Информационная безопасность с открытым кодом: почему Россия уступает?

 В США и Великобритании компании все чаще отдают предпочтение ПО с открытым кодом как более надежной и безопасной альтернативе проприетарного ПО. Между тем, на российском рынке решений в сфере ИБ с открытым кодом практически нет. Но это временное явление, считают 

16 октября 2009 года Министерство обороны США издало Меморандум по вопросам использования ПО с открытым кодом, где утверждается, что данный тип ПО предпочтителен для министерства, так как позволяет более быстро развивать и адаптировать программное обеспечение в ответ на все новые угрозы и постоянно изменяющиеся требования. Шестистраничный документ американского оборонного ведомства вызвал большой резонанс в мировом ИТ-сообществе, а факт готовности американских военных к масштабному восприятию Open Source был воспринят как сигнал о достаточно высоком уровне надежности и безопасности решений с открытым кодом.



Общепринято мнение, что ПО с открытым кодом не предназначено для конечного пользователя, не готового разбираться в технической стороне дела

Сегодня в ИТ-сообществе уже сложилось понимание, что сама по себе модель разработки ПО мало говорит об уровне его безопасности. Программы с открытым кодом бывают качественными и плохими – так же, как это обстоит с проприетарным ПО. Вместе с тем, согласно недавнему исследованию Accenture, американские и британские компании все чаще выбирают ПО с открытым кодом не из-за его более низкой цены, а по причине более высокого качества, надежности и безопасности.

В каких задачах открытый код эффективен

? Программы с открытым кодом традиционно хорошо представлены в сегменте инструментального ПО – то есть, такого программного обеспечения, которое рассчитано не столько на конечных пользователей, сколько на квалифицированных администраторов и разработчиков. К числу таких программ можно отнести, например, пакет iptables, позволяющий настраивать правила фильтрации IP-пакетов на уровне ядра Linux, приложение openssh, являющееся стандартом де-факто в области защищенного удаленного доступа в UNIX-системах, библиотеку OpenSSL, чрезвычайно широко используемую для защищенных удаленных соединений.

В некоторых отраслях Open Source-инструменты добились положения лидеров рынка. Это можно сказать о Snort – стандарте де-факто в сфере обнаружения и предотвращения сетевых вторжений. Пакет впервые был опубликован в 1998 году, и сегодня его разработкой занимается компанией Sourcefire, которую основал создатель Snort Мартин Рэш. Snort осуществляет анализ и журналирование сетевого трафика в IP-сетях в режиме реального времени и позволяет оперативно обнаруживать попытки несанкционированного доступа и информационных атак. Система может быть установлена как на UNIX-системах, так и на Windows.

В 2007 году компания Sourcefire осуществила выход на рынок антивирусного ПО, приобретя коллектив разработчиков ClamAV. Однако антивирусное ПО с открытым кодом, такое как ClamAV, привлекает прежде всего тех пользователей, которые не имеют возможности платить за услуги по своевременному обновлению антивирусных баз данных – в итоге в части рейтингов ClamAV существенно уступает проприетарным аналогам.

Игрушки для профессионалов

Общая черта большинства решений с открытым кодом в сфере информационной безопасности заключается в том, что их установка, настройка и развертывание требуют специальной компетенции. Это не продукты для конечного пользователя, не готового разбираться в технической стороне дела, а скорее, для компетентных администраторов и интеграторов.

Собственно, высокий порог вхождения во многом является залогом существования для компаний, поддерживающих соответствующие проекты на коммерческой основе. Так, Sourcefire создает продукты корпоративного класса и предлагает услуги на базе Snort. В то же время, спам-фильтр с открытым кодом SpamAssassin очень часто можно встретить "внутри" решений от других поставщиков, среди которых можно назвать Barracuda Networks и McAfee.

Коммерческая поддержка и более дорогие "корпоративные версии" с закрытым кодом, созданные на базе популярных открытых решений, имеют важнейшее значение для жизнеспособности Open Source-решений в области безопасности. С одной стороны, они позволяют разработчикам профинансировать свою работу, с другой – они позволяют компаниям заручиться гарантией коммерческого поставщика в том, что установленный продукт действительно будет надежно работать.

