Угрозы российской ИТ-инфраструктуре: как гарантировать непрерывность работы в 2022 г.

13 октября, 2022

В этом году российский рынок Java-технологий столкнулся с беспрецедентными вызовами:

• Уход иностранных вендоров: Oracle, поставляющего Java и WebLogic, Red Hat, поддерживающего RHEL, и других производителей дистрибутивов OpenJDK (SAP, Google, IBM)
• Запрет на использование зарубежных технологий на критически важных объектах в соответствии с Указом Президента РФ от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры (КИИ) РФ”¹
• Рост кибератак в 1,5 раза по сравнению с 2021 г., а на КИИ нефтяной, энергетической и финансовой отраслей – в 1,7 раз²

В результате российские компании оказались в ситуации, когда пассивность грозит серьезными последствиями для информационной безопасности. А варианты импортозамещения пока мало изучены, поскольку подавляющее большинство предприятий годами полагались на западных партнеров. Как отметил Максут Шадаев, глава Министерства цифрового развития, связи и массовых коммуникаций РФ, на IT Government Day 5 октября 2022: «Многие компании, которые раньше не думали про ИБ или предполагали, что риски несущественны, сейчас поняли, что блокировка и простой являются серьезной угрозой для бизнеса».³

Итак, что сегодня могут предпринять ИБ-эксперты и технические директора для решения ключевой задачи, поставленной Минцифры — обеспечения стабильности и безопасности функционирования отечественных платформ, сервисов и ИТ-инфраструктуры?

Рассмотрим, какие есть пути и что дает стек российских Java-технологий. В его основе Axiom JDK Pro, отечественная Java-платформа, доказавшая надежность и безопасность в процессинге карт, розничной торговле, добыче газа, онлайн-платежах, государственных сервисах и самых популярных ИТ-системах в России.

Вариант № 1. Консервация.
Остаться на Oracle без обновлений и поддержки

Кто-то выбирает продолжить использовать ПО ушедших иностранных вендоров без поддержки. Но тогда компания не будет получать обновления безопасности и функционала критически важных систем, а в случае возникновения проблем их придется решать самостоятельно. В истории крупнейших банков были инциденты, для устранения которых привлекались не только локальные, но и глобальные ресурсы поддержки зарубежных поставщиков. А теперь отправить запрос будет некому. Вендор, кроме того, может удаленно отключить систему и доступ к своим ресурсам или подать иск в суд за нарушение лицензионных требований. Такие риски недопустимы на многих объектах КИИ, где простой в несколько секунд может привести к миллиардным потерям и остановке жизненно важных услуг и сервисов. При этом ответственность за это будет лежать на ИТ-руководителях самого предприятия, ведь использование иностранного ПО нарушает требования к соблюдению цифрового суверенитета.

Вариант № 2. Свободное плавание.
Использовать открытое ПО и помощь сообщества

Технологии с открытым исходным кодом позволяют снизить затраты на разработку и получать обновления безопасности и другие улучшения по мере их появления. Но применение Open Source решений связано с юридическими рисками и угрозами для информационной безопасности, которые могут повлечь за собой катастрофические последствия. Вот лишь некоторые из них:

• Уязвимости, например, в библиотеке Log4j в начале 2022 года⁴, которой был присвоен максимальный уровень опасности — CVSS 10, или в ядре Linux, существовавшей с момента появления ОС⁵
• Неожиданная смена условий распространения свободного ПО. Например, Oracle сделала проприетарной открытую СУБД MySQL, а затем заявила о прекращении бесплатных обновлений Java 8⁶
• Намеренная порча открытого исходного кода и активация закладок, что может привести к падению приложения и утрате или краже данных. Из недавних примеров — вредоносный код в пакетах colors.js и faker.js, а также порча файлов пользователей с IP-адресами из России и Беларуси через пакеты peacenotwar, node-ipc и другие.

Важно помнить, что свободное ПО собирается сообществом, поэтому нет конкретных ответственных за своевременное устранение проблемы и выпуск патча безопасности. А он может срочно понадобиться в тот момент, когда КИИ была скомпрометирована.

Вариант № 3. Росcийская Java.
Перейти на доверенный Open Source с поддержкой в России

Третий вариант, самый оптимальный с учетом большинства факторов, — это применение открытых Java-технологий с российской техподдержкой. Такие продукты сохраняют все преимущества Open Source:

• Прозрачность исходного кода
• Быстрое устранение уязвимостей
• Внедрение улучшений благодаря усилиям обширного сообщества.

При этом они поддерживаются отечественным разработчиком, предложившим полнофункциональную замену продуктам ушедшего Oracle, несущим ответственность за качество и безопасность платформы и отвечающим на запросы клиента 24/7 на основании SLA.

Ряд крупных компаний уже выбрали этот путь. Они позаботились о будущем ключевых систем и укреплении лидирующих позиций на рынке. НСПК, национальная система платежных карт, оператор платежной системы «МИР» и СБП, сегодня известна почти каждому: 145 млн эмитированных карт превышает население России. В 2020 г. компания перевела критически важные системы на отечественную Java платформу — Axiom JDK Pro, что позволило осуществлять карточные операции и переводы СБП с высокой производительностью и отказоустойчивостью и продолжать обслуживать карты Visa и MasterCard на территории РФ.

2500 транзакций в секунду на отечественной платформе — вызов принят!

В России есть команда инженеров, участвующих в разработке OpenJDK с момента его появления и стоящих у истоков Java-технологий. Они четверть века занимаются Java, работали в Центре разработки Oracle в Санкт-Петербурге, а теперь создают и поддерживают российский Java стек, ядром которого является Axiom JDK, среда разработки и исполнения Java.

