Странная история посмертной сертификации

Андрей Анненков
18.02.2020
Категории: Аналитика, Импортозамещение, Регистрация / Лицензирование, Эксперты
Теги: Check Point, сертификация, ФСТЭК

Неделю назад продукция израильской Check Point попала в Государственный реестр сертифицированных средств защиты информации, запись под номером 4209. Теперь госзаказчику, купившему «программно-аппаратный комплекс «Шлюз безопасности «Check Point Security Gateway версии R77.30», ничего не будет, несмотря на импортозамещение.

Событие, впрочем, представляет интерес не из-за предательства идеалов импортозамещения (об этом позже). Оно интересно тем, что ФСТЭК сертифицировала продукт, завершивший свой жизненный цикл. Производитель R77.30 более его не поддерживает.

R77.30 занесён в реестр спустя полгода после смерти.

«Продукт поддерживается и будет поддерживаться для российского рынка и российских заказчиков. Ничего не изменится: штаб-квартира продолжает поддержку данного продукта в данном регионе — это включает в себя как обновления самого продукта, так и обновления всех баз и необходимых модулей. Продукт отвечает всем требованиям ФСТЭК, например, внедрена возможность проведения обновлений без подключения к сети интернет (т.е. с локальных носителей и ресурсов). Так же (орфография оригинала — АА) доработаны модули самотестирования», — такие слова пришли от имени главы российского офиса в ответ на просьбу объяснить, почему для сертификации выбран окончивший жизненный цикл продукт, а не свежий, поддерживаемый как положено.

Когда в задачке спрашивается «почему в реестр внесли старьё», а вам отвечают «доработаны модули самотестирования» – это двойка. И не только по русскому языку.

Пришлось разбираться. R77.30 – софт. Работает на разнообразном чек-понтовом «железе». О том, что софт с «железом» одна плоть, и что качество продукта, будь то айфон или «программно-аппаратный комплекс «Шлюз безопасности «Check Point Security Gateway версии R77.30», определяется программным обеспечением, говорить не станем за очевидностью.

Вместо этого вспомним историю Windows 7, которая, как и R77.30, более не поддерживается. В январе потребовались специальные разъяснения ФСТЭК о дальнейшем использовании этой ОС: сертифицировали её при жизни, но теперь она умерла, и эксплуатантам надлежит избавиться от тела не позднее 1 июня 2020.

Почему с R77.30 поступили ровно наоборот, сертифицировали за пределами жизненного цикла? Вариантов два: 1) это не эксгумация, просто процедура внесения в реестр длинная, пока она шла, срок поддержки продукта вышел, но не бросать же хорошее дело, вот и довели его до конца; 2) израильтяне не готовы показывать ФСТЭК свежий код, готовы показывать только старый, им самим более не нужный (анализ кода – условие сертификации).

Первый вариант маловероятен. По крайней мере, хочется верить, что так легко ФСТЭК не проведёшь. Второй вероятен более чем.

Я бы не заинтересовался этой историей, если бы неделю назад новость не транслировались из каждого утюга: было ясно, что люди в российском Check Point бурно празднуют победу. И если бы вместо того, чтобы нагло игнорировать вопрос «почему старьё», мне по-русски, без поминания модулей самотестирования, объяснили природу явления, я, скорее всего, просто ретранслировал бы комментарий на публику и успокоился. Но ничего объяснять не захотели.

Теперь, когда природу явления мы выяснили самостоятельно, вернёмся ненадолго к импортозамещению. Оно в IT не мэйнстрим – сделать всё самим немыслимо, всегда надо что-то импортировать. Но не всё же подряд.

Ключевой вопрос: производят ли в России межсетевые экраны, способные конкурировать с «Check Point Security Gateway версии R77.30»? Да, производят.

Пойдёт ли на пользу отечественному производителю внесение R77.30 в реестр разрешённой к госзаказу продукции? Нет, не пойдёт.

Аргументировать против этого можно только одним способом: упирая на благо конкуренции. Но здесь конкуренция никакое не благо, а благоглупость. Рубль, заработанный IT-компанией, оборачивается минимум пятью рублями прироста ВВП – с какой, спрашивается, стати надо эти шесть (1+5) бюджетных, т.е. народных, рублей отдавать Check Point, в ВВП другой страны? Да ещё за устаревший, неподдерживаемый продукт? Дополнительные возражения против лозунга «ах, до чего же полезна конкуренция, спасибо, ФСТЭК!» есть во множестве, однако довольно и этого.

Далее. Анализ кода уменьшает риск, но не избавляет от него (Check Point – это израильский Huawei, в миниатюре, конечно). Пренебрегаете этим риском – ладно, не настаиваю. С меня довольно того, что остаётся риск прекращения поставок из-за санкций. Его оспорить сложнее.

В общем, история странная. Высказаться о ней было необходимо.

Точка зрения автора может не совпадать с мнением редакции.