Евгений Доможиров: Настало время быть открытым для open source

Евгений Доможиров

И бизнес, и ИТ-отрасль смогли оправиться от удара и продолжить свое развитие. Насколько этому помогло открытое ПО и как в нынешних условиях обеспечить кибербезопасность?

Уход зарубежных вендоров и санкции не прошли бесследно для российских компаний. Но и бизнес, и ИТ-отрасль смогли оправиться от удара и продолжить свое развитие. Более того, российские компании ставят перед собой новые амбициозные цели. Насколько этому помогло открытое ПО и как в нынешних условиях обеспечить кибербезопасность, мы поговорили с Евгением Доможировым, генеральным директором компании CESCA.

Какие факторы побуждают компании переходить на открытое ПО? И насколько целесообразно его использование?

Раньше компании, прежде всего руководствовались желанием сэкономить. Бесплатные решения на открытом ПО применялись повсеместно — от ERP-систем любого класса до систем информационной безопасности и мониторинга. В нынешних условиях мы все знаем, что способствует такому переходу: западные вендоры ушли, оставив за собой выжженную землю. И компании, и даже крупные структуры решают обратиться в открытому ПО, что вполне логично. Но нужно помнить, что любое отрытое ПО — это чаще всего незавершенный продукт. То есть он не отработан по всем циклам тестирования и развития, не все полностью задокументировано так, как это делается для «коробочных» решений. В такой ситуации нужно либо привлекать нишевого игрока — компанию, которая хорошо знакома с продуктами и готова их дорабатывать под требования заказчика, либо развивать компетенции своих внутренних специалистов. Так что, к слову, открытое ПО на самом деле не бесплатно. Вопрос лишь в том, когда и кому придется платить. Что касается целесообразности, это вопрос сложный. К примеру, применять подобные решения в бизнес-критичных системах опасно. Но компании вынуждены переходить на такого рода продукты из-за отсутствия коммерческих предложений, которые прежде закрывали их потребности.

До ухода западных вендоров поддержкой открытого ПО занималась компания Red Hat. По сути, она обеспечивала техническую поддержку. Сейчас Red Hat отказалась от сотрудничества с Россией. Есть ли на отечественном рынке компании, которые занимались бы тем же самым? И существуют ли какие-то перспективы их появления?

Я уверен, рано или поздно в России сформируются не отдельные компании, а целое сообщество такого рода. Хотя, вероятно, оно будет не слишком большим, но оно необходимо. Очень часто компании, предлагающие новый продукт, — это несколько энтузиастов, которые всеми силами пытаются выйти в коммерцию. Со временем их проект, образно говоря, умирает, а сам продукт просто остается в подвешенном состоянии. Никто за него не отвечает, не берется его дальше сопровождать. А сообщество может помогать поддерживать такие продукты. Ведь даже если они не получили массового распространения, кто-то же ими пользовался и нужно приложить усилия, чтобы эти потребители не разочаровались в концепции в целом.

Можно ли назвать доверенной среду open source? Какие риски связаны с использованием открытого ПО?

Все зависит от чистоты помыслов разработчика, конечно. Но я полагаю, что репутация для разработчиков открытого ПО гораздо важнее, чем для их коллег с коммерческими продуктами. Ведь у разработчиков open source больше ничего нет — только их репутация. Если бы у них были преступные намерения, они были бы хакерами. Но они предпочитают действовать легально. Это сообщество состоявшихся зрелых людей, зачастую имеющих солидную экспертизу в своей области. Они сами следят за тем, чтобы их система, по крайней мере на выходе с их ресурсов, была гарантированно качественной и без каких-либо закладок.

Вопрос закладок сегодня стоит остро. Специалисты утверждают, что в различных библиотеках сейчас их количество возросло на порядок. И это связано с текущей политической ситуацией.

Да, к сожалению, это так. Мир перевернулся. Скажу откровенно, те профессиональные принципы, которые еще год назад были нормой по умолчанию, стали неактуальными для некоторых. В нынешних условиях следует перенять опыт крупных банков, например. Для них, кстати, сейчас мало что изменилось в этих регламентах безопасности. Все исходные коды обязательно анализируются, всё тестируется в песочнице. Библиотеки проходят через множество разнообразных внутренних проверок на информационную безопасность, на уязвимости и так далее. Кончено, это огромные затраты: ресурсы, специалисты, дополнительные вычислительные мощности.