 

Что мешает появлению российских решений?

В России получить коммерческие услуги по поддержке для продуктов с открытым кодом в сфере безопасности или специализированные корпоративные версии, адаптированные для корпоративных пользователей, особенно проблематично. По сути, на российском рынке коммерческие предложения в области Open Source-безопасности отсутствуют. Вот как комментирует эту проблему Александр Песляк, основатель проекта Openwall, и ведущий разработчик защищенного дистрибутива Openwall GNU/*/Linux: "Я бы сказал, что не только в России, а в мире в целом спрос именно на безопасность в чистом виде – низкий. Есть спрос на решения, которые еще и безопасны (это небольшой плюс при сравнении с другими). Этим мы и занимаемся. Причины этого слабо связаны именно с ИБ. Скорее, они связаны с нашим стилем работы", – отмечает Александр Песляк.

Александр Анисимов, руководитель отдела разработки систем информационной безопасности компании Positive Technologies, убежден, что отсутствие качественных российских решений в сфере ИБ с открытым кодом – явление временное: "Я думаю, эта ситуация – это отражение текущей "зрелости" и масштаба российского рынка разработки ПО в целом. Возьмем, например, рейтинг CNews 100 крупнейших ИТ-компаний России и посмотрим, сколько коммерчески успешных компаний по производству ПО вошли в него? Совсем немного. А разработчиков программного обеспечения в области ИБ? Единицы. После этого становится ясно, что такой низкий показатель … – это результат общей картины на всем рынке создания российского ПО".



Пакет программ WebAppTools опубликован на условиях LGPL

Примечательно, что недавно Positive Technologies сама опубликовала компонент с открытым кодом. Речь идет о комплекте ПО WebAppTools, предназначенном для анализа уровня безопасности веб-серверов. "Это решение позволило нам свободно интегрировать и использовать уже существующие и хорошо зарекомендовавшие себя открытые стандарты, библиотеки и другие открытые проекты, – говорит Александр Анисимов. – Мы привлекаем к проекту все большее количество специалистов, и при этом мы уже сейчас оказываем и готовы продолжать в дальнейшем оказывать им всяческую поддержку".

 

Но Александр Песляк считает, что есть и другие причины, по которым российским специалистам, обладающим компетенцией одновременно в сфере разработки ПО с открытым кодом и в сфере информационной безопасности, трудно найти заказчиков у себя в стране. К этим факторам относятся объем и условия оплаты, готовность заказчиков к ведению проекта на удаленной основе. К тому же, за рубежом легче найти проекты, которые представляли бы интерес для разрабочтиков Openwall: "Должно быть пересечение интересов и пожеланий заказчика и исполнителя, а это встречается не часто," – резюмирует Александр Песляк.

Наконец, еще одна проблема, по которой решения с открытым кодом в сфере безопасности не находят широкого признания у российских пользователей, заключается в отсутствии у таких программ обязательных сертификатов: "Есть спрос на "формальную безопасность" (сертификация и тому подобное), но мы туда не лезем. С Open Source это пересекается слабо", – замечает лидер проекта Openwall. Очевидно, что некоммерческие проекты или западные компании, осуществляющие разработку ПО с открытым кодом в сфере ИБ, не обладают ресурсами для выполнения формальностей, необходимых для получения соответствующих сертификатов.

Однако нынешняя политика российского правительства дает основания надеяться, что в будущем количество сертифицированных решений с открытым кодом возрастет: "Будет появляться все больше и больше успешных продуктов и с открытым кодом и, в частности, в области ИБ. Я думаю, этот процесс в России значительно ускорится благодаря принятию правительством РФ решений по обеспечению национальной безопасности в сфере ИТ на основе внедрения открытого и свободного ПО в государственных и бюджетных организациях", – прогнозирует Александр Анисимов.

 

 

Источник: http://open.cnews.ru/reviews/index.shtml?2010/10/11/411803

style="display:inline-block;width:728px;height:15px"
data-ad-client="ca-pub-4493870272388852"
data-ad-slot="6622567932">