Обновления, продление поддержки

Данная информация предназначена, прежде всего, для производителей оборудования и обслуживающих компаний. Тем не менее, информация будет полезна и владельцам устройств на основе устаревших операционных систем, для грамотного формирования запроса к своей обслуживающей компании или производителю устройства.  
 
Корпорация Microsoft в 2020 году прекратила поддержку операционных систем на основе Windows 7. Эти ОС более не получают обновления безопасности и исправления. Если продолжать использовать не поддерживаемые операционные системы, вы подвергаете свою систему следующим рискам:
 

Самый главный риск – это прекращение выпуска обновлений безопасности! Чем дольше вы будете использовать не поддерживаемую операционную систему, тем больше возможностей предоставляете злоумышленникам!

Февраль 2017 года. Обнаружена уязвимость, которую Microsoft закрыла в мартовском обновлении безопасности MS17-010. Исправление было проигнорировано как большинством пользователей, так и многими компаниями, что привело к печальным событиям.

Май 2017 года. Первый случай использования уязвимости. У пользователей, которые не установили своевременно исправление, с помощью известной уязвимости были заражены устройства вирусом-вымогателем WannaCry. Заражению подверглись не только домашние компьютеры, но и системы в коммерческих, муниципальных и правительственных организациях. Суммарно от вируса пострадало примерно 300 тысяч пользователей в двухстах странах, с общим ущербом в 1 миллиард долларов. 

Второй случай произошёл в июне 2017 года. Массовому заражению вирусом Петя подверглись устройства на территории Украины и России, а затем и в других странах мира. Петя использовал те же уязвимости что и WannaCry с последующим шифрованием файлом с целью вымогательства денег. Атакам подверглись: энергетические компании, банки, аэропорты и порты. В результате действия вируса многие крупные компании судились со своими страховыми компаниями за отказ в выплате страховки, например, производитель продуктов питания Mondelez подал иск на страховую компанию Zurich Insurance за отказ выплатить 100 миллионов долларов за понесенный ущерб. Все финансовые потери в мире составили более 1 миллиарда долларов. 

С учетом распространения компьютерных способов хранения и обработки информации, во многих странах работу компьютерных систем регулируют достаточно суровые законы. К примеру, в Европе в мае 2018 года начал работать закон о защите данных - GDPR (General Data Protection Regulation), действующий в 28 странах ЕС. В России похожим на него законом является 152-ФЗ. Несоблюдение данных законов может понести за собой серьезные последствия.

Что нужно понимать относительно Российского законодательства о защите персональных данных в части обеспечения требованиям по поддерживаемому ПО:

  1. Базовым законом о персональных данных (ПД) является 152-ФЗ
  2. Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119.
  3. От типа угроз и уровня ПД напрямую зависят требования к уровню защищенности (УЗ) персональных данных.
  4. УЗ бывает от 1 до 4.  Минимальный уровень для тех, кто хранит и обрабатывает ПД – УЗ-3. Уровни УЗ-2 и УЗ-1 предназначены для особо критичных данных или сред. УЗ-4 – для тех, кто не хранит данные сторонних лиц (только свои).
  5. В зависимости от выбранного уровня защищенности, изменяется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г.
  6. Данный приказ содержит список мер «СОСТАВ И СОДЕРЖАНИЕ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, НЕОБХОДИМЫХ ДЛЯ ОБЕСПЕЧЕНИЯ КАЖДОГО ИЗ УРОВНЕЙ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ». В этом списке есть следующие требования, касающиеся УЗ 1, 2, 3 и 4 (раздел VIII), а именно:
    • АН3.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей (уровни 1,2,3)
    • АН3.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации (уровни 1,2,3,4)
    • АН3.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации (уровни 1,2,3).

Перечисленные пункты реализуемы только на поддерживаемом и актуальном программном обеспечении. Более того, в секциях VI и VII документа есть пункты, которые поддерживаемая Windows реализует без дополнительного программного обеспечения, а именно:

С. VI – антивирусная защита (встроенная),

С. VII – встроенный Firewall с регулярными обновлениями.

В неподдерживаемых ОС эти компоненты отсутствуют, и вам потребуется прибегнуть к стороннему программному обеспечению для осуществления соответствия закону.

Таким образом, полное соответствие закону о защите персональных данных 152-ФЗ, под который подпадают большинство организаций, работающих с данными клиентов (а также все банки) можно обеспечить только с использованием поддерживаемых операционных систем.

Напомним, что дистрибутивы LTSC (доступные в линейке Windows 10 IoT) поддерживаются на протяжении 10 лет и, как следствие, полностью отвечают требованиям законов на протяжении этого срока.

Третья проблема, возникающая при использовании неподдерживаемой операционной системы, связанна с техническим обслуживанием устройства.

