7 ноября Президент Украины подписал Закон «Об основах обеспечения кибербезопасности Украины». Это ключевой документ для системы национальной кибербезопасности, но далеко не единственный.

13 февраля этого года президентом было введено в действие решение СНБОУ от 29 декабря 2016 «Об угрозах кибербезопасности государства и неотложных мерах по их нейтрализации». Документом, помимо прочего, было поручено Кабмину в шестимесячный срок «проработать вопрос стимулирования разработки и внедрения отечественного программного обеспечения (операционной системы, антивирусных программ, программ бухгалтерского учета, документооборота и т.д.)» для нужд государства. В марте Кабмин поручил Администрации Госспецсвязи и Госагентству по вопросам е-правительства за 2 квартал сформировать соответствующие предложения. Однако больше в открытых источниках информации о судьбе отечественной ОС и антивируса не появилось, хотя все сроки прошли.

Ждать обычным юзерам и чиновникам отечественного продукта, или дальше пользоваться скомпрометированным «Касперским» и другими сомнительными поделками – вопрос.

Пока в госструктурах готовят ответы на наши запросы о судьбе данных предложений, InternetUA опросил экспертов в сфере кибербезопасности и IT стоит ли ожидать отечественные «Виндоус» и антивирус, и нужны ли они украинцам вообще.

Отечественные утопии?

«Мягко говоря, бредом» назвал идею разработки отечественной операционной системы эксперт, основатель «Украинской группы информационной безопасности» Константин Корсун.

– Разработка национального антивируса – это утопия. А, тем более, разработка отечественной операционной системы. Это практически то же, что заново придумывать велосипед и колесо – лишено всякого смысла. Разработка собственной ОС заберет огромнейшие ресурсы, при том, что есть UNIX-образные, много бесплатных ОС, – говорит основатель УГИБ. – Зачем «догонять и перегонять Америку»?

В том, что идея «своего Виндоуса» является утопичной, уверен и спикер Украинского киберальянса под ником Sean Brian Townsend.

– «Отечественная ОС» – это невозможно, – считает Sean Brian Townsend. – "Собственной ОС" сейчас называют испорченный клон Linux. Любые попытки сделать такую ОС ни к чему хорошему не приведут. Я сужу по нашему неадекватному северному соседу: не смотря на существующую у них культуру программирования, развитую отрасль производства ПО и немалое количество денег, в результате потуг получаются уродцы типа МСВС, и не менее ущербные прошивки для криптомаршрутизаторов. Проблема не в том, чтобы сделать клон, провести аудит и добавить недостающий софт, а в том, чтобы поддерживать этот клон в отрыве от основных разработчиков. Утопия. Лучше поддерживать в актуальном состоянии определенный софт, и ставить его на современную систему. Как раз по соображениям безопасности.

Идея «своего» программного продукта кажется привлекательной, однако вопрос поддержки ПО играет решающую роль:

– Если программный продукт невозможно разработать и поддержать самостоятельно, то никакое доверие, дотации и поддержка ему не помогут, что мы уже дважды наблюдали на примере "украинских социальных сетей", – объясняет Sean Townsend. – Если у проекта нет конкурентных преимуществ, он не выживет. Украине может быть и пригодился бы собственный разработчик антивирусного софта и многие с удовольствием использовали бы отечественный продукт, но его нет. И едва ли он появится только потому, что очень хочется. Запустить на рынок можно что угодно, но будет ли оно при этом работать? Антивирус – это годы разработки.

Основатель Украинских кибервойск Евгений Докукин также не видит необходимости в отечественном антивирусном софте:

– Стране не нужен свой антивирус. Нужно использовать надежные и проверенные западные программы. Сам я пользуюсь антивирусами с 1994 года (только импортными) и вполне доволен их качеством, – говорит Евгений.

Антивирус как домофон

Эксперты едины во мнении: сегодня антивирус не является ключевым элементом обеспечения безопасности.

– Я сравниваю уровень защиты антивируса с домофоном в вашем доме. Так, как ваша квартира защищена только домофоном на входе в подъезд дома, так и, приблизительно, защищен антивирусом ваш компьютер. Эффективность современных антивирусов – 15-20% защиты конечного пользователя, – говорит Константин Корсун.

По словам эксперта, киберпреступники, атакуя, уже давно научились обходить антивирус:

– Антивирусные компании очень быстро реагируют на угрозы, но не успевают, ведь самые опасные из них – специальные malware, то есть специальное ПО под конкретную задачу, успешно обходящее абсолютно все антивирусы. Специально созданные программы используют уязвимости нулевого дня, современные эксплойты, уязвимости ОС Windows… Поэтому антивирус – это «вчерашний день» в защите и его несложно обойти тому, кто этого действительно хочет, – считает Корсун. – В мире около 60 самых популярных антивирусных программ разной эффективности. Они «меряются» друг с другом базами сигнатур, другими показателями, но это, в большинстве своём, рекламные данные, ведь если какой-то настоящий, «боевой», malware – они пропускают почти все.

