Находясь под давлением, западные высокотехнологичные фирмы уступают российским требованиям поделиться киберсекретами
Российские власти просят западные технологические компании позволить им пересмотреть исходный код для продуктов безопасности, таких как брандмауэры, антивирусные приложения и программное обеспечение, содержащее средства шифрования, до выдачи разрешения на импорт и продажу товаров в стране. Запросы, число которых выросло с 2014 года, якобы сделаны для того, чтобы иностранные шпионские ведомства не нашли какие-либо "лазейки", которые позволили бы им залезть в российские системы.
Но эти средства также предоставляют россиянам возможность находить уязвимости в исходном коде продукции (средства, которые контролируют основные операции компьютерной техники), по словам нынешних и бывших американских чиновников и экспертов по безопасности.
В то время, как ряд американских фирм говорят, что они пытаются сохранить свое присутствие на огромном рынке технологий России, по крайней мере, одна американская фирма, компания Symantec, сообщает, что они перестали сотрудничать из-за соображений безопасности. Эта информация ранее не разглашалась. Symantec считают, что одна из лабораторий, проверяющая продукцию, не была достаточно независима от правительства РФ.
Американские чиновники утверждают, что они предупреждали фирмы о рисках, позволяющих россиянам пересмотреть исходный код продуктов, из-за опасений, что они могут быть использованы в кибератаках. Но чиновники говорят, что у них нет юридических полномочий, чтобы прекратить эту практику, поскольку технологии ограничивают военное применение и не обеспечивают нарушение санкций США.
Со своей стороны, компании отмечают, что они находятся под давлением: либо выполнить требования российских регулирующих органов либо рисковать быть изгнанными с прибыльного рынка, утверждая, что они позволяют только пересмотреть исходный код в защищенных объектах, которые препятствуют копированию или изменению.
Требования выдвигается Федеральной службой безопасности (ФСБ), которую правительство США обвиняет в участии в кибератаках во время президентской кампании Хиллари Клинтон 2016 и во взломе 500 млн. учетных записей электронной почты Yahoo в 2014 году. ФСБ отрицают участие в выборах и взломах Yahoo, выступая, в качестве регулятора, на которого возложена функция утверждения продажи сложных технологических продуктов в России.
К делу также присоединяется Федеральная служба по техническому и экспортному контролю (ФСТЭК), российское агентство, занимающееся вопросами борьбы с кибершпионажем и защитой государственной тайны. Отчеты, опубликованные ФСТЭК, показывают, что с 1996 по 2013 год агентство проверило коды 13 технологических продуктов западных компаний. В последние три года агентство провело 28 оценок.
ФСТЭК сказали в заявлении, что их оценки соответствуют международной практике. Госдепартамент США отказался комментировать.
Данный вопрос является довольно острым, поскольку отношения США-Россия ухудшились после Российской аннексии Крыма, в 2014 году, по информации восьми нынешних и бывших американских чиновников, четырех руководителей компаний, трех прокуроров и, в соответствии, со сведениями российских нормативных документов.
В дополнение к IBM, Cisco и SAP, также позволили проверить исходный код своих продуктов Hewlett Packard Enterprise Co и McAfee.
До сих пор мало было известно о процессе пересмотра системы регулирования. Документы ФСТЭК и интервью с теми, кто участвует в обзорах, дают незначительное видение напряженных взаимоотношений между технологическими компаниями и правительствами в период активных хакерских взломов.
Рожел Томсен, адвокат, который помогает технологическим компаниям США ориентироваться в сфере законодательства России, заявил, что компании должны сбалансировать опасности раскрытия исходного кода для российских спецслужб и возможность снижения продаж.
"Некоторые компании отказываются, - сказал он. - Другие смотрят на потенциальный рынок и рискуют".
"У нас есть реальная проблема "
Если технологическая фирма отклоняет запросы на предоставление исходного кода ФСБ, то разрешение на их продукцию может быть отложено или полностью отменено. Российский рынок информационных технологий, как ожидается, составит в этом году $18,4 млрд, сообщает исследователь рынка в International Data Corporation (IDC).
Шесть нынешних и бывших американских чиновников, которые общались с компаниями по этому вопросу, сказали, что они с подозрением относятся к мотивации России.
"Это то, по поводу чего у нас есть реальная озабоченность, - сказал бывший высокопоставленный чиновник Министерства торговли, который имеет непосредственную информацию о взаимодействии между американскими компаниями и российскими чиновниками. - Вы должны спросить себя, что именно они пытаются сделать, и очевидно, они пытаются искать информацию, которую можно использовать в своих интересах, и очевидно, что это реальная проблема."
