Безопасная разработка аппаратного ПО: как снизить риски в железе

BIOS, BMC, цепочки поставок, безопасная разработка, аппаратное обеспечение, харденинг, информационная безопасность, уязвимости, анализ кода, отечественные вендоры, ITIS Conf 2025, Аквариус. В интервью с Константином Закатовым, директором департамента информационной безопасности компании «Аквариус», обсуждаем, как устроена безопасная разработка встроенного ПО, почему BIOS и BMC — критические точки в инфраструктуре, и как избежать фатальных ошибок ещё на этапе проектирования «железа». Разговор записан в мобильной студии AM Live на конференции ITIS Conf 2025 в Екатеринбурге. Беседу провел — Илья Шабанов, генеральный директор АМ Медиа. ⸻ Кому будет полезно это интервью • ИБ-специалистам, которые работают с аппаратной частью и встроенным ПО • DevSecOps-инженерам и архитекторам, отвечающим за безопасность разработки • Производителям и интеграторам, выстраивающим процесс безопасного релиза • Заказчикам, выбирающим защищённые решения и оценивающим риски поставок • Всем, кто хочет понять, почему «железо» — это не просто платформа, а потенциальный вектор атаки ⸻ Навигация по тайм-кодам 00:00 — Введение. Почему разговор о безопасной разработке важен 01:20 — Как встроенное ПО отличается от обычного софта 02:30 — Особенности BIOS и BMC: почему обновлять их сложно 03:40 — Риски при атаках на встроенное ПО 04:45 — Как работают с цепочками поставок и вендорским контролем 06:00 — Заводские уязвимости как последствия глобальных процессов 07:20 — Open source и безопасность: как избежать слепого копирования 08:30 — Харденинг: отключать или контролировать? 09:30 — Кто отвечает за безопасную разработку вендорского железа 11:10 — Почему требования к безопасности зависят от продуктовой линии 12:30 — Как помогает обратная связь от заказчиков 13:40 — Право вето ИБ на релиз: миф или практика? 15:00 — Привлечение внешнего аудита и практики BugBounty 16:30 — Пример: задержка релиза из-за опасной конструкции в коде 17:40 — Почему защищённые ноутбуки дороже и кто готов за них платить 19:10 — Работа с дружественными странами и экспорт ИБ-компетенций 20:00 — Итоги. Из чего складывается цена безопасности ⸻ 💬 Оставляйте комментарии, ставьте лайки и подписывайтесь на наш канал — это помогает показать интервью большему числу профессионалов в сфере информационной безопасности! Календарь трансляций AM Live Сотрудничество и связь с редакцией: author@ По вопросам рекламы: sales@