Почему американскому правительству не следует запрещать программное обеспечение Касперского
Ранее этим летом Комитет палаты представителей по науке отправил письма в 22 правительственных агентства, запросив информацию об использовании ими защитного программного обеспечения лаборатории Касперского. В то время как федеральное правительство продолжает расследовать заявления о связях между администрацией Трампа и Россией, чиновники в Вашингтоне выразили обеспокоенность в связи с тем, что использование в правительстве программного обеспечения, произведенного лабораториями Касперского — широко известного производителя защитного ПО из России — может скомпрометировать американскую разведку. Этот запрос является последним шагом в агрессивной кампании Конгресса, в ходе которой разбираются возможные последствия использования программного обеспечения Касперского в правительственных инфраструктурах.
Администрация общих служб (GSA) уже распорядилась об удалении платформ производства лабораторий Касперского из своих списков проверенных поставщиков. В то же время Сенат готовит на 2018 год законопроект об Ассигнованиях на национальную оборону (известный как NDAA, в нем определяется объем и назначение трат на 2018 финансовый год из бюджета министерства обороны США). В этом проекте в военной сфере использование продукции Касперского будет запрещено. В то время как Конгресс, несомненно, несет ответственность за поддержание безопасности правительственных систем, такой полный запрет дополнит набирающую обороты протекционистскую тенденцию в контрактах на поставки технологий для правительства, а также будет угрожать инновациям.
Данное решение в сфере технического снабжения имеет последствия далеко за пределами потерянных контрактов. Предложение об удалении продукции Касперского из правительственных систем может иметь отрицательное воздействие на правительственных подрядчиков и потребителей. Пока Администрация общих служб оценивает деятельность подрядчиков и поставщиков в системе снабжения правительства, использование продукции Касперского может оказаться карательным, если не дисквалифицирующим фактором для компаний во время рассмотрения предложений. Комитет палаты представителей по науке в своих письмах требует имена любых подрядчиков и субподрядчиков, использующих продукцию Касперского.
В то время как закон об ассигнованиях касается только программного обеспечения, технологии Касперского также интегрированы в техническое оборудование и ПО таких компаний, как Juniper и Microsoft. Остается пока неясно, коснется ли прописанный в законопроекте запрет использования продукции, в которую инкорпорированы технологии Касперского. Если да, то другие технологические компании также могут отказаться от партнерских отношений с Касперским, что нанесет сокрушительный удар по его бизнесу в США.
Однако пока не было представлено никаких наглядных доказательств, что российские власти оказывают на Касперского воздействие, а также что по указанию российских спецслужб компания установила «бэкдор», программы скрытого удаленного администрирования. Самые важные, верифицируемые связи лаборатории Касперского с российскими разведывательными службами — это учеба генерального директора Евгения Касперского в Институте криптографии, связи и информатики Академии ФСБ России и его срочная служба в советской военной разведке более 20 лет назад.
Однако не будет бредом считать, что Лаборатории Касперского имеют определенные связи с российскими спецслужбами. Компания принимает на работу бывших офицеров разведки, а российский бизнес-климат, основанный на наличии связей, подсказывает, что вряд ли Лаборатория Касперского смогла бы преуспеть, не имея связей с высокопоставленными правительственными чиновниками.
Однако подобное обвинение можно предъявить многим технологическим компаниям, особенно тем, которые занимаются кибербезопасностью. По мере развития цифровой экономики международные разведывательные агентства и технологические компании образовали своеобразный разведывательно-промышленный комплекс. Покинув американские разведслужбы, многие бывшие офицеры и шифровальщики устраиваются на работу в крупные технологические компании, которые нанимают их за навыки, полученные во время службы, и особенно за их тесные личные связи с правительственными чиновниками.
Европейские власти ничем не отличаются в этой сфере: французские спецслужбы DGSE поддерживают неформальные отношения по обмену информацией с французскими технологическими компаниями, а французские компании часто получают от спецслужб информацию об экономическом шпионаже. В Израиле служба разведки Подразделение 8200 известна как фактический технологический инкубатор, ее выпускники, покидая службу, зачастую устраиваются в технические стартапы, получающие мгновенное финансирование, чаще всего они сосредоточены на сфере кибербезопасности.
Наблюдая связи спецслужб с иностранными технологическими фирмами и их интересы, другие страны решили отдавать предпочтение своим местным компаниям. С 2014 года российский президент Владимир Путин поддерживал развитие технологической самостоятельности страны от западных компаний. Кремль сейчас поддерживает программу по отказу правительственных служб и государственных компаний от иностранного ПО. В то же время Администрация киберпространства Китая недавно выпустила последнюю версию своих мер для проведения анализа кибербезопасности сетевых продуктов и услуг, используемых в ключевых секторах. Члены Всемирной торговой организации уже обеспокоены, что зыбкие формулировки могут послужить причиной дискриминации иностранных компаний и технологий.
Эта обеспокоенность протекционизмом вполне обоснована. Конгресс должен рассмотреть последствия полного запрета для рынка: как и любой другой протекционистский барьер, такого рода ограничение способно снизить внутреннюю конкуренцию, уменьшить доступность недорогих товаров и услуг и спровоцировать ответные меры со стороны других государств в отношении американских компаний.
Наибольшее беспокойство вызывает то, что подобные меры могут ограничить доступ потребителя к инновациям. Касперский является лидером индустрии в сфере передовых защитных технологий и развития систем противостояния киберугрозам. Исследователи в сфере безопасности часто полагаются на предоставляемый компанией высококачественный анализ групп, представляющих киберугрозу, особенно российских. Сегодня проблема состоит только в одной компании, но множество технологических компаний имеют связи со спецслужбами и правительствами. Если этот запрет будет расширяться, легко предвидеть, что он будет использоваться против китайских, французских и израильских компаний. Если появится такой запрет, правительства тех стран, где базируются эти компании, непременно поделятся своими страданиями с американскими техническими компаниями, введя ответные дискриминирующие меры в отношении американской продукции.
Если обеспокоенность американского правительства связана не только со связями со спецслужбами, если оно действительно считает, что некоторые технологические продукты способствуют уязвимости иностранных правительств, то чиновникам следует работать с компаниями, чтобы они обеспечивали возможность прозрачного процесса рассмотрения подобных проблем. Касперский сообщил о своей готовности предоставить продукцию компании на рассмотрение.
В 2010 году, чтобы продемонстрировать британскому агентству безопасности GCHQ, что китайское правительство не распоряжалось об установлении программ скрытого удаленного администрирования в своем телекоммуникационном оборудовании, китайская компания Huawei построила Центр оценки кибербезопасности Huawei, обеспечивающий аудит безопасности и проверки продукции Huawei. Если организация изначально сталкивалась с критикой относительно объективности, то последующие практические изменения способствовали созданию аудиторской организации, которая на данный момент отвечает на все вопросы правительства, связанные с возможной уязвимостью продукции китайской телекоммуникационной компании. Вместо того чтобы накладывать тотальный запрет на продукцию, американское правительство должно стремиться к достижению подобного компромисса с вызывающими подозрение компаниями. Такое решение может ослабить опасения правительства и защитить американские открытые технологические рынки.
Наконец, если США хотят уничтожить угрозу существования уязвимостей, созданных по заказу правительства в иностранной технологической продукции, они должны заключить соглашение на дипломатическом уровне. Компания Microsoft недавно вынесла предложение о создании цифровой женевской конвенции, призвав все правительства остановить любые агрессивные действия против гражданских сетей и инфраструктуры. Пока до заключения подобного соглашения еще далеко, промежуточным шагом в данном направлении мог бы стать отказ правительств от указаний о создании уязвимостей и программ скрытого удаленного администрирования в производимом в их странах ПО и технике. Соглашение против установки программ скрытого удаленного администрирования стало бы облегчением для американского, китайского и российского правительств и позволило бы технологическим компаниям вновь участвовать в по-настоящему свободной торговле.
Сетевое издание «Cod36.ru» Учредитель: Майоров Роман Евгеньевич. Главный редактор: Сыроежкина Анна Николаевна. Адрес: 430004, Республика Мордовия, город Саранск, ул. Кирова, д.63 Тел.: +7 929 747 33 89. Эл. почта: newscod@yandex.ru Знак информационной продукции: 18+