Ставка только на Линукс — это ошибка

7 комментариев

Данная статья представляет собой исключительно личное мнение автора

Мы знаем, что линукс является самым популярным семейством операционных систем (ОС) с открытыми исходными текстами, лидирует среди серверных ОС, а также принят в качестве основы для импортозамещения в области настольных операционных систем.

Я уверен, что это большая ошибка и постараюсь это доказать.

Реальная безопасность Линукса в картинках (18+)

Ещё несколько лет назад я, не имея на тот момент никакого отношения к ИБ, заметил, что в линуксе многовато уязвимостей и у них слишком уж долгие сроки жизни. В 2022 году нашёлся повод потратить пару часов и составить вот такую картинку.

несколько уязвимостей повышения полномочий в Linux и их просачивание в Astra Linux SE

Из неё следует, что на протяжении почти 15 лет (с 2008 по 2022) можно было поднять полномочия обычного пользователя до администратора (root) в широком спектре линукс-дистрибутивов, если знать, как это сделать. То есть, для посвящённых в тайны, система разграничения прав в Linux была только бутафорией. В том числе, уязвимости с этой картинки закрывали и в российских ОС, включая знаменитую «Aстру». «Миллионы глаз», которые, по легенде, постоянно изучают исходные тексты Линукс, сертификация, внутренняя работа специалистов компании по поиску ошибок, нанятые белые хакеры — всё это не помогло. Можно ли было эти уязвимости проэксплуатировать именно в «Aстре»? Этот вопрос покрыт мраком. Думаю, специалисты по Астре имеют ответ, так как у Астры есть дополнительные «наложенные средства безопасности». Однако тот факт, что они признавали факт уязвимости, остаётся — в этом можно убедиться на сайте БДУ, https://bdu.fstec.ru/ . Кроме того, они накладывали заплатки, чтобы закрывать некоторые из этих уязвимостей (см. бюллетени безопасности этой ОС). Нет дыма без огня, как говорится. Часть из уязвимостей на графике обнаружена и в других российских линуксах, которые не могут похвастаться такой же продвинутой встроенной защитой, как «Aстра». С данной картинкой автор пытался выступить на российской конференции «OS DAY 2022», которая была как раз посвящена «технологическим основам безопасных операционных систем». Оргкомитет (в котором присутствовали представители аж трёх российских дистрибутивов Линукса), почему-то счёл доклад не соответствующим тематике конференции. Пожалуй, автор согласен с оргкомитетом: когда и без всякой науки проблемы с безопасностью, мягко говоря, на практике видны невооружённым глазом, то на научно-практической конференции с таким докладом делать нечего. Может быть, автору надо было с этой картинкой обращаться не на конференцию, а еще куда? Напишите, пожалуйста, ваши мнения в комментариях. Жаловаться автор поленился, но картинка осталась. Спустя несколько месяцев выяснилось, что уже в 2021 году разработчики ядра Linux сами составили подобную картинку (см. https://outflux.net/slides/2021/lss/kspp.pdf):

Жизнь некоторых «критических» и «высоко опасных» уязвимостей в ядре Linux

На большом фактическом материале показано, что «критическая или высоко опасная» уязвимость в ядре Линукс живёт в среднем 5 с половиной лет. Среди мер преодоления проблем упоминается удаление из ядра Линукс языка Си, к чему мы ещё вернёмся.

А ты кто вообще такой?

Давайте попробуем для обретения почвы под ногами немного подумать о том, как вообще нужно принимать решения о стратегии импортозамещения. Также я поделюсь своими фантазиями о том, как решение принималось в действительности. Чтобы было понятно, на момент написания статьи мне 49 лет, я начал программировать где-нибудь в 6 классе, начитавшись журнала «Техника-Молодёжи». Первым моим языком программирования были машинные коды калькулятора БЗ-34 (в нём порядка 100 байт оперативной памяти и нет ничего, подобного жёсткому диску — программу нужно набивать заново после каждого включения), а программы я сначала писал на бумаге, т. к. калькулятор появился далеко не сразу. После окончания мехмата МГУ работаю программистом, по сей день. Больше половины моих проектов, сделанных за деньги, касались автоматизации учёта, написаны в одиночку и завершались успешным внедрением. Линукс я впервые установил на работе где-то в 1997 году (и его тут же взломали, но об этом я узнал не сразу). Исходя из жизненного опыта, триумф Линукса в России мне видится как-то следующим образом:

Моя легенда про историю триумфа Линукса в России

Юникс-подобные системы завоевали популярность в качестве серверных систем на Западе, когда я ещё не имел отношения к компьютерам. Среди них Линукс выгодно отличался своей бесплатностью. Кроме того, в нём заложена коммунистическая идея о том, что исходные тексты должны принадлежать народу. Поскольку корпорации неиллюзорно угнетали своих пользователей, коммунистическая идея пришлась по вкусу западным технарям. В пост-советской России коммунизм официально вышел из моды, однако Линукс всё же проник и пустил свои цепкие корни на нашей почве. Соответственно, в голове любителей Линукса может присутствовать как минимум одна из двух идей:

  • коммунистическая идея (мы делаем и продвигаем Линукс ради блага всех людей в мире, в противовес алчности капиталистов)
  • профессиональная идея (я буду изучать и продвигать Линукс, поскольку он популярен во всём мире и с этим знанием я смогу найти работу в любой стране)

Сколько стоит бесплатный сыр?

Итак, о стоимости решений. Как минимум, нужно рассмотреть два отдельных вопроса:

  • сколько стоит сам Linux?
  • сколько стоит обеспечить безопасность российских версий Linux?
  • сколько стоит перенос приложений и целесообразен ли он?

Все мы знаем, что Linux бесплатен. Но. На серьёзном предприятии вы не поставите бесплатную Дебиан или Убунту — вы заплатите за российский Линукс. Таким образом, Линукс на самом деле не бесплатен. Ниже мы попробуем посчитать, сколько стоит разработка системы масштаба Линукс с нуля.

Второй вопрос: сколько стоит обеспечить безопасность? Что можно здесь сказать? Говорить можно только о решаемых задачах. Мы видим, что весь мир пока не может решить задачу создания безопасного Линукса. Если кто-то утверждает, что это возможно, то он и должен представить оценку стоимости. Если задача не решена, то любые оценки стоимости — это большой риск для того, кто в государственных решениях на них опирается. С тем же успехом можно строить стратегию энергетики на базе термоядерных электростанций, которые ещё не существуют. Мы же посмотрим на один кусочек реальных затрат страны на безопасность Линукса.

Какая надежда на российский «центр по исследованию безопасности ядра Линукс»?

Здорово, что в России недавно создан «центр по исследованию безопасности ядра Линукс». Этот центр, судя по заявлениям на его сайте, будет брать какую-то версию ядра Линукс (на данный момент взята 5.10, выпущенная около 2 лет назад) и на совесть её проверить. Что получается? Линукс нужен всем, но весь мир доселе не мог справляться с уязвимостями в ядре Линукс и они жили по 5 лет (а иногда и по 22 года). А тут вдруг произойдёт прорыв в исследовании безопасности? Здесь автор начинает щипать себя за нос. Что, они возьмут и вот так слёту совершат прорыв в изучении линукса, и ошибки будут жить не пять с половиной лет, а девять с половиной недель? Как-то не верится. Если такие прорывные методы существуют, то почему мы (пока) не видим результатов их применения? Если бы они применялись бы, то не было бы хотя бы одной из двух вышеприведённых картинок. Уважаемые читатели, пожалуйста, расскажите, как решить эту головоломку, если у вас это получится. А пока мы предполагаем, что данный центр не сможет кардинально решить вопрос с безопасностью Линукса или сможет? Моё мнение состоит в том, что данный центр будет в общем и целом использовать те же методы, что и все остальные исследователи безопасности в мире. Некоторые методы (например, фаззинг), крайне дорогостоящие и требуют огромных вычислительных мощностей. Один только кластер для тестирования браузера Google Chrome фаззингом содержит 6000 виртуальных машин, а значит, его стоимость уже сопоставима по порядку величины со всем бюджетом данного центра. При этом Chrome в 2021 году был рекордсменом по найденным уязвимостям, т. е. эти 6000 виртуальных машин не создали прорыва в безопасности Хрома. Таким образом, с введением данного центра вряд ли что-то кардинально изменится в безопасности Linux. Он улучшит среднемировую картинку на проценты. Конечно, это нельзя посчитать, не зная общих затрат мирового сообщества на исследование безопасности Линукса, но это упражнение предоставляется читателю. Пока что мы считаем, что вклад будет малозаметным, исходя из бюджета, и по сути ничего не изменится. А раз так, то считаем по картинкам в начале статьи. Версия 5.10 была выпущена 2 года назад. Считая срок жизни уязвимости в 5 лет, мы на сегодня знаем о 40% уязвимостей этой версии. Остальные 60% активны, неизвестны широкой публике и поэтому представляют собой угрозу. А при том, как сообщается, пользователи Aстра Линукс Спешал Эдишн 1.7 могут уже обновиться до версии ядра 5.15.

Минутка паранойи

Здесь нужно ещё учитывать, с кем мы имеем дело. Я считаю, что каждый гражданин нашей страны должен знать про Crypto AG. Если не знаете — то ознакомьтесь. Коротко говоря, США через подставную фирму в приличной стране продавали подпорченные шифровальные машинки в 120 стран и за счёт этого могли шпионить. Это продолжалось 50 лет. Учитывая, что основные ресурсы для развития Linux предлагают американские организации, следует считать, что уязвимости в Linux — это не ошибки, а целенаправленно внесённые закладки. Мы не просто ищем ошибки в программе, а мы ищем то, что хорошо спрятано. По мере развития методов поиска ошибок будут совершенствоваться и методы их сокрытия. Если мы будем следовать в технологическом фарватере США и копировать их решения, то нам будут всегда созданы такие правила игры, при которых наши системы будут оставаться уязвимыми.

Что дешевле, написать ОС или переносить приложения?

Надеюсь, мне удалось показать, что решение о переходе на Линукс с точки зрения безопасности является тупиковым при сегодняшнем уровне техники. Можно и дальше это детализировать и детали откроются существенные. Например, я не буду рассказывать о том, что заплатки для 0-day уязвимостей сами по себе опасны, а сами мы их делать не можем, потому что основные мощности по нахождению уязвимостей находятся не в нашей стране.

Во всяком случае, будем считать, что можно поставить целесообразность внедрения Линукса под вопрос и хотя бы приступить к рассмотрению альтернативных решений.

Поговорим о стоимости приложений. В России порядка миллиона ИТ-специалистов. Пусть даже каждый десятый из них — программист. Соответственно, вложения труда в разработку программ в России за 30 пост-советских лет составили порядка 3 миллионов человеко-лет. Думаю, не будет большой ошибкой считать, что около половины из них были вложены в программы для Windows. Для многих из этих программ утрачены либо исходные тексты, либо компетенции, необходимые для развития. Перевод этих программ на Linux потребует по сути дела пересоздания программ с нуля и будет иметь сопоставимую стоимость.

Спрашивается, проводил ли кто-нибудь подсчёты этой стоимости? А также, сравнивалась ли стоимость переписывания программ со стоимостью создания Windows-совместимой ОС, в которой эти программы просто будут работать? Давайте я это сделаю: мы только что прикинули, что 1,5 миллиона человеко-лет потребуется на перенос приложений. При этом, сама система Windows XP с 45 млн строк кода имеет трудоёмкость (по COCOMO) порядка 40 тысяч человеко-лет (в 40 раз меньше!). Современный дистрибутив Debian Bullseye со всеми пакетами (включая даже Postgresql и Open Office) укладывается в 1,6 миллиона человеко-лет. Таким образом, если взять голую операционную систему, то она во много раз дешевле переписывания приложений на Линукс, и вполне по карману России, а если взять систему с приложениями — то это сравнимо с переписыванием приложений. То есть, если говорить о цифрах, то целесообразность перехода на Linux не очевидна. Если оценки по COCOMO не вызывают доверия, то могу объяснить совсем на пальцах. Забудем на секунду про Линукс, как будто он исчез. Выяснится, что одни только США создали три независимые линейки ОС для настольных компьютеров: Windows, MacOS, OS/2, и набор приложений к ним. В любом классе приложений всегда есть конкуренция — не менее двух решений, разработанных в США. Значит, и у России (с учётом меньшей численности населения) хватит сил хотя бы на одну линейку из языка программирования, ОС и набора приложений. На самом деле, для создания Windows не был нужен трудовой подвиг всего американского народа. Microsoft — организация среднего размера, возможно, что в каком-нибудь Сбертехе на сегодня работает не меньше специалистов.

