Крупные технологические компании SAP, Symantec и McAfee позволили российским властям выискивать уязвимости в ПО американского правительства.
Это установило расследование, проведенное агентством Reuters.
Эта практика создала потенциальную угрозу для безопасности компьютерных сетей по меньшей мере десятка федеральных ведомств, отмечают американские законодатели и эксперты по безопасности.
Как выяснилось, она охватывает больше компаний и правительственных ведомств, чем сообщалось ранее.
Чтобы обеспечить себе возможность работать на российском рынке, технологические компании позволяли российскому оборонному ведомству просматривать исходные коды некоторых своих продуктов. Российские власти настаивают, что это необходимо для выявления дефектов, которыми могут воспользоваться хакеры.
Однако те же продукты используются и некоторыми американскими ведомствами, связанными с повышенной секретностью – Пентагоном, Госдепартаментом, ФБР и разведслужбами, – для защиты от хакерских атак со стороны таких противников, как Россия.
Агентство Reuters в октябре сообщило, что программа Hewlett Packard Enterprise под названием ArcSight, применявшаяся для защиты компьютеров Пентагона, была изучена российским военным подрядчиком, тесно связанным с российскими службами безопасности.
Расследование Reuters, проведенное на базе сотен документов федеральных органов США и российской регуляторной документации, показывает, что потенциальные риски для американского правительства в связи с анализом исходных кодов в России оказались еще выше.
Как выяснилось, помимо Пентагона, ArcSight используют еще не менее семи ведомств, в том числе Офис директора национальной разведки и разведывательное подразделение Госдепартамента.
Кроме того, не менее восьми агентств используют продукты SAP, Symantec и McAfee, с кодами которых ознакомились российские власти. В некоторых ведомствах использовали более одного из четырех продуктов.
McAfee, SAP, Symantec и британская фирма Micro Focus, которой теперь принадлежит ArcSight, отмечают, что просмотр исходных кодов проводился под надзором производителя ПО на безопасных объектах, где код невозможно было удалить или изменить. Они настаивают, что этот процесс не компрометирует безопасность продукта.
На фоне нарастающего беспокойства по поводу этого процесса Symantec и McAfee решили прекратить эту практику, а Micro Focus собирается резко ограничить ее в конце следующего года.
Пентагон в письме сенатору-демократу Джоан Шаин написал, что экспертизы исходного кода могут помочь России и Китаю выявить уязвимости в этих продуктах.
Агентство Reuters не выявило случаев, когда исходный код сыграл какую-либо роль в кибератаках.