Скрытая угроза:
недекларированные возможности бизнес-ПО

Портрет респондента

Всего в исследовании приняли участие 412 человек, преимущественно сотрудников и руководителей подразделений, занимающихся разработкой ПО и защитой информации. Опрос проводился в форме online-анкетирования с 14 марта по 27 апреля 2011 г. В исследовании представлены компании большинства ключевых отраслей российской экономики с акцентом на телеком, финансовые услуги и госорганы.

Бизнес-ПО в корпоративной среде

Большинство задач, решаемых ежедневно коммерческими компаниями, очень похожи. Бухгалтерский и складской учет, обслуживание клиентов, внешние и внутренние коммуникации и т.д. – всем этим необходимо заниматься и большим, и малым фирмам, банкам и розничным магазинам, провайдерам связи и страховым организациям. Именно поэтому на рынке уже давно появилось большое количество типовых и даже "коробочных" программных комплексов. Обладая большей частью необходимого функционала, эти универсальные программы тем не менее не могут учесть всех нюансов ведения бизнеса конкретными компаниями в конкретных отраслях. В связи с этим типовые продукты обычно нуждаются не только в настройке, но и в адаптации под требования конкретного заказчика.

Только в 18% российских организаций довольствуются функционалом "коробочных" продуктов в типовой поставке. Надо полагать, что доля компаний, которые не испытывают при этом необходимости в доработке "коробочного" ПО еще ниже. Подавляющее же большинство компаний (68%) использует модифицированные программы, либо разрабатывает собственное ПО (61%). Причин, которые заставляют создавать собственные программы, немало. Это может быть отсутствие типовых программ, уникальные требования к функционалу, более низкая стоимость разработки или обслуживания, сложность совместимости со специфическим оборудованием или другим ПО.

Интересен вопрос о том, какие типы программ чаще других   дорабатываются   на практике (рис. 1). С большим отрывом здесь лидируют бухгалтерские продукты, доработкой которых занимается практически каждая вторая (45%) компания. Отдельно отметим долю АБС (автоматизированные банковские системы) и процессинговых систем, которая составила 17%. Кажется, что это немного. Но если учесть, что доля респондентов из финансовых институтов в исследовании составляет только 14%, можно предположить, что практически любой банк вынужден заниматься доработкой АБС. Таким образом, именно АБС и процессинговые системы, на наш взгляд, имеют наибольшую удельную долю среди всего ПО, которое подвергается доработке.

С точки зрения защиты от НДВ важным является вопрос о том, кто разрабатывает или модифицирует софт. Ведь именно программист оставляет в коде закладки. При этом не всегда априори понятно, что будет надежнее, если доработкой займутся внешние подрядчики или собственные сотрудники. Однако исходя из этого предстоит определить стратегию защиты от появления закладок в программах.

Наиболее популярным способом модификации ПО в российских компаниях является привлечение собственных программистов (72% организаций). Достаточно часто клиенты прибегают и к помощи разработчиков оригинального ПО (22%). Однако нанять разработчиков для удовлетворения потребностей отдельной организации может быть очень дорого, а в некоторых случаях и вовсе невозможно. Поэтому компании обращаются также к сертифицированным (10% случаев) и несертифицированным (18%) внешним подрядчикам.

Риски появления НДВ

Закладки, которые разработчик оставляет в коде программы, необязательно предназначены для нанесения ущерба компании или кражи конфиденциальных данных. Гораздо чаще НДВ в программах появляются совсем из других соображений. Например, разработчик оставляет возможность удаленного подключения для упрощения обслуживания системы и пишет лишнюю процедуру выгрузки данных в целях отладки. Вне зависимости от цели установки всякая недокументированная возможность несет в себе риски. Важно, не кто и зачем установил закладку, а кто и зачем ею воспользовался.

Большинство респондентов (66%) на вопрос о существовании рисков НДВ вследствие доработки ПО ответили положительно (рис. 2). Определение "невысокий риск" можно расценивать, скорее, не как низкую вероятность появления закладок, а как небольшой ущерб, который может принести эксплуатация закладки злоумышленником для некоторых организаций.

Лишь 11% участников исследования говорят о рисках как о мифе. Такой расклад можно расценивать как осознание того факта, что "чистое" ПО пока нам только снится, а доработка логики работы программ должна контролироваться с точки зрения не только функционала, но и безопасности.

Если говорить о фактически зафиксированных инцидентах в связи с наличием в программах НДВ, их число не так уж и мало. 12% респондентов подтвердили, что такие инциденты были в их практике, а еще 20% сообщили о том, что инциденты фиксировались, но поскольку сами закладки в ПО так и не были обнаружены, однозначно судить об их природе нельзя.

Выше мы уже говорили о том, что для различных категорий разработчиков применяются различные меры по защите  от  появления  НДВ.

Какими могут быть эти меры? На практике чаще всего компании ограничиваются организационными мерами (рис. 3). Безусловно, организационная составляющая в деле обеспечения ИБ важна. Но разве можно в вопросах безопасности целиком положиться на самосознание исполнителей и строгость нормативных бумаг? Только 9% российских компаний используют технические средства контроля программного кода. Неудивительно, что наличие закладок в программах не было обнаружено даже в ходе расследования инцидентов.

Но если организационные мероприятия не дают уверенности в чистоте кода, почему компании не используют технические средства? Причин может быть много, поэтому респондентам предлагалось выбрать одну, наиболее важную на их взгляд (рис. 4).

Рассмотрим полученные цифры подробнее. Доля ответа "Нет необходимости" коррелирует с долей компаний, которые не используют модифицированное ПО в принципе. Варианты ответа "Подобные решения используются" и "Затрудняюсь ответить" отсекают нерелевантные в данном случае мнения. Наиболее же значимой причиной, по мнению респондентов, является то, что предлагаемые сегодня решения недостаточно совершенны (22%). По мнению специалистов Appercut Security, это очень хороший показатель. Он означает, что специалисты знают, чего хотят и могут сформулировать свои претензии к существующим решениями и пожелания к будущим продуктам.

Заключение

Большинство типовых задач, стоящих перед современными компаниями в области автоматизации, закрывается типовыми продуктами. Однако отличия в бизнес-процессах не позволяют подойти ко всем с единой меркой. Компании вынуждены дорабатывать поставляемое ПО. При таком подходе весь функционал программ, документированный и скрытый, находится в руках программистов-исполнителей. Однако компании не контролируют чистоту программного кода. Большинство по старинке ограничивается мерами организационного характера. Технические средства контроля используются лишь эпизодически. Тот факт, что об угрозе все знают, ничего не говорит о том, что с ней борются.

Как показывают результаты исследования, все это приводит к регулярному возникновению инцидентов ИБ. Только 21% респондентов уверены в том, что подобных инцидентов не было в их практике. Интересно также, что в 20% случаев, когда инциденты регистрировались, найти закладки в ПО так и не удалось.

Настоящее положение дел позволяет сделать вывод о перспективах развития ситуации. С ростом количества инцидентов, связанных с наличием в бизнес-ПО закладок, будет расти и озабоченность потребителей. А внимание со стороны бизнеса и специалистов в области ИБ, в свою очередь, говорит о высоком потенциале рынка специализированного ПО для обнаружения скрытых угроз.

С полной версией отчета "Скрытая угроза: недекларированные возможности бизнес-ПО" вы можете ознакомиться на сайте www.appercut-security.com.