Cергей Гарбук: кадры – одна из самых серьезных угроз в IT-безопасности

Начавшееся после антироссийских санкций в 2014 году импортозамещение подтолкнуло российских разработчиков к созданию отечественного программного обеспечения (ПО) и производству электронной компонентной базы, что позволило бы создавать качественные продукты, способные заменить широко распространенный импорт. Заместитель генерального директора — руководитель направления информационных исследований Фонда перспективных исследований Сергей Гарбук рассказал РИА Новости о том, сможет ли локализация разработки ПО в России стать ответом на современные информационные угрозы и как удержать в родной стране молодых программистов.

— Что понимается сегодня под угрозами в сфере IT, существует ли соответствующая классификация?

— В современном мире угрозы информационной безопасности многочисленны и разнообразны: в первую очередь это связано с информатизацией практически всех сфер жизни человека. Угрозы существуют как на уровне отдельных граждан, так и на уровне безопасности общества и государства, и различаются как по механизму реализации, так и по своим последствиям. Они могут быть связаны и с нарушением конфиденциальности обрабатываемой информации, и с низким качеством программного обеспечения, и с нарушениями в экономической и технологической сферах.

Для того чтобы рассуждать о парировании угроз, необходимо четко представлять себе процесс создания ПО. Наиболее часто используется многоэтапное представление этого процесса: исследования, разработка пользовательского интерфейса, разработка спецификаций и архитектуры, программирование, программная сборка, тестирование и валидация, запись на сервер для последующей загрузки на устройство пользователя. Каждой стадии жизненного цикла программных продуктов соответствуют свои специфические угрозы, связанные, соответственно, с созданием, приобретением, применением и поддержанием ПО. В современном мире разные этапы этого процесса могут осуществляться в разных странах, и одним из самых важных этапов с точки зрения обеспечения безопасности считается страна, где осуществляется программная сборка.

— Какие меры предпринимаются для обеспечения безопасности используемого импортного ПО?

— Сегодня это лицензирование и сертификация, применение сертифицированных технических средств защиты информации, аттестация объектов информатизации и реализация других организационно-технических мероприятий. При условии, что все эти способы добросовестно применяются, страна происхождения программного обеспечения перестает быть существенной. Этому есть несколько причин: страна происхождения ПО для негосударственных компаний-разработчиков может измениться с течением времени и российское гражданство собственника такой компании также не даст никаких гарантий, так как угрозы могут быть связаны не только с созданием, но и с эксплуатацией программного обеспечения. Более того, введение искусственных ограничений на применение импортных программных продуктов, разработанных добросовестными производителями и должным образом сертифицированных для использования на территории России, может повредить здоровой конкуренции и привести к снижению качества отечественных продуктов.

Для того чтобы эффективно парировать угрозы, связанные с созданием и использованием программного обеспечения, необходимо применять комплексные меры: это и контроль статуса разработчиков и поставщиков ПО как резидентов России, и квалификационное тестирование программных средств, и заранее оговоренные сроки, и условия технической поддержки ПО, и создание на территории нашей страны хранилищ исходных кодов и дистрибутивов, которые обеспечивают поддержку программного обеспечения. Эти меры не будут работать по отдельности: такие задачи будут эффективно решаться только при условии постоянного сотрудничества между всеми заинтересованными участниками.

Одна из самых серьезных угроз в сфере информационной безопасности связана с подготовкой кадров. Безусловно, российский образовательный продукт в сфере IT сегодня очень высоко ценится во всем мире, однако большое количество выпускников отечественных вузов трудоустраиваются в зарубежные компании и именно там работают над созданием программного обеспечения. Для того чтобы привлечь их к созданию отечественной продукции, также необходимы общие усилия государства, крупных компаний и образовательных организаций: получая хорошее образование, человек должен понимать, что его разработки интересны ведущим российским компаниям, что он, как специалист, будет востребован и получит возможность применить свои способности и реализовать интересные проекты в своей родной стране.

— Какова роль Фонда перспективных исследований в этих процессах? Что тут можно сделать?

— Помимо реализации проектов, направленных на создание экосистемы для разработчиков отечественных программных продуктов, ФПИ работает как институт развития, предоставляющий возможность для небольших команд получить возможность сотрудничества с крупными, в том числе государственными, заказчиками. Один из форматов работы фонда с такими командами — организация технологических конкурсов, направленных на поиск лучшего решения той или иной научно-технической задачи. Участие в таких конкурсах для студентов и молодых специалистов — это возможность попробовать свои силы в решении реальной сложной задачи и в некоторых случаях впоследствии выйти на реализацию полноценного проекта по воплощению представленного решения.

В частности, в настоящее время проходит прием заявок на участие в конкурсе на лучшее решение в области программно-аппаратного обеспечения для автономного управления беспилотными летательными аппаратами, то есть конкурс для тех, кто хочет программировать полностью автономные беспилотники. Готовится к запуску конкурс в области интеллектуальных технологий контроля ручных операций сборочного производства. Привлекая к участию в таких конкурсах студентов и молодых ученых, фонд стремится создать пространство для развития сильных команд разработчиков, которые впоследствии, возможно, станут участниками крупных российских проектов в сфере IT.