Великі технологічні компанії SAP, Symantec і McAfee дозволили російським властям вишукувати уразливості в ПЗ американського уряду . Це встановило розслідування, проведене агентством Reuters. Повідомляє Голос Америки .
Ця практика створила потенційну загрозу для безпеки комп’ютерних мереж щонайменше десятка федеральних відомств, відмічають американські законодавці і експерти по безпеці.
Як з’ясувалося, вона охоплює більше компаній і урядових відомств, чим повідомлялося раніше.
Щоб забезпечити собі можливість працювати на російському ринку, технологічні компанії дозволяли російському оборонному відомству переглядати початкові коди деяких своїх продуктів. Російська влада наполягає, що це необхідно для виявлення дефектів, якими можуть скористатися хакери.
Проте ті ж продукти використовуються і деякими американськими відомствами, пов’язаними з підвищеною секретністю – Пентагоном, Держдепартаментом, ФБР і розвідслужби, – для захисту від хакерських атак з боку таких супротивників, як Росія.
Агентство Reuters в жовтні повідомило, що програма Hewlett Packard Enterprise під назвою ArcSight, що застосовувалася для захисту комп’ютерів Пентагону, була вивчена російським військовим підрядником, тісно пов’язаним з російськими службами безпеки.
Розслідування , проведене на базі сотень документів федеральних органів США і російської регуляторної документації, показує, що потенційні ризики для американського уряду у зв’язку з аналізом початкових кодів в Росії виявилися ще вищі.
Як з’ясувалося, окрім Пентагону, ArcSight використовують ще не менше семи відомств, у тому числі Офіс директора національної розвідки і розвідувальний підрозділ Держдепартаменту.
Крім того, не менше восьми агентств використовують продукти SAP, Symantec і McAfee, з кодами яких ознайомилася російська влада. У деяких відомствах використали більше за один з чотирьох продуктів.
McAfee, SAP, Symantec і британська фірма Micro Focus, якій тепер належить ArcSight, відмічають, що перегляд початкових кодів проводився під наглядом виробника ПО на безпечних об’єктах, де код неможливо було видалити або змінити. Вони наполягають, що цей процес не компрометує безпеку продукту.
На тлі наростаючого занепокоєння з приводу цього процесу Symantec і McAfee вирішили припинити цю практику, а Micro Focus збирається різко обмежити її у кінці наступного року.
Пентагон в листі сенаторові-демократові Джоан Шаин написав, що експертизи початкового коду можуть допомогти Росії і Китаю виявити уразливості в цих продуктах.
На даний момент, експерти агентства Reuters не виявили випадків, коли початковий код зіграв яку-небудь роль в кібератаках .