Спрашивается, проводились ли подобные подсчёты перед тем, как принимать решение? Мы знаем, что у энтузиастов Линукса есть религиозная догма, мем, о том, что только совместными усилиями всего мира можно создать качественное ПО. Этот мем настолько расхож, что мне понадобились годы, чтобы обнаружить, что я тоже им заражён, и найти в себе силы провести реальную оценку трудоёмкости Линукса и других крупных ИТ-задач. Вероятно, что вместо обоснований с цифрами, решение о переходе на Линукс было обосновано на уровне мемов. Энтузиасты Линукса пошли к начальству и их лица источали такую убеждённость, что им поверили, перенесли убеждённость выше по вертикали власти. И так, постепенно, убеждения отдельных технарей стали официальной религией нашей страны. Но у нас светское государство. Если мы отбросим религиозные соображения, то почему не было решено написать Windows-совместимую ОС хотя бы в дополнение к линуксу? Погуглите, как Аскон «перевёл Компас на Линукс» — по сути дела он ничего не переводил, а доработал Wine с помощью прекрасной российской компании Etersoft. Т.е. Линукс как таковой к делу отношения вообще не имеет, Компас остался программой под Windows. Этот проект уже завершён, а тем не менее ещё несколько лет (за наши с вами деньги) Аскон планирует переводить Компас на линукс «уже по-взрослому», чтобы пользоваться им без Wine. Это просто одна, но прекрасная иллюстрация к тому, как убеждения побеждают экономический смысл. А при том, если вам нужны программы для Linux, то Microsoft создал для этого подсистему WSL. Таким образом, если вам нужны именно программы под Linux, то для этого вам не нужен сам Linux. Тогда почему на него нужно переходить, а не написать свою новую ОС? Если вам кажется, что всё это посильно, но слишком уж дорого и нецелесообразно, то мы уже выяснили, что людей у нас в стране на это хватит. При подсчётах стоимости разработки ОС в рублях бросьте на другую чашу весов стоимость Северо-Восточной хорды в Москве. СВХ — это всего лишь одна автомобильная дорога, которая не является необходимой — в Москве и без неё можно было проехать. А состоятельность и самостоятельность в ИТ отрасли — это вопрос жизни и смерти для нашей страны.

Почему Линукс хронически уязвим?

Что именно лежит в основе безопасности (а точнее, опасности) Линукса? Дальше следует моё субъективное мнение.

Прежде всего, сама по себе идея взять что-то плохое и исправлять его — порочна где-то в самой сердцевине. Можно же, скажем, пойти на помойку, взять там испорченную еду и пытаться её обратно сделать свежей. Можно, но не нужно. У высокого уровня опасности Linux есть вполне определённые причины, и вот их перечень, возможно, неполный:

