Symantec відмовилася надати вихідні коди для аудиту в Росії

0
306

За російським законодавством, західні компанії зобов’язані підкоритися запитом ФСБ і надати для ознайомлення вихідний код своїх пропрієтарних програм, перш ніж їх допустять на російський ринок — влада хоче переконатися, що у програмах немає вбудованих бекдорів. Цій вимозі підпорядковані всі компанії. Microsoft показує вихідний код Windows, а Cisco, IBM, SAP і інші компанії діляться з Російською Федерацією вихідним кодом своїх файрводов, антивірусів, програм з криптографічними модулями. Але останнім часом у компаній така практика викликає заклопотаність, тому що разом з тим російські спецслужби отримують можливість знайти уразливості в пропрієтарних програмах західних компаній, пише Reuters. Ці уразливості згодом можуть бути використані під час кібератак і для шпигунства.

З побоювань за безпеку своїх продуктів одна компанія Symantec — припинила співпрацю з російськими аудиторами.

Американські чиновники кажуть, що вони попереджали комерційні компанії про ризики, пов’язані з передачею вихідних кодів російським органам. Але в уряду США немає повноважень, щоб заборонити подібну практику, якщо це не якісь військові розробки, а суто цивільний софт.

У свою чергу, самі компанії говорять, що у них немає іншого вибору. Якщо вони не нададуть вихідний код, їх не пустять на ринок. Аудит відбувається в безпечних умовах, в спеціально обладнаних приміщеннях, щоб виключити витік вихідного коду.

Крім Cisco, IBM, SAP, відомо, що аудиту вихідного коду зазнали продукти Hewlett Packard Enterprise Co і McAfee. В останні роки різко зросла кількість запитів на аудит вихідного коду продуктів Microsoft.

Взагалі, Росія першою в світі отримала вихідний код Windows. Це сталося ще в 2002 році. Microsoft погодилася показати исходники тільки на умові, що вони будуть вважатися державною таємницею Російської Федерації. Співпраця тривала і в наступні роки. Наприклад, влітку 2010 року Microsoft надала ФСБ вихідні коди Windows 7, Windows Server 2008 R2, Office 2010, SQL Server 2008 R2 і Exchange Server 2010 «для підвищення довіри до продукції Microsoft з боку державних органів».

Безпосередньо експертизу вихідного коду виробляє в тому числі Федеральна служба з технічного та експортного контролю (ФСТЕК Росії). Записи ФСТЕК свідчать, що з 1996 по 2013 роки вона провела експертизу вихідного коду 13 технологічних продуктів західних компаній, а з 2014 по 2016 роки кількість експертиз різко збільшилося і склало 28. У коментарі Reuters представники ФСТЕК сказали, що такий аудит вихідного коду відповідає світовій практиці, у ФСБ відмовилися від коментарів.

Аудитом вихідного коду займаються ще кілька компаній, акредитованих у ФСБ. Що характерно, всі вони мають зв’язки з військовими структурами. Наприклад, компанія «Ешелон» має нагороди «за зберігання державних таємниць» від Міністерства оборони.

Незважаючи на всі побоювання, опитані Reuters експерти не змогли назвати жодного конкретного випадках злому, кібератаки або операції з кібершпіонажу, яка була б проведена завдяки тому, що російським спецслужбам стали доступні вихідні коди того чи іншого пропрієтарного програмного продукту. Поки ці побоювання мають умоглядний характер.

У самому справі, аудит вихідного коду пропрієтарних продуктів — не унікальна для Росії практика. Навіть американський уряд в деяких випадках вимагає надати вихідний код закритої програми, особливо якщо мова йде про оборонне замовлення або іншому важливому контракті. Китай теж іноді вимагає надати исходники як умова на імпорт комерційного програмного забезпечення.

У 2014 році Microsoft відкрила Центр прозорості в Редмонді, а пізніше такий же — в Брюсселі. Представники державних органів можуть відвідати це місце, подивитися на вихідний код операційної системи Windows та інших програм — і переконатися, що в них відсутні бекдори і шпигунські закладки.

Директор компанії «Ешелон» Олексій Марков розповів, що аудит коду здійснюється у своєрідних «чистих кімнатах» — спеціальних лабораторіях, з яких не можна передати вихідний код. Цікаво, що не всі процедури з аудиту відбуваються в Москві. Наприклад, вихідний код продуктів компанії SAP російські фахівці проводили в захищеній лабораторії SAP в Німеччині.

Але от для компанії Symantec цих умов виявилося недостатньо, якщо вона не довіряє експертизі.

«Це становить ризик цілісності наших продуктів, який ми не бажаємо приймати», — заявила представник компанії Крістен Батч (Kristen Batch). Після відмови показати исходники Symantec більше не зможе продавати в Росії деякі корпоративні продукти.

Оцініть статтю

НАПИСАТИ ВІДПОВІДЬ

Please enter your comment!
Please enter your name here