Времена меняются. Еще несколько лет назад информационные технологии были в нашей жизни явлением важным, но вторичным. Сегодня же они проникли практически во все сферы, от медицины и банковского дела до проектирования машин и механизмов и управления бытовой техникой. Интернет вещей, который всего десять лет назад рассматривали как нечто из жанра научной фантастики, стал объективной реальностью. С одной стороны, это прекрасно. С другой, крах сегодняшних операционных систем может стать если не крахом нашей цивилизации, то, как минимум, причиной серьезного кризиса. Эти слова совершенно серьезно и обоснованно прозвучали на открытии конференции OS DAY, собравшей в здании Российской академии наук более 300 программистов, разработчиков ПО со всей России и постсоветского пространства. Уже по этому можно судить, насколько серьезно сегодня относятся представители отрасли системного программирования к вопросам надежности, безопасности и безотказности операционных платформ.
«В современном мире меняется само понятие безопасности, – сказал Андрей Тихонов, президент ассоциации «Доверенная платформа». – Если раньше это были, в основном, кибербезопасность и информационная безопасность, то сейчас это – надежность, устойчивость и приватность. Другой момент связан с пониманием термина «доверие» – то, как вы именуете и считаете свои риски, что с ними делаете. Возникает, так называемая, гарантия доверия – если вы кому-то доверяете, то создаете цепочки доверия, которые становятся все более сложными и приводят к необходимости использования высоконадежной архитектуры безопасности».
«Понятие ошибки давно вышло за пределы банального неудобства для пользователя, – согласился с ним Дмитрий Завалишин, один из основателей OS DAY, генеральный директор DZ Systems. – Если мы говорим об ошибках программного кода, позволяющих хакеру получить доступ к данным, то они же являются потенциальными источниками сбоев самой программы. Если в системе есть уязвимость, она в любом случае станет причиной возникновения проблемы. Проблемы, которая либо возникнет сама, либо будет создана извне, умышленно. Иными словами, говоря слово «надежность», мы подразумеваем устойчивость и к сбоям, и к взломам».
Проблема только в том, что абсолютно надежного программного обеспечения сегодня не существует. «Все уже понимают, что «серебряной пули», универсального средства от всех проблем в программировании нет и не будет, – рассказал журналистам на конференции Арутюн Аветисян, председатель программного комитета OS DAY, директор ИСП РАН. – Нет варианта, при котором можно вложить пусть даже и очень значительные ресурсы, создать некую технологию, и несколько лет жить спокойно. Даже если оснастить систему всеми возможными средствами навесной защиты, к сожалению, это не сделает ее абсолютно защищенной. Если применить все ныне существующие в мире инструменты для анализа кода и устранения уязвимостей, у вас все равно останутся ошибки, которыми может воспользоваться злоумышленник. Например, вы нашли все уязвимости в исходном коде, но среда, которая компилирует вашу чистую программу из исходного языка в машинный код, автоматически может внести туда эксплуатируемую уязвимость. Это связано с природой современных программно-аппаратных платформ».
Сегодня программисты оперируют не десятками и сотнями, а миллионами строк программного кода. Вычислить в таком объеме все уязвимости и ошибки сегодня пока что не представляется возможным. Это значит, что для обеспечения надежности программного обеспечения необходима постоянная, планомерная работа, включающая в себя разработку и внедрение новых аналитических модулей, позволяющих контролировать все стадии создания системного ПО, а также анализ, поиск и устранение уязвимостей в софтверных системах, уже сданных в эксплуатацию. Или, как минимум, «запутывание» кода – превращение его в своего рода головоломку для злоумышленника. Например, созданная в ИСП РАН технология обфускации позволяют сделать любую уязвимость «одноразовой», не применимой к другой версии той же программы.
Не меньшего внимания заслуживает и разработка новых защитных средств: компьютерные вирусы буквально с каждым днем становятся все сложнее, а хакерские атаки – изощреннее. Эту тенденцию в ходе конференции отмечали решительно все участники. Глубокая эшелонированность атак, распределенность их источников заставляют программистов создавать все более мощные модули защиты информации.
Необходимо отметить, что в сложившихся условиях обеспечение надежности, безопасности и безотказности программного обеспечения превратилось из производственной необходимости в настоящий вызов эпохи. И достойный ответ на него будет возможен только при условии постоянного, буквально ежедневного развития отечественной фундаментальной науки.
Как следствие, на конференции OS DAY 2018 говорили не только о программном обеспечении, но и о тех, кто его создает. Отрасль системного программирования нуждается в притоке кадров, причем это – не только российские реалии, а общемировая тенденция. Участники конференции сошлись во мнении, что идеальным вариантом развития событий стало бы развитие, так называемой, «физтеховской» модели образования, позволяющей работать с молодежью, совмещая обучение с исследовательской и практической работой, поддерживая преемственность специалистов в отрасли, создавая собственную школу. С тем, что подготовка высококвалифицированных кадров – один из важнейших факторов обеспечения надежности программного обеспечения, согласились в ходе посвященной вопросам образования дискуссии, завершившей конференцию, все присутствующие.
Следующая конференция OS DAY состоится в Москве в мае 2019 года. Как и в этот раз, ее будет проводить консорциум из девяти организаций: ИСП РАН, DZ Systems, Лаборатория Касперского, Базальт СПО, ГосНИИАС, Свемел, РусБИТех, РЕД СОФТ, ассоциация «Доверенная платформа».
[Редакция портала "Научная Россия" благодарит пресс-службу конференции OS DAY 2018 за предоставленные материалы]