До сих пор многие информационные и операционные системы защищают по остаточному принципу: сначала создают продукт, а о безопасности вспоминают в последнюю очередь, если что-то пошло не так. Но в современном мире такой подход больше не работает. Как невозможно представить дом без аварийных выходов или автомобиль без ремней безопасности, так и цифровая инфраструктура должна проектироваться с учетом защиты с самого начала.
Именно на этом принципе строится концепция КИБ (Secure by Design — конструктивная информационная безопасность): безопасность закладывается на уровне дизайна и сопровождает систему на протяжении всего жизненного цикла. Такой подход становится особенно актуальным на фоне роста числа подключенных устройств, усложнения IT-инфраструктуры и увеличения стоимости внешних средств защиты.
Конструктивная информационная безопасность уже закреплена в международных стандартах и нормативных инициативах. В США ее продвигает агентство CISA, в ЕС требования встроенной безопасности заложены в директиву NIS2, а в России действует ГОСТ, адаптированный на основе ISO/IEC TS 19249-2017. Развитие продолжается: появляются новые стандарты, такие как ГОСТ 72118 и ПНСТ 818/819-2023, усиливающие роль архитектурного проектирования в обеспечении безопасности.
Но, несмотря на очевидные преимущества, внедрение конструктивной информационной безопасности сталкивается с рядом препятствий. Она требует дополнительных затрат на этапе проектирования, высокой квалификации разработчиков и специальных методик разработки ПО. Кроме того, бизнесу трудно заранее оценить пользу от таких инвестиций — особенно если угрозы пока не претворились в жизнь.
Кибериммунитет: практическое воплощение концепции конструктивной информационной безопасности
Чтобы сделать КИБ применимой на практике, был разработан кибериммунный подход — методология, охватывающая все этапы создания защищенного ПО: от формулировки бизнес-требований до проектирования архитектуры, тестирования и верификации. В основе лежат проверенные временем принципы: изоляция компонентов, контроль взаимодействий, минимизация доверенного кода и поддержание модели целостности.
При следовании методологии удается создавать ПО, устойчивое к угрозам за счет его дизайна, а не внешних дополнительных средств защиты. Именно свойство врожденной устойчивости IT-систем к киберугрозам как результат применения конкретной методологии было названо кибериммунитетом. Кибериммунную систему настолько долго и дорого взламывать, что затраты на атаку многократно превысят любые потенциальные выгоды — легче найти менее защищенную жертву.
Кибериммунитет делает ставку не на реакцию на угрозы, а на устойчивость к ним по умолчанию. Даже если в систему проникает вредоносный код или обнаруживается неизвестная уязвимость, это не затрагивает критически важные компоненты. Система спроектирована так, чтобы защищенные элементы оставались изолированными от потенциального вреда независимо от характера атаки или источника угрозы. Такие архитектуры обладают рядом преимуществ:
- устойчивы к известным и неизвестным уязвимостям;
- менее требовательны к постоянным обновлениям и внешней защите;
- снижают общие расходы на сопровождение и внешнюю защиту;
- позволяют с высокой уверенностью прогнозировать поведение системы при атаках.
При этом кибериммунитет — не иллюзия полной неуязвимости. Он работает по принципу рационального риска: если взлом требует больше ресурсов, чем может принести, он становится бессмысленным.
Чтобы достичь этого эффекта, в кибериммунных системах минимизируется объем доверенного кода. Вместо того чтобы пытаться защитить все, внимание сосредотачивается на защите основных активов. Например, если «кибериммунное» приложение онлайн-банка атакует злоумышленник, использовав неизвестную ранее уязвимость или новую технику атаки, это может вызвать временную недоступность сервиса, но основные активы — такие как деньги клиентов и банка — останутся в безопасности.
Однако воплотить такую архитектуру непросто. Основная сложность в базовом уровне IT-инфраструктуры — большинстве современных операционных систем, созданных десятилетия назад. Они не учитывали современных киберугроз и не предназначались для масштабируемых, постоянно подключенных сред. Именно поэтому особую роль в реализации кибериммунитета играют операционные системы.
Конструктивная информационная безопасность в действии: как микроядерные ОС защищают системы
Реализовать подход КИБ на практике — значит обеспечить безопасность системы на уровне ее дизайна. Один из самых эффективных способов сделать это — использовать микроядерные операционные системы, которые изначально спроектированы по принципам изоляции, модульности и контроля взаимодействий.
