МойОфис: опыт безопасной разработки прикладного ПО

Генеральный директор МойОфис Павел Калякин рассказал о текущих проблемах информационной безопасности частных и государственных компаний и объяснил, на какие принципы нужно опираться при создании безопасной ИТ-инфраструктуры в современных условиях.

— Прошлый год наглядно показал: надежная защита от хакерских атак — обязательно условие для устойчивой ИТ-инфраструктуры. Офисное ПО — одна из основных «точек входа» злоумышленников. Расскажите, что сейчас происходит с информационной безопасностью (ИБ) в ИТ-отрасли?

— Фокус сместился в сторону атак на государство, объекты критической информационной инфраструктуры и военно-производственный комплекс. Это явление прошлого года, которое актуально и в 2023 году: чем активнее действует наша страна на международной арене, тем больше внимания злоумышленников к стратегически важным предприятиям и объектам КИИ.

Причем, целью взлома становится не только прямой ущерб системе, но и продолжительная эксплуатация ее уязвимостей, например, для сбора информации и персональных данных.

Также изменилось и поведение самих злоумышленников. Раньше системы взламывали ради выкупа, делали это без привлечения лишнего внимания. Сегодня атаки проводят, в первую очередь, для роста репутации среди злоумышленников — свои действия хакеры освещают на собственных сайтах, нередко встраивая туда таймер с обратным отсчетом до обнародования данных.

Еще один ИБ-тренд 2023 года — появление мотивированных инсайдеров, так называемых хактивистов. Это люди, которые работают в компании и симпатизируют ИБ-злоумышленникам, как правило, из других стран. Хактивисты способствуют успешным атакам, указывая преступникам на уязвимости, слабые места системы.

 — Что нужно предпринять компаниям, чтобы оградить себя от ИБ-рисков и снизить вероятность результативной хакерской атаки?

 — Нужно выбирать доверенные ИТ-продукты российских разработчиков с высокой культурой безопасной разработки. Один из индикаторов такой гарантии — наличие у продукта сертификата на соответствие требованиям ФСТЭК России. Проводя сертификационные испытания, лаборатория независимо от разработчика осуществляет комплекс проверок в отношении программного обеспечения, в том числе, его кодовой базы. Применение доверенных программных средств создает серьезный барьер для потенциальных нарушителей.

Комплексно модель информационной безопасности современной организации должна строиться на трех базовых принципах.

Конфиденциальность — в рамках инфраструктуры организации необходимо разграничить доступ сотрудников к данным внутри организации.

Целостность — ИТ-инфраструктура должна быть консолидирована и находиться под полным контролем организации, а используемые программные средства должны быть стандартизированы и регламентированы.

Доступность — ПО должно быть легкими в использовании, современными и функциональными, а каждый из сотрудников должен иметь свободный доступ к тому объему данных, работа с которым подразумевается его должностными обязанностями. При этом вы, как владелец информационной системы, должны вести журналы доступа к данным и знать, кто и когда их запрашивал.

 — Насколько продукты МойОфис соответствуют концепции доверенного ПО?

— Полностью соответствуют. Мы создаем продукты, опираясь на лучшие мировые практики безопасной разработки. В процессе разработки мы постоянно анализируем как весь проект целиком, так и его архитектуру, проверяем программный код, проводим тексты на проникновение.  Перед выпуском релиза все наши решения проходят обязательное выходное тестирование и анализ защищенности, а помимо нашего внутреннего аудита безопасность кода проверяет испытательная лаборатория на соответствие требованиям регулятора. Защищенные версии ПО МойОфис имеют сертификаты ФСТЭК России.

Все это позволяет достигнуть сразу нескольких целей — наше ПО становятся безопаснее, и, как следствие, снижается риск потенциальных кибератак и уменьшаются бизнес-риски для компании.

В настоящий момент решения МойОфис получили два основных сертификата ФСТЭК России. Мы являемся единственным офисным ПО в России, которое обладает такими сертификатами.

— Тем не менее используя из защищенного только редакторы документов, нельзя говорить о полностью безопасной ИТ-инфраструктуре на объектах КИИ…

— Безусловно. И МойОфис — это не только редакторы документов. В этом году исполняется 10 лет нашей компании, за это время мы создали целую экосистему продуктов, куда входят редакторы, две почтовые системы, решение для хранения и управления файлами в собственном облаке, цифровое рабочее пространство для совместной работы и корпоративного общения — Squadus. Поэтому мы можем предложить комплексное решение — доверенную экосистему для совместной работы с документами и средствами коммуникаций.

В основе нашей идеи безопасного рабочего места на объекте КИИ находится защищенный ИТ-периметр, внутри которого располагаются компьютерные мощности под управлением доверенной ОС. Хранение данных, совместная работа и веб-редакторы документов реализуются с помощью «МойОфис Защищенное Облако». Почтовая система — «Mailion. Сертифицированный». Работа с документами на компьютере пользователя также может быть осуществлена с помощью защищенных настольных редакторов «МойОфис Стандартный».

Помимо самих продуктов мы предлагаем всестороннюю помощь в развертывании безопасных решений — нашим клиентам доступен полный спектр консалтинговых услуг и технической поддержки. Мы сопровождаем клиента на всех этапах внедрения — от первого тестирования до финального запуска системы в эксплуатацию.

Решениями МойОфис уже пользуются более 8 тысяч организаций по всей стране, в том числе наши крупнейшие клиенты — Банк ВТБ и Росатом, которые также относятся к субъектам КИИ.