Российские разработчики программного обеспечения регулярно нарушают требования ФСТЭК по срокам устранения уязвимостей в своих продуктах

Как сообщает «Коммерсант» со ссылкой на представителей ФСТЭК, российские разработчики программного обеспечения регулярно нарушают требования ведомства по срокам устранения уязвимостей в своих продуктах. Практика, подчеркнули в службе, показывает «недостаточную эффективность поддержки ПО».

«Службы технической поддержки российских вендоров должны реагировать молниеносно на требования заказчиков, но все чаще и чаще возникает ситуация, когда обратной связи по средствам защиты недостаточно»,— говорил заместитель главы ФСТЭК Виталий Лютиков 21 сентября на конференции BIS Summit.

Речь идет о соблюдении требований регламента включения информации об уязвимостях ПО в «Банк данных угроз безопасности информации» ФСТЭК.

По нему вендор софта в случае поступления информации о потенциальной уязвимости в своем ПО должен в течение 30 или 60 дней в зависимости от уровня угрозы принять меры к ее устранению, например разработать исправление (патч) для ПО.

Глава совета директоров «Базальт СПО» Алексей Смирнов объясняет, что нарушение регламента ФСТЭК может привести к отзыву у ПО сертификата. Это фактически закроет для вендора возможности поставок госзаказчикам, которые требуют от поставщиков сертифицированный софт.

Российские разработчики софта «отрабатывают инциденты» и вносят правки в ПО вдвое дольше, чем зарубежные, подтверждает гендиректор Factory5 Денис Касимов. Ситуация, по его словам, связана с возросшим спросом на отечественные продукты и, как следствие, ростом нагрузки на специалистов всех уровней технической поддержки.

Российские компании не были готовы к резкому увеличению запросов по обработке инцидентов после ухода западных поставщиков, соглашается директор по разработке ООО «Аурига» Елена Баранова.

«Для сокращения времени на обработку запроса требуются отдельные сервисные команды, что для российских разработчиков может оказаться слишком дорого»,— говорит она. Глава QA-отдела SimbirSoft Марина Тарасова добавляет, что у зарубежных компаний было больше опыта отработки инцидентов, тогда как российские игроки «не всегда обладают необходимой экспертизой и ресурсами для своевременной отработки инцидентов».

Весной 2022 года ФСТЭК отозвала сертификацию у более чем 50 иностранных разработчиков, среди них IBM, Microsoft, Oracle и др. Причиной отзыва сертификатов стало отсутствие технической поддержки вендоров, большинство из которых остановили бизнес в России.

Впрочем, участники рынка отмечают и важную технологическую причину неторопливости российских поставщиков ПО.

По словам главы комитета по информбезопасности ассоциации «Отечественный софт» Романа Карпова, существенная доля сертифицированного ФСТЭК российского ПО основана на открытом коде, устранением уязвимостей в котором «занимается не конкретный разработчик, а сообщество». «Из-за этого некоторым компаниям тяжело в срок выполнять устранение уязвимостей. Из-за зависимости компаний от сторонних разработчиков решение задачи может растянуться на несколько месяцев»,— поясняет он.

Источник в разработчике общесистемного ПО уточняет, что еще одной проблемой доработки софта, основанного на открытом коде, стали риски внедрения в него недобросовестными участниками сообщества вредоносного кода и «разработчики вынуждены проверять и перепроверять каждое обновление перед передачей пользователю».

Сравнивать российских и зарубежных вендоров по скорости техподдержки и реакции на возможные уязвимости ПО некорректно, настаивают в АПКИТ.

«Импортозамещение идет в ускоренном режиме. Поэтому все силы IT-компаний в первую очередь брошены на срочную разработку аналогов или опережающих решений. Сервис, обучение, документирование пока по естественным причинам нехватки ресурсов могут несколько отставать»,— отмечают там.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *