Zapadne tehnološke kompanije, uključujući Cisco, IBM, SAP, udovoljavaju zahtjevima Moskve za pristup zaštićenim tajnim podacima o proizvodu, u vrijeme kada Rusiju optužuju za sajber napade na mete na Zapadu, piše Rojters.
Ruske vlasti traže od zapadnih tehnoloških kompanija da im dozvole uvid u izvorni kod bezbjednosnih proizvoda poput antivirus programa i softvera koji sadrže šifre prije nego što odobre uvoz i prodaju proizvoda u državi. Zahtjevi, koji su, prema Rojtersovom istraživanju, povećani od 2014, navodno se upućuju kako bi se osiguralo da strane špijunske službe ne sakriju bilo kakve „backdoor“ programe koji bi im omogućili neovlašten pristup ruskim sistemima.
Međutim, takve inspekcije takođe Rusima pružaju mogućnost da pronađu slabosti izvornog koda proizvoda - instrukcije koje kontrolišu osnovne operacije kompjuterske opreme - kazali su sadašnji i bivši američki zvaničnici i bezbjednosni eksperti.
Dok nekoliko zapadnih firmi pristaje na to kako bi sačuvali pristup ogromnom ruskom tehnološkom tržištu, najmanje jedna firma, Symantec, je rekla Rojtersu da je prestala da omogućava provjeru izvornog koda iz bezbjednosnih razloga.
Symantec je saopštio da jedna od njegovih laboratorija koja provjerava proizvode kompanije nije bila dovoljno nezavisna od ruske vlade.
Američki zvaničnici kažu da su upozorili firme na rizike kojima su izloženi ako omogućavaju Rusima uvid u izvorni kod zbog straha da bi to moglo biti iskorišteno u sajber napadima. Međutim, kažu da nemaju pravno ovlašćenje da spriječe tu praksu osim ako ta tehnologija krši američke sankcije.
Kompanije kažu da su pod pritiskom da se povinuju zahtjevima ruskih regulatora ili rizikuju isključenje sa unosnog tržišta. Ističu da omogućavaju Rusima uvid u izvorni kod samo u sigurnim objektima koji sprečavaju kopiranje ili izmjenu koda.
Zahtjeve upućuje ruska Federalna služba bezbjdnosti (FSB), za koju američka vlada kaže da je učestvovala u sajber napadima na predsjedničku kampanju Hilari Klinton 2016. i hakovanje 500 miliona imejl naloga kompanije Yahoo 2014. FSB, koji je negirao navode o hakovanju, ima i ulogu regulatora zaduženog za odobravanje prodaje sofisticiranih tehnoloških proizvoda u Rusiji.
Uvide vrši i Federalna služba za tehničku i kontrolu izvoza (FSTEC), ruska agencija zadužena za borbu protiv sajber špijunaže i zaštitu državnih tajni. Podaci koje je objavio FSTEC, a u koje je Rojters imao uvid, pokazuju da je od 1996. do 2013. vršila uvide izvornog koda prilikom odobravanja 13 tehnoloških proizvoda zapadnih kompanija.
Rojters navodi da je portparol Kremlja za sva pitanja uputio na FSB. FSB nije odgovarao na zahtjeve za komentar, a FSTEC je saopštio da su njegovi uvidi bili u skladu sa međunarodnom praksom. Zahtjevi za uvid u izvorne kodove su povećani od kada su odnosi između Moskve i Vašingtona krenuli silaznom putanjom nakon aneksije Krima 2014, zaključuje se iz tvrdnji osam sadašnjih i bivših američkih zvaničnika, četiri čelnika kompanija, tri američka advokata i iz podataka u ruskim regulatornim dokumentima. Osim IBM, Cisco i njemačkog SAP, Hewlett Packard Enterprise Co i McAfee su takođe omogućili Rusiji uvid u izvorne kodove njihovih proizvoda, piše Rojters.
Do sada se malo toga znalo o procesu regulatornog pregleda izvan te industrije. Dokumenta FSTEC-a i razgovori sa onima koji su vršili provjeru pružaju rijetki uvid u natezanje između tehnoloških kompanija i vlade u eri sve veće uzbune zbog hakovanja, ističe Rojters.
Rozel Tomsen, koji pomaže američkim tehnološkim kompanijama da se snađu u ruskim zakonima o uvozu, kaže da firme moraju naći balans između otkrivanja izvornog koda ruskim bezbjednosnim službama i mogućeg gubitka prodaje.
Ako tehnološke firme odbiju zahtjev FSB za uvidom u izvorni kod, odobravanje njihovih proizvoda može biti neograničeno odlagano ili odmah odbijeno, kažu američki zvaničnici. Očekivana vrijednost ruskog tržišta informacione tehnologije je 18,4 milijarde dolara ove godine, prema podacima International Data Corporation (IDC), firme za istraživanje tržišta.
Šest sadašnjih i bivših američkih zvaničnika koji su sarađivali sa kompanijama po tom pitanju kazali su da su sumnjičavi povodom motiva Rusije.
