Власти строят систему автоматического поиска «дыр» в исходниках государственного ПО на С, С++, Java
Центр анализа защищенности
Как выяснил CNews, НИИ «Восход», подведомственный Минцифры, закупает ПО для анализа исходного кода и бинарных файлов госсайтов и приложений. Закупка проводится в рамках создания государственного центра анализа защищенности мобильных и веб-приложений государственных информационных систем. Он будет представлять собой систему для проверки мобильных и веб-приложений ГИС на угрозы информационной безопасности.
На эти цели выделено 170,2 млн руб. Тендер размещен 15 сентября 2022 г. в формате открытого аукциона. На создание центра в целом заложено 700 млн руб. в рамках федпроекта «Информационная безопасность» нацпрограммы «Цифровая экономика».
Ввод центра в опытную эксплуатацию и запуск процедуры проверки мобильных приложений запланирован на конец 2022 г.
Как это будет работать
Согласно техническому заданию, закупаемое ПО должно выполнять автоматический анализ исходного кода программ на языках С, С++, Java, C#, Kotlin и Go. По результатам анализа приложений ПО должно выдавать рекомендации по настройке средств защиты информации (СЗИ) для уязвимостей.
НИИ «Восход» закупает ПО для проверки исходного кода госсайтов и приложений
ПО должно также предоставлять информацию о том, почему найденные в приложении уязвимости опасны, как их исправить, а также место в коде, в котором была найдена уязвимость.
Как рассказал CNews собеседник на ИБ-рынке, анализ исходного кода — это принципиально новая инициатива. «Но хотелось бы понять, с помощью какого ПО это будут производить, так как среди российских разработок мне известен только один продукт такого плана — у InfoWatch Натальи Касперской», — говорит он. По его словам, на рынке анализаторов уязвимости до сих пор преобладали западные решения, но «вряд ли они будут использованы в текущей ситуации».
По оценке собеседника издания, повышение защищенности мобильных и веб-приложений, очевидно, позволит сделать ГИС более надежными. «Это может помочь, например, снизить риск утечек, связанных с неработоспособностью государственных систем, — отмечает он. — Минусы такой инициативы могут быть связаны с организационными моментами — увеличением регуляторной нагрузки, сроков разработки и внедрения ГИС».
Международный салон изобретателей: станет ли Новосибирск новым центром притяжения инноваторов? Инновации для промышленности
«Таких центров ранее не было, проверки безопасности ГИС зачастую осуществлялись разово, в рамках отдельных работ по частным техзаданиям. — рассказал CNews Александр Моисеев, ведущий консультант по информбезопасности Aktiv.Consulting (входит в компанию “Актив”). — Текущий подход предназначен с одной стороны для стандартизации, а с другой свидетельствует о встраивании процессов безопасности в жизненный цикл ГИС».
При этом эксперт отметил, что ни один инструмент не гарантирует выявление всех уязвимостей, и всегда остаются участки кода, которые потребуют ручной проверки в экспертном режиме.
Хакеры атакуют госучреждения
В нынешней реальности проверки мобильных и веб-приложений ГИС как никогда актуальны. В первом полугодии 2022 г. почти половина российских госструктур столкнулись с кибератаками, следует из исследования Центра подготовки руководителей и команд цифровой трансформации РАНХиГС.
Рост кибератак на российские госструктуры, критически важные предприятия и финансовые организации резко выросло менее чем через месяц после начала спецоперации на Украине.
Искусственный интеллект помог сохранить редкий язык Инновации для промышленности
Вместе с тем злоумышленники стали покупать логины и пароли сотрудников крупных компаний и госструктур. Эти данные могут быть использованы для атаки на критическую информационную инфраструктуру (банковские, транспортные и прочие важные системы).