Использовать ПО с открытым кодом в компаниях ТЭК крайне рискованно
25.03.2022 Время чтения 5.9 мин. Экономика
В условиях новых санкционных ограничений у бизнес руководства компаний ТЭК возникают новые риски, о которых ранее, возможно, задумываться не приходилось. Необходимо обратить внимание на новые риски кибербезопасности, связанные с использованием программного обеспечения с открытым кодом (Open Source).
Несколько слов о том, что это такое. Программное обеспечение с открытым кодом создается много десятилетий, его истоки лежат в зарубежных университетах. Идея заключается в том, что результаты разработок отдельных групп ученых и программистов могут быть публично доступны всем желающим. Группы разработчиков добровольно объединяются в сообщества, которые занимаются на некоммерческой основе разработками отдельных обычно общеупотребимых функций. Все, что сделал один разработчик, становится доступным для всего сообщества. Подход напоминает добровольное строительство чего то или совместное выращивание чего то, коммерческая выгода от деятельности отсутствует. Речь может идти, например, о совместной разработке операционной системы ЭВМ, о создании базы данных, Wikipedia, как пример, о разработке удобных и общеупотребимых инструментов для разработки ПО.
Так как деятельность сообществ некоммерческая, то сообщества дают право другим разработчикам, компаниям или сообществам иметь доступ к своим исходным кодам, которые могут использоваться как компонента при разработке нового программного обеспечения.
Какие существуют риски при использовании ПО с открытым кодом? Так как речь идет о добровольном сообществе программистов, то никто не несет формальной ответственности за качество ПО и за сроки исправления ошибок. Также никто не отвечает за модификацию ПО в части вами востребованного функционала. Доработка может проводиться, если сообщество сочтет это целесообразным. А если не сочтет, то это ваша проблема. Все исходные коды сообществ хранятся в нескольких местах на серверах за рубежами нашей страны. Недавно Microsoft приобрела инфраструктуры основного хранилища исходных кодов открытого ПО GitHub.
Через одно из сообществ в свое время появилась операционная система (ОС) для ЭВМ Линукс. Она считается импортонезависимой, так как никто не может ограничить пользователя в ее использовании. Поставляется свободный Линукс бесплатно и бессрочно.
Проблемы возникают, когда свободное ПО пытаются внедрить на производстве. Кто отвечает за работоспособность ПО и за его развитие? Что делать, если внезапно возникла ошибка, влияющая на непрерывность производства? Для решения такого рода проблем начали возникать компании, которые, получая исходные коды программ от сообществ, брали на себя ответственность перед заказчиками за поддержку решений, на коммерческой основе. Так начали возникать различные версии операционной системы Линукс, выпускаемые разными коммерческими организациями. Каждая из этих организаций берет на себя обязательства перед заказчиками по технической поддержке ПО и по его развитию. Появились АльтЛинукс, Астра Линукс, РОСА, Ubuntu, CentOS и т.д. Если требуется, версия операционной системы может быть сертифицирована компетентными организациями на предмет безопасности, для ряда версий такая сертификация проведена.
На сегодня в России порядка 35 различных версий операционной системы Линукс. И каждая версия ОС имеет свои особенности, содержит свои драйверы устройств. Прикладное специализированное ПО, работающее с одной ОС может не работать с другой. Оборудование, работающее с одной версией ОС, может не работать с иной версией ОС. Например, принтеры, могут не работать с разыми Линуксами. Никаких стандартов на использование операционной системы Линукс в РФ сегодня нет. Это приводит к реальным проблемам переноса специализированного ПО с ОС Microsoft Windows на Линукс. При этом Microsoft объявил, что уходит из России.
С началом операции на Украине зарубежные сообщества, разрабатывающие открытое ПО, выступили с инициативой отрезать российских разработчиков от хранилищ исходных кодов. Технически у них такая возможность есть. В России на сегодня отсутствует общедоступная инфраструктура для хранения исходных кодов ПО, разрабатываемых или выгруженных в России. Минцифры заявило, что работает над созданием такой инфраструктуры, сроки не называются. Инициатива отдельных сообществ по изоляции разработчиков в России и Белоруссии не была пока на Западе поддержана, большинством голосов решили пока не отключать от западного свободного ПО. А если завтра большинство или Microsoft изменят свои позиции?
Возникает и еще один реальный риск- внесение незадокументированных возможностей (НДВ) в обновление ПО с открытым кодом при скачивании с зарубежных ресурсов обновлений. С 24.02 такое ПО стало уязвимым ввиду того, что код не контролируется на территории РФ. Эту уязвимость тут же идентифицировали крупнейшие заказчики ТЭК, разослав поставщикам инструкцию, запрещающую скачивать открытый код с ресурсов и устанавливать у заказчиков. Надо отметить, что ПО с открытым кодом очень широко используется в РФ в качестве инструмента для разработки своего собственного ПО, я бы сказал, повсеместно. Будучи инструментом, такое ПО не устанавливается у конечного заказчика.
Есть второй вид использования ПО с открытым кодом- использование компонент для построения своих собственных систем. Подобное использование стало популярным лет 6 тому назад, оно позволяется очень быстро как из кирпичиков строить сложные системы для заказчиков. Использование указанного подхода позволяет существенно сэкономить время вывода новых программных продуктов на рынок РФ. Ценой за скорость и простоту построения новых информационных систем является ненадежность ПО, плохая масштабируемость, отсутствие технической поддержки, риск НДВ. А с 24.02.22 киберриск вырос многократно, возникла очевидная уязвимость в безопасности.
Подводя итог, использовать ПО с открытым кодом в информационных системах компаний ТЭК крайне рискованно, ряд заказчиков просто запрещает это сегодня делать.
И еще один момент. Ситуация с тем, что в РФ сегодня используется 35 различных Линуксов в качестве импортонезависимой ОС для ЭВМ явно нездоровая, она не способствует консолидации средств и ресурсов в условиях мобилизационной экономики. В вопросе срочного введения определенных правил использования Линукс на промышленных предприятиях требуется руководящая роль Минцифры. Это та роль, которая реально востребована профессиональным сообществом и промышленными заказчиками.
О рисках использования программного обеспечения с открытым кодом на промышленных предприятиях
Харас Борис Захарович - председатель Союза разработчиков программного обеспечения ТЭК
Рейтинг поставщиков нефтегазового комплекса
Рейтинг нефтесервисных компаний
Рейтинг нефтегазостроительных компаний
Рейтинг производителей трубной продукции для нефтегазового комплекса
Рейтинги поставщиков топливно-энергетическрго комплекса
Рейтинг служб материально-технического обеспечения нефтегазовых компаний
Индикаторы цен на продукцию для нефтегазового комплекса
XI Конференция "Строительство в нефтегазовом комплексе", Нефтегазстрой-2022, 26 мая 2022 года
ХVI Конференция "Нефтегазовый сервис в России", Нефтегазсервис-2022, 27 октября 2022 года
ХV Конференция "Подряды на нефтегазовом шельфе", Нефтегазшельф-2022,28 октября 2022 года
Telegram-канал Модернизация ТЭК
Настенные карты "Инвестиционная активность в российском ТЭК
Предложить новость »