O мерах по развитию системного программирования
как ключевого направления
противодействия киберугрозам
Обеспечение ускоренного внедрения
цифровых технологий в экономику и социальную сферу - одна из важнейших задач и
приоритетов развития Российской Федерации, определенных Указом Президента
Российской Федерации от 7 мая 2018 г. № 204 «О национальных целях и
стратегических задачах Российской Федерации на период до 2024 года» и
Стратегией научно-технологического развития Российской Федерации, утвержденной
Указом Президента Российской Федерации от 1 декабря 2016 г. № 642.
Системное
программное обеспечение отвечает за надежную и эффективную интеграцию
программных и аппаратных компонентов информационно-коммуникационных технологий
(далее - ИКТ), объединяя их в единые программно-аппаратные комплексы. В
значительной мере важнейшие характеристики ИКТ - решений - надежность,
отказоустойчивость, безопасность, быстродействие - определяются свойствами
системного программного обеспечения (далее - ПО). Развитие системного
программирования дает прямой вклад в решение задач безопасности и
технологической независимости России, обеспечивает увеличение доли
технологически емкого производства в экономике страны и рост экспортного потенциала
отечественных производителей сложной I техники и программного обеспечения
Новые тенденции в развитии
информационных технологий создают новые риски для информационной безопасности.
Цифровой мир стремительно расширяется, становится мобильным, управляет
производством и технологическими процессами, охватывает всю среду обитания
человека - от бытовых приборов до умных офисов и интеллектуального транспорта.
Все больше информации передается через мобильные сервисы, ранее изолированные
системы начинают взаимодействовать и обмениваться информацией, лавинообразно
нарастает поток данных и объемы хранения. Внедрение новых парадигм организации
распределенных крупномасштабных систем, таких как «Интернет вещей» (Internet of Things, IoT), приведет к новым рискам информационной безопасности, когда через сеть
станут доступны практически все предметы, окружающие человека.
Технологический рывок, вызвавший
стремительный прогресс в области ИКТ, привел также к росту спектра различных
уязвимостей, угроз и рисков, связанных с неаккуратным использованием и с
непредвиденными эффектами интеграции разнородных технологий. Это, в свою
очередь, приводит к созданию ненадежных и слабо защищенных инфраструктурных
систем, подвергающих опасности как находящиеся под их контролем данные и бизнес-процессы,
так жизни и здоровье людей. Обеспечение конфиденциальности, целостности,
доступности данных, защита коммерческой тайны, сохранение тайны частной жизни
требуются во всех областях информационных технологий. Системному
программированию предназначено найти ответ на возникающие вызовы и создание
более безопасных и надежных систем.
Основными причинами нарушения
информационной безопасности (утечка персональных данных, кража или подмена
данных, сбой в критической инфраструктуре и др.) являются уязвимости в
программном обеспечении и аппаратуре. Только за первые четыре месяца 2017 года
в базе известных уязвимостей National
Vulnerability Database, которую поддерживает
Национальный институт стандартов и технологии США, зарегистрировано более 450
критических уязвимостей. Ошибки были найдены в аппаратном обеспечении, во
встроенных и управляющих системах, серверном программном обеспечении,
популярных приложениях пользователей. Ущерб от киберпреступлений составляет
сотни миллиардов долларов.
Классические методы информационной
безопасности, такие как защита по периметру, антивирусы, организационные
мероприятия и др. необходимы, но не достаточны. Более того, невозможно
разработать унифицированную технологию (например, «безопасную операционную
систему»), гарантирующую полную безопасность. Требуется стек технологий,
покрывающий весь жизненный цикл системы, который позволит находить и устранять
на этапах разработки и внедрения максимальное количество ошибок в исполняемом
коде и предотвращать эксплуатацию существующих ошибок или смягчать их
последствия. Фактически качество технологий в этом стеке определяет уровень
безопасности программно-аппаратной системы.
Заслушав и обсудив доклад
члена-корреспондента РАН Аветисяна А.И. «О мерах по развитию системного
программирования как ключевого направления противодействия киберугрозам» и
выступления участников обсуждения, президиум РАН отмечает, что в современном
мире происходит резкое возрастание роли безопасности системного программного
обеспечения. Передовыми технологиями, обеспечивающими кибербезопасность, в
полной мере обладают только США. Европейские и азиатские компании вынуждены
пользоваться американскими инструментами. На протяжении многих лет в США
ведутся государственные программы, нацеленные на долгосрочное развитие
технологий кибербезопасности (программы DARPA
АРАС, CGC,
VET, запускаемый проект CHESS),
создание научных школ в ведущих университетах и
организацию их совместной деятельности (CyLab
Security and Privacy Institute).
