Из-за международной напряженности и ухода с российского рынка крупных ИТ-компаний отечественному бизнесу приходится срочно искать замену программным и сервисным ИТ-решениям. Кроме того, следует предусмотреть и другие ситуации, когда привычные инструменты могут стать временно недоступными. Поэтому российские эксперты предложили план Б, или «тревожный чемоданчик», для администраторов-инфраструктурщиков.
Информационно-коммуникационная сеть Интернет уже показала возможность поддерживать коммуникации даже в случае, когда часть узлов являются недоступными. Дело в том, что разработали Интернет в Министерстве обороны США по перспективным исследованиям (DARPA). Первым прототипом американских военных был Арпанет. Эта сеть заработала в 1969 году.
В настоящее время на прочность испытывается российский сегмент Интернета, ведь без него невозможно представить банковские услуги, сервисы социального взаимодействия, телефонное общение и даже работу бизнес-приложений компаний. Чтобы не прекращать коммуникации с сотрудниками, клиентами и филиалами, предприятиям рекомендуется обзавестись виртуальным «тревожным чемоданчиком» администраторов-инфраструктурщиков. Директор Ассоциации Интернета вещей Андрей Колесников подчеркивает, что рекомендации разработаны коллегами – ветеранами Рунета еще в 2014 году. Сейчас эти предложения помогут российскому бизнесу минимизировать последствия возможных ограничений.
В случае отключения App Store и Google Play необходимо продумать альтернативные каналы дистрибуции и взаимодействия с клиентами.
По данным Statista на первый квартал 2021 года, в магазине Google Play насчитывалось 3,5 млн приложений, в Apple App Store – 2,22 млн. По этому показателю App Store и Google Play в несколько раз превосходили ближайших конкурентов. Кстати, конкуренцию Google Play составляют и магазины приложений от таких производителей, как Xiaomi, Huawei, Vivo, Oppo и Samsung. Суммарно эти компании поставляют на рынок 42% мобильных устройств с операционной системой Android.
При отзыве SSL-сертификатов, изданных западными удостоверяющими центрами, рекомендуется заменить их на выпущенные своим удостоверяющим центром. Нелишним будет распространить свои корневые сертификаты на инфраструктуру сервисов компании (в том числе на заказчиков, партнеров и так далее). Как отметил Андрей Колесников, 2 марта некоторые банки, чьи SSL-сертификаты отозвали, заменили их другими. Эксперт объяснил, что российских центров сертификации, встроенных в международное дерево доверия для ведущих браузеров, нет. Наиболее востребованные сертификаты у владельцев сайтов Рунета – Let’s Encrypt R3 (1,3 млн единиц), Encryption Everywhere DV TLS CA – G1 (100 тысяч единиц) и Sectigo RSA Domain Validation Secure Server CA (58 тысяч единиц).
Сейчас Минцифры РФ ищет альтернативу зарубежным решениям. Так, ведомство готовит новые нормативно-правовые акты, регулирующие работу национального удостоверяющего центра по бесплатной выдаче TLS‑сертификатов российским юридическим лицам. Это поможет пользователям сохранить безопасный доступ к сайтам, у которых был отозван TLS. TLS (Transport Layer Security) – это криптографический протокол для организации безопасной связи в Интернете.
Получить TLS-сертификат можно на портале «Госуслуги» дистанционно. Полный перечень доменов, на которые выданы сертификаты, появится
на портале «Госуслуги». Однако такие TLS-сертификаты поддерживают лишь некоторые российские браузеры: «Яндекс.Браузер», Atom и так далее.
При наличии адресов в зонах «.com», «.net» и «.org» и других зарубежных доменов первого уровня необходимо зарегистрировать дополнительные адреса в доменных зонах «.ru», «.su» и «.рф». В то же время в случае наличия доменов «.ru» и «.рф» – иметь альтернативу в зарубежных зонах.
Для серверов обновлений приложений нужен более строгий контроль доступа, ведь с обновлением может прилететь деактивация. При невозможности такого контроля рекомендуется производить обновления через локальный сервер с тестированием на выделенном сегменте.
Обновления зарубежных продуктов и сервисов, как считает специалист по кибербезопасности, член Совета по правам человека при Президенте РФ Игорь Ашманов, – это бомба замедленного действия, которая может деактивировать роутер, мобильный телефон, сетевое устройство в инфраструктуре, программное обеспечение, ядро операционной системы.
По словам Андрея Колесникова, необходимо разработать политику обновления компонентов ПО, в том числе и open source, с учетом возможной блокировки их работы на территории РФ. Рассмотреть возможность использования локальных кеширующих серверов. Сейчас аналогов GitHub в России попросту нет, но примерно год идут дискуссии по их построению.
Компаниям необходимо учитывать в работе возможность блокировки облачных систем корпоративных коммуникаций (почта, мессенджеры, сервисы видеоконференций и прочее). Поэтому необходимо рассмотреть варианты использования свободно распространяемых продуктов или российских аналогов.
Необходимо проверить срок действия лицензий на зарубежные инструменты проектирования и разработки, а также рассмотреть возможность перехода от подписки к бессрочным лицензиям.
Необходимо продумать переход с таких продуктов, как AutoCAD и Siemens, на альтернативное инженерно-конструкторское программное обеспечение. Насколько мне известно, в России нет полноценного альтернативного ПО в тяжелых классах. Для российского конструкторского ПО сейчас начнется разведка боем. Компании смогут проверить возможности отечественных решений и рекомендовать разработчикам доработать функционал решений.
В случае использования ЦОД или облачных провайдеров (IaaS/PaaS) за рубежом нужно реализовать схему переноса ресурсов к российским поставщикам услуг, хотя бы в роли вспомогательного инструмента. Зеркально для российских ЦОД: необходимо самые критичные данные поднять за рубежом.
В случае использования зарубежных сетей и провайдеров доставки и дистрибуции контента (CDN) желательно перейти на использование отечественных аналогов, хотя бы в роли вспомогательного инструмента. Если CDN компании расположена в России, то по возможности необходимо «отзеркалить» критичные данные на зарубежных CDN.
Провести инвентаризацию сетевых связностей с партнерами и поставщиками услуг (VPN/API и иные технологии взаимодействия по Сети) на предмет размещения их серверов на зарубежных площадках. Нелишним будет обсудить с ними сценарии по смягчению последствий рисков блокировок доступа из РФ.
В России много распределенных информационных систем. Например, у «Сбера» создана собственная экосистема с крупными корпоративными сетями. Но таких корпоративных систем в стране может быть несколько тысяч. Такие сети часто взаимодействуют друг с другом через API. Необходимо провести инвентаризацию критических связей между этими системами. Ведь API может быть проприетарным. Например, лицензия на API могла быть куплена ранее у Microsoft, который обеспечивает связность этих информационных систем. Если условно Microsoft введет санкции, то эти API могут перестать работать.
Нужно учитывать в работе возможность блокировки push-уведомлений и продумать альтернативные каналы коммуникации с клиентами, в том числе способы доставки чувствительной информации.
реализовать защиту от DDoS-атак на критичные онлайн-ресурсы;
в случае использования зарубежных DNS-серверов для резолвинга добавить российские. В случае использования российских – добавить зарубежные;
в случае хостинга DNS-зон у зарубежных провайдеров желательно перенести хостинг в РФ и наоборот;
произвести ревизию встроенного кода, подтягиваемого из зарубежных облаков в сайты и приложения: провести аудит, быть готовыми поставить заглушки;
NTP – обязательны к использованию российские клоки, пусть и в качестве вспомогательного решения.
Представленные рекомендации рассчитаны в первую очередь на профессиональных ИТ-администраторов, понимающих работу перечисленных в рекомендациях технологий. При этом из-за пандемии и стремительной цифровизации в отрасль пришли новые кадры, которые могут не обладать необходимыми компетенциями.
Поэтому Андрей Колесников дополнительно рекомендует не просто выполнять рекомендации, но и проверить в ходе учений по отключению систем и/или сервисов эффективность и слаженность работы ИТ-специалистов, отвечающих
за бесперебойную работу систем связи. Делать это необходимо лишь во время минимальной загрузки инфраструктуры и под строгим контролем, возможно при участии сторонних специалистов, читает эксперт.
