивала техническую поддержку. Сейчас Red Hat отказалась от сотрудничества с Россией. Есть ли на отечественном рынке компании, которые занимались бы тем же самым? И существуют ли какие-то перспективы их появления?
Я уверен, рано или поздно в России сформируются не отдельные компании, а целое сообщество такого рода. Хотя, вероятно, оно будет не слишком большим, но оно необходимо. Очень часто компании, предлагающие новый продукт, — это несколько энтузиастов, которые всеми силами пытаются выйти в коммерцию. Со временем их проект, образно говоря, умирает, а сам продукт просто остается в подвешенном состоянии. Никто за него не отвечает, не берется его дальше сопровождать. А сообщество может помогать поддерживать такие продукты. Ведь даже если они не получили массового распространения, кто-то же ими пользовался и нужно приложить усилия, чтобы эти потребители не разочаровались в концепции в целом.
Можно ли назвать доверенной среду open source? Какие риски связаны с использованием открытого ПО?
Все зависит от чистоты помыслов разработчика, конечно. Но я полагаю, что репутация для разработчиков открытого ПО гораздо важнее, чем для их коллег с коммерческими продуктами. Ведь у разработчиков open source больше ничего нет — только их репутация. Если бы у них были преступные намерения, они были бы хакерами. Но они предпочитают действовать легально. Это сообщество состоявшихся зрелых людей, зачастую имеющих солидную экспертизу в своей области. Они сами следят за тем, чтобы их система, по крайней мере на выходе с их ресурсов, была гарантированно качественной и без каких-либо закладок.
Вопрос закладок сегодня стоит остро. Специалисты утверждают, что в различных библиотеках сейчас их количество возросло на порядок. И это связано с текущей политической ситуацией.
Да, к сожалению, это так. Мир перевернулся. Скажу откровенно, те профессиональные принципы, которые еще год назад были нормой по умолчанию, стали неактуальными для некоторых. В нынешних условиях следует перенять опыт крупных банков, например. Для них, кстати, сейчас мало что изменилось в этих регламентах безопасности. Все исходные коды обязательно анализируются, всё тестируется в песочнице. Библиотеки проходят через множество разнообразных внутренних проверок на информационную безопасность, на уязвимости и так далее. Кончено, это огромные затраты: ресурсы, специалисты, дополнительные вычислительные мощности.
Какие преимущества и недостатки использования есть у открытого ПО?
Плюс отрытого ПО в его гибкости. Можно и кастомизировать под свои нужды, и исправить достаточно оперативно, если что-то не работает. Справедливости ради замечу, что все-таки, как правило, если разработчики open-source-продукта громко заявляют, что он хорош, продвигают его, то он и правда вполне надежен и функционален. Но бывает, что хорошо презентованные коммерческие продукты по факту не разворачиваются. К минусам можно отнести неопределенное будущее продукта — как я уже говорил, он в любой момент может прекратить развитие.
Сейчас лоббируется усиление ответственности в области кибербезопасности, вплоть до уголовной. В том числе и за утечки информации. Как вы оцениваете такие инициативы? Поможет ли это?
Думаю, нет. Эти инструменты регулирования только вызывают негативное отношение к регуляторам и их деятельности. Такая инициатива хороша тем, что немного встряхнет компании, даст понять, что нужно всерьез браться за решение проблемы. Но не более. Репрессивные методы вызывают только страх. И начинается «бумажная безопасность». Люди панически боятся проверок и занимаются лишь тем, что приводят в порядок документы и сертификаты, а не инфраструктуру. У нас нет культуры безопасности. Вот ее и нужно развивать в первую очередь.
А с какими основными проблемами к вам обращаются заказчики?
Обычно к нам приходят без проблем. Постановка задачи такая: у нас все хорошо, предложите нам что-нибудь, чтобы было еще лучше. Так происходит потому, что проблемы в области информационной безопасности признают редко. Их, как правило, скрывают. Или не осознают. Приходится задавать много вопросов. Похоже на то, как врач пытается разговорить пациента.
Любопытное сравнение. Давайте продолжим его. Обычно пациент обращается к терапевту, который может лечить его сам, а может перенаправить к другим специалистам. Как у вас это происходит?
Мы знаем свои возможности и стараемся действовать в их рамках. Если мы понимаем, что специфика проблемы вне наших компетенций, то подключаем какие-то дополнительные ресурсы, нишевых игроков, которые разбирается в вопросе.
Получается консилиум.
Да, именно. Но сами мы в любом случае никуда не уходим, держим руку на пульсе. Мы всегда рядом с заказчиком и готовы обеспечить необходимую поддержку. Мы следим за новыми технологиями, новыми трендами. Все меняется. То, что вчера считалось практически неуязвимым, сегодня при определенном объеме вычислительных мощностей может быть взломано очень быстро. У нас есть стенды для тестирования тех или иных событий, инцидентов. Мы испытываем новое оборудование, которое к нам приходит: включаем его в периметр, отслеживаем поведение, скорость, производительность, проводим нагрузочное тестирование. Получается полный цикл наработки экспертизы. Мы делаем это для того, чтобы впоследствии качественно предлагать свои решения заказчикам.