  • написан на Си. Я много лет назад начал призывать публику отказаться от Си. И вот, в 2022 году АНБ США «вдруг» заметило, что из наиболее опасных уязвимостей 70% стали возможны из-за особенностей язык программирования Си (С++ отнесён к тому же классу). То есть — если заменить Си на более безопасный язык программирования (а такие языки существуют), то этих уязвимостей не станет. Линус Торвальдс также допустил внедрения языка Rust в качестве более безопасной замены Си. Заметим, что уже в статье от 2021 (из которой вторая картинка) планировалось отказаться от Си в ядре Линукса.
  • язык Баш также лежит в основе Линукса, связывая программы в систему. И этот язык — отдельная катастрофа. Безтиповый, без явного объявления переменных, с массированным применением глобальных переменных и конструкции eval, молчаливо продолжающий работу при ошибке в отдельной строчке. Он нарушает все мыслимые заповеди и гарантирует ненадёжность и низкую производительность труда. Для него нет ни отладчика, ни среды разработки. При том, в истории есть примеры более нормальных языков для этой роли (например, в лисп-машинах или в OS/2), но об этом почти никто не знает.
  • написан под руководством Линуса Торвальдса. Было несколько историй, когда Линус Торвальдс проявлял своё отношение к ИБ, и его нельзя назвать слишком трепетным. Как иллюстрация, в одном из случаев он называл ИБ-специалистов «masturbating monkeys» — желающие могут нагуглить весь контекст. Конкретно и без ссылок на высказывани Линуса, известно, что ядро Линукс является огромным монолитом, и многие люди, более компетентные в разработке ОС, чем автор, считают это большой архитектурной ошибкой. Впрочем, это было известно с самого начала.
  • много букв. Безопасная система должна быть достаточно простой, иначе она просто непостижима человеком (даже с применением всех современных методов поиска ошибок). Линукс растёт в объёме со скоростью раковой опухоли (найдите статистику по объёмам исходных текстов Debian).
  • слишком быстрое внедрение. Вы бы хотели полететь на самолёте, чертежи которого вышли из-под руки конструктора неделю назад? Нет? А вот в случае ПО мы только на таком и летаем.
  • сделано в США. Часто утверждается, что уязвимости будут в любой системе, просто в некоторых системах их ищут, а в некоторых — нет. Автор попробовал найти более безопасные системы — и увы. Среди американских не нашлось ни одной заслуживающей доверия. Самым эпичным случаем была уязвимость локального повышения полномочий в VMS, которая оставалась не найденной 33 года! На этом поиск и закончился, потому что о популярных ОС для настольных компьютеров, сделанных не в США, автору неизвестно. То ли они такие криворукие, то ли причина приведена выше в пункте «Минутка паранойи». Кроме США, есть и другие страны. Почти одновременно с языком Си (который лежит в основе всех сколько-нибудь известных современных ОС) в СССР был выпущен «автокод Эльбрус» и соответствующий ему компьютер (название покажется знакомым читателю и это не случайно). В автокоде Эльбрус причины ненадёжности в языках того времени были выявлены и на каждый было предложено решение. Те 70% уязвимостей, которые АНБ считает достаточными для отказа от Си, принципиально невозможны в автокоде Эльбруса. Это было 50 лет назад. Пятьдесят, Карл! Пока автор в порыве чувств не разбил свою голову о стену, нужно успеть плавно перейти к разделу «решения».

Даёшь соцсоревнование!

Итак, что я предлагаю:

  • выкидывать Линукс не нужно, но он недостаточен. Зная проблемы, нужно решать их фундаментально, а не черпать воду решетом. Для этого нужно изучить предшествующий опыт и создать альтернативную экосистему из языка программирования, ОС и приложений. А лучше хотя бы две. Нам хватит на это сил — это уже обсуждалось выше.
  • Из двух экосистем одна должна быть Windows-совместимой. Эта тема заслуживает отдельной статьи. Если коротко, то обычно стоимость разработки ОС намного меньше, чем суммарная стоимость разработки всех приложений под неё. Посмотрите, какую хромую логику использовала наша страна, взяв за основу Linux: мы около 30 лет писали и использовали приложения под Windows. У нас нет денег написать свою ОС (которая стоит дешевле приложений). Но у нас есть деньги перевести все нужные приложения с Windows на Linux. У автора получилась парадоксальная, нерешаемая система неравенств. Уважаемые читатели, если вы можете её решить, то пишите в комментариях, как это сделать. Например, где можно почитать оценку стоимости перевода приложений на Linux в сумме по всем предприятиям хотя бы ОПК, и сравнение этой оценки со стоимостью доведения до ума того же ReactOS? В 2015 году российское экспертное сообщество уже оценивало ReactOS как перспективную для импортозамещения.
  • вторая альтернативная экосистема должна быть суверенной, автономной и нацелена на перспективу. Совместимость с существующими приложениями и стандартами вообще не должна быть в списке целей. Она должна быть создана с нуля с учётом всех ошибок, совершённых индустрией за это время. Давайте возьмём на себя смелость использовать хотя бы Эль-76, как-никак ему уже 50 лет и он имел успешное промышленное применение. Есть и более новые неплохие языки, хотя бы «Активный Оберон» из девяностых. Система должна быть на русском языке и предназначена только для внутреннего использования. Русский язык необходим по двум причинам. Во-первых, выше говорилось о глобализме любителей Линукса. Идейный глобализм во многом свойственен программистам вообще, поэтому патриотично мыслящие программисты нуждаются в охране, как снежный барс или ландыши. Русский язык вызывает у глобалистов стойкую аллергию, поэтому он является фильтром (не идеальным, но и не плохим) для того, чтобы глобалисты не захватили проект и не сменили его цели. Глобалисты просто изначально не пойдут в такой проект и это даст патриотам численный перевес хотя бы внутри коллектива разработчиков. Во-вторых, это чистый прагматизм: на русском языке жителям России работать удобнее, и россияне со знанием русского не столь дефицитны, как россияне со знанием английского. Недаром же голландское морское дело, немецкое машиностроение и основанная на латыни медицина были основательно русифицированы в нашей стране. ИТ в этом отношении отстаёт и это тоже надо преодолевать.