„To je nešto što izaziva realnu zabrinutost“, rekao je bivši visoki zvaničnik ministarstva trgovine, direktno upućen u interakciju između američkih kompanija i ruskih zvaničnika.
„Morate se zapitati šta pokušavaju, a jasno je da nastoje da potraže informaciju koju mogu okrenuti u svoju korist, a to je očigledno stvarni problem.“
Međutim, nijedan od zvaničnika koji je razgovarao sa Rojtersom nije mogao ukazati na određene primjere hakovanja ili sajber špijunaže koje je omogućio proces uvida.
Zahtjevi za uvid u izvorni kod nisu svojstveni samo Rusiji, navodi Rojters. U SAD, tehnološke kompanije dozvoljavaju vladi da provjeri izvorni kod kada su u pitanju vojni ugovori i druge osjetljive aktivnosti vlade. I Kina ponekad traži uvid u izvorni kod kao uslov za uvoz komercijalnog softvera, kažu američki advokati.
Uvidi se često vrše u sigurnim objektima poznatim kao „čiste sobe“. Nekoliko ruskih kompanija koje obavljaju testiranje za zapadne tehnološke firme u ime ruskih regulatora su sada ili su bile povezane sa ruskom vojskom, prema podacima na njihovim internet stranicama.
Ešelon, kompanija za tehnološko testiranje sa sjedištem u Moskvi, je jedan od nekoliko centara za testiranje koje je FSB akreditovao i koje zapadne kompanije mogu angažovati da pomognu da dobiju odobrenje FSB za svoje proizvode.
Izvršni direktor Ešelona Aleksej Markov je rekao Rojtersu da njegovi inženjeri pregledaju izvorni kod u specijalnim laboratorijama, gdje nijedan softverski podatak ne može biti izmijenjen ili prebačen.
Markov je rekao da je Ešelon privatna i nezavisna kompanija koja poslovno sarađuje sa ruskim vojnim i policijskim vlastima.
Rojters navodi da se Ešelon na svom sajtu hvali medaljama koje mu je rusko ministarstvo odbrane 2013. dodijelilo za „zaštitu državnih tajni“. Na sajtu kompanije, Markov se ponekad oslovljava kao „šef atestnog centra ministarstva odbrane.“
On je britanskoj agenciji rekao da ta titula služi samo da naglasi ulogu Ešelona kao sertifikovanog spoljnog saradnika koji testira vojnu tehnologiju.
Ali, portparolka kompanije Symantec Kristen Bač je saopštila da ta laboratorija „nije ispunila naš standard“ za nezavisnošću.
„U slučaju Rusije, odlučili smo da je zaštita baze naših korisnika preko plasiranja naših bezbjednosnih proizvoda koji nisu kompromitovani važnija od širenja uloge na ruskom tržištu“, rekla je Bač, koja je dodala da ta kompanija ne vjeruje da je Rusija pokušala da hakuje njene proizvode.
Provjera izvornog koda u pouzdanim laboratorijama
Tokom protekle godine, HP je koristio Ešelon kako bi FSTEC-u omogućio uvid u izvorni kod, prema podacima te agencije. Kompanija je odbila da komenatriše.
Portparol IBM-a je potvrdio da ta kompanija omogućava Rusima uvid u izvorni kod u bezbjednim objektima koje kontroliše i „gdje se slijede stroge procedure“.
Sertifikaciona dokumenta FSTEC-a pokazuju da je Informacioni bezbjednosni centar, nezavisna kompanija koja sprovodi testiranje, sa sjedištem izvan Moskve, vršila uvid u izvorni kod IBM-a u ime te agencije. Kompanija je osnovana prije više od 20 godina, pod pokroviteljstvom jednog instituta unutar ruskog ministarstva odbrane, prema podacima sa njenog sajta.
McAfee je saopštio da Rusi vrše uvid u kod u „sertifikovanim laboratorijama za testiranje“ u prostorijama te kompanije u SAD.
SAP omogućava Rusima da vrše uvid i testiraju izvorni kod u bezbjednom objektu SAP u Njemačkoj, rekla je Rojtersu osoba upućena u taj proces. U saopštenju kompanije, SAP navodi da proces uvida omogućava ruskim klijentima „da su njihove investicije u SAP softver bezbjedne.“
Cisco je nedavno dozvolio Rusiji da obavi uvid u izvorni kod, prema jednoj upućenoj osobi.
Portparolka kompanije Cisco je odbila da komentariše interakcije sa ruskim vlastima, ali je kazala da ta firma ponekad omogućava regulatorima da provjere male djelove njenog koda u „pouzdanim“ nezavisnim laboratorijama i da uvid ne narušava bezbjednost njenih proizvoda.
Prije nego što odobri uvide, Cisco ispita kod kako bi se uvjerio da oni ne otkrivaju slabosti koje bi mogle biti iskorištene za hakovanje proizvoda, rekla je portparolka.
Bonus video: