Автоматическая установка обновлений, ликвидирующих «дыры» в безопасности, запрещена постановлением правительства.
Неприятно, когда компьютер в самый неподходящий момент перезагружается, обновляя программное обеспечение. Офисные программы в российских госведомствах будут обновляться только после подтверждения пользователя или «уполномоченных сотрудников». Это хорошо для крупных структур с бдительными системными администраторами, но небольшие организации рискуют месяцами жить с «дырявым» софтом.
На днях постановлением правительства утверждены разработанные Минкомсвязи «Дополнительные требования к программам для электронных вычислительных машин и базам данных, сведения о которых включены в реестр российского программного обеспечения».
Именно софт из реестра российского ПО необходимо использовать в государственных и муниципальных организациях, кроме случаев, когда отечественных программ с необходимым функционалом просто не существует.
Восьмой пункт требований звучит так: «Обновления офисного программного обеспечения должны выполняться только после подтверждения со стороны пользователя офисного
программного обеспечения или уполномоченных сотрудников».
– В сфере информационной безопасности есть соответствующие требования к порядку обновлений ПО в органах власти. Требование в пункте 8 в том числе согласовано с ФСБ и ФСТЭК и не противоречит установленным процедурам, – пояснили в Минкомсвязи.
Всё логично: многие госорганы имеют дело с конфиденциальной информацией и любое изменение используемого софта в них должно проверяться на предмет безопасности. Но выбранный порядок обновлений предъявляет большие требования к сознательности пользователей компьютеров и системных администраторов.
Киберпреступники, никак не связанные с разработчиками ПО, ищут и используют уязвимости в распространенных программах, напомнил антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
– Чем раньше устанавливаются обновления, тем лучше для пользователей этого ПО, – заявил он. – Многие патчи имеют прямое отношение к лечению еще не известных массово дыр.
По словам Легезо, у атакующих есть отдельный бизнес – анализ свежих обновлений и определение, какие «дыры» они закрывают, чтобы воспользоваться уязвимостями на тех машинах, куда «патчи» еще не установлены.
Хакеры изучают обновления популярных программ, чтобы взломать компьютеры, где "патчи" еще не установлены.
– Когда обновления имеют критический характер, связанный с информационной безопасностью, они должны иметь максимальный приоритет по тестированию и внедрению в производство, – заявил замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. – Если реализованы такие требования к самому ПО, нужны также изменения и в должностные инструкции уполномоченных сотрудников.
К слову, компания Microsoft для домашних пользователей обновляет Windows 10 автоматически. У корпоративных пользователей этой системы есть возможность выбрать, как устанавливать обновления, разъяснили в корпорации.
Есть в требованиях и другие нововведения. Все офисные системы, требующие авторизации пользователей, должны будут поддерживать регистрацию через сайт госуслуг (так называемую единую систему идентификации и аутентификации, ЕСИА).
– Государство ранее уже выражало желание, чтобы госслужащие идентифицировались в ЕСИА, – рассказал Дмитрий Комиссаров, гендиректор фирмы «Новые облачные технологии» (разработчик отечественного офисного пакета «МойОфис»). По его словам, реализовать это несложно. В «МойОфис» такая возможность должна появиться в апреле.
В ЕСИА уже зарегистрировано более 40 млн россиян, в том числе и госслужащие, напомнили в Минкомсвязи.
Еще одно требование к поставщикам софта для российских госорганов – круглосуточная поддержка пользователей по телефону и электронной почте на русском языке.