13.11.2017 21:21 : Процедура сертификации якобы помогает хакерам в РФ взламывать зарубежное ПО, не соответствует действительности
Информация, распространяемая в западных СМИ о том, что процедура обязательной сертификации Россией зарубежных программных продуктов якобы позволяет российским хакерам взламывать их и использовать найденные уязвимости для киберопераций, не соответствует действительности. Проверка исходного кода продукта всегда проводится на защищенной территории фирмы-разработчика и не является обязательной. Об этом рассказал в эфире радиостанции «Эхо Москвы» президент группы компаний НПО «Эшелон» Алексей Марков.
«Осенью и летом был ряд публикаций в зарубежной прессе, в которых звучали обвинения, что якобы Россия участвует в кибероперациях против Запада и использует для этого такой легитимный инструмент как сертификация. Обвинителями была выстроена такая цепочка: что якобы Россия ужесточила требования к западным продуктам, на основании чего западные фирмы под давлением России открыли код, на основании чего якобы лаборатории выявили уязвимости, и их использовали российские хакеры, чтобы повлиять на выборы. Все эти пункты, которые предъявляла пресса, можно легко опровергнуть», — сказал он.
А.Марков подчеркнул, что сертификация — это независимая оценка соответствия, которая проводится разными государствами, а требования к проверке исходного кода при сертификации в РФ появились «задолго до того, как были испорчены отношения с Западом». «Сертификация может не включать открытие исходного кода, но тогда просто рынок для компании ограничен: они не могут использоваться на большинстве государственных объектов и объектов, где идет защита персональных данных, за исключением самого нижнего звена», — пояснил он, отметив, что такая ситуация возникла после принятия в РФ закона о защите персональных данных.
По словам эксперта, в настоящее время фирма-разработчик, согласившаяся на проверку кода, должна не передать код российской стороне, а лишь представить его для проверки уязвимостей на своей защищенной территории. «Фирма не открывает и не передает свой код. На защищенной территории разработчика — это физическое помещение, не виртуальное; мы должны поехать в какую-то комнату, может быть за рубеж — его могут открыть для проведения испытаний. То есть доступ к просмотру исходного кода существует, но его нельзя забрать, как и любую информацию, защищенную кодом», — сказал А.Марков, пояснив, что речь идет не о гостайне, а о коммерческом рынке конфиденциальной информации.
Он также добавил, что компания, проверяющая исходный код, работает в полном соответствии с требованиями службы безопасности фирмы-разработчика, «Служба безопасности может потребовать удалить что-то в отчете. А были случаи, когда нас повторно приглашают», — отметил А.Марков.
Эксперт заключил, что сертификация защищает российских граждан и информацию в госструктурах РФ.
20.52