По российскому законодательству, западные компании обязаны подчиниться запросу ФСБ и предоставить для ознакомления исходный код своих проприетарных программ, прежде чем их допустят на российский рынок — власти хотят убедиться, что в программах нет встроенных бэкдоров. Этому требованию подчиняются все компании. Microsoft показывает исходный код Windows, а Cisco, IBM, SAP и другие компании делятся с Российской Федерацией исходным кодом своих файрводов, антивирусов, программ с криптографическими модулями. Но в последнее время у компаний такая практика вызывает озабоченность, потому что вместе с тем российские спецслужбы получают возможность найти уязвимости в проприетарных программах западных компаний, пишет Reuters. Эти уязвимости впоследствии могут быть использованы во время кибератак и для шпионажа.
Из опасений за безопасность своих продуктов одна компания — Symantec — прекратила сотрудничество с российскими аудиторами. То есть компания фактически уходит с российского рынка.
Американские чиновники говорят, что они предупреждали коммерческие компании о рисках, связанных с передачей исходных кодов российским органам. Но у правительства США нет полномочий, чтобы запретить подобную практику, если это не какие-то военные разработки, а чисто гражданский софт.
В свою очередь, сами компании говорят, что у них нет другого выбора. Если они не предоставят исходный код, их не пустят на рынок. Аудит происходит в безопасных условиях, в специально оборудованных помещениях, чтобы исключить утечку исходного кода.
Кроме Cisco, IBM и SAP, известно, что аудиту исходного кода подверглись продукты Hewlett Packard Enterprise Co и McAfee. В последние годы резко выросло количество запросов на аудит исходного кода продуктов Microsoft.
Вообще, Россия первой в мире получила исходный код Windows. Это произошло ещё в 2002 году. Microsoft согласилась показать исходники только на условии, что они будут считаться государственной тайной Российской Федерации. Сотрудничество продолжалось в последующие годы. Например, летом 2010 года Microsoft предоставила ФСБ исходные коды Windows 7, Windows Server 2008 R2, Office 2010, SQL Server 2008 R2 и Exchange Server 2010 «для повышения доверия к продукции Microsoft со стороны государственных органов».
Непосредственно экспертизу исходного кода производит в том числе Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Записи ФСТЭК гласят, что с 1996 по 2013 годы она провела экспертизу исходного кода 13 технологических продуктов западных компаний, а с 2014 по 2016 годы количество экспертиз резко увеличилось и составило 28. В комментарии для Reuters представители ФСТЭК сказали, что такой аудит исходного кода соответствует мировой практике, в ФСБ отказались от комментариев.
Аудитом исходного кода занимаются ещё несколько компаний, аккредитованных в ФСБ. Что характерно, все они имеют связи с военными структурами. Например, компания «Эшелон» имеет награды «за хранение государственных тайн» от Министерства обороны.
Офисное здание компании «Эшелон» в Москве
Несмотря на все опасения, опрошенные Reuters эксперты не смогли назвать ни одного конкретного случаях взлома, кибератаки или операции по кибершпионажу, которая была бы проведена благодаря тому, что российским спецслужбам стали доступны исходные коды того или иного проприетарного продукта. Пока эти опасения носят умозрительный характер.
В самом деле, аудит исходного кода проприетарных продуктов — не уникальная для России практика. Даже американское правительство в некоторых случаях требует предоставить исходный код закрытой программы, особенно если речь идёт об оборонном заказе или другом важном контракте. Китай тоже иногда требует предоставить исходники как условие на импорт коммерческого программного обеспечения.
В 2014 году Microsoft открыла Центр прозрачности в Редмонде, а позже такой же — в Брюсселе. Представители государственных органов могут посетить это место, посмотреть на исходный код операционной системы Windows и других программ — и убедиться, что в них отсутствуют бэкдоры и шпионские закладки.
Директор компании «Эшелон» Алексей Марков рассказал, что аудит кода осуществляется в своеобразных «чистых комнатах» — специальных лабораториях, из которых нельзя передать исходный код. Интересно, что не все процедуры по аудиту происходят в Москве. Например, исходный код продуктов компании SAP российские специалисты проводили в защищённой лаборатории SAP в Германии.
Но вот для компании Symantec этих условий оказалось недостаточно, если она не доверяет экспертизе.
«Это представляет риск цельности наших продуктов, который мы не желаем принимать», — заявила представитель компании Кристен Батч (Kristen Batch). После отказа показать исходники Symantec больше не сможет продавать в России корпоративные продукты, так что бизнес здесь будет сведён к минимуму.
Автор: alizar