Валерий Куваев рассказал «Б.О» о влиянии импортозамещения на устойчивость объектов КИИ и о динамическом сканере уязвимостей для веб-приложений
Интервью Валерия Куваева, руководителя направления защищенной разработки компании SolidLab, изданию «Банковское обозрение»
— Валерий, какие тренды в импортозамещении зарубежного ПО преобладают сейчас?
— В первую очередь нужно признать, что иностранное ПО присутствует везде и заменить его полностью невозможно. Характеризуя импортозамещение, мы говорим о процессе выбора приоритетов на обозримый срок. Базовое направление задано Указом Президента: это запрет на использование иностранного ПО в КИИ с 2025 года. Непопадающие сюда области немного отходят на второй план.
— Какое направление вы считаете наиболее перспективным?
— В контексте импортозамещения одно из важных направлений — безопасность информационных систем и IT-инфраструктуры. В 2022 году вследствие известных событий риски информационной безопасности стали по-настоящему значительными: c недоступностью IT-сервисов столкнулось множество компаний. Именно они сегодня будут вкладываться в «практическую» безопасность.
Из-за активного импортозамещения и цифровизации количество публичных сервисов, подвергающихся атакам, растет. Очевидный путь системно повысить устойчивость — начать исправлять недостатки на ранних этапах, внедряя процессы защищенной разработки. При таком подходе защищенность становится частью комплексного критерия качества продукта. Длительная работа с заказчиками по данному направлению привела нас к необходимости автоматизировать эти процессы, и новые решения отчасти стали результатом такого опыта.
— О каких конкретно продуктах идет речь?
— Сейчас мы выводим платформу защищенной разработки, которая позволит объединить автоматизированные процессы анализа ПО на уязвимости. Здесь мы используем собственную экспертизу в том, как эти инструменты внедрять. Одним из ключевых продуктов является SolidWall DAST — динамический сканер веб-приложений и API, который позволяет анализировать приложения на уязвимости в тестовой или промышленной среде. Это наша собственная разработка. Она базируется в том числе на академических исследованиях по статико-динамическому анализу Java Script. Продукт успешно сканирует веб-приложения, которые мы считаем уязвимыми в первую очередь, включая одностраничные приложения, стек Java Script, Type Script и другие. Они традиционно тяжело сканируются и статически, и динамически. Сейчас мы находимся в фазе подготовки к релизу в контакте с потенциальными заказчиками.
— Каков ваш прогноз по развитию продуктов защищенной разработки в РФ?
— Риски информационной безопасности растут в корреляции с геополитическими. Это отражается как на бизнесе, так и на госорганизациях. Так что текущая ситуация создает благоприятные рыночные перспективы для направления создания защищенной среды разработки и в общем для всех продуктов в области информационной безопасности.
Банковское обозрение: Ситуация создает благоприятные рыночные перспективы