В Федеральном государственном
бюджетном учреждении науки Институте системного программирования им. В.П.
Иванникова Российской академии наук разработаны и успешно внедрены технологии
мирового уровня, отвечающие вызовам кибербезопасности, благодаря базовому
финансированию РАН, грантам РФФИ, контрактам Минобрнауки России, контрактам с
компанией «Самсунг» и ряда других компаний.
Достижение фундаментальных
результатов и долгосрочное развитие технологий невозможно силами только одной
из заинтересованных сторон: поставщиков или разработчиков ПО, государственных
или академических организаций. Необходима государственная инициатива по
созданию комплексной научно-технической программы для развития технологий
безопасности ПО. Для успешной работы программы требуется создание
жизнеспособной системы, учитывающей все аспекты развития отрасли:
государственное регулирование, промышленную разработку ПО, долгосрочное
развитие передовых технологий и подготовку квалифицированных кадров. Ключевая экспертная
роль центра компетенций в такой программе могла бы принадлежать РАН.
Необходимость обеспечивать высокий уровень кибербезопасности при сохранении на
конкурентоспособном уровне эффективности и продуктивности является
долговременным вызовом.
Президиум РАН ПОСТАНОВЛЯЕТ:
1. Принять к сведению изложенную в
докладе члена-корреспондента РАН Аветисяна А.И. информацию о состоянии
системного программирования как ключевого направления противодействия
киберугрозам и мерах по их развитию.
2. Активизировать взаимодействие
РАН с ведущими отечественными организациями в области развития системного
программирования как ключевого направления противодействия киберугрозам.
3. Поручить вице-президенту РАН
академику РАН Козлову В.В. до 1 марта 2019 г. подготовить:
3.1. проект обращения в
Правительство Российской Федерации о мерах по развитию системного
программирования как ключевого направления противодействия киберугрозам в
Российской Федерации, прежде всего в рамках национального проекта (программы)
«цифровая экономика»;
3.2. разработку соответствующей
комплексной научно-технической программы для создания новых моделей, методов и
соответствующих технологий системного программирования, позволяющих проводить
глубокий анализ и трансформацию ПО с целью: найти и устранить на этапе
разработки максимальное количество ошибок в исполняемом коде (жизненный цикл
разработки безопасного ПО); обеспечить устойчивость программной системы,
затруднив эксплуатацию существующих ошибок или смягчить последствия их
эксплуатации, после внедрения программы, в том числе за счет развития методов
криптографии, квантовой передачи данных и программно-аппаратных решений;
представить в Совет по приоритетному направлению Стратегии
научно-технологического развития «Переход к цифровым, интеллектуальным производственным
технологиям, роботизированным системам, новым материалам и способам
конструирования, создание систем обработки больших данных, машинного обучения и
искусственного интеллекта» комплексную научно-техническую программу для
согласования;
3.3. предложения в Высшую
аттестационную комиссию о введении в номенклатуру научных специальностей новой
специальности, по которой присуждаются ученые степени «Методы и технологии
анализа программноаппаратных комплексов для обеспечения кибербезопасности».
4. Предусмотреть в проекте
Программы фундаментальных научных исследований на долгосрочную перспективу
отдельное направление исследований «Системное программирование как инструмент
противодействия киберугрозам».
5. Поручить Отделению
математических наук РАН (академик РАН Козлов В.В.):
5.1. подготовить предложения в программу
фундаментальных научных исследований президиума РАН «Фундаментальные проблемы
системного программирования для обеспечения информационной безопасности
программно-аппаратных систем»;
5.2 подготовить предложения по организации
распределенного центра компетенции под научно-методическим руководством РАН, по
созданию жизнеспособной системы, учитывающей все аспекты развития отрасли:
государственное регулирование, промышленную разработку ПО, долгосрочное развитие
передовых технологий и подготовку квалифицированных кадров для создания условий
эффективного участия в международной кооперации как с целью трансфера знаний и
технологий в РФ, так и создания благоприятных условий обеспечения
технологической независимости и экспорта инноваций.
Президент РАН
академик РАН А.М.Сергеев
Главный ученый секретарь
президиума РАН
академик РАН Н.Н.Долгушкин