Агентство Reuters опубликовало расследование из которого следует, что практика международных ИТ компаний предоставлять национальным властям которых стран доступ к части своего кода, чтобы доказать отсутствие "закладок" и других специально или случайно созданных уязвимостей, создает риск уже для американских военных и спецслужб, так как то же самое ПО используется на их компьютерах.
По данным Reuters, компании McAfee, SAP, Symantec и Micro Focus были вынуждены раскрыть часть своего кода российским спецслужбам, агентство получило эту информацию из открытой документации о госзакупках. Перечисленные компании никогда не скрывали, что получали сертификаты (в России их выдают в ФСБ, ФСТЭК) для продаж ПО компаниям, работающим с гостайной. К примеру, часть данных геологоразведки являются гостайной и чтобы попасть во многие нефтяные компанию вендорам ПО необходимо получать определенные сертификаты.
«Газпром», нефтянка и военное машиностроение потеряли право на свои американские ГИС
Reuters также цитирует письмо (.pdf копия) одного из чиновников Пентагона сенатору Джени Шахин, в котором американское военное ведомство выражает опасение, что Китай и Россия могут воспользоваться сертификацией ПО для поиска уязвимостей, которые могут быть потом использованы для атак на американские госструктуры.
Обновлено в 0:25 26 января. SAP рассказали, как проходит проверка при поставках правительствам и правительственным организациям:
«Некоторые клиенты SAP из государственного сектора проводят проверку безопасности продуктов на предмет уязвимостей в программном обеспечении, чтобы обеспечить защищенность своих данных и внутренней среды. Для этого SAP использует механизм Government Security Program (Программа Правительственной Безопасности), которая позволяет тестировать решения SAP согласно определенным государственным требованиям и отвечает нуждам национальных правоохранительных органов.
Данная программа анализа кода гарантирует безопасность исходного кода продуктов SAP с помощью мер по предотвращению расширенного доступа к данному коду. Для этого в SAP были созданы так называемые «чистые комнаты» (‘clean rooms’), где проходит проверка исходного кода SAP без каких-либо записывающих устройств (мобильных устройств, ручек, камер и т.д.), которые строго запрещены. Сотрудники SAP следят за целостностью проверки и процессом сертификации. Мы работаем со всеми правительствами и правительственными организациями по данной модели, без каких-либо исключений».
Добавить 1 комментарий
Да, пусть SAP эти байки детям рассказывает! Все знают, у каждого русского программиста видеокамера встроена в глаз, а запись ведется на специальное био-кибернетическое устройство прямо в мозгу. Про это даже документальный фильм был — Джони-Мнемоник.