Даже если экосистемы должны быть другими, чем предлагает автор, альтернативы Си и Линуксу нужны, в том числе и новые. Сейчас по сути дела имеется монополия (вспоминаем, что внедрение линукса началось от иллюзорной безысходности). А значит, отсутствует истинная конкуренция. Конкуренция между клонами линукса не является конкуренцией в полном смысле слова. Представьте себе, что какая-то страна в XXI веке имеет 5 конкурирующих авиационных КБ, каждое из которых делает самолёты только из фанеры и только с поршневыми двигателями. Да, автор не упомянул про Rust, Qp OS и ОС Касперского. Однако Rust сделан в США, а две перечисленные ОС написаны на Си и Си++, т. е. не соответствуют предложениям автора и рекомендациям АНБ США.

Будяк Д.В., январь-март 2023

Possibly Related Posts:


В эфире Antimalware Live эксперты обсудят безопасную разработку

Closed
Онлайн-конференция DevSecCops – Анализ безопасности исходного кода 2022.jpg

В эфире AM Live пройдет онлайн-конференция на тему «DevSecCops – Анализ безопасности исходного кода 2022», которая состоится 9 ноября в 11:00.

На конференции будут обсуждаться новейшие методики анализа безопасности исходного кода, а также специализированные средства — анализаторы (сканеры), помогающие разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде, которые впоследствии могут быть использованы злоумышленниками. Эксперты обсудят, какие анализаторы исходного кода существуют, в чем различия SAST, DAST, IAST, FAST и BAST; какие угрозы исходят от открытого программного обеспечения (open source) и как его контролировать при помощи OSA. Будет затронута тема выбора наиболее подходящих средств анализа исходного кода и их применение на практике.

В дискуссии примут участие профессионалы из ведущих отечественных компаний в сфере ИТ и ИБ, такие как Ростелеком, МТС, SwordFish Security, «Лаборатория Касперского» и другие. Спикером от АО «НПО «Эшелон» будет руководитель группы департамента сертификации и тестирования Михаил Волков.

Для участия в трансляции видеоконференции необходимо зарегистрироваться по ссылке.

Possibly Related Posts:


II Всероссийская научная школа-семинар «Современные тенденции развития методов и технологий защиты информации»

Ваш отзыв

АО «НПО «Эшелон» приняло участие во Второй Всероссийской научной школе-семинаре «Современные тенденции развития методов и технологий защиты информации», прошедшей в Московском техническом университете связи и информатики с 18 по 21 октября 2022 г.

II Всероссийская научная школа-семинар в МТУСИ была организована в рамках реализации федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации» при поддержке Федерального учебно-методического объединения в сфере высшего образования по УГСНП «Информационная безопасность».

На пленарной научной сессии были представлены научные доклады представителей Минцифры России, ведущих организаций-разработчиков средств защиты информации (АО «ИнфоТеКС», ООО «РусБИТех-Астра», АО «НПО «Эшелон», ПАО «Сбербанк», АО «Алладин Р.Д.), образовательных организаций и общественных объединений (ФУМО ВО ИБ, НИУ «Московский институт электронной техники», МОО «Ассоциация защиты информации»).

В рамках 2-ой Всероссийской научной школы-семинара были представлены научные проекты победителей Всероссийского конкурса научных проектов аспирантов, соискателей и молодых ученых на проведение научных исследований и разработок в области информационной безопасности для задач цифровой экономики «Гранты ИБ МТУСИ» 2021 и 2022 годов.

Работа Второй Всероссийской научной школы-семинара Современные тенденции развития методов и технологий защиты информации.jpg
Работа Второй Всероссийской научной школы-семинара Современные тенденции развития методов и технологий защиты информации..jpg

От НПО «Эшелон» выступил президент группы компаний «Эшелон», доктор технических наук Алексей Марков с пленарным докладом на тему «Актуальные проблемы разработки безопасного программного обеспечения».