Какие преимущества и недостатки использования есть у открытого ПО?

Плюс отрытого ПО в его гибкости. Можно и кастомизировать под свои нужды, и исправить достаточно оперативно, если что-то не работает. Справедливости ради замечу, что все-таки, как правило, если разработчики open-source-продукта громко заявляют, что он хорош, продвигают его, то он и правда вполне надежен и функционален. Но бывает, что хорошо презентованные коммерческие продукты по факту не разворачиваются. К минусам можно отнести неопределенное будущее продукта — как я уже говорил, он в любой момент может прекратить развитие.

Сейчас лоббируется усиление ответственности в области кибербезопасности, вплоть до уголовной. В том числе и за утечки информации. Как вы оцениваете такие инициативы? Поможет ли это?

Думаю, нет. Эти инструменты регулирования только вызывают негативное отношение к регуляторам и их деятельности. Такая инициатива хороша тем, что немного встряхнет компании, даст понять, что нужно всерьез браться за решение проблемы. Но не более. Репрессивные методы вызывают только страх. И начинается «бумажная безопасность». Люди панически боятся проверок и занимаются лишь тем, что приводят в порядок документы и сертификаты, а не инфраструктуру. У нас нет культуры безопасности. Вот ее и нужно развивать в первую очередь.

А с какими основными проблемами к вам обращаются заказчики?

Обычно к нам приходят без проблем. Постановка задачи такая: у нас все хорошо, предложите нам что-нибудь, чтобы было еще лучше. Так происходит потому, что проблемы в области информационной безопасности признают редко. Их, как правило, скрывают. Или не осознают. Приходится задавать много вопросов. Похоже на то, как врач пытается разговорить пациента.

Любопытное сравнение. Давайте продолжим его. Обычно пациент обращается к терапевту, который может лечить его сам, а может перенаправить к другим специалистам. Как у вас это происходит?

Мы знаем свои возможности и стараемся действовать в их рамках. Если мы понимаем, что специфика проблемы вне наших компетенций, то подключаем какие-то дополнительные ресурсы, нишевых игроков, которые разбирается в вопросе.

Получается консилиум.

Да, именно. Но сами мы в любом случае никуда не уходим, держим руку на пульсе. Мы всегда рядом с заказчиком и готовы обеспечить необходимую поддержку. Мы следим за новыми технологиями, новыми трендами. Все меняется. То, что вчера считалось практически неуязвимым, сегодня при определенном объеме вычислительных мощностей может быть взломано очень быстро. У нас есть стенды для тестирования тех или иных событий, инцидентов. Мы испытываем новое оборудование, которое к нам приходит: включаем его в периметр, отслеживаем поведение, скорость, производительность, проводим нагрузочное тестирование. Получается полный цикл наработки экспертизы. Мы делаем это для того, чтобы впоследствии качественно предлагать свои решения заказчикам.

Есть такое понятие — Bug Bounty. По сути, это поиск уязвимостей за деньги. Это достаточно популярно. Многие компании сами инициируют Bug Bounty для своих ресурсов. Как вы считаете, насколько возможен такой подход в России? И как вы к этому относитесь?

Я считаю, что это справедливая модель отношений между, условно говоря, хакерами и потенциальными жертвами атаки. При условии, что не происходит никакого вредительства и шантажа, а просто выявляется проблема. Было бы замечательно, если бы такая практика расширялась. Я это всячески поддерживаю. Думаю, и у нас такое вполне возможно. Вот конкретный кейс. В компанию пришло письмо. Его автор взломал сервер клиента, а в письме были рекомендации по устранению уязвимостей. Специалисты с информацией ознакомились и закрыли все «дыры». К слову, «взломщик» поступил очень благородно и никаких денег за это не попросил.

Что можете рассказать о DevOps и DevSecOps? Как правильно организовать процессы безопасной разработки?

Это фактически принято как стандарт. Секьюрная математика хорошо ложится на эту модель. Она применяется на всех этапах. Это очень правильный подход к обеспечению информационной безопасности. Если нет DevOps, то с секьюрностью будет сложно. И конечно, надо понимать, что и сотрудники, и персонал должен быть к этому морально готовы. Их надо правильно обучать и информировать о новых трендах и о новых технологиях, которые нужно применять для обеспечения необходимого уровня безопасности. Еще могу сказать, что без аудита безопасности, то есть проверки самих процессов, очень сложно это все обеспечить.

