Устранение разрыва в понимании программного обеспечения: анализ доклада CISA, DARPA, OUSD R&E и NSA

В январе 2025 года Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) совместно с DARPA, OUSD R&E и NSA опубликовали доклад “Closing the Software Understanding Gap” («Устранение разрыва в понимании программного обеспечения»). Этот документ акцентирует внимание на растущем разрыве между темпами разработки программного обеспечения (ПО) и способностью его понимания и анализа. Авторы предупреждают, что этот разрыв угрожает критической инфраструктуре США и национальной безопасности, создавая масштабные уязвимости для кибератак.

Основные тезисы доклада

1. Проблема недостаточного понимания ПО

Документ утверждает, что большинство владельцев и операторов критически важной инфраструктуры в США не обладают достаточными возможностями для полного анализа и проверки ПО, которым они пользуются. Это приводит к следующим последствиям:

• Разработка ПО с дефектами, которые могут быть обнаружены только после его эксплуатации.
• Усложнение процесса исправления уязвимостей и дефектов.
• Проблемы с обеспечением безопасности ПО в условиях активных угроз.

Авторы доклада подчеркивают, что технологическое развитие сосредоточено на ускорении разработки, а не на обеспечении глубокого понимания работы ПО.

2. Экономические потери от дефектов в ПО

Согласно докладу, в 2022 году ущерб, связанный с уязвимостями и ошибками в ПО, составил более 2 триллионов долларов. Эта сумма включает в себя:

• Операционные сбои и простои в работе критически важных систем.
• Расходы на замену устаревшего и небезопасного ПО.
• Стоимость устранения последствий кибератак и утечки данных.

Примеры крупных инцидентов:

• Взлом системы управления нефтепроводом Colonial Pipeline в 2021 году привел к массовому сбою поставок топлива в США.
• Атака на SolarWinds в 2021 году продемонстрировала угрозу цепочек поставок программного обеспечения.
• В 2022 году российская кибератака на спутниковую сеть повлияла на работу украинской армии и 5800 ветряных турбин в Европе.

3. Угроза со стороны стратегических конкурентов

Документ подчеркивает, что стратегические конкуренты США, особенно Китай и Россия, используют политики, направленные на повышение уровня понимания ПО.

Россия требует предоставления исходных кодов для сертификации ПО, используемого в критически важных системах. Подобные требования существуют и в Министерстве обороны США, но пока не применяются в гражданском секторе.

Китай ввел жесткие меры регулирования, включая:

• Обязательный аудит кода для ПО, используемого в критической инфраструктуре.
• Программы господдержки и инвестиций в технологии анализа ПО.
• Политику импортозамещения ПО, направленную на сокращение зависимости от иностранных поставщиков.

США рискуют остаться позади в технологической гонке, если не примут аналогичные меры.

4. Предлагаемые меры

Авторы доклада рекомендуют:

1. Развитие механизмов сертификации ПО. ПО должно проходить проверку на безопасность с привлечением независимых испытательных лабораторий.
2. Формирование политики аттестации ПО. Рекомендуется внедрение принципов Secure by Design и обязательной проверки кода перед эксплуатацией.
3. Государственные инвестиции в технологии анализа ПО. Необходимо развивать автоматизированные инструменты анализа, включая ИИ-решения для поиска уязвимостей.
4. Изменение принципов закупки ПО. Заказчикам рекомендуется выбирать ПО с подтвержденными гарантиями безопасности.

Анализ и сравнение с мировой практикой

Россия: сертификация ПО через ФСТЭК и ФСБ

В России внедрена система сертификации программных продуктов для использования в государственных и критически важных системах. В рамках этой системы разработчики обязаны предоставлять исходные коды ПО на экспертизу. Это позволяет государству лучше контролировать риски, связанные с киберугрозами.

Китай: жесткий контроль ПО в критической инфраструктуре

Китайская политика требует от иностранных поставщиков ПО прохождения государственного аудита кода. Это снижает вероятность кибератак и обеспечивает высокий уровень контроля со стороны государства.

США: ориентация на рынок и добровольные меры

Американская модель до сих пор опирается на добровольные меры по обеспечению безопасности ПО. Однако, как показывает доклад, этого недостаточно, и США уже начали двигаться в сторону более строгого регулирования.

Выводы и рекомендации

Доклад “Closing the Software Understanding Gap” поднимает серьезные вопросы, касающиеся будущего кибербезопасности. Основные выводы:

1. Разрыв в понимании ПО угрожает национальной безопасности. Без комплексного подхода к анализу ПО критическая инфраструктура США остается уязвимой для атак.
2. Экономический ущерб от дефектов в ПО колоссален. Более 2 триллионов долларов в год – это показатель необходимости срочных реформ.
3. Стратегические конкуренты США (Китай, Россия) уже внедряют эффективные меры контроля за ПО. США необходимо принять аналогичные механизмы, чтобы не оказаться в технологическом отставании.
4. Сертификация ПО через третьи стороны – шаг в правильном направлении. Однако без четкой политики обязательного аудита кода эти меры могут оказаться недостаточными.

Что делать разработчикам и заказчикам ПО?

• Разработчикам: Внедрять процессы анализа безопасности ПО на всех этапах жизненного цикла, применять принципы Secure by Design.
• Заказчикам: Приобретать ПО только у поставщиков, прошедших независимую сертификацию.
• Государству: Разработать жесткие стандарты безопасности ПО для критически важных объектов и обязать поставщиков проходить аудит кода.

Заключение

Доклад CISA и партнеров является важным сигналом для индустрии ПО и кибербезопасности. США признают необходимость изменения подходов к анализу и сертификации ПО. Однако успех зависит от того, насколько быстро и решительно будут приняты соответствующие меры. В противном случае программное обеспечение, на котором строится вся цифровая инфраструктура, останется потенциальной мишенью для атак.

Author: admin