Журнал "Information Security/ Информационная безопасность" #3, 2023

Александр Дубинин, YADRO: Противоборства в нашей практике не было. Есть задача постоянного совер- шенствования процессов разработки, причем не только в части SDL: автома- тизация и улучшение процессов работы с архитектурой, документацией, просле- живаемостью требований до кода и обратно. И это у многих встречает понимание. Сергей Трандин, Базальт СПО: Вложения в безопасную разработ- ку – это вложения в совершенствова- ние бизнес-процессов разработки ПО. Безопасная разработка позволяет снижать издержки на выпуск продук- тов, в том числе сертифицированных, удовлетворить требования к серти- фицированным продуктам, обеспечи- вать стабильный финансовый резуль- тат, который напрямую зависит от качества продукта, снижать репута- ционные риски компании, которые неизбежно перерастают в финансо- вые, повысить конкурентность ком- пании на рынке. Дмитрий Евдокимов, Luntry: Лучше идти от того, что будет мак- симально понятно бизнесу – от биз- нес-рисков. Оцените, сколько будет стоить сбой в простой системе, ком- прометация данных компании или кли- ентов. Покажите, что вы решаете про- блемы и тем самым уменьшаете опре- деленные риски. Можно провести ана- логию с обычным тестированием. Только, в отличие от типичных оши- бок, уязвимости еще могут навредить конфиденциальности, целостности и доступности. Роман Борзов, Андрей Кузнецов, Фобос-НТ: Главный тезис: безопасность – домен качественной разработки. Каж- дая ошибка, обнаруженная на раннем этапе разработки, позволяет сокра- тить затраты на ее исправление. Внедрение и автоматизация процедур тестирования и безопасной разра- ботки позволяют сократить релизный цикл основных продуктов. Достигае- мое высокое качество за счет внед- рения практик безопасной разработки выпускаемого программного обес- печения значительно влияет на фор- мирование репутации компании и поз- воляет занять прочные позиции, в частности, на конкурентном рынке СЗИ. Владимир Высоцкий, Solar appScreener: Самое простое решение – это наглядно продемонстрировать потен- циальные убытки в случае успешной реализации атак на инфраструктуру компании. Например, можно провести пентест, успех которого убедит руко- водство в необходимости выделения бюджета на построение комплексной системы безопасности. По опыту могу отметить, что сейчас финансовые директора очень быстро оцифровы- вают репутационные потери. Сергей Груздев, Аладдин Р.Д.: Уговорить финансового директора на самом деле очень просто. Необхо- димо донести информацию, что в случае отсутствия вложений во внед- рение безопасного жизненного цикла разработки усиливаются риски поте- ри репутации компанией-разработ- чиком. Тот факт, что злоумышленни- ки воспользовались уязвимостью в исходном коде основного ценного актива разработчика – его продукта, ставит крест на привлекательности решения для заказчиков, а значит, продажи прекратятся в один момент. Кроме того, отсутствие вложений в SDL приводит к появлению и функ- циональных ошибок, что, в свою оче- редь, приводит к нестабильной рабо- те приложения, сбою бизнес-процес- сов – и вновь потеря времени, денег, упущенная бизнесом выгода. Когда речь идет о десятках, сотнях и тыся- чах клиентов, потери могут быть очень масштабными. К счастью, уси- ливается осознание того, что без- опасность нужна и важна. Борис Позин, ЕС-лизинг: Сравните затраты на устранение наступивших угроз с эксплуатацион- ными затратами на противодействие угрозам. Эти данные довольно просто получить и осмыслить, особенно в тер- минах затрат, потерь и экономии бюд- жета. Замечу, что если в начале 2000-х гг. вкладывать деньги в разви- тие стендовой базы заказчикам каза- лось непроизводительными расходами, то в настоящее время у подавляющего большинства корпоративных заказчи- ков необходимость стендовой базы, сопоставимой с производственными мощностями, стала совершенно понят- ными расходами на эксплуатацию системы. Карина Нападовская, Лаборатория Касперского: Виднее всего генеральному директо- ру! Я на 100% уверена, что только под его руководством, при акценте на каче- стве своего продукта и при соответ- ствующих задачах для линейных руко- водителей, уговаривать никого не при- дется. Валерий Черепенников, Nizhny Novgorod Research Center: Обоснование затрат на SDL – это очень веселая история. Кажется, что самый простой способ – просто запугать, пользуясь своим техническим превос- ходством в понимании темы. Мне дума- ется, что многие айтишники отчасти живут по принципу "лучше день потерять, потом за пять минут долететь". Что делать с финансовым директором, иску- шенным в ИТ, я не знаю. Но я с такими и не встречался. Алексей Смирнов, CodeScoring: А как вы уговариваете финансового директора на то, чтобы выделить сред- ства на создание качественного кода? Важно продемонстрировать коммерче- скую выгоду от безопасности программ- ных решений – риски утечек, потери данных и вместе с ними репутации. Если качество важно для вас, то и без- опасность тоже будет важна. Иван Панченко, Постгрес Профессиональный: Аргументами могут быть формальные требования к сертификации продукта как действующие, так и ожидаемые в скором будущем, а также возможные риски, связанные с обнаружением уязви- мостей в процессе эксплуатации. В нашем случае никого уговаривать не пришлось: финансовый директор ока- зался грамотным специалистом и все понимал сам. Валерий Богдашов, R-Vision: Для начала рекомендую проанализи- ровать, что компании даст безопасная разработка с точки зрения ценности для бизнеса, а дальше уже донести эту цен- ность до руководителя. Например, для многих вендоров внедрение безопасной разработки является критически важным фактором развития компании, поскольку заказчики предъявляют повышенные требования к безопасности ПО, прове- ряют продукты на наличие уязвимостей, организовывают пентесты. Если у раз- работчика отсутствуют практики SDL, это может усилить как финансовые, так и репутационные риски, ведь компания может просто потерять клиента. Кроме этого, применение практик безопасной разработки создает для компаний допол- нительное конкурентное преимущество на рынке: еще на этапе создания про- дукта за счет оптимизации процесса тестирования разработчик получает существенное снижение затрат для всего жизненного цикла ПО. Роман Карпов, Axiom JDK: Определение бюджета и убеждение руководства в необходимости его при- нятий – это первый шаг к безопасной разработке. Хорошим аргументом может стать ощутимый размер убытков в слу- чае обнаружения уязвимостей после как уговорить финансового директора на вложения в безопасную разработку? • 49 Безопасная разраБотка www.itsec.ru