Подведены итоги конференции OS DAY

584

В Российской академии наук 23-24 мая состоялась IV конференция OS DAY, посвящённая созданию операционных систем – основной темой конференции стала безопасность современного российского программного обеспечения.

«Сегодня основная проблема заключается в том, что многие из операционных систем, которые у нас разрабатываются, имеют заимствованное ядро, – отметил заместитель директора Федеральной службы по техническому и экспортному контролю России Виталий Лютиков. – В случае выявления уязвимости мы вынуждены ждать, пока её удалит разработчик. Нужно разрабатывать свой код, чтобы оперативно реагировать на возникающие проблемы».

«Нельзя говорить о безопасности продукта абстрактно, – полагает генеральный директор «Базальт СПО» Алексей Новодворский. – Надо говорить об оперативном исправлении обнаруженных критических уязвимостей. А для этого нужен прямой, непосредственный контакт с разработчиками программных продуктов».

Заместитель директора ЗАО «МВП «СВЕМЕЛ» Константин Попадюшкин полагает, что такая задача решаема: «Мы стараемся поддерживать в актуальном состоянии весь исходный код и функциональность на базе тех изменений, которые в мировом сообществе добавляются к базовой операционной системе (речь о Linux – ред.). Могу сказать, что на российском рынке есть и достаточно конкурентоспособные продукты, тот же «МойОфис». Он широко развернут, у него своя концепция, защита информации, ограничения доступа. В общем, есть достойные продукты, как и всегда. Хотя в закрытом сегменте, да, есть дефицит, допустим, в серьезных графических редакторах: у нас пока нет альтернатив Corel Draw, Adobe Photoshop».

Оригинальную российскую ОС «Фантом» её разработчик, генеральный директор DZ Systems Дмитрий Завалишин, предполагает использовать для беспилотных летательных аппаратов: «Сегодня наша операционная система находится в состоянии «Proof-of-concept», т.е. мы реализовали код, который позволяет убедиться, что сама идея работоспособна, и ищем партнёров, с кем можно продвинуться дальше. Присматриваемся к промышленному применению. Например, под управлением нашей ОС могли бы действовать беспилотные летательные аппараты».

KasperskyOS была официально выпущена в феврале 2017 года. «Работа над этой системой началась еще в 2002 году с идеи, что требуется полноценная, защищённая от злоумышленников среда, – говорит руководитель управления перспективных технологий «Лаборатории Касперского» Андрей Духвалов. – Реализовать такую защищенную среду можно только на уровне операционной системы: она должна быть организована так, чтобы даже при обнаружении «дыр» злоумышленник не смог ими воспользоваться. Программы внутри такой системы при любых условиях будут делать только то, для чего они предназначены в соответствии с заранее прописанными ограничениями».

Получившаяся в итоге микроядерная система – узкоспециализированная, это не универсальный программный продукт, способный составить конкуренцию общецелевым ОС западного производства, но в своей нише она уже нашла покупателей. Это нормально. «Все сегодняшние проекты ориентируются на нишевые применения, которые в состоянии обеспечить финансирование, – говорит Завалишин. – Затраты на то, чтобы сделать операционную систему, настолько велики, что всерьёз рассматривать эту перспективу просто не стоит».

«В принципе эта задача не видится невозможной, но сегодня на неё нет заказчика, – соглашается директор ИСП РАН Арутюн Аветисян. – А разрабатывать ОС просто так, в надежде на неясное будущее, слишком накладно и потому бессмысленно».

Ещё одним важным аспектом информационной безопасности, обсуждавшимся на OS DAY 2017, стал вопрос взаимодействия производителей ПО и его пользователей. «Поддержка обновления сертифицированных операционных систем видится нам очень важной проблемой, – сказал Лютиков. – Мы столкнулись с тем, что у разработчиков ОС внутренние процедуры реагирования на обнаружение уязвимостей просто не отработаны. Мало внимания уделяется поддержке и развитию продукта в ходе его применения. Недостаточно действенны процедуры доведения обновлений до потребителя. Мы требуем включать в эксплуатационную документацию процедуры обеспечения поддержки ПО. Без этого мы не будем сертифицировать».

Выступление Арутюна Аветисяна. Фото (с) Андрей Анненков

«Новые правила исправления уязвимостей в сертифицированных ФСТЭК продуктах позволяют пользователям не ждать занимающего много времени инспекторского контроля», – сообщил по этому поводу Новодворский.

По итогам OS DAY участники конференции приняли резолюцию, один из главных пунктов которой – заявление о необходимости создания и реализации единой комплексной программы исследований и разработок в области системного программирования и информационной безопасности под патронажем ИСП РАН. «Достигнуто консолидированное мнение IT-сообщества и разработчиков операционных платформ о необходимости такой программы, направленной на создание новых технологий и кадров, – говорит Аветисян. – Она позволит мобилизовать кадровый и научный потенциал страны, все имеющиеся ресурсы для ответа на вызовы эпохи во всем, что касается информационной безопасности. Мы не должны только защищаться, нужно думать об экспорте наукоёмких технологий. С нашим опытом, с нашим бэкграундом мы более чем конкурентоспособны».

Конференция организована ИСП РАН, DZ Systems, ГосНИИАС, «Свемел», «Базальт СПО», «Открытая Мобильная Платформа», «Лабораторией Касперского», «РусБИТех-Астра», «Тайзен.ру».