В последние пару месяцев дискуссии на тему импортозамещения серьезно обострились. Санкции, антисанкции и прочие политические игры потихонечку докатились и до ИТ– и ИБ-отрасли. Причем основной акцент в обсуждении проблемы импортозамещения делается на программном обеспечении. И ведь действительно, что делать бизнесу, если в какой-то момент случится коллапс на уровне западного ПО? Вдруг внезапно отключатся все базы данных или, того хуже, – перестанет запускаться операционная система? Апокалипсис, не иначе. Откровенно говоря, о таком исходе даже думать не хочется. Но нужно.
Пока, конечно, большая часть всех этих разговоров базируется на слухах. Так, в последние полтора-два месяца мне не раз доводилось слышать однотипные истории: «А ты слышал, что в компанию N, такой-то вендор прислал официальное письмо, что их снимают с технической поддержки и регулярных обновлений». Правда это или нет, сказать со 100%-й уверенностью не могу, поскольку сам я оригинала подобного письма не видел ни разу. Но и отрицать такое развитие событий никак нельзя, ибо все понимают: в современном мире вероятность подобного сценария намного больше 0. И при определенном политическом давлении даже совершенно коммерческие структуры будут вынуждены пожертвовать долей прибыли, дабы не попадать в немилость.
И тут сразу встает серьезный и вполне практический вопрос – что делать? Что делать конкретной организации на фоне всей этой информационной и санкционной войны? Что делать простым сотрудникам ИТ– и ИБ-департаментов, чтобы не допустить полного коллапса и остановки всех бизнес-процессов? В принципе, ответов тут может быть множество: от простого «ничего не делать» до нервно-решительного «срочно меняем весь софт на более дружественный, из стран, не участвующих в санкциях».
Понятно, что универсального ответа на эти вопросы нет. Ведь сама ситуация для нас, в общем-то, беспрецедентная. И хотя отдельные представители ИТ-сообщества не один год предупреждали о возможности такого сценария, бизнес-сообществу, да и системе государственной власти и обществу в целом он казался совершенно нереальным. Поэтому готовых решений не выработано.
Но мне, как идейному безопаснику, первый вариант (авось пронесет) кажется чересчур рискованным. Ведь, с одной стороны, теперь мы не отрицаем возможности подобного давления через вендоров, т. е. признаем риск. Но, с другой стороны, ничего не пытаемся с ним сделать, даже хотя бы немного его снизить. Это странное и непрофессиональное отношение к рискам. Я бы поступил иначе, пытаясь найти некую золотую середину между двумя вышеуказанными крайностями.
Мне кажется, что в качестве первого шага было бы разумно полностью ограничить обмен информацией особо критичных информационных систем с внешним миром (может быть, даже всех систем из зоны риска, начиная с ОС и заканчивая базами данных и прочим ПО). Т.е. промониторить трафик, понять, куда обращаются те или иные продукты, зачем они туда обращаются, где получают обновления и т.п. И свести информацию, полученную в разных организациях, в единую БД, чтобы как можно быстрее сформировать достаточно полный профиль поведения различных продуктов, поискать в этом поведении отраслевые и иные корреляции. Сделать это нужно, в первую очередь, потому, что любое изменение в функционировании реальных систем всегда будет следствием некого изменения извне (например, обновления или патча, в том числе и скрытого).
Понятно, что полностью отрезав систему от получения патчей и обновлений, мы тем самым сделаем ее уязвимой, но когда на кону общая работоспособность, тут, как говорится, не до жиру. Потом отдельные патчи и обновления можно будет тестировать на опытных участках и в случае их нормальной работы, распространять дальше. Кстати, именно так, в общем-то, и должна работать любая ИТ– и ИБ-служба даже в обычном режиме, не говоря уже об экстренных ситуациях, как с санкциями.
Ясно, что подобная блокировка не на 100% решит проблему внесения в ИС деструктивных компонентов, и никто еще не отменял бэкдоров. Т.е. все мы должны прекрасно понимать – если нас решили во что бы то ни стало «отключить», то конечно отключат. Но мы хотя бы сделаем все от нас зависящее, чтобы затруднить это. В общем, будь я сегодня, как 10 лет назад, администратором с функциями по ИБ, я бы себе не позавидовал…
Начать дискуссию