При поломке оборудования становится гораздо тяжелее найти комплектующие для оперативной замены вышедшей из строя платы. Это ведёт к простою оборудования и траты времени на поиск и закупку необходимых и совместимых комплектующих.  

Оперативная замена комплектующих для устройства усложняется жизненным циклом продуктов. Каждый продукт, выпускаемый компаниями Intel, Nvidia, AMD, Gigabyte и пр. имеют свой срок доступности для покупки, который составляет примерно 4 года. Не секрет, что процессоры выпускаются с поддержкой строго определенных операционных систем, как правило, самых актуальных на момент выпуска. Производители «железа» не разрабатывают новинки для устаревших операционных систем.

Последние поколения процессоров, поддерживающие Windows 7: 

  • Процессоры Intel 6-го поколения
  • Процессоры AMD 6-го поколения

Практически одновременно с окончанием поддержки Windows 7, прекратилось и производство процессоров 6-го поколения. В итоге, ремонт оборудования, не получившего своевременного обновления как аппаратной, так и программной части, потребует больших временных и денежных затрат, а зачастую, будет просто невыполнимой задачей. Дешевле и проще будет полностью обновить все устаревшие комплектующие заранее с учетом поддержки наиболее актуальной версии Windows. Это позволит обеспечивать ремонтопригодность, поддержку и работоспособность устройства максимально длинный срок.

Не меньшие проблемы могут возникнуть и с безопасностью системы. На устаревших процессорах постоянно находят уязвимости. В целях закрытия уязвимостей, производитель отправляет обновления микрокода для своей актуальной линейки процессоров. К примеру, Intel больше не отправляет обновления безопасности для процессоров старше семи лет и для неподдерживаемых ОС.

 

Как работать дальше?

Вариант 1: Обновление до Windows 10 или Windows 11 (IoT) 

На ранее отгруженных заказчику устройствах рекомендуется обновить операционную систему до Windows 10 или Windows 11 (при условии совместимости). Для этого у Вас, как у производителя, есть возможность заказать лицензию Windows IoT Field Upgrade для соотвествующей версии. Windows IoT существенно дешевле чем корпоративная Windows 10/11 Pro, при этом обладает функционалом Enterprise версий.

Лицензия Field Upgrade позволяет обновить операционную систему на уже отгруженном заказчику устройстве. Отличительной особенностью лицензии Field Upgrade является возможности поставки вашему клиенту отдельно от оборудования. Цена на лицензии соразмерна стоимости полной лицензии на соответствующую версию Windows и, как и все IoT-лицензии, зависит от типа установленного в устройстве процессора. При этом лицензии Field Upgrade технически не являются обновлением - дистрибутив содержит полную версию операционной системы и может быть установлен в т.ч. и на "голое" железо.
 
Несмотря на определенные ограничения, в настоящее время есть варианты поставки таких лицензий в РФ.

Вариант 2: Переход на альтернативные ОС, например Astra Linux Embedded 

Для 100% исключения санкционных рисков, получения необходимых сертификатов, обновлений, соответствия требованиям регуляторов, мы рекомендуем рассмотреть ОС Astra Linux Embedded. Это эксклюзивное предложение, которое мы разработали совместно с ГК Астра Линукс для российских партнеров-производителей встраиваемых решений и предлагаем на территории России с января 2023 года.

Как получить обновление или помощь с переходом на другую ОС?

Для конечных пользователей

Если вы являетесь конечным пользователем устройства, то вам необходимо обратиться в вашу обслуживающую компанию или к производителю оборудования для заказа лицензий Windows Field Upgrade или Astra Linux Embedded. Спрашивайте именно Embedded-версию, если ваш поставщик еще не в курсе этих ОС, вы можете посоветовать им обратиться в Кварта Технологии.

Для ОЕМ, обслуживающих компаний и интеграторов

Windows Field Upgrade: При получении запроса от конечного пользователя, вам необходимо удостовериться, что технические характеристики системы поддерживают требования Windows 10 IoT Enterprise или Windows 11 IoT Enterprise. В идеале  проверить путем установки демо-версии.

Убедившись, что устройство соответствует требованиям операционной системы, подготовьте образ обновления на основе новой версии Windows Embedded. "Кварта Технологии" может помочь вам с настройкой образа проконсультировав по любым вопросам. Подготовив образ обновления, закажите лицензии «Field Upgrade» у «Кварта Технологии» и мы предоставим вам ключ и лицензионные наклейки. 

Отправьте конечному пользователю образ удобным способом. «Field Upgrade» может передаваться как на диске так и в электронном виде для загрузки через Интернет.

Переход на Astra Linux Embedded: Обратитесь за консультацией к нам, удобным вам способом. Мы поможем с выбором подходящей вам редакции, а также с вопросами по тестированию приложений и оборудования с ОС Астра Линукс и получению сертификации Ready for Astra.