Как аудит процесса разработки помог группе Ctrl2GO успешно сдать проект и улучшить DevSecOps

11 сентября 2023

Группа компаний Ctrl2GO — разработчик и поставщик цифровых продуктов на базе искусственного интеллекта, промышленного интернета вещей и интеллектуальной аналитики. Оказывая услуги организациям из особо значимых отраслей, структуры группы обязаны создавать свои программные решения с учетом приказа ФСТЭК России № 239 — норматива, который определяет требования по обеспечению безопасности объектов критической информационной инфраструктуры (КИИ).

Чтобы подтвердить выполнение данного условия, в рамках одного из проектов в группе компаний Ctrl2GO потребовалось провести независимую оценку процесса разработки. Задачу доверили команде аналитиков Центра кибербезопасности УЦСБ.

Задача

Экспертам УЦСБ было необходимо не только оценить процесс разработки с учетом требований регулятора, но и провести анализ защищенности программного обеспечения, разработанного Ctrl2GO Solutions (входит в группу Ctrl2GO) для своего заказчика.

Цифровой продукт «Умная Диагностика» представляет собой информационную систему для мониторинга, диагностики и предиктивной аналитики технического состояния оборудования промышленных объектов. Поскольку функции решения касались в том числе выявления аномалий при эксплуатации оборудования и оценки вероятности наступления нештатной ситуации, значимость его защищенности от кибератак вырастала в разы.

Что было сделано

Аналитики УЦСБ выполнили аудит процесса разработки, провели фаззинг-тестирование и проанализировали код разработанного ПО, а также проверили его защищенность методами «черного» и «белого ящика».

В первом случае специалисты УЦСБ по пентестам сымитировали попытку взлома злоумышленниками, которые ничего не знают о назначении программного продукта и инфраструктуре использующей его организации. Во втором — повторили эксперимент, но уже владея всей информацией о решении, включая его исходный код. Так эксперты проверили, насколько решение устойчиво к взлому лицами уровня «администратор» или «разработчик». Анализ защищенности методами «черного» и «белого ящика» помог найти и устранить потенциально опасные уязвимости решения.

В Ctrl2GO Solutions оценили результаты проведенных работ, и теперь активно используют полученный опыт в организации системного использования принципов информационной безопасности на всех этапах разработки программных продуктов компании.

Это стало возможным благодаря дорожной карте по внедрению процессов безопасной разработки, подготовленной экспертами УЦСБ для Ctrl2GO Solutions. Формируя свои рекомендации, аналитики адаптировали методики и практики подхода к целям, условиям и требованиям компании.

Результаты

В результате Ctrl2GO Solutions успешно выполнил доработку программного обеспечения для мониторинга, диагностики и предиктивной аналитики технического состояния оборудования промышленных объектов. Принятые на основе проведенных работ меры помогли компании успешно пройти испытания у своего заказчика и сдать готовое решение в срок.

Также российский разработчик запустил системное внедрение процессов безопасной разработки. Использование методик DevSecOps поможет снизить количество уязвимостей в исходном коде, сократить время и ресурсы на исправление выявленных в ходе проверок недостатков, минимизировать ущерб от потенциальных инцидентов ИБ в будущем, а также ускорить процесс разработки.