Закон про цифрову операційну стійкість (DORA) набрав чинності по всій ЄС 17 січня 2025 року, що кардинально змінює підходи фінансових установ до стійкості інфраструктури та технологічних активів. Його вимоги щодо управління ризиками ІКТ, операційної стійкості та нагляду за третім сторонами сигналізують про ширше зміщення, яке буде відчутне в регульованих індустріях у всьому світі.

У своїй основі DORA вимагає чогось, що виглядає на перший погляд просто: організації повинні точно знати, що вони використовують, звідки це взялося і як це полагодити, коли щось ламається. Для технічних команд, що управляють комплексними стеком, який охоплює апаратне забезпечення, ОС, ядро і застосунки, це перетворюється на сувору вимогу щодо походження: прозора, перевірена лінійність від вихідного коду до самого верху.

Проблема походження: ви не можете перевірити те, що не бачите

Традиційні вендорські стеки створюють основну проблему відповідності: вони непрозорі за своєю суттю. Коли ви впроваджуєте власне рішення, ви приймаєте запевнення когось іншого щодо того, що всередині. Ви не можете перевірити вихідний код. Ви не можете підтвердити процес створення. Ви не можете незалежно перевірити, чи насправді виправлення безпеки вирішує вразливість, яку воно стверджує, що виправляє.

Хоча Специфікація програмного забезпечення (SBOM) з’явилася як важливий інструмент прозорості та є кроком вперед, вона не вирішує цю основну проблему перевірки. SBOM говорить вам, які компоненти присутні в власному програмному забезпеченні, але ви все ще не можете дослідити сам вихідний код або перевірити процес створення самостійно. Для регульованих організацій, які стикаються з вимогами, такими як DORA, це створює прогалину в дотриманні, де ви можете документувати залежності, але не можете дійсно перевірити їх цілісність.

DORA чітко вимагає, щоб фінансові організації підтримували нагляд за їхньою ІКТ-інфраструктурою, включаючи залежності третьої сторони. Отже, як ви можете підтримувати нагляд за тим, що не можете перевірити?

Відкритий код стає вкрай важливим тут. З відкритим програмним забезпеченням:

• Ви отримуєте відтворювальну можливість перевірки по всьому ланцюгу постачання
• Ви можете простежити кожен компонент до розробника, який його написав
• Ви можете перевірити збірки
• Ви можете перевіряти зміни
• Ви можете точно зрозуміти, що працює у вашому середовищі

Проблема одного розробника (і чому Ubuntu Pro важливий)

Ось незручна правда сучасної інфраструктури: критичні компоненти у вашому стеку, ймовірно, пов’язані з одним розробником десь в Інтернеті, який підтримує бібліотеку у свій вільний час. Оцінка, заснована на аналізі даних ecosyste.ms, показує, що відносно невелика група, близько десяти тисяч людей, підтримує більшість користувачів відкритого програмного забезпечення у світі. У звіті Tidelift 2024 про стан утримувачів відкритого коду 61% неплатних утримувачів заявили, що працюють на своїх проектах самостійно. Коли у 2014 році була виявлена вразливість Heartbleed, OpenSSL — який використовувався 66% веб-серверів на той час — підтримувався лише кількома добровольцями, лише один з яких працював повний робочий день, а проект отримував близько 2000 доларів на рік у вигляді пожертв.

Ці окремі утримувачі виконують героїчну роботу. Але з точки зору стійкості, це ризик. Що станеться, коли цей розробник піде? Втомиться? Просто зупиниться у підтримці пакету?

Проблема погіршується: у 2024 році майже 60% утримувачів повідомили, що відмовилися або розглядали можливість відмови від своєї роботи, а багато хто зазначав вигорання, недостатню компенсацію та надмірні вимоги до їхнього часу.

Інвестування в відкритий код — це форма безпеки інфраструктури: це зменшує вашу залежність від неплатних, соло-утримувачів і створює стійкі канали підтримки з професійною підтримкою, своєчасним виправленням безпеки і довгостроковою життєздатністю. Коли підприємства платять за Ubuntu Pro, частина цього фінансування повертається в екосистему відкритого програмного забезпечення через інженерну роботу Canonical та пряму фінансову підтримку проектів, від яких залежить Ubuntu.