В отличие от монолитных систем, где все компоненты тесно связаны, в микроядерной архитектуре каждый сервис работает изолированно. Это позволяет локализовать уязвимости и предотвратить их распространение по всей системе. Согласно исследованию, посвященному безопасности микроядерных ОС, 96% критических уязвимостей в Linux не были бы опасны в условиях микроядерной архитектуры, а 40% можно было бы устранить полностью.
Это особенно важно в условиях, когда большая часть современного ПО создается на основе заимствованного и не всегда проверенного кода. Проверять его на безопасность дорого и сложно — а иногда и невозможно. Микроядерная архитектура позволяет собрать надежную систему даже из потенциально небезопасных компонентов, что особенно ценно в средах с высокими требованиями к надежности и независимости.
Почему микроядерные ОС подходят для конструктивно безопасных IT-систем
Микроядерные ОС не являются новой технологией, но именно сейчас становятся актуальны как платформа для реализации конструктивной безопасности, в частности кибериммунитета. Их архитектура соответствует ключевым принципам КИБ и обеспечивает следующие преимущества:
- Изоляция компонентов: сбой одной службы не приводит к краху всей системы.
- Устойчивость к уязвимостям: атака на отдельный модуль не дает доступа к другим.
- Модульность: службы можно независимо разрабатывать, обновлять и удалять.
- Производительность: несмотря на более «длинные» коммуникации, современные микроядерные ОС демонстрируют высокую скорость и отзывчивость. Например, HarmonyOS Next уже превосходит Linux по ряду параметров, а QNX используется в системах реального времени.
- Переносимость и масштабируемость: микроядро легко адаптируется к различным аппаратным платформам и требованиям.
- Экономия ресурсов: меньшая поверхность атаки и более редкие обновления снижают общую стоимость владения.
Сегодня микроядерные ОС применяются как в узкоспециализированных системах (QNX, Integrity, FreeRTOS), так и в решениях общего назначения (Fuchsia, HarmonyOS Next, Redox).
В России тоже ведется разработка собственных микроядерных систем. Микроядерная ОС KasperskyOS начала создаваться более 20 лет назад — задолго до того, как концепция Secure by Design оформилась в международные стандарты. В «Лаборатории Касперского» поставили задачу разработать архитектуру, способную противостоять атакам за счет встроенных свойств, а не за счет внешней защиты.
Примером кибериммунного подхода стала операционная система для тонких клиентов Kaspersky Thin Client. Это коммерческий продукт, который уже внедрен на нескольких предприятиях. Так, например, он обеспечивает защищенность рабочих мест без антивирусов и внешних средств ИБ в Красноярской региональной энергетической компании («КрасЭКо»). Благодаря архитектурной изоляции процессов и централизованному управлению потенциальные векторы атак были закрыты заранее. Взлом становится экономически нецелесообразным: даже при компрометации одного приложения злоумышленник не получает доступа к критическим данным.
Такой подход не только повышает уровень защиты, но и снижает эксплуатационные затраты. Пример «КрасЭКо» показывает, что кибериммунные продукты на основе микроядерной архитектуры уже применяются в реальном бизнесе, обеспечивая высокую безопасность при разумных расходах.
Что дальше
Принципы конструктивной информационной безопасности постепенно становятся стандартом в разработке программного обеспечения. Несмотря на то что сначала этот подход вызывал у бизнеса скепсис — в первую очередь из-за дополнительных затрат и необходимости менять процессы, — сегодня он все чаще воспринимается как единственно возможный в условиях растущих угроз и усложняющихся IT-сред.
Институционализация КИБ выходит на новый уровень. В России планируется создание Центра конструктивной информационной безопасности на базе Института системного программирования РАН. Центр будет заниматься апробацией методологии конструктивной ИБ, взаимодействием с регуляторами, поддержкой разработчиков и формированием профессионального сообщества.
Особую роль в этой экосистеме играют отечественные микроядерные операционные системы. Их использование в качестве платформы для внедрения конструктивной безопасности позволяет создавать технологически независимые решения с высоким уровнем защиты и минимальными затратами на внешние средства ИБ. Именно такие системы формируют основу кибериммунного подхода, в котором защита — это свойство самой архитектуры, а не реакция на инциденты.
➤ Подписывайтесь на телеграм-канал «РБК Трендов» — будьте в курсе последних тенденций в науке, бизнесе, обществе и технологиях.