В 1966 СССР принял стратегическое решение следовать в ИТ путём догоняющего развития. Это решение выполняется и по сей день: Россия доверяет всем новым веяниям в ИТ, которые появляются на Западе, узаконивает западные стандарты, лояльна к тому, что интернет управляется из США. В попытке решить проблему безопасности Россия сегодня делает ставку на Linux, Chromium, Postgresql и другие Open Source проекты.

Если мы проведём ретроспективный анализ уязвимостей, мы скорее всего сможем статистически значимо показать, что любая российская информационная система, подключённая к сети, уязвима, даже если она основана на Open Source, не говоря уж о Windows и других проприетарных технологиях. Мы не проводили такого анализа, возможно, это стоило бы проделать, но у нас нет таких ресурсов. Сопоставляя время от появления до устранения уязвимостей, а также оценивая их общее количество, невооружённым глазом видно, что современные информационные системы в целом имеют неудовлетворительную защищённость. Мы предполагаем, что в НАТО существует целая «фабрика закладок», которая постоянно создаёт новые уязвимости, которые можно использовать взамен ранее обнаруженных и обезвреженных, в том числе и в проектах Open Source. По мере того, как мировое сообщество находит уязвимости, готовятся новые версии ПО с новыми закладками. От момента распространения уязвимости через процесс обновления ПО до момента распространения заплатки, закрывающей уязвимость (обычно заплатка распространяется через несколько месяцев после того, как независимые исследователи конфиденциально сообщат о ней разработчикам уязвимой программы) у закладки есть латентный период, когда её авторы могут использовать её в своих целях. Зачастую срок жизни уязвимости - порядка 2 лет, а в отдельных случаях это может быть и 20 лет. Поэтому постоянно существует хороший запас таких скрытых закладок. Таким образом, если предположить, что хотя бы часть этих уязвимостей внесена целенаправленно некоей организацией, то владельцы этой «фабрики закладок» постоянно держат нож у горла пользователей информационных систем во всём мире. Мы видим из этой ситуации только один выход: переходить от сегодняшней профанации импортозамещения к настоящему производству полного стека технологий в России. Даже если технологии импортные, должны создаваться их копии, которые далее будут развиваться под контролем российских разработчиков. Только так мы сможем со временем избавиться от продукции «фабрики закладок». Если мы возьмём за основу линукс, то это время, вероятно, будет исчисляться несколькими десятилетиями, грубую оценку можно получить из истории уязвимости bashdoor. Не факт, что мы можем себе позволить так долго находяться в уязвимом положении.

При этом мы будем вынуждены кардинально снизить сложность ПО, которая в огромной степени раздута, и повысить его надёжность. Без снижения сложности мы не успеем создать своё ПО и не успеем вычистить импортное в сколько-нибудь разумные сроки. ПО должно быть понятным, как курс школьной геометрии, и надёжным, как топор. Во время изучения геометрии каждый школьник может самостоятельно проверить все доказательства и убедиться, что геометрия - правильная. Такая же должна быть ситуация и с ПО - только многократный, исчерпывающий контроль многими независимыми и правильно мотивированными группами российских специалистов позволит ПО быть действительно безопасным. Конечно, ПО сложнее геометрии, но оно не должно быть непостижимо сложным, как сейчас. На сегодня никакая группа российских специалистов не обладает полнотой знаний о том ПО, которое мы используем и которому вверяем свою безопасность. Си++ неустранимо сложен. С точки зрения надёжности, Си, JavaScript - неустранимо ненадёжны. Есть альтернативы, которые нужно изучать и внедрять.

Пока всё это не сделано, информатизация общества означает превращение нашей страны в минное поле, а управление взрывателем мы великодушно предоставляем странам НАТО. Чем глубже проникают в нашу жизнь информационные технологии, тем больше наша уязвимость перед США с их «фабрикой закладок». Мы должны принять чёткий критерий: никакая технология не должна внедряться в России, если Россия её не контролирует и нет полной уверенности в том, что завтра эта технология не будет дистанционно сломана. Например, это касается Windows, Oracle, MS SQL, Postreqsl, Linux, FreeBSD, MacOS, gcc, clang, node.js, vue.js, все современные веб-браузеры, bash, python, Android, C#, все современные офисные пакеты и интегрированные среды разработки - и это только ПО. С аппаратным обеспечением дела обстоят ещё хуже. По сути дела, почти ничто из того, чем мы пользуемся, не должно использоваться.

ИТ-специалисты заинтересованы во владении американскими технологиями, которые позволяют им зарабатывать деньги на мировом рынке. Любой ИТ-специалист хочет внедрить в России новую американскую технологию, поскольку это позволит освоить её и впоследствии продать свои компетенции на мировом рынке. Поэтому ИТ-специалисты являются «сословными» врагами идеи независимого отечественного ПО, которое в обозримом будущем позволит зарабатывать деньги только на внутреннем рынке. А работа на внутреннем рынке, как мы знаем на примере Всеволода Опанасенко, чревата уголовным преследованием. Государству нужно было с самого начала очень внимательно следить за тем, как идёт так называемый процесс импортозамещения, чтобы ИТ-шники (которые довольно умные люди) не повернули этот процесс в свою пользу, и тщательно оберегать тех людей, которые, вопреки экономической выгоде, делают что-то для блага своей страны. К сожалению, этого не происходит. Опанасенко находится в тюрьме, а в «российских» версиях Linux обнаруживаются те же уязвимости, что и в общемировых. Последнее означает, что исчерпывающий анализ с точки зрения безопасности в этих системах не был проведён и что мы не избавились от продукции «фабрики закладок».

Расплатой за ошибочную политику отказа от технологического суверенитета в ИТ может стать полномасштабное военное поражение нашей страны, поскольку данные уязвимости могут быть применены как эффективная военная мера. В высоко информатизированном обществе простое отключение компьютерных сетей может привести к полному хаосу, поскольку штат сотрудников во всех организациях уже уменьшен с расчётом на то, что компьютерные системы не откажут. Более того, известны уже и случаи применения ИТ для диверсий, как минимум, в Иране и Венесуэле. Теперь мы знаем, что с помощью ИТ можно отключить электричество и устроить атомную аварию.