
5 причин, почему Россия должна разрабатывать собственное ПО
Кибербезопасность глазами бывшего разведчика американской армии
Мне нравится идея, что Китай, Россия, Северная Корея и другие страны, представляющие интерес для американской разведки, хотят пользоваться собственным ПО, и тому есть как минимум пять причин:
- Почти все зарубежные программисты пишут скверный код.
Американские разработчики не совершенны, но все же превосходят коллег из других стран. Например, у Cisco много проблем, но запущены процессы их урегулирования, а также постоянно улучшается безопасность кода. Плохой код неамериканских разработчиков означает, что американской разведке легче взламывать иностранные объекты.
- Почти все зарубежные предприятия отстают от уровня безопасности США на 5-10 лет.
Даже если иностранный объект интереса спецслужб имеет свое отечественное ПО с надежным кодом, ИТ процессы, поддерживающие этот код, отстают от американских аналогов. И богатый американский опыт учета ресурсов, управления обновлениями, обеспечения безопасности их отечественному коду не поможет. Недоработки в этих областях делают предприятия с неамериканским ПО легкими объектами для иностранных эксплойтов.
- Иностранные компании с отечественным кодом выгодны как американской разведке, так и американским предприятиям.
Действующая программа Vulnerability equities process (согласно которой федеральное правительство США оценивает все выявленные уязвимости с точки зрения возможной пользы), ставит американскую разведку в затруднительное положение: замалчивать уязвимость и получать с ее помощью доступ к устройствам иностранных объектов, или докладывать разработчику о необходимости защитить американские и вражеские организации?
Дилемма исчезнет, если иностранные объекты будут пользоваться собственным кодом – патчи к американскому ПО на слежку за объектами не повлияют, а американцев защитят.
- Написание и использование отечественного кода – это самый быстрый путь к улучшению.
Когда другие страны заказывают значительную часть программного обеспечения у внешних разработчиков, они теряют (или вообще не приобретают) способность самим писать и использовать качественное ПО. Написание и применение собственного кода – суровая школа безопасности для иностранных предприятий. Американская разведка сможет 3-5 лет порезвиться в их ПО, пока они топчутся на месте с постоянно скомпрометированными системами. Они, конечно, смогут научиться на ошибках, если направят на это национальное внимание и ресурсы, и тогда станут крепкими орешками для спецслужб. Но у американцев все равно останется преимущества пункта 3.
- Надежный отечественный код способствует международной стабильности.
Страны типа Китая особенно уязвимы для американских эксплойтов, и их страхи обоснованы. Они не могут должным образом обновлять код внешних разработчиков, поэтому становятся легкой мишенью для хакерских атак, а во всех атаках они склонны винить американские спецслужбы. Все это очень дестабилизирует ситуацию в мире. И хотя разработка собственного ПО будет мучительным и долгим процессом, в результате он приведет к более стабильной ситуации. Страны почувствуют себя менее уязвимыми. Запустят собственную программу Vulnerability equities process. Станут экспертами, а не параноиками.
Последний момент: чтобы иностранным разработчикам запустить собственное производство, им фактически придется создавать ПО с открытым исходным кодом. С одной стороны, это даст им необходимую популярность и возможность использовать чужой опыт, но с другой, сведет на нет преимущества пункта 3. Однако держу пари, иностранцы тут похожи на американцев: они не доверяют открытому исходному коду и предпочитают изобретать свой собственный, возлагая всю ответственность на разработчиков. Поэтому можно не волноваться за американскую разведку, открытый исходный код еще не скоро устранит преимущества пункта 3.
Оригинал: https://taosecurity.blogspot.ru/
Перевод: Екатерина Галицкая