Широко открытые окна: зачем России своя операционная система
Риски
Процессы выявления уязвимости информационных систем устроены по многоступенчатому принципу: хорошие (или плохие) хакеры ищут уязвимость информационной системы, затем сообщают о находке разработчику, либо же разработчик выявляет уязвимости самостоятельно. Далее разработчик пишет план борьбы с ними, куда может на свое усмотрение включить или не включить уведомление пользователя об уязвимости.
Таким образом, если пользователь не может контролировать все звенья, а компании-разработчики не обязаны информировать обо всех угрозах, гарантировать полную безопасность уже нельзя. История уязвимости будет только у разработчика системы. Владеет контролем только тот, кто первый узнает об ошибках системы.
Основные риски озвучены бывшим сотрудником АНБ Эдвардом Сноуденом: например, компьютеры с ОС Microsoft Windows находятся под полным контролем, случаи неконтролируемой установки обновлений происходят постоянно, а в Windows 10 они просто легализованы на уровне лицензионного соглашения. Как именно будет обновляться система — решает только компания.
Для частных лиц и предпринимателей в этом, наверное, нет ничего страшного. Но если мы говорим о госсекторе и стратегических предприятиях — это существенный риск. Особенно если учитывать непростую внешнеполитическую ситуацию.
Системная карма
Однажды попытка создать национальную ОС уже предпринималась: в 2011 году в рамках программы «Информационное общество» был инициирован конкурс на анализ возможности создания Национальной программной платформы (НПП). Основой для НПП могло быть либо свободное программное обеспечение, либо отечественный софт. Проект вызвал много обсуждений и критики, за него боролись такие влиятельные игроки, как «Армада» и «Ростехнологии». Однако выиграть конкурс Минкомсвязи и возглавить консорциум разработчиков удалось компании «ПингВин Софтвер», которой я руководил.
Компания предложила в три раза меньшую цену и собрала более 200 специалистов, включая академиков, докторов и кандидатов наук из профильных институтов Академии наук, что было важным в критериях конкурса.
Мы проделали аналитическую работу по анализу законодательства, подготовили предложения по созданию фондов алгоритмов и программ по возможным заменам импортного ПО, а также представили прототипы операционных систем и систем управления базами данных на Linux и PostgreSQL для дальнейшего анализа их пригодности в государственном секторе.
В программе «Информационное общество» было предусмотрено более десятка мероприятий с бюджетом около 1 млрд руб. Впоследствии, на основании разработанных консорциумом документов, должно было начаться тестирование операционных систем, пилотные проекты, создание фонда алгоритмов и программ.
Но ничего из этой программы не было выполнено. Новый состав Министерства связи не стал делать никаких шагов по созданию НПП. Министр Никифоров планировал масштабное партнерство с корпорацией Microsoft, создание национальной платформы в таком контексте уже не было приоритетом. В результате на потраченные 5 млн руб. мы имеем — отчеты, регламенты ФАП, прототипы. Но пропущены мероприятия по тестированию и собственно разработке национальной операционной системы.
Системный вопрос
В связи с обострением темы информационной безопасности сейчас мы видим вторую инкарнацию идеи контролируемой программной платформы. Члены наблюдательного совета Института развития интернета декларируют, что отечественная операционная система появится к 2025–2030 годам. Слышатся голоса о том, что этот проект можно реализовать скромными силами.
В реальности, чтобы создать, например, свой Linux, нужно 500 инженеров и 2–3 млрд руб. в год. В таком случае через два-три года будет свой дистрибутив с достаточно хорошей экспертизой в основных подсистемах и поддержкой железа.
Проблема в том, что руководство Минкомсвязи по-прежнему не уверено, нужна ли нам именно национальная операционная система. Не так давно министр вновь заявлял, что каждая страна в отдельности не должна закрываться в своем технологическом развитии, что неминуемо произойдет, если в каждой стране создать собственную национальную ОС. И лучшим выходом будет объединиться и создавать интернациональные проекты.
На самом деле в России есть команды, способные осилить создание операционной системы и без поддержки извне. Это, например, «1С», «Лаборатория Касперского», ABBYY. В ущерб основному бизнесу, конечно, но теоретически сделать они это могут.
Главное — принять окончательное решение, а не колебаться, как это было 4 года назад. Создание своей ОС — недешевое стратегическое решение. И если государство считает, что его безопасность зависит о реализации такого решения, то стоит учесть — проект потребует тщательного планирования на начальном этапе и исключает шапкозакидательство. Это забег длиной в несколько напряженных лет.