Однако, никто из чиновников, не указывает конкретные примеры кибершпионажа, который становится возможным в результате процесса проверки.
Запросы исходного кода не уникальны для России. В США технологические компании позволяют правительству провести аудит исходного кода в ограниченных случаях в рамках гособоронзаказа и других конфиденциальных работ для правительства. Китай также требует исходный код, как условие для импорта коммерческого программного обеспечения.
"Чистые номера"
Взломы часто происходят на защищенных объектах, известных, как "чистые номера". Несколько российских фирм, которые проводят тестирование для западных высокотехнологичных компаний от имени российских регуляторов, имеют прошлые или нынешние взаимоотношения с российскими военными.
Echelon, московская технологическая компания, является одним из нескольких независимых ФСБ-аккредитованных испытательных центров, которые западные компании могут нанять, чтобы получить разрешение ФСБ на импорт продукции.
Генеральный директор Echelon, Алексей Марков, сообщил, что его инженеры работают с исходным кодом в специальных лабораториях, контролируемых компаниями, где данные программы не могут быть изменены или перенесены.
Марков сказал, что Echelon является частной и независимой организацией, но имеет деловые отношения с российскими военными и правоохранительными органами. Сайт Echelon в 2013 году был награжден Министерством обороны России за "защиту государственной тайны". Маркова иногда называют "руководителем центра аттестации при Министерстве обороны".
В электронном послании Марков отметил, что Echelon предназначен только для того, чтобы выступать в качестве сертифицированного тестировщика военных технологий. "Медали носят общий характер и незначительны", - сказал он.
Но для Symantec, лаборатория "не соответствует требованиям" независимости, сообщила пресс-секретарь Кристен Батч.
“В случае с Россией, мы решили защищать нашу клиентскую базу, а не развертывать свою продукцию безопасности, преследуя цель увеличения доли рынка в России”, - сказала Батч, которая добавила, что в компании не верят в то, что Россия уже пыталась взломать их продукцию.
В 2016 году в компании решили, что они больше не будут использовать третьих лиц, в том числе Echelon, которые имеют отношение к иностранному государству или получают большую часть своих доходов от правительства.
"Это представляет риск для целостности наших продуктов, который мы не готовы принять", - сказала она.
Без исходного кода компания Symantec больше не сможет получить разрешение на продажу некоторых своих бизнес-ориентированных продуктов безопасности в России. "Как результат – у нас минимальное присутствие на данном рынке", - сказала она.
Марков отказался комментировать решение компании Symantec, сославшись на соглашение о неразглашении.
Доверенные лаборатории
За прошедший год компания HP использовала Echelon, позволив, ФСТЭК просматривать исходный код. Представитель компании IBM подтвердил, что компания позволяет России пересмотреть исходный код безопасности в условиях "строгой процедуры".
Сертификация ФСТЭК показывает, что Информационный центр по вопросам безопасности, независимая компания тестирования, базирующаяся за пределами Москвы, рассмотрела исходный код IBM по поручению агентства. Компания была основана более 20 лет назад под эгидой Института при Министерстве обороны России, сообщается на сайте компании. Компания не ответила на просьбы о комментариях.
В заявлении McAfee утверждают, что в России тесты проводились в "сертифицированной испытательной лаборатории", в принадлежащих компании помещениях, в Соединенных Штатах.
Решение SAP позволяет России анализировать и проверять исходный код в защищенной базе SAP в Германии, по словам человека. В заявлении компании SAP сказали, что процесс обзора обеспечивает российским клиентам уверенность, что “инвестиции в программное обеспечение являются гарантией безопасности и надежности”.
Компания Cisco недавно позволила России пересмотреть исходный код, в соответствии с информацией человека, знакомого с вопросом. Пресс-секретарь компании Cisco отказался комментировать взаимодействие компании с российскими властями, но сказал, что фирма иногда позволяет регуляторам рассматривать мелкие детали своего кода в "доверенных" независимых лабораториях, что не ставит под угрозу безопасность продукции. Перед тем, как разрешить тестирование, Cisco убеждаются, что они не раскрывают уязвимости, которые могут быть использованы для взлома продуктов.
Рубрика: Статьи / Власть и бизнес
Просмотров: 3356 Метки: Cisco , IBM
Оставьте комментарий!