В США призвали изучить уровень защиты Astra Linux из открытых разведданных

На сайте частной американской организации с сфере международных связей CFR появилась статья приглашённого аналитика в области технологий и геополитики Джастина Шермана «Россия становится более цифрово-изолированной и зависимой от Китая», в которой оцениваются уровень импортозамещения в РФ и масштаб применения технологий из КНР.

Организация CFR позиционирует себя в качестве независимой, в составе её совета директоров есть бывшие разведчики, журналисты, представители деловых кругов, например финансовый директор Alphabet. Тем не менее, опубликованный на сайте блог заявлен как от «приглашённого автора».

По мнению Шермана, Россия сама заинтересована в своего рода «цифровой изоляции», но текущие результаты можно назвать «смешанными», поскольку в области программного обеспечения заметны успехи, а вот в техническом плане собственные проекты вроде Сколково и Роснано вряд ли можно назвать передовыми. Кроме этого, РФ стала сильно зависеть от поставок оборудования из Китая (прежде всего, чипов и микросхем), хотя такие гиганты как Huawei и Djj не всегда с охотой поставляют свою технику из опасений попасть под санкции Запада.

В качестве одного из главных выводов Шерман советует США и их партнёрам использовать открытые источники разведывательной информации для выявления российского спроса на конкретные китайские технологические продукты и услуги:

«...эта разведывательная информация может быть получена из многих источников, включая российские киберконференции, публичные контракты и партнерства в области смартфонов, мобильных приложений и операционных систем».

По его словам, такие данные могут выявить использование китайских технологий в определенных областях, «создавая узкие места». «Например, зависимость России от китайских полупроводников уже высока, и российский рынок смартфонов всё больше ориентируется на китайские телефоны, а не на iPhone и Samsung. Некоторые из этих продуктов и услуг также могут иметь известные уязвимости в области кибербезопасности или плохие практики кодирования (как это часто встречается с оборудованием Huawei для телекоммуникаций), создавая дополнительные риски для России», — пишет Шерман в своём блоге на CFR.

По его мнению, аналитики в США и странах-партнёрах также «должны использовать открытые источники разведывательной информации для понимания развертывания в России таких технологий, как операционная система Astra Linux»:

«Astra Linux широко используется в российской армии и системах разведки, возможно, имея при этом уязвимости, которые можно использовать в масштабе. Это также настроенная и (якобы) усиленная версия операционной системы с открытым исходным кодом. Переходя к китайским и отечественным продуктам, Россия также теряет доступ к талантам в области кибербезопасности в США, Западной Европе, Японии и других странах. Возможно, разработчики Astra Linux имеют меньше возможностей для более широкой базы тестировщиков и защитников их кода. Это могут быть области, где США и их союзники могут использовать преимущества в киберпространстве».

Шерман также считает, что «Кремль может радоваться своей растущей технологической изоляции и созданию операционных систем и реестров программного обеспечения, но постоянная необходимость в китайских технологиях свидетельствует о том, что о независимости в области технологий речи быть не может».

«Группа Астра» остро восприняла статью Шермана и опубликовала ответ:

«Призывы со стороны иностранных агитационных ресурсов в очередной раз подтвердили верность нашей бизнес-стратегии, ориентированной в первую очередь на создание безопасных решений, усиленных собственными СЗИ.

Информационная безопасность зашита в ДНК «Астры» — это наш ключевой приоритет.

Мы располагаем достаточными ресурсами для тестирования кода, оперативного устранения уязвимостей, уделяем большое внимание таким технологиям, как мандатное разграничение доступа и контроль целостности, замкнутая программная среда и другим средствам защиты».

«В связи со сложившейся международной обстановкой также усилены меры по выявлению вредоносных включений в ПО, - продолжает «Группа Астра», - проводится дополнительный антивирусный контроль с применением нескольких специализированных средств».

«Российские регуляторы, осознавая важность информационной безопасности и технологического суверенитета, накладывают достаточно жёсткие требования для разработчиков СЗИ. ОС Astra Linux сертифицирована ФСТЭК России по первому уровню доверия и классу защиты. Это подтверждает высокие результаты нашей деятельности по обеспечению ИБ», — отмечают в компании.

Своим клиентам «Группа Астра» советует «внимательно следовать рекомендациям и методическим инструкциям по настройке безопасности средств защиты информации, в том числе ОС Astra Linux, и своевременно применять обновления, направленные на устранение потенциальных уязвимостей».