Поддерживает эту позицию и Sean Brian Townsend:

– Я не считаю антивирус ключевым элементом защиты. У подавляющего большинства пользователей Windows стоит тот или иной антивирус. И если это и помогло снизить количество атак или их последствия, то несущественно, – объясняет представитель Украинского киберальянса.

Спасение утопающих…

Сегодня существуют более современные решения в сфере безопасности, чем антивирус – так называемые endpoint protection, но они также далеки от совершенства – неудобны и требуют определенного уровня знаний (хотя бы среднего) в сфере кибербезопасности.

– Endpoint protection сейчас активно продвигают, но не очень успешно, поскольку абсолютное большинство пользователей антивирусов не имеют даже базового представления о принципах кибербезопасности, – говорит Константин Корсун.

Сегодня, чтобы обезопасить себя, обычный пользователь, в первую очередь, должен интересоваться вопросами кибербезопасности и правильно оценивать риски.

– Спасение утопающих – дело рук самих утопающих. Многие недооценивают риски: например, взлом собственной почты или использование компьютера как сервера управления ботнетом. Ты можешь быть не в курсе, а потом к тебе врывается полиция и говорит, что ты – супер-хакер, – объясняет Корсун. – Мы с коллегами разработали небольшой гайд «Как не стать кибержертвой», где довольно просто для обычного пользователя объясняется, как уберечь себя от вирусных атак и других угроз.

В первую очередь, пользователь должен понимать, что его безопасность в сети зависит не столько от антивируса, а сколько от самого пользователя.

– Вопрос безопасности гораздо шире, чем антивирусное ПО. Как бы не развивалась техника и софт, пока еще есть процессы, которые слабо поддаются автоматизации, и безопасность – один из них. Пользователь должен понимать, что он лично несёт ответственность за безопасность своих данных, а программа, будь-то антивирус или фаервол или плагин типа SSL Anywhere – это только инструменты, которыми вы пользуетесь, но которые не могут сделать работу вместо вас, – говорит Sean Townsend.

Спикер Украинского киберальянса рекомендует провести инвентаризацию ваших информационных активов и подумать, что случится, если они вдруг пропадут, попадут к ворам, шантажистам, иностранной разведке, если всё будет распечатано и роздано вашим родственникам, друзьям и знакомым.

– Уберите неиспользуемый софт. Постоянно обновляйте оставшийся. Не переходите по ссылкам из почты. Включайте двухфакторную аутентификацию. Используйте шифрование. Создавайте резервные копии, – рекомендует участника УКА. – Для организаций – не оставляйте «снаружи» входы в свою сеть. Всё это заезженная, скучная рутина, но именно она и является основой вашей личной и нашей коллективной безопасности.

Либо все вместе, либо пусть государство не мешает

– В свете последних событий, когда потери бюджета исчислялись процентами от «злобного Пети», защита от вирусов нужна, но даже не столько сама защита, сколько комплексная система по защите всевозможных государственных и частных ресурсов. И здесь как никогда необходимо всех участников рыка: государства, бизнеса и общества, – считает Иван Петухов, председатель Комиссии по вопросам науки и ІТ УСПП, учредитель группы компаний «Адамант».

Иван Михайлович также отметил, что инициатива в разработке антивирусного ПО должна исходить от бизнеса, ведь «передача инициативы в госруки ничего хорошего не сулит, особенно у нас — один пиар и тупой распил бюджета».

– Я уверен, что государство если не мешает, оно уже этим помогает, – считает руководитель провайдера «Паутина.NET», член ИнАУ Александр Арутюнян. – Но я достаточно скептичен в реализации этого в нашей стране. Для создания такого продукта как отечественный антивирус нужен инвестор, а государство – ужасный собственник и управленец, поэтому нужны частные инвестиции. Но поскольку у нас в стране нет культуры потребления легального ПО и вообще услуг, то инвестиции могут отбиваться десять лет и никто не вложит такие деньги, в такой нестабильной, с юридической точки зрения, стране.

Категорически против государственных антивирусов и операционных систем выступил и спикер УКА Sean Brian Townsend, предложивший взамен немного другой подход:

– Я против государственных проектов на разработку антивирусов, или «собственных ОС» или любых других «масштабных» проектов. Однако у государства есть естественный способ поддержать отечественного разработчика – государственный заказ. Хороший контракт может сильно простимулировать разработчика, главное чтобы это был простой, осуществимый проект, а не «попил» или создание монополии (как в случае с «Медком»). Если разрабатывать антивирус, то пусть этим занимается бизнес. И если новый проект сможет показать через год-два какие-то результаты, то можно поговорить и о государственной поддержке. Хотя это и будет выбор при полном отсутствии выбора. Платить за него или не платить? Я бы всё-таки заплатил.