Я правильно понимаю, что у вас присутствует как DevOps, так и DevSecOps?

Можно сказать, что одно надстройка над другим. То есть это фактически та же самая разработка. Просто мы вкладываем секьюрную часть как обязательный элемент разработки, Тесты, которые нами применяются, тоже обеспечивают проверку валидности кода на безопасность, и остальные процессы к этому привязываются. DevOps и DevSecOps, по сути дела, сведены в единую точку задач. Не нужно их разделять.

Представим, что у некой компании, например, гибридная среда: часть информационных систем в локальной среде, а часть в облаке. Как обеспечить защиту в такой ситуации? И нужно ли отказываться от иностранного облака в пользу российского?

Знаете, отказ от иностранного в пользу российского теперь уже лежит не в области информационной безопасности, а безопасности деятельности в целом. Подход к защите всегда должен быть комплексным. При этом готовых рецептов нет. Не бывает такого, что мы знаем, что только так можно работать. Каждый раз мы всё оцениваем, анализируем, что мы можем, понимаем, где уязвимости, проводим аудит. Чаще всего провайдеры облачных сервисов достаточно компетентные компании и на их уровне обеспечивается определенный контроль доступа к ресурсам. Они очень активно мониторят попытки проникновения извне. Есть blacklist, whitelist, двухфакторная идентификация. То есть периметр защищается достаточно надежно.

Давайте еще поговорим об искусственном интеллекте. Что из этой области вы предлагаете своим заказчикам для обеспечения информационной безопасности?

Мы занимаемся искусственным интеллектом не только в рамках информационной безопасности, конечно же. Но если говорить именно о кибербезе, это в первую очередь методы машинного обучения и моделирования различного рода ситуаций на основании анализа больших объемов данных, которые собираются в процессе функционирования тех или иных систем. Это позволит прогнозировать какие-то возможные действия и их последствия для той или иной среды. Происходит выявление уязвимости еще до момента их возникновения. Я считаю, что 2022 год дал очень мощный толчок этому направлению развития. Мы планируем вывести наши продукты на уровень кибернетизации, то есть сделать так, чтобы системы самостоятельно постоянно сканировали всю среду, оценивали ситуацию и принимали какие-то решения, совершали проактивные действия.

Какие у вашей компании отношения с заказчиками? Что происходит после завершения проекта?

Если отношения с заказчиком закончились одним проектом, значит, этот проект не был успешным. Что касается технического сопровождения, проект сохраняется в нашей системе. Он передается на службы первой линии и на протяжении минимум одного года всегда на запросы клиента по нему реагируют так же, как на обычный проект. В обязательном порядке предусматривается развитие систем. Сейчас все очень быстро происходит, и решение устаревает уже на этапе обсуждения. И через несколько месяцев, когда проект будет завершен, оно уже настолько устареет, что его можно сразу же начинать модернизировать. К тому же бизнес заказчика тоже развивается, у него появляются новые запросы.

Каковы приоритеты для вашего бизнеса в 2023 году?

Мы занимаемся активным развитием направления роботизации. В нашем портфеле есть проект CELERI - программно-аппаратного комплекса управления группой устройств. Под группой устройств понимается несколько квадрокоптеров и роверов, связанных в единую сеть. Продукт CELERI является автономным и практически полностью исключает участие человека в процессе выполнения задачи. Еще одно перспективное направление — искусственный интеллект. Сейчас в России он находится на уровне десятилетнего ребенка, но, думаю, к концу года он выйдет на уровень зрелого человека. Это очень перспективная область, и мы рассчитываем в ней преуспеть. И, конечно, мы будем продолжать делать то, что и прежде: работать над оптимизацией процессов заказчика, делая их быстрее и качественнее. Будем делать их доступнее и понятнее. Будем накапливать опыт и компетенции ради того, чтобы предлагать все лучшие решения.

Журнал IT Manager

Опубликовано 23.03.2023

Информационная безопасность Импортозамещение Искусственный интеллект AI Отечественное ПО Open Source – Открытый код

Предыдущая
Зачем и для чего записывать телефонные звонки в РФ?

Следующая
Зарина Сафиуллина: Электронный документооборот: новые решения старых проблем

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30