Поделиться
Власти строят систему автоматического поиска «дыр» в исходниках государственного ПО на С, С++, Java
Власти собираются проверять исходный код госсайтов и приложений на уязвимости. Для этого НИИ «Восход», подведомственный ведомству, закупает необходимый софт. ПО должно выявить в исследуемых сервисах уязвимости и информацию о том, как их исправить. Эксперт отмечает, что это принципиально новая инициатива, но на рынке только одна компания предоставляет такое решение.
Центр анализа защищенности
Как выяснил CNews, НИИ «Восход», подведомственный Минцифры, закупает ПО для анализа исходного кода и бинарных файлов госсайтов и приложений. Закупка проводится в рамках создания государственного центра анализа защищенности мобильных и веб-приложений государственных информационных систем. Он будет представлять собой систему для проверки мобильных и веб-приложений ГИС на угрозы информационной безопасности.
На эти цели выделено 170,2 млн руб. Тендер размещен 15 сентября 2022 г. в формате открытого аукциона. На создание центра в целом заложено 700 млн руб. в рамках федпроекта «Информационная безопасность» нацпрограммы «Цифровая экономика».
Ввод центра в опытную эксплуатацию и запуск процедуры проверки мобильных приложений запланирован на конец 2022 г.
Как это будет работать
Согласно техническому заданию, закупаемое ПО должно выполнять автоматический анализ исходного кода программ на языках С, С++, Java, C#, Kotlin и Go. По результатам анализа приложений ПО должно выдавать рекомендации по настройке средств защиты информации (СЗИ) для уязвимостей.
ПО должно также предоставлять информацию о том, почему найденные в приложении уязвимости опасны, как их исправить, а также место в коде, в котором была найдена уязвимость.
Как рассказал CNews собеседник на ИБ-рынке, анализ исходного кода — это принципиально новая инициатива. «Но хотелось бы понять, с помощью какого ПО это будут производить, так как среди российских разработок мне известен только один продукт такого плана — у InfoWatch Натальи Касперской», — говорит он. По его словам, на рынке анализаторов уязвимости до сих пор преобладали западные решения, но «вряд ли они будут использованы в текущей ситуации».
По оценке собеседника издания, повышение защищенности мобильных и веб-приложений, очевидно, позволит сделать ГИС более надежными. «Это может помочь, например, снизить риск утечек, связанных с неработоспособностью государственных систем, — отмечает он. — Минусы такой инициативы могут быть связаны с организационными моментами — увеличением регуляторной нагрузки, сроков разработки и внедрения ГИС».
«Таких центров ранее не было, проверки безопасности ГИС зачастую осуществлялись разово, в рамках отдельных работ по частным техзаданиям. — рассказал CNews Александр Моисеев, ведущий консультант по информбезопасности Aktiv.Consulting (входит в компанию “Актив”). — Текущий подход предназначен с одной стороны для стандартизации, а с другой свидетельствует о встраивании процессов безопасности в жизненный цикл ГИС».
При этом эксперт отметил, что ни один инструмент не гарантирует выявление всех уязвимостей, и всегда остаются участки кода, которые потребуют ручной проверки в экспертном режиме.
Хакеры атакуют госучреждения
В нынешней реальности проверки мобильных и веб-приложений ГИС как никогда актуальны. В первом полугодии 2022 г. почти половина российских госструктур столкнулись с кибератаками, следует из исследования Центра подготовки руководителей и команд цифровой трансформации РАНХиГС.
Рост кибератак на российские госструктуры, критически важные предприятия и финансовые организации резко выросло менее чем через месяц после начала спецоперации на Украине.
Вместе с тем злоумышленники стали покупать логины и пароли сотрудников крупных компаний и госструктур. Эти данные могут быть использованы для атаки на критическую информационную инфраструктуру (банковские, транспортные и прочие важные системы).
Короткая ссылка
