Защита от аппаратных атак – слабое место кибербезопасности российских компаний. Как минимизировать угрозы?

Импортозамещение «железа»: в чем отстаем?

Российские производители микроэлектроники сходятся во мнении, что импортозамещение аппаратной части пока находится на ранней стадии. В приоритете пока остаются зарубежные компоненты. В настоящее время российские вендоры могут похвастаться выпуском простых микроконтроллеров, аналоговых компонентов, а также специализированных чипов и текстолитов (например, для военной и критической инфраструктуры), рассказал SecPost представитель «РДВ Технолоджи» (бренд RDW Computers). «Но ключевые компоненты, такие как CPU (центральный процессор), GPU (графический процессор), память (DRAM, NAND), FPGA (программируемая пользователем вентильная матрица) и передовые логические чипы – все это по-прежнему отсутствует в арсенале российской микроэлектроники, надеемся, использование импортных решений – все же вынужденная мера», — отмечает он.

Представитель «РДВ Технолоджи» подчеркивает, что отсутствие прозрачности в встроенном программном обеспечении и микрокоде создают риски скрытых уязвимостей, бэкдоров и невозможности верифицировать целостность «железа». «Всё это напрямую угрожает информационной безопасности компаний. Особенно, когда мы ограждены от собственных возможностей технологического обновления частоколом международных санкций», — добавили в компании.

Вице-президент «Рикор» (разработчик и производитель компьютерной техники) Борис Иванов согласен, что российская вычислительная техника по-прежнему зависит от зарубежной компонентной базы. По его словам, речь идет не только о процессорах, но и о различных специализированных контроллерах. «При этом текстолит, транзисторы, резисторы, конденсаторы и другие элементы печатных плат все чаше производятся внутри страны», — подчеркнул он.

Иванов утверждает, что при сохранении высокой доли некоторых импортных компонентов уровень локализации непосредственно производства компьютерной и серверной техники в России сейчас «довольно высокий».

Российские вендоры не имеют возможности массово делать отечественные чипы с современным уровнем размеров элементов, соответственно не могут никак влиять на данный уровень, говорит директор ИТ-департамента производителя электроники Fplus Олег Смирнов. «Если рассматривать железо как комплекс с ПО, то часть, относящаяся к ПО, является гораздо более доступной к взлому и защите путем разработки собственных решений: начиная от таких элементов, как BIOS и BMC, продолжая уровнем виртуализации, программных СХД (системы хранения данных), далее уходя на уровень ОС, СУБД (система управления базами данных), ещё раз далее на уровень прикладных решений, таких как ERP (программное обеспечение для управления ресурсами предприятия), офисное ПО и так далее», — объяснил Смирнов.

Из этого он делает вывод, что российским производителям важно не только создавать «железо», но и контролировать используемое в нем ПО. Как отметил в разговоре с SecPost на условиях анонимности один из крупных участников рынка производителей IT-оборудования, импортозамещение электронной компонентой базы в России идет «очень медленно». В основном, отечественные вендоры пока научились замещать пассивную компонентную базу (резисторы и конденсаторы) основных типономиналов.

«Высокоскоростных разъемов нет, логических микросхем, аналогичных по функционалу используемым в серверном оборудовании, почти, нет, либо их функционал сильно проще», — подчеркнул он.

Защита от аппаратных атак: 7 лет и рост RnD-бюджета на 15%

Как ранее рассказал SecPost председатель комитета по информационной безопасности АПКИТ Дмитрий Кувшинников, любой чип, даже разработанный в российском дизайн-центре, но произведенный на иностранной фабрике, может нести в себе угрозу.

“Если этот чип при этом защищен иностранной криптографией, и нам не переданы от него ключи, то вероятность угрозы возрастает в разы. Единственный путь, который ведет не только к технологическому суверенитету, но и к полной доверенной микроэлектронике – это полный цикл производства у нас в стране – проектирование, производство из своей доверенной ЭКБ, корпусирование и работа на отечественном ПО, включающего, в том числе, ГОСТовую российскую криптографию”, — отмечал Кувшинников.

Инженер по безопасности приложений UserGate uFactor Федор Богословский обращает внимание, что в 2025 году как раз защита аппаратной платформы стала критически важным элементом киберустойчивости любой организации. “На практике мы наблюдаем существенный сдвиг в ландшафте угроз: злоумышленники все чаще нацеливаются не на прикладное программное обеспечение и операционные системы, а на низкоуровневые компоненты — прошивки, загрузчики и аппаратные механизмы доверия”, — заявил он.

Как отметил Богословский, абсолютная защита от аппаратных атак в современных условиях недостижима — закрытые реализации, зависимость от зарубежных вендоров и эволюция побочных каналов создают объективные ограничения. «Однако системная работа по мониторингу угроз, фаззинг-тестированию, контролю поставок и внедрению компенсирующих мер существенно снижает вероятность успешной атаки и минимизирует потенциальные последствия для бизнеса», — сказал он.