Выступление президента группы компаний Эшелон Алексея Маркова с пленарным докладом.jpg

АО «НПО «Эшелон» является партнером МТУСИ и постоянно активно участвует в совместных научных, технологических, учебных мероприятиях, а также в аттестации кадров.

С услугами и средствами автоматизации разработки безопасного программного обеспечения, в том числе с учетом ГОСТ Р 56939, представляемыми группой компаний «Эшелон», вы можете ознакомиться на сайте компании.

Possibly Related Posts:


Кибербезопасность умных городов: вызовы, проблемы, решения

Ваш отзыв

Московская торгово-промышленная палата (МТПП).jpg

АО «НПО «Эшелон» приняло участие в Первой московской конференции «Обеспечение кибербезопасности городов: вызовы, проблемы и решения», прошедшей в Московской торгово-промышленной палате (МТПП) 26–27 октября 2022 года.

Конференция была организованна МТПП при поддержке органов исполнительной власти РФ и Правительства г. Москвы. Пленарное заседание конференции поддержали докладами Заместитель Минцифры России А.М.Шойтов и вице-президент МТПП С.О.Варданян. Информационным партнером конференции выступила медиа-группа «Момент истины».

Цель 1-ой московской конференции состояла в обсуждении проблематики безопасности умного города, в том числе безопасности и здоровья жителей мегаполиса, стабильности системы государственного управления, качества и безопасности функционирования городской инфраструктуры, кибербезопасности объектов информатизации и др.

Работа конференции строилась по основным темам, таким как:

— трансформация угроз кибербезопасности в условиях цифровизации;

— текущие практики и новые решения построения систем информационной безопасности;

— защита коммерчески значимой информации в предпринимательской деятельности;

— правовые инструменты обеспечения информационной безопасности;

— трансформация концепции «умный город» в «безопасный город»;

— импортозамещение ИТ для инфраструктуры городской среды.

Участники первой московской конференции Обеспечение кибербезопасности городов вызовы, проблемы и решения.jpg

От НПО «Эшелон» выступил президент группы компаний «Эшелон», доктор технических наук Алексей Марков с докладом «Технологии и средства ситуационных центров по информационной безопасности».

Президент группы компаний Эшелон Марков Алексей Сергеевич.jpg

Со средствами построения центров мониторинга информационной безопасности и с публикациями в области информационной безопасности вы можете познакомиться на сайте компании.

Possibly Related Posts:


XVI Международный форум по международной информационной безопасности

Closed
Шестнадцатый международный форум Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности.jpg

АО «НПО «Эшелон» приняло участие в Шестнадцатом международном форуме «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», прошедшем в Москве в конце сентября 2022 года.

XVI Международный форум был организован Национальной Ассоциацией международной информационной безопасности (НАМИБ) при содействии аппарата Совета Безопасности Российской Федерации, Министерства иностранных дел РФ и других федеральных органов исполнительной власти.

В работе 16-го Международного форума приняли участие более 260 экспертов из 43 государств мира. Среди участников Форума были представители федеральных органов исполнительной власти Российской Федерации, органов исполнительной власти Китая, Индии, ЮАР, Никарагуа, Ирана, Иордании, 10 посольств иностранных государств в Москве, а также бизнеса и гражданского общества, ученые и специалисты высших учебных заведений и научных и производственных организаций РАН и др.

В рамках Форума, кроме пленарного заседания, работало пять круглых столов по следующим тематикам:

— проблемы обеспечения суверенитета государств в ИКТ-среде,

— проблема обеспечения безопасности объектов критической информационной инфраструктуры,

— вопросы противодействия использованию ИКТ для распространения идеологии неонацизма,

— проблемы установления международного правового режима предотвращения конфликтов и противодействия преступности в ИКТ-среде,

— вопросы развития регионального сотрудничества в системе международной информационной безопасности с ближайшими партнерами, государствами-участниками ОДКБ, СНГ, ШОС, БРИКС и другими международными площадками.

С Программой международного форума можно ознакомиться на сайте ассоциации НАМИБ.

От НПО «Эшелон» выступил с докладом президент группы компаний, доктор технических наук Алексей Сергеевич Марков по тематике повышения международной безопасности критически важной инфраструктуры.

Работа 16-го Международного форума.jpg

С различными публикациями сотрудников НПО «Эшелон» можно ознакомиться на сайте компании.

Possibly Related Posts: