Эксперты компаний «Солар», «Фазум» и «Хоулмонт» выявили свыше 30 уязвимостей в широко используемой в России платформе для автоматизации бизнес-процессов Camunda 7. Для пяти из них уже существуют готовые эксплойты, что создает высокий риск для финансового сектора, ритейла, телекома и промышленности.
Поскольку Camunda 7 используется в 35% проектов по автоматизации, особенно в финансовом секторе, телекоммуникациях, ритейле и промышленности, эти ключевые отрасли экономики могут подвергаться повышенной угрозе. Специалисты рекомендуют разработчикам своевременно обновлять программное обеспечение, использовать межсетевые экраны для защиты веб-приложений, а также регулярно проверять ПО на уязвимости с помощью инструментов SAST, DAST и OSA.
По мнению Алексея Шершнева, ИТ-директора Камунда.РФ, ситуация с Camunda 7 поднимает более общие вопросы. Многие широко используемые в России иностранные ИТ-платформы с открытым кодом потенциально могут стать источником аналогичных рисков из-за смены лицензионной политики, прекращения поддержки или геополитических факторов.
«Для того, чтобы управлять сообществом, требуются деньги и ресурсы корпорации. Соответственно, как во всем мире, за open source проектами стоят те или иные коммерческие организации. Таким образом, симбиоз корпорации и таких сообществ является единым правильным вектором развития».
Алексей Шершнев, ИТ-директор Камунда.РФ
Переход с одной платформы на другую, как в случае с Camunda 7, является сложным и длительным процессом. Как отмечает Шершнев, в подобных ситуациях востребованы решения, обеспечивающие бесшовную миграцию, чтобы компании могли избежать дорогостоящих проектов по переносу систем.
Что касается кадрового вопроса, то с момента прекращения официальной поддержки Camunda 7 в России сформировалось сообщество специалистов, способных поддерживать платформу.
«С момента прекращения технической поддержки Camunda 7 в России сформировалось сообщество специалистов в финансовом, ИТ- и ИБ-секторе, которые смогли обеспечить техническую поддержку платформы, несмотря на отказ вендора от работы на российском рынке. Этот процесс позволил накопить экспертизу и реализовать ее в рамках российских BPM-платформ, но, объективно, специалистов не хватает».
Антон Прокофьев, руководитель отдела операционной поддержки Solar appScreener ГК «Солар»
Прокофьев подчеркивает, что при прекращении поддержки вендором бремя безопасности ложится на пользователей. Поэтому он рекомендует, помимо использования дополнительных средств защиты, системно повышать навыки ИТкоманд в области информационной безопасности, выполнять рекомендации ФСТЭК и рассматривать возможность миграции на более защищенные решения, в том числе отечественные.