SAP, Symantec и McAfee раскрыли российским властям исходный код своего ПО (Обновлено)

Крупные глобальные поставщики программного обеспечения, такие как SAP, Symantec и McAfee предоставили российским властям исходный код своих продуктов, выяснили корреспонденты информагентства Reuters в ходе журналистского расследования.

Данная практика потенциально ставит под угрозу безопасность компьютерных сетей в по меньшей мере десятке федеральных агентств, заявили законодатели США и эксперты по безопасности. Данная обеспокоенность мотивирована тем, что продукты указанных выше компаний используются для защиты важных ведомств правительства США, в том числе Пентагона, НАСА, Государственного департамента, ФБР и разведсообщества.

Для того чтобы продавать свое ПО на российском рынке, компании обязаны предоставлять российским властям исходный код некоторых своих продуктов. По словам представителей российского правительства, это необходимо для выявления уязвимостей, которые могут быть проэксплуатированы хакерами.

Ранее компания Hewlett Packard Enterprise (HPE) также предоставила российским властям для экспертизы исходный код своей платформы ArcSight взамен на право продавать продукт в РФ. Многие эксперты отметили неоднозначность данного решения, поскольку платформой активно пользуется Минобороны США.

По словам представителей поставщиков ПО, любые проверки исходного кода проводились под наблюдением производителя программного обеспечения в безопасных условиях, при которых код не мог быть удален или изменен. Данный процесс не ставит под угрозу безопасность продукта, добавили они. Однако из-за растущей обеспокоенности по данному вопросу Symantec и MacAfee прекратили данную практику.

«Позволять людям даже смотреть на исходный код в течение минуты - это невероятно опасно", - заявил исследователь безопасности Стив Квейн (Steve Quane) из компании Trend Micro добавив, что топовым специалистам достаточно просто взглянуть на код для выявления уязвимостей.

Официальный комментарий компании SAP:

"Некоторые клиенты SAP из государственного сектора проводят проверку безопасности продуктов на предмет уязвимостей в программном обеспечении, чтобы обеспечить защищенность своих данных и внутренней среды. Для этого SAP использует механизм Government Security Program (Программа Правительственной Безопасности), которая позволяет тестировать решения SAP согласно определенным государственным требованиям и отвечает нуждам национальных правоохранительных органов.

Данная программа анализа кода гарантирует безопасность исходного кода продуктов SAP с помощью мер по предотвращению расширенного доступа к данному коду. Для этого в SAP были созданы так называемые «чистые комнаты» (‘clean rooms’), где проходит проверка исходного кода SAP без каких-либо записывающих устройств (мобильных устройств, ручек, камер и т.д.), которые строго запрещены. Сотрудники SAP следят за целостностью проверки и процессом сертификации. Мы работаем со всеми правительствами и правительственными организациями по данной модели, без каких-либо исключений".