Неделю назад продукция израильской Check Point попала в Государственный реестр сертифицированных средств защиты информации, запись под номером 4209. Теперь госзаказчику, купившему «программно-аппаратный комплекс «Шлюз безопасности «Check Point Security Gateway версии R77.30», ничего не будет, несмотря на импортозамещение.
Событие, впрочем, представляет интерес не из-за предательства идеалов импортозамещения (об этом позже). Оно интересно тем, что ФСТЭК сертифицировала продукт, завершивший свой жизненный цикл. Производитель R77.30 более его не поддерживает.

«Продукт поддерживается и будет поддерживаться для российского рынка и российских заказчиков. Ничего не изменится: штаб-квартира продолжает поддержку данного продукта в данном регионе — это включает в себя как обновления самого продукта, так и обновления всех баз и необходимых модулей. Продукт отвечает всем требованиям ФСТЭК, например, внедрена возможность проведения обновлений без подключения к сети интернет (т.е. с локальных носителей и ресурсов). Так же (орфография оригинала — АА) доработаны модули самотестирования», — такие слова пришли от имени главы российского офиса в ответ на просьбу объяснить, почему для сертификации выбран окончивший жизненный цикл продукт, а не свежий, поддерживаемый как положено.
Когда в задачке спрашивается «почему в реестр внесли старьё», а вам отвечают «доработаны модули самотестирования» – это двойка. И не только по русскому языку.
Пришлось разбираться. R77.30 – софт. Работает на разнообразном чек-понтовом «железе». О том, что софт с «железом» одна плоть, и что качество продукта, будь то айфон или «программно-аппаратный комплекс «Шлюз безопасности «Check Point Security Gateway версии R77.30», определяется программным обеспечением, говорить не станем за очевидностью.
Вместо этого вспомним историю Windows 7, которая, как и R77.30, более не поддерживается. В январе потребовались специальные разъяснения ФСТЭК о дальнейшем использовании этой ОС: сертифицировали её при жизни, но теперь она умерла, и эксплуатантам надлежит избавиться от тела не позднее 1 июня 2020.
Почему с R77.30 поступили ровно наоборот, сертифицировали за пределами жизненного цикла? Вариантов два: 1) это не эксгумация, просто процедура внесения в реестр длинная, пока она шла, срок поддержки продукта вышел, но не бросать же хорошее дело, вот и довели его до конца; 2) израильтяне не готовы показывать ФСТЭК свежий код, готовы показывать только старый, им самим более не нужный (анализ кода – условие сертификации).
Первый вариант маловероятен. По крайней мере, хочется верить, что так легко ФСТЭК не проведёшь. Второй вероятен более чем.
Я бы не заинтересовался этой историей, если бы неделю назад новость не транслировались из каждого утюга: было ясно, что люди в российском Check Point бурно празднуют победу. И если бы вместо того, чтобы нагло игнорировать вопрос «почему старьё», мне по-русски, без поминания модулей самотестирования, объяснили природу явления, я, скорее всего, просто ретранслировал бы комментарий на публику и успокоился. Но ничего объяснять не захотели.
Теперь, когда природу явления мы выяснили самостоятельно, вернёмся ненадолго к импортозамещению. Оно в IT не мэйнстрим – сделать всё самим немыслимо, всегда надо что-то импортировать. Но не всё же подряд.
Ключевой вопрос: производят ли в России межсетевые экраны, способные конкурировать с «Check Point Security Gateway версии R77.30»? Да, производят.
Пойдёт ли на пользу отечественному производителю внесение R77.30 в реестр разрешённой к госзаказу продукции? Нет, не пойдёт.
Аргументировать против этого можно только одним способом: упирая на благо конкуренции. Но здесь конкуренция никакое не благо, а благоглупость. Рубль, заработанный IT-компанией, оборачивается минимум пятью рублями прироста ВВП – с какой, спрашивается, стати надо эти шесть (1+5) бюджетных, т.е. народных, рублей отдавать Check Point, в ВВП другой страны? Да ещё за устаревший, неподдерживаемый продукт? Дополнительные возражения против лозунга «ах, до чего же полезна конкуренция, спасибо, ФСТЭК!» есть во множестве, однако довольно и этого.
Далее. Анализ кода уменьшает риск, но не избавляет от него (Check Point – это израильский Huawei, в миниатюре, конечно). Пренебрегаете этим риском – ладно, не настаиваю. С меня довольно того, что остаётся риск прекращения поставок из-за санкций. Его оспорить сложнее.
В общем, история странная. Высказаться о ней было необходимо.
Точка зрения автора может не совпадать с мнением редакции.
Автор статьи несёт откровенную ахинею. То что программный продукт перестал поддерживаться не означает, что он не пригоден к эксплуатации. Тем более, что производитель будет для региона Россия поддерживать продукт. С таким же успехом можно продать папуасам старое железо, Виндовс 95 и поддерживать его. Существует масса примеров, когда ПО разрабатывается в разных конфигах под разные регионы с учётом особенностей рынка.
Когда текст комментируют 1) анонимно; 2) бестолково; 3) заходя с «автор дурак» — эти симптомы однозначно указывают на диагноз, хорошо знаю по опыту
> процедура внесения в реестр длинная, пока она шла, срок поддержки продукта вышел, но не бросать же хорошее дело, вот и довели его до конца
Почему же вы считаете этот вариант маловероятным?
Они занимались сертификацией этой версии не один год.
Исходил из того, что ФСТЭК не должна вносить в реестр неподдерживаемый продукт вне зависимости от того, сколько лет его сертифицировали, и CP ничего об этом не сообщил на прямо заданный вопрос, а что тут было скрывать? Скрывать можно было нежелание показывать свежий код
Вообще, я всегда думала, что регистрация определенной зафиксированной версии программного продукта во ФСТЭК подразумевает отсутствие как факт возможности «обновления самого продукта, … и необходимых модулей». После внесения подобных изменений у клиента будет в наличии уже несертифицированная версия.
Приказ ФСТЭК №51, прошлогодний. Разрешено обновлять сертифицированный софт. Потом уже установленные обновления отправляются на экспертизу
Понятно, не отслеживала. Интересно кто, в какой срок и как отслеживается данная процедура. Посмотрю, спасибо.
R77.30 Check Point начал сертифицировать во ФСТЭК в 4 кв. 2017г. Так что однозначно вариант №1. Специально проверил сейчас переписку с СР про это в то время.
Спасибо. В CP эту причину не назвали, видимо, предпочли прокомментировать на отвяжись.
Почему однозначно? Одно другого не исключает.
«Однозначно», т.к. вариант №2 «израильтяне не готовы показывать ФСТЭК свежий код, готовы показывать только старый, им самим более не нужный» не проходит. В 2017г. R77.30 был еще актуальным. Я склоняюсь к мысли, что ФСТЭК долго мурыжила СР, т.к. R77.10 был сертифицирован ФСТЭК только в июле 2018г. (также за гранью EOS).
Т.е. они просто отдают на сертификацию каждую новую версию по порядку и не их вина, что ФСТЭК работает долго. Также СР пишет сейчас: «Уже началась процедура сертификации версии R80.ХХ. Ориентировочные сроки — 21й год.»
Вероятно, вы правы. Насчёт правоты CP и особенно ФСТЭК не уверен