Во вторник ФСТЭК выпустила информационное сообщение о ситуации с Windows 7 и Windows Server 2008 R2, чья поддержка закончилась 14 января 2020 года. Если тезисно, то письмо ФСТЭК содержит следующее:
- Microsoft прекратила поддержку и выпуск обновлений для Windows 7 и Windows Server 2008 R2.
- В ФОИВ, ОГВ, ОМС и других используется много сертифицированных копий данных ОС.
- ФСТЭК выдала 7 сертификатов соответствия на данные ОС.
- Обязательное условие действие сертификатов - установка сертифицированных обновлений.
- Отсутствие обновления может привести к росту угроз использования новых уязвимостей.
- ФСТЭК прекращает действие двух сертификатов (видимо с 20-го января 2020 года) и исключает все семь сертификатов из реестра сертифицированных средств защиты с 1-го июня.
- ФСТЭК рекомендует перейти до 1-го июня 2020 года на сертифицированные и обновляемые ОС.
- До перехода надо выполнять рекомендации ФСТЭК из информационного письма.
Замена на новую ОС имеет смысл только на ОС, у которой срок окончания сертификата заканчивается не в 2020-м и даже не в 2021-м году. Сколько ОС у нас сертифицировано по новым требованиям ФСТЭК к ОС, удовлетворяющих таким требованиям? Мобильную ОС Sailfisf, дистрибутив ФССП и EMIAS мы отбрасываем и получаем в итоге следующий список:
- РЕД ОС
- РОСА КОБАЛЬТ
- SUSE Linux Enterprise Server 12 SP3
- Альт 8 СП.
И вот тут у меня закономерный вопрос; даже два. В условиях цикла бюджетирования в госорганах перейти на новую ОС до 1-го июня невозможно. Но это мелочи. Как пишет ФСТЭК - под Windows 7 и Windows Server 2008 R2 написано много разного прикладного софта. Как его до 1-го июня портировать под упомянутые выше форки Linux? Понятно, что это не проблема ФСТЭК и организациям надо было думать раньше, но все-таки проблема существует и как ее решать, непонятно.
Среди рекомендаций ФСТЭК указано, что надо применять дополнительные сертифицированные средства защиты. Но можно ли использовать их как защиту от угроз, которые могут использовать непатченные уязвимости? Ведь обновление нужно не просто так, а потому, что уязвимости могут быть использованы злоумышленниками. Если мы выстроим вокруг непатченной ОС эшелонированную систему предотвращения угроз и на саму ОС поставим средство защиты, то не снимет ли это проблему? Особенно если следовать требованиям тех же приказов ФСТЭК (например, 17-го). Тогда можно и срок перехода продлить до момента портирования приложений на новую ОС.
Но самое интересное кроется в аннулировании сертификатов. Основание для этого вроде бы следует из нормативных документов ФСТЭК - нет обновления, сертификат прекращает свое действие. Но парадокс в том, что Microsoft не прекращала выпуск обновлений, устраняющих уязвимости в Windows 7 и Windows Server 2008 R2. Да, домашним пользователям стоит подумать о смене ОС. Но вот корпоративным пользователям Microsoft предлагает EUS - Extended Security Updates, то есть расширенную поддержку, которая действует до января 2023-го года, в течение которой пользователи будут получать обновления, устраняющие уязвимости.
И вот тут возникает проблема. Если ФОИВ купил EUS, то он все равно использовать Windows 7 уже не сможет, так как ФСТЭК аннулировала своим приказом сертификаты соответствия. И вроде ОС работает, уязвимости устраняются, бюджетные средства потрачены, а пользоваться ОС нельзя, так как для нее больше нет сертификатов. И ладно бы было только информационное сообщение ФСТЭК - обязательным оно не является. Но вот приказ об аннулировании сертификатов так просто не отменишь. По крайней мере я не помню случаев, когда сертификат аннулировался, а потом возвращался "в строй". И как тут быть, непонятно. Не ждать же от ФСТЭК от выпущенных же ими разъяснений и приказов... Хотя это был бы поступок. Сродни признанию Ираном факта уничтожения украинского Боинга.