По прогнозам компании Accel, в 2021 году в бизнесе использование программ с открытым кодом (Open Source) в мире вырастет на 77%. Однако не все отрасли готовы переходить на такой софт — финансовый сектор все еще верит, что закрытое ПО надежнее. Почему это не так и в чем преимущества Open Source?

Чего боятся финансовые организации

В крупных корпорациях долго были против решений Open Source: их считали ненадежными. Есть мнение, что, если разработчик взял открытый код из какой-то библиотеки и на его базе построил программу, он обязательно получил в довесок все уязвимости исходного кода. И к этому добавляется распространенный в финансовых организациях миф, что, чем меньше информации о ПО, тем безопаснее. Уверенность в опасности Open Source подкрепляется историями о найденных в софте с открытым кодом уязвимостях, через которые можно получить доступ к личным данным пользователей.

В действительности риски в решениях Open Source и в проприетарном (частном, закрытом) ПО одинаковые — некорректно говорить, что первый вариант имеет какие-то специфические уязвимости, его чаще взламывают. В нашей компании практически два года открыты все исходники платежной системы. Однако никто не захотел ее скопировать и украсть — к нам приходят контрибьюторы (люди, желающие сделать свой вклад в проект), потому что им выгоднее и дешевле приобрести техподдержку и экспертизу и быть спокойными насчет продукта. И исходные уязвимости из взятого в открытой библиотеке кода в новый продукт перейдут только в том случае, если разработчик изначальный код не меняет, что происходит редко.

Сегодня IT-гиганты вроде Google и Microsoft, которые начинают работать с Open Source, задают обратный тренд — на использование открытого софта. Тот же код visual studio, который мы пишем, — полностью открытый, проект свободный — его можно скачать, поставить себе и построить маленькую, «карманную» платежную систему бесплатно. Google сейчас выкладывает модели Machine Order, IBM купила RedHat — разработчика ПО с Open Source. Более того, благодаря IBM, Google и Microsoft появилась организация OpenSSF для защиты программ с открытым кодом от вирусов. Поэтому мир на каком-то этапе своего развития придет к тому, что большинство важного и критичного софта будет именно с открытыми исходными кодами.

Предотвращение рисков

Нет какого-то готового решения для стопроцентной защиты от хакерских атак. Поэтому постоянная работа, инвестиции в кибербезопасность, совершенствование систем внутреннего и внешнего мониторинга — must have в условиях современного рынка. И здесь вопреки опасениям эффективно использование открытого ПО. Потому что изучают его не только условная команда компании X, но и еще несколько групп специалистов из разных организаций, решившие тоже воспользоваться этим софтом. Получается групповая работа: где не увидел проблему один — найдет другой. И этим поможет сразу всем. А часто у продукта есть целое комьюнити, десятки тысям человек, и это повышает безопасность кода.

В Open Source стоит смотреть не со стороны классической ИБ, где есть риски уязвимости, взлома или утечки информации, поскольку открытие исходников какой-то конкретной компании может нанести ей лично ущерб, но сделает более безопасным все человечество. Потому что люди, которые возьмут это продукт и станут его использовать, не будут зависеть от конкретного вендора, конкретного скомпилированного приложения, в котором ничего нельзя поменять.

Также предотвращению угроз способствуют применение программ Bug Bounty, участие в мероприятиях по кибербезопасности, где вас пытаются взломать крутые специалисты. В мае 2021 года IT-компания Osnova, которую создала RBK.money для развитие технологического направления бизнеса, приняла участие в крупнейшем онлайн-соревновании хакеров The Standoff, куда предоставила свою разработку — платежный процессинг на базе открытого ПО — для финансовой инфраструктуры виртуального города. В результате специалистам удалось взломать почти все ключевые системы жизнеобеспечения кибергорода, кроме финансовой. Часто финансовые компании не готовы участвовать в подобных мероприятиях, потому что не хотят упоминаний, что в их системах удалось что-то сломать. Но такая логика давно не работает. Закрытые системы небезопасны хотя бы потому, что силами одной команды можно сделать меньше, чем силами множества специалистов самого разного уровня. И если рисков не видишь ты сам, это не значит, что их не существует. Поэтому чем больше уязвимостей сторонние специалисты нашли и исправили, тем лучше защищены наши сервисы.

Преимущество открытого кода

Помимо поиска уязвимостей силами сторонних специалистов выгода от использования решений Open Source — это отсутствие зависимости от вендора, невозможности исправить ошибки и докрутить какие-то моменты в ПО. Если условная компания — производитель ПО исчезнет, пользователь не окажется один на один с мертвым продуктом, в котором обнаруживаются уязвимости, а сделать с этим ничего нельзя. Поэтому повышается безопасность софта.

Выгода Open Source для финансового сектора — в том же: компания ставит продукт, который полностью принадлежит ей. То есть в случае экстремальной ситуации она может на основе Open Source решения сделать собственное закрытое ПО или открытое продавать как отдельный продукт. Точный спектр действий зависит от типа лицензии на конкретный продукт — она определяет, что с ним разрешено делать. Например, компания Elastic выпустила сначала лицензию Apache 2.0, позволяющую на основе их исходного кода строить свои закрытые продукты. Пришел Amazon, поставил Elastic у себя и начал продавать хост-решения, оставив Elastic не у дел. Компания изменила лицензию — ввела ограничения, которые не позволят дальше Amazon так использовать этот продукт. 

Но, как правило, большинство лицензий решений Open Source позволяют делать свое закрытое ПО или продавать открытое как отдельный продукт. Люди становятся свободными в разработке и в реакции. Предположим, мы продали процессинг сторонней компании, и там обнаруживается какая-то уязвимость. Обычно владельцам закрытой системы приходится ждать, пока вендор выпустит патч, он накатится на систему и исправит все — закроет уязвимости. Но в нашем случае люди могут спокойно исправить эту ошибку сами. Значительно реже они присылают нам отчет об уязвимости и запрашивают патч.

В определенный момент Open Source станет массовым явлением для бизнеса. Безусловно, останутся отрасли, в которых открытый код неактуален и даже опасен, —военный сектор, аэрокосмическая отрасль. Вряд-ли здесь отойдут от закрытого ПО, и это хорошо. Однако для финансовых организаций нет никаких причин отказываться от Open Source: напротив, это позволит сделать их систему более защищенной.