11 октября 2023 года

В популярных изданиях «Коммерсант» и CNews 10 октября были опубликованы материалы, содержание которых, как нам кажется, направлено на дискредитацию российских разработчиков ПО — прежде всего в области информационной безопасности. Мы решили разобраться: почему российское ПО в материалах статей названо опасным и как этот тезис аргументировали авторы.

«Российский софт оказался «дырявым» и небезопасным. Разработчики не успевают выпускать патчи — не хватает денег и опыта» — гласит заголовок CNews. Напомним, это не зарубежное, а российское издание. Заголовок кликбейтный и хорошо запечатлится в памяти тех, кто его увидит.

Доказательства и аргументы? Найти их в материалах обоих СМИ даже не стоит пытаться. Хотя тема серьезная, и вряд ли в этой сфере стоит упражняться в голословных утверждениях. И «Коммерсант», и перепечатавший его CNews приводят слова заместителя главы ФСТЭК Виталия Лютикова, говорившего о недостаточно быстрой реакции служб технической поддержки российских вендоров на запросы клиентов. При этом ни слова в цитате представителя ФСТЭК о «дырявости» и «опасности» российского софта нет. Все-таки закрытие уязвимостей в софте — задача не технической поддержки, а разработчиков софта.

Далее следуют комментарии компаний-разработчиков, двое из которых занимаются заказной разработкой и вряд ли имеют отношение к сертификации средств защиты информации во ФСТЭК России. Оставим на совести авторов обращение к этим компаниям, а не к тем, которых можно было бы заподозрить в разработке уязвимого и «опасного» софта в области ИБ. Наверняка именно заказные разработчики лучше осведомлены о ситуации в отрасли.

На основании ничем не аргументированных утверждений в обеих статьях четко формируется негативный образ российских разработчиков, которые медленно реагируют на обнаружение уязвимостей в собственном софте. Нет статистики и конкретных примеров — просто поверьте на слово. А приглашенные эксперты уверенно поясняют: «Это одно из многочисленных последствий 24 февраля 2022». То ли софт до этой даты был неуязвимым, то ли с началом СВО наступило прозрение и пришло понимание, что российские программисты не могут справиться с лавиной запросов, хлынувшей на них от соотечественников. Никого при этом не должно смущать, что до начала СВО многие российские программные продукты успешно продавались не только в России, но и за ее пределами, при том справлялись с вопросами и требованиями зарубежных заказчиков.

Особенно позабавил нас в «Доктор Веб» пассаж CNews о приостановленном и через несколько часов восстановленном сертификате соответствия ФСТЭК на наш главный продукт Dr.Web Enterprise Security Suite. Мы так и не выяснили, к чему эта история упомянута в статье, порочащей российских разработчиков, поскольку она полностью опровергает всё написанное до этого. Если предположить, что «Доктор Веб» добился восстановления сертификата всего за несколько часов, такое время реакции на инцидент достойно уважения.

Не хочется думать, что эти статьи заказные, хотя много моментов на это указывает. Хочется считать, что материал подготовлен не очень профессиональными журналистами, которые легко рассуждают об уязвимостях в софте, но не знают разницы между сертификатом безопасности и сертификатом соответствия. А говоря об устранении уязвимости в ПО, начинают рассуждать об эффективности работы служб технической поддержки.