Представитель «РДВ Технолоджи» также заявляет, что абсолютная защита в аппаратной сфере – миф. Они видят цель в том, чтобы сделать стоимость успешной атаки (время, оборудование, экспертиза) на порядки выше потенциальной выгоды для злоумышленника.

Как считают в компании, в сегменте типичных угроз (офисные, мобильные сценарии) можно достичь практически полной устойчивости, если использовать шифрование диска (BitLocker/FileVault) с привязкой к TPM («всеобщий уход за оборудованием»), включить многофакторную аутентификацию (биометрия + PIN), отключить ненужные физические интерфейсы или ограничить их функциональность, а также регулярно обновлять микропрограммы и BIOS.

В «РДВ Технолоджи» добавляют, что усиление защиты от аппаратных атак требует колоссальных инвестиций и пересмотра всей производственной цепочки. «Инвестиции измеряются не разовыми вливаниями, а процентом от общего бюджета на исследование и разработку продуктов (от 5% до 15%), временной горизонт от 3 до 7 лет для внедрения принципиально новых архитектурных решений», — уточняют эксперты компании.

Как ранее сообщал премьер-министра России Михаил Мишустин, правительство за предыдущие три года направило на развитие микроэлектроники 300 млрд рублей, в 2025 на это выделено более 100 млрд рублей, а на следующие три года в проект федерального бюджета заложено свыше 250 млрд рублей. При этом в ноябре этого года РБК со ссылкой на аналитиков Kama Flow отмечал, что инвестиции в российскую микроэлектронику пока существенно ниже, чем у лидирующих в этой отрасли стран. Так, программы финансирования отрасли в США в 2021–2024 годах оценивались в $300 млрд, в Евросоюзе — в $180 млрд, в Китае — в $100 млрд, а в России — примерно в $30 млрд.

Самое опасное «железо»

Использование сторонних продуктов всегда связано с рисками, например, с наличием в них закладок или других уязвимостей, обращает внимание Смирнов. То же самое касается всего ИТ-оборудования, в том числе офисного. «Принтеры и МФУ без собственного ПО также могут иметь критические уязвимости и закладки, оставленные иностранными вендорами», — уточнил он.

SecPost ранее ознакомился с исследованием компании Fplus, итоги которого были направлены в адрес замминистра Минпромторга Василия Шпака, о том, что компания обнаружила ряд уязвимостей в принтерах HP и Xerox. Как отмечает Смирнов, вектор атак через «железо» требует существенно больших ресурсов на их осуществление и доступен только очень крупным командам.

По словам Богословского, аппаратные атаки несут в себе системные риски для технологической суверенности.

«В условиях массового использования зарубежных решений, аппаратные корни доверия остаются вне прямого контроля с территории РФ, это создаёт объективные ограничения для систем с повышенными требованиями к безопасности и требует осознанного учета при разработке инженерных решений и регуляторных норм», — заявил Богословский.

В сегменте клиентских решений наибольший интерес для хакеров представляют процессоры и микроконтроллеры управления питанием (из-за их глубокой интеграции в загрузочный процесс и управление периферией), контроллеры USB, Thunderbolt и других внешних интерфейсов, модули TPM (как хранилище криптографических ключей), а также встроенные камеры и микрофоны. Об этом говорят эксперты РДВ Технолоджи.

В компании добавляют, что защита от таких атак сложна, так как угрозы возникают на уровне, который лежит ниже операционной системы: в самом «железе» и его микропрограммах.

«Традиционные средства защиты ОС здесь бессильны, а физический доступ к устройству позволяет обойти даже сложные программные механизмы», — объясняют эксперты.

Компании, которые хотят минимизировать риски, должны обеспечить жесткий контроль цепочки поставок: каждая партия оборудования должна проходить проверку целостности firmware, необходим детальный реестр версий компонентов, а использование модулей с закрытым кодом — должен быть сведен к минимуму, объясняет Богословский.

«Важнейшим элементом защиты выступает реализация доверенной загрузки с обязательной проверкой цифровых подписей на всех этапах старта системы», — отмечает он.

При этом, как писал в декабре CNews, Ассоциация разработчиков и производителей электроники (АРПЭ) просит Минпромторг и Минэкономики упросить ввоз чипов в Россию. Речь идет о микросхемах со встроенными функциями шифрования, которые являются комплектующими для промышленного производства на территории России и не имеют самостоятельного применения. В АРПЭ считают, что отмена оформления разрешительных документов ускорит и удешевит поставки жизненно важных электронных компонентов для российских заводов, чтобы поддержать отечественное производство электроники в условиях санкций. Как подчеркивала гендиректор холдинга SNDGLOBAL Ольга Квашенкина, упрощение импорта не должно превращаться в замену политики развития собственной компонентной базы. По ее словам, если эта мера будет рассматриваться как долгосрочное решение без параллельной поддержки отечественных разработчиков микросхем и IP-блоков, то зависимость от импортных компонентов только усилится.