07.09.2023
Группа компаний Ctrl2GO — разработчик и поставщик цифровых продуктов на базе искусственного интеллекта, промышленного интернета вещей и интеллектуальной аналитики. Оказывая услуги организациям из особо значимых отраслей, структуры группы обязаны создавать свои программные решения с учетом приказа ФСТЭК России № 239 — норматива, который определяет требования по обеспечению безопасности объектов критической информационной инфраструктуры (КИИ).
Чтобы подтвердить выполнение данного условия, в рамках одного из проектов в группе компаний Ctrl2GO потребовалось провести независимую оценку процесса разработки. Задачу доверили команде аналитиков Центра кибербезопасности УЦСБ.
Экспертам УЦСБ было необходимо не только оценить процесс разработки с учетом требований регулятора, но и провести анализ защищенности программного обеспечения, разработанного Ctrl2GO Solutions (входит в группу Ctrl2GO) для своего заказчика.
Цифровой продукт SmartDiagnostics («Умная Диагностика») представляет собой информационную систему для мониторинга, диагностики и предиктивной аналитики технического состояния оборудования промышленных объектов. Поскольку функции решения касались в том числе выявления аномалий при эксплуатации оборудования и оценки вероятности наступления нештатной ситуации, значимость его защищенности от кибератак вырастала в разы.
Аналитики УЦСБ выполнили аудит процесса разработки, провели фаззинг-тестирование и проанализировали код разработанного ПО, а также проверили его защищенность методами «черного» и «белого ящика».
В первом случае специалисты УЦСБ по пентестам сымитировали попытку взлома злоумышленниками, которые ничего не знают о назначении программного продукта и инфраструктуре использующей его организации. Во втором — повторили эксперимент, но уже владея всей информацией о решении, включая его исходный код. Так эксперты проверили, насколько решение устойчиво к взлому лицами уровня «администратор» или «разработчик». Анализ защищенности методами «черного» и «белого ящика» помог найти и устранить потенциально опасные уязвимости решения.
В Ctrl2GO Solutions оценили результаты проведенных работ, и теперь активно используют полученный опыт в организации системного использования принципов информационной безопасности на всех этапах разработки программных продуктов компании.
Это стало возможным благодаря дорожной карте по внедрению процессов безопасной разработки, подготовленной экспертами УЦСБ для Ctrl2GO Solutions. Формируя свои рекомендации, аналитики адаптировали методики и практики подхода к целям, условиям и требованиям компании.
Безопасная разработка (DevSecOps) — подход, который предполагает внедрение принципов информационной безопасности на всех этапах непрерывного цикла создания программного обеспечения — от сборки до интеграции и развертывания.
В результате Ctrl2GO Solutions успешно выполнил доработку программного обеспечения для мониторинга, диагностики и предиктивной аналитики технического состояния оборудования промышленных объектов. Принятые на основе проведенных работ меры помогли компании успешно пройти испытания у своего заказчика и сдать готовое решение в срок.
Также российский разработчик запустил системное внедрение процессов безопасной разработки. Использование методик DevSecOps поможет снизить количество уязвимостей в исходном коде, сократить время и ресурсы на исправление выявленных в ходе проверок недостатков, минимизировать ущерб от потенциальных инцидентов ИБ в будущем, а также ускорить процесс разработки.
Андрей Кирюшенков, руководитель ИТ-проектов Ctrl2GO Solutions:
«Для нашей компании аудиты информационной безопасности не являются рутинной задачей или формальным выполнением требований отраслевых нормативов. Мы давно пришли к выводу, что такие проверки способны улучшить не только качество программных продуктов, но и процессы внутри компании. Безусловно, на это во многом влияет опыт, уровень подготовки аналитиков и используемые ими технологии и инструменты».
Требуется оценить ваш проект или обсудить техническое задание? Оставьте заявку или напишите на cybersec@ussc.ru