Canonical не просто перепаковує відкритий код; наші інженери вносять нові функції та виправлення у проекти, які постачаються в Ubuntu, і ми зобов’язуємося до обходу безпеки для компонентів ще довго після завершення їхнього терміну підтримки, як-от продовження виправлення OpenSSL 1.1.1 для підтримуваних випусків Ubuntu. Ubuntu Pro пакетує цю інвестицію в екосистему в одну підписку: до 15 років обслуговування безпеки для тисяч відкритих пакетів програмного забезпечення, плюс гарантія, що Canonical активно співпрацює та фінансує громади, що стоять за ними. Замість того, щоб покладатися на справжню стійкість на одного неплатного утримувача, ви отримуєте постачальника, чия бізнес-модель співпадає з безпекою і стійкістю цієї інфраструктури в довгостроковій перспективі.

Від відповідальності до гарантії: системний рівень, а не рівень постачальника

Існує фундаментальна різниця між постачальниками, які беруть на себе відповідальність за свою продукцію, і платформами, що надають гарантію для вашої системи.

Коли клієнт Ubuntu Pro з фінансової галузі запитав: «Як ми можемо активувати всі машини під стандартами FIPS і CIS?», це питання стосується не одного застосунку. Це питання про дотримання системної безпеки на тисячах машин, включаючи операційну систему та базове обладнання.

Ubuntu Pro відповідає на це питання, пропонуючи єдиний, перевіряємий стек з кінця в кінець. Акцент зміщується з довіри окремим постачальникам на формування єдиної позиції безпеки, де кожен рівень підтримується, патчується і є перевіряємим.

Для фінансових організацій це змінює розмову з «Чи довіряємо ми цьому постачальнику?» на «Чи можемо ми перевірити і підтвердити нашу всю інфраструктуру до рівня застосування?» Відповідь має бути ствердною, і вам потрібна документація, щоб це довести.

Перевага DORA: знати, що ви не знаєте

Виявлення того, що ви не знаєте, виявляється складнішим, ніж виправлення відомих питань відповідності. Які пакети насправді працюють у продакшені? Які версії? Який їхній статус безпеки? Які потенційні вразливості можуть виявити аудитори під час наступного огляду?

З Ubuntu Pro ви отримуєте безперервну видимість, обслуговування безпеки та підтримку:

• Повний інвентар: точно перерахувати, що працює у вашій інфраструктурі
• Відстеження походження: кожен пакет має перевірену лінійність до виходу
• Безперервне патчування: як головні, так і універсальні пакунки отримують безпеки оновлення
• Інструменти відповідності: вбудовані можливості для зміцнення CIS, сертифікації FIPS і звітності про відповідність

По ту сторону відповідності: підготовка до того, що прийде далі

Розглядайте відповідність як базовий рівень, а не мету. Хоча DORA є регуляторною вимогою для фінансових послуг в ЄС, розумні організації з різних галузей використовують її як модель для своїх програм стійкості. Принципи, які вона кодує, операційна стійкість, прозорість ланцюга постачання, системне управління ризиками, є універсальними проблемами.

Траєкторія ясна: більше регулювання, більше контролю, більше вимог до прозорості та походження. Коли у вашій галузі з’являється еквівалент DORA (а це станеться), вам потрібна інфраструктура, яка вже може продемонструвати:

• Перевірене походження кожного компонента у вашому стеку
• Зобов’язання щодо довгострокової підтримки, підтверджені професійними командами
• Дотримання вимог системної безпеки до рівня ОС і інфраструктури
• Повна прозорість вихідного коду та задокументовані процеси патчування

Ubuntu Pro застосовує ці принципи до інфраструктури відкритого програмного забезпечення, поєднуючи прозорі компоненти з довгостроковим обслуговуванням безпеки та підтримкою, щоб ваш стек був готовий до всього, що прийде далі.

Дізнайтеся більше про інші стандарти безпеки, які ми підтримуємо: ubuntu.com/security/security-standards.

Посилання

• Закон про цифрову операційну стійкість (DORA) – EIOPA
• Регламент (ЄС) 2022/2554 – EUR-Lex
• Звіт Tidelift 2024 про стан утримувачів відкритого коду
• Неплатна опора відкритого коду – Socket
• Критична інфраструктура для вебу – Forbes
• Canonical + thanks.dev