Есть такое понятие — Bug Bounty. По сути, это поиск уязвимостей за деньги. Это достаточно популярно. Многие компании сами инициируют Bug Bounty для своих ресурсов. Как вы считаете, насколько возможен такой подход в России? И как вы к этому относитесь?
Я считаю, что это справедливая модель отношений между, условно говоря, хакерами и потенциальными жертвами атаки. При условии, что не происходит никакого вредительства и шантажа, а просто выявляется проблема. Было бы замечательно, если бы такая практика расширялась. Я это всячески поддерживаю. Думаю, и у нас такое вполне возможно. Вот конкретный кейс. В компанию пришло письмо. Его автор взломал сервер клиента, а в письме были рекомендации по устранению уязвимостей. Специалисты с информацией ознакомились и закрыли все «дыры». К слову, «взломщик» поступил очень благородно и никаких денег за это не попросил.
Что можете рассказать о DevOps и DevSecOps? Как правильно организовать процессы безопасной разработки?
Это фактически принято как стандарт. Секьюрная математика хорошо ложится на эту модель. Она применяется на всех этапах. Это очень правильный подход к обеспечению информационной безопасности. Если нет DevOps, то с секьюрностью будет сложно. И конечно, надо понимать, что и сотрудники, и персонал должен быть к этому морально готовы. Их надо правильно обучать и информировать о новых трендах и о новых технологиях, которые нужно применять для обеспечения необходимого уровня безопасности. Еще могу сказать, что без аудита безопасности, то есть проверки самих процессов, очень сложно это все обеспечить.
Я правильно понимаю, что у вас присутствует как DevOps, так и DevSecOps?
Можно сказать, что одно надстройка над другим. То есть это фактически та же самая разработка. Просто мы вкладываем секьюрную часть как обязательный элемент разработки, Тесты, которые нами применяются, тоже обеспечивают проверку валидности кода на безопасность, и остальные процессы к этому привязываются. DevOps и DevSecOps, по сути дела, сведены в единую точку задач. Не нужно их разделять.
Представим, что у некой компании, например, гибридная среда: часть информационных систем в локальной среде, а часть в облаке. Как обеспечить защиту в такой ситуации? И нужно ли отказываться от иностранного облака в пользу российского?
Знаете, отказ от иностранного в пользу российского теперь уже лежит не в области информационной безопасности, а безопасности деятельности в целом. Подход к защите всегда должен быть комплексным. При этом готовых рецептов нет. Не бывает такого, что мы знаем, что только так можно работать. Каждый раз мы всё оцениваем, анализируем, что мы можем, понимаем, где уязвимости, проводим аудит. Чаще всего провайдеры облачных сервисов достаточно компетентные компании и на их уровне обеспечивается определенный контроль доступа к ресурсам. Они очень активно мониторят попытки проникновения извне. Есть blacklist, whitelist, двухфакторная идентификация. То есть периметр защищается достаточно надежно.
Давайте еще поговорим об искусственном интеллекте. Что из этой области вы предлагаете своим заказчикам для обеспечения информационной безопасности?
Мы занимаемся искусственным интеллектом не только в рамках информационной безопасности, конечно же. Но если говорить именно о кибербезе, это в первую очередь методы машинного обучения и моделирования различного рода ситуаций на основании анализа больших объемов данных, которые собираются в процессе функционирования тех или иных систем. Это позволит прогнозировать какие-то возможные действия и их последствия для той или иной среды. Происходит выявление уязвимости еще до момента их возникновения. Я считаю, что 2022 год дал очень мощный толчок этому направлению развития. Мы планируем вывести наши продукты на уровень кибернетизации, то есть сделать так, чтобы системы самостоятельно постоянно сканировали всю среду, оценивали ситуацию и принимали какие-то решения, совершали проактивные действия.
Какие у вашей компании отношения с заказчиками? Что происходит после завершения проекта?
Если отношения с заказчиком закончились одним проектом, значит, этот проект не был успешным. Что касается технического сопровождения, проект сохраняется в нашей системе. Он передается на службы первой линии и на протяжении минимум одного года всегда на запросы клиента по нему реагируют так же, как на обычный проект. В обязательном порядке предусматривается развитие систем. Сейчас все очень быстро происходит, и решение устаревает уже на этапе обсуждения. И через несколько месяцев, когда проект будет завершен, оно уже настолько устареет, что его можно сразу же начинать модернизировать. К тому же бизнес заказчика тоже развивается, у него появляются новые запросы.
Каковы приоритеты для вашего бизнеса в 2023 году?
Мы занимаемся активным развитием направления роботизации. В нашем портфеле есть проект CELERI - программно-аппаратного комплекса управления группой устройств. Под группой устройств понимается несколько квадрокоптеров и роверов, связанных в единую сеть. Продукт CELERI является автономным и практически полностью исключает участие человека в процессе выполнения задачи. Еще одно перспективное направление — искусственный интеллект. Сейчас в России он находится на уровне десятилетнего ребенка, но, думаю, к концу года он выйдет на уровень зрелого человека. Это очень перспективная область, и мы рассчитываем в ней преуспеть. И, конечно, мы будем продолжать делать то, что и прежде: работать над оптимизацией процессов заказчика, делая их быстрее и качественнее. Будем делать их доступнее и понятнее. Будем накапливать опыт и компетенции ради того, чтобы предлагать все лучшие решения.
Опубликовано 23.03.2023