Мир Plat.Form, ИТ-специалисты компании НСПК, провели комплексный анализ в связи с изменением лицензионной политики Oracle, оценив риски наличия уязвимостей, усложнения поддержки и снижения эксплуатационных характеристик систем, и осуществили поэтапную миграцию. В настоящее время Axiom JDK Pro используется в НСПК для систем процессинга, клиринга и программы лояльности ПС «МИР», СБП и других цифровых сервисов Мир Plat.Form. При этом нагрузочные параметры показывают колоссальный рост, с которым российская Java успешно справляется:

• Эмиссия карт по сравнению с 2020 годом выросла почти в два раза
• Нагрузка составляет 2500 транзакций в секунду при отказоустойчивости и доступности на уровне 99,999%
• К ПС «МИР» подключены 420 банков, более 170 банков-эмитентов.

Чем обоснован выбор?

Производительность, совместимость и надежность

Axiom JDK — это технологии мирового уровня на базе OpenJDK. Продукт прошел тесты на соответствие спецификациям Java SE и обеспечивает простую миграцию заменой пары строк кода.
Благодаря этому отечественные компании получают существенные преимущества:

• Все обновления и патчи уязвимостей: шесть релизов в год синхронно с Oracle Java
• Техподдержка 24/7 на родном языке: ответы в течение 24 часов на основании SLA и экстренными патчами безопасности
• Все LTS версии (JDK 8, 11, 17), текущая не LTS-версия (JDK 19), и даже Java 6 и 7 для тех, кто до сих пор работает на них
• Совместимость со множеством системных конфигураций, включая отечественные платформы (Baikal, СКИФ, МЦСТ SPARC, разработки на RISC-V) и ОС (Astra Linux, Alt Linux, РЕД ОС, РОСА)
• Работа в российских облаках и Yandex Cloud Marketplace
• Дополнительная поддержка технологий FX и Webstart, которые часто используются в России для обработки графических изображений
• Повышенная стабильность приложений благодаря современным сборщикам мусора, включая Shenandoah и ZРС, отсутствующих в Oracle Java
• Оптимизация использования ПО и «железа»: вариант поставки Axiom JDK Lite для создания микроконтейнеров

Инженеры Axiom JDK ведут работу над целым стеком Java-технологий для разработки и исполнения Java приложений с обеспечением цифрового суверенитета и санкционной устойчивости. Это стандартизованный сервер приложений Libercat для технологий Java EE (Jakarta EE), импортозамещающий Oracle WebLogic и IBM WebSphere, бесплатные средства мониторинга (JFR и Mission Control) и уникальные отечественные разработки:

• Axiom NIK для создания нативных образов и ускорения запуска приложений
• Axiom AC для унифированного контроля и обновления корпоративного парка Java.

Максимальная безопасность и локализация под требования РФ

Все продукты создаются в соответствии с концепцией жизненного цикла безопасной разработки SDL (Secure Development Lifecycle) и проходят тщательное тестирование, включая TCK-тесты, статический, динамический и структурный анализ, фаззинг и другие испытания. Клиенты Axiom JDK Pro получают доступ к уникальному российскому функционалу для защиты Java-приложений - доверенному репозиторию. Он содержащит тщательно проверенные исходные коды Java-библиотек и зависимостей, что позволит избежать использование случайного вредоносного кода. Общий объём уже верифицированных исходных текстов составил порядка 4 ГБ: подобные работы у одного разработчика заняли бы десять лет.

Команда Axiom JDK постоянно инвестирует в сертификацию и совместимость продуктов Java стека в соответствии с российскими требованиями. Благодаря этому ее разработка Axiom JDK Pro:

• Включена в реестр российского ПО Минцифры
• Является допустимой средой функционирования КриптоПРО JCP и КриптоПРО CSP для использования в системах юридически значимого электронного документооборота
• Сертифицирована ФСТЭК (Axiom JDK Certified) - впервые в истории Java - по 4 уровню доверия для использования на значимых объектах КИИ, в государственных информационных системах, системах персональных данных, автоматизированных системах управления производственными и технологическими процессами.

Axiom JDK Pro — прочный фундамент для КИИ

Стратегически мыслящие ИТ-руководители выбирают Axiom JDK Pro обоснованно. Это прогрессивный отечественный продукт, гарантирующий производительность, безопасность и надежность. Такой профессиональный подход не только обеспечивает непрерывность бизнеса и функционирования критической информационной инфраструктуры, он укрепляет технологический бренд организации. ИТ-специалисты получают амбициозные и перспективные задачи и с достоинством отвечают на современные беспрецедентные вызовы, опираясь на поддержку Java-экспертов в России. И результаты МИР Plat.Form, ИТ-команды НСПК — лучшее тому подтверждение.

В число предприятий, с успехом использующих Axiom JDK, входят Фирма “1С”, Группа «М.Видео – Эльдорадо», «Ростелеком», «Альфа-Банк»,«Газпром добыча Астрахань» и др. Обеспечивать безопасность приложений можно, в целом, самостоятельно и годами растить внутреннюю экспертизу: поставить задачу ИТ и ИБ специалистам проверять все пакеты на наличие уязвимостей и обновлений, верифицировать код в Java библиотеках при разработке. А можно последовать положительному примеру и воспользоваться возможностями доверенного продукта с российской техподдержкой уже сегодня. Это обеспечит независимость от внешних угроз, повысит производительность Java-проекта и гарантирует непрерывность функционирования ИТ-инфраструктуры.

Полезные ссылки

1. Указ Президента РФ от 30.03.2022 № 166
2. Статистика по кибератакам в РФ за 2022 год
3. Интервью Максута Шадаева на IT Government Day
4. Уязвимость Log4j
5. Уязвимость в ядре Linux
6. Изменения в лицензировании Java 8