Найти тему

Импортозамещение здесь и сейчас. Подводные камни разработки корпоративных мобильных приложений

Призываем обращать внимание на фронтальные сервисы, корпоративные и клиентские приложения. В погоне за импортозамещением глобальных проектов есть риск пропустить угрозу там, где не ждешь.

Глобальная задача, поставленная правительством перед экономикой нашей страны, — создание технологического суверенитета. Реальная задача по импортозамещению поставлена еще в далеком 2014 году. Сегодня она перешла в более активную фазу реализации, прежде всего по санкционным причинам.

Импортозамещение — не просто модное слово. Этот процесс предполагает большую работу по изменению архитектуры ИТ-ландшафта в любой компании. Что касается финансовой сферы, то сейчас в банках созданы специальные подразделения, занятые вопросами замещения иностранного ПО и оборудования. Они проделывают огромную работу, анализируют все возможные серые зоны, которые в первую очередь относятся к критической инфраструктуре.

Все наши уважаемые клиенты, а это в основном банки из топ-30, автоматически попадают под понятие критической инфраструктуры, потому что обслуживают население. Банки подчиняются действию Указа Президента «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ», который гласит, что до 2025 года объекты критической инфраструктуры должны быть полностью переведены на независимые технологические решения. Это программные решения с открытым кодом либо программные решения, разработанные российскими специалистами и включенные в реестр отечественного ПО.

Есть задача перехода на отечественные процессоры, на отечественные компьютеры, отечественное ПО. Решаются в первую очередь глобальные задачи, такие как срочная замена банковского процессинга, переход на банковские системы российской разработки. О задачах меньшего масштаба в большинстве случаев не задумываются. И очень зря.

Скрытые риски иностранных решений

В поле деятельности нашей компании входит разработка мобильных приложений для многомиллионного числа клиентов российских банков. Мы создали 27 мобильных приложений для массового и корпоративного применения.

На первый взгляд кажется, ну какая угроза может быть для корпоративных мобильных приложений (и не только), если они сделаны российскими компаниями или даже силами собственных разработчиков предприятия? Что в них можно импортозамещать? А мы решили озадачиться этим вопросом и выяснить, так ли всё безопасно, как кажется на первый взгляд.

Мы проанализировали шесть мобильных приложений с аудиторией пользователей более 1 млн человек у каждого и пришли к выводу: во всех крупных корпоративных решениях найдется от трех до шести библиотек, которые были разработаны американскими, украинскими компаниями или другими представителями недружественных стран. Некоторые библиотеки не имеют открытого кода, не имеют аналогов в РФ. И оказывается, что под капотом вроде как «российской разработки» находятся библиотеки готовых функций, которые необходимо заменить.

В рамках проектов по импортозамещению бизнес должен обратить пристальное внимание на внешние и внутренние, корпоративные фронтальные решения: мобильные приложения и веб-сервисы, которыми пользуются миллионы людей по всей стране. Банковским мобильным приложениям доверяют, они установлены на смартфонах большинства клиентов банков, все они спокойно тиражируются и быстро расходятся в массы. А в случае корпоративных приложений — их используют десятки тысяч сотрудников, носителей закрытой информации.

Мы точно знаем, что нельзя взять и купить готовое мобильное приложение, внедрить его в контур банка или предприятия так, чтобы оно точно соответствовало его бизнес-задачам. Вот представьте, что в разработке банковского или корпоративного приложения имелась иностранная библиотека с открытым кодом, которая отображает PDF-файлы или картинки. Всего пару лет назад она была доступна и ее стандартно использовали разработчики. Раньше ни у кого вопросов бы не возникло, а сейчас это критический вопрос: возможно, библиотека уже обновлялась и не исключено, что содержит вредоносный код.

А представьте, что внутри функционала по сканированию номера банковской карты лежит иностранная библиотека. И в случае содержания в себе вредоносного кода может сливать данные банковских карт.

Поэтому обязательно нужно проверить все библиотеки, используемые при создании мобильного приложения на безопасность, на отсутствие потенциальной угрозы ущерба. В случае если обнаружится, что применяемая библиотека закрыта или была разработана недружественной нам страной, то лучше ее переписать или заменить. На российском рынке появляются аналоги, которыми можно воспользоваться.

Любые решения с открытым кодом позволяют компаниям, работающим с ними, проводить проверку на безопасность.

Топ-20 популярных библиотек с риском для дальнейшего использования

Мы провели собственный аудит популярных библиотек, которые раньше использовались большинством разработчиков мобильных приложений. Все эти библиотеки мы проверили с точки зрения возможных скрытых угроз.

Из самого актуального для многих компаний, в том числе банков, — возникают критические проблемы с нотификацией и доставкой push-уведомлений. Технологии, которые стоят на стороне Google, можно обойти и заменить, а вот с Apple есть серьезные проблемы. Но все мы видим тенденции по сворачиванию технологий Apple, поэтому здесь особых страхов нет.

Посмотрите — возможно, здесь они есть и в вашем мобильном приложении.

В ближайшее время IW Group представит ИТ-сообществу собственные библиотеки с открытым кодом для свободного и безопасного использования в разработке мобильных приложений.

Еще раз призываем вас обращать внимание на фронтальные сервисы, корпоративные и клиентские приложения. В погоне за импортозамещением глобальных проектов есть риск пропустить угрозу там, где не ждешь. Именно фронтальными решениями пользуются миллионы и миллионы людей по всей стране, как клиентов, так и сотрудников компаний.

Подписывайся на наш телеграмм-канал!