С ростом киберугроз безопасная разработка программного обеспечения (РБПО) становится жизненной необходимостью и для мировой, и для российской IT-индустрии. Причем безопасная разработка - не маркетинговый термин, а регламентированный процесс создания программных продуктов с учетом их безопасности на всех этапах жизненного цикла, от проектирования до развертывания и поддержки.
В конце 2024 года вступил в силу ГОСТ Р 56939-2024, который устанавливает обязательные требования к обучению сотрудников, занимающихся разработкой и сопровождением приложений, с целью обеспечения высокого уровня информационной безопасности. Однако, как рассказали "РГ" в Swordfish Security, сегодня начальные знания в области РБПО присутствуют лишь у 30% российских разработчиков. "Остальным необходимо, что называется, "поступить в первый класс", - говорит специалист компании Екатерина Башарина.
"Действительно существует ряд проблем, связанных с ростом квалификации команд разработчиков, а также падением их эффективности. Нередко команды теряют опытных специалистов, а их места занимают менее квалифицированные сотрудники, которые слишком сильно полагаются на нейросети и плохо знакомы с методами и подходами к разработке ПО", - соглашается директор IT-департамента компании DCLogic Михаил Копнин.
Особое значение РБПО имеет для государственных информационных систем (ГИС) и критической информационной инфраструктуры (КИИ), к которым относятся критически важные объекты для ключевых сфер государства и общества: здравоохранения, промышленности, связи, транспорта, энергетики, финансового сектора и городского хозяйства.
Почему безопасной разработке сейчас уделяют так много внимания?
"Компании абсолютно всех отраслей активно занимаются цифровизацией, внедряют различные приложения, которые начинают играть все большую роль в их бизнес-процессах. Поэтому так много внимания уделяется информационной безопасности (ИБ) в целом и безопасной разработке в частности. Подход Secure by Design продиктован экономикой: исправление ошибок и поиск уязвимостей после выпуска программного продукта обходится в 10-100 раз дороже, чем предотвращение их на этапе разработки, - говорит руководитель центра развития навыков кибербезопасности компании Innostage Дмитрий Матвеев и продолжает. - Любые внешние средства защиты информации не могут обеспечить 100% защиту приложения от атак, если в самом его коде существует большое количество уязвимостей".
Сегодняшняя цифровая среда - это постоянная гонка между разработчиками средств защиты информации и киберпреступниками. Несмотря на развитие внешних средств защиты - таких как антивирусы, файрволы, системы обнаружения вторжений и т. д. - практика показывает, что этого всего недостаточно.
"Основная угроза таится в уязвимостях самих приложений, установленных внутри сетевого периметра компании. Ошибка на этапе разработки может привести к уязвимости, которую злоумышленник рано или поздно найдет и использует. Если приложение "дырявое", никакая внешняя защита не спасет: она либо просто не успеет отреагировать, либо не заметит вторжения. Иными словами, внешние средства - это вторая линия обороны. А первая - это сами разработчики, которые должны строить системы, устойчивые к атакам еще на этапе проектирования и разработки. Поэтому сегодня акцент сместился в сторону безопасной разработки - то есть предотвращения проблем еще на стадии написания кода", - рассказал "РГ" директор по разработке компании "Некстби" Константин Беседин.
ГОСТ Р 56939-2024 фиксирует эту необходимость и делает упор на обучение разработчиков, чтобы специалисты понимали, как писать защищенный код, как проводить анализ уязвимостей кода, как правильно применять и использовать пароли, шифрование и другие технологии защиты информации.
Где же в условиях дефицита программистов взять специалистов, которые будут владеть знаниями и навыками разработки безопасного ПО? В Swordfish Security считают, что одним из решений может стать создание центров компетенций РБПО.
А руководитель группы аналитиков по информационной безопасности "Лаборатории Касперского" Екатерина Рудина отмечает, что специалистами по безопасной разработке не обязательно становиться с нуля. "Каждый разработчик с определенного момента начинает уделять достаточно внимания качеству кода, а безопасность - это домен качества. Среди разработчиков, которых особенно интересуют технологии и процессы обеспечения качества и безопасности, находятся те, которые занимаются этим уже направленно. Так появляется новая дисциплина, практические и теоретические основы которой становятся базой для обучения", - отмечает Рудина.
А по мнению Матвеева, лучший вариант, если компании начнут дообучать своих сотрудников через тренинги и DevSecOps-инструменты и нанимать разработчиков уже с базовыми знаниями безопасности.
Свой вклад в подготовку РБПО-разработчиков также могут внести и вузы, уверен Копнин: "Важно учить студентов разным методам и подходам к разработке программного обеспечения. Не забывать про такой предмет, как ТРПП (технология разработки программных продуктов) и меньше полагаться на нейросети, систематически повышая собственную квалификацию".