Джоул Шэктман, Дастин Вольц, Джек Стаббс
ВАШИНГТОН/МОСКВА (Рейтер) - Компания Hewlett Packard Enterprise позволила российскому оборонному ведомству изучить функционирование программы киберзащиты, используемой Пентагоном, следует из записей российских регулирующих органов и интервью источников, напрямую знакомых с делом.
Система HPE под названием ArcSight служит мозговым центром кибербезопасности для большинства подразделений американских ВС. Она предупреждает аналитиков о возможных атаках на компьютерные системы. ArcSight также широко используется в частном секторе.
Изучение российской стороной исходного кода ArcSight - строго охраняемых внутренних команд ПО - понадобилось HPE, чтобы сертифицировать продукцию для дальнейшей её продажи российскому государственному сектору, следует из записей регулирующих органов, с которыми ознакомился Рейтер и которые подтвердила пресс-секретарь компании.
Шесть бывших сотрудников американских спецслужб, а также бывшие сотрудники ArcSight и независимые эксперты сказали, что получив доступ к исходному коду, Москва могла обнаружить уязвимости в ПО, которые помогли бы хакерам скрыть от американских ВС кибератаку.
"Это огромная уязвимость в области безопасности,- сказал Грег Мартин, бывший разработчик системы безопасности ArcSight. - Вы совершенно точно предоставляете внутренний доступ и потенциальный инструмент для вторжения противника."
Несмотря на возможные риски для Пентагона, ни одному из собеседников Рейтер не было известно о взломах и фактах кибершпионажа, которые стали бы возможны при знании кода.
Москва получила доступ к программе ArcSight в прошлом году, как раз в то время, когда США обвиняли Россию в наращивании кибератак против американских компаний, политиков и правительственных организаций, в том числе и Пентагона. Россия неоднократно отрицала все предположения.
Эта информация свидетельствует о растущем давлении на американские технологические компании, которым следует оценить свою роль в структуре кибербезопасности США, продолжая при этом вести бизнес с противниками Вашингтона, такими как Россия и Китай, говорят эксперты.
"СКРЫТЫЕ УЯЗВИМОСТИ"
Анализ производила компания Эшелон, тесно связанная с российской военной отраслью, по запросу российской Федеральной службы по техническому и экспортному контролю (ФСТЭК), оборонного ведомства, занимающегося борьбой с кибершпионажем.
Президент и владелец контрольного пакета акций компании Алексей Марков написал в электронном сообщении Рейтер, что он обязан сообщать российским властям о наличии уязвимостей, которые обнаружила его команда.
Однако он сказал, что перед этим сообщает о проблеме разработчику программного обеспечения и получает его разрешение на передачу данных об уязвимости. Эшелон не предоставила деталей об анализе исходного кода HPE, сославшись на заключенный с компанией договор о неразглашении.
ФСТЭК подтвердила слова Маркова, сообщив в заявлении, что сотрудники российских лабораторий сразу же уведомляют зарубежных разработчиков о наличии уязвимостей и только после этого направляют отчет в правительственный "банк данных угроз безопасности информации".
Одной из причин, по которой Россия требует результаты анализа перед тем, как разрешить продажу продуктов госструктурам и госкомпаниям, является необходимость убедиться, что американские спецслужбы не оснастили софт инструментами для шпионажа.
HPE сообщила, что в ходе анализа таких инструментов обнаружено не было. Компания отказалась от детальных комментариев.
HPE также сообщила, что позволила аккредитованным российским правительством компаниям, занимающимся тестированием, изучить исходный код, чтобы получить сертификаты российского Минобороны, необходимые для продажи продукции госсектору РФ.
Представитель HPE сказала, что анализ исходного кода проводит лаборатория, работающая под наблюдением компании, в центре исследований и разработок HPE, который находится не в России. Код не должен попасть за пределы центра, и HPE позволяет России проводить подобные анализы на протяжении длительного времени, сказала она.
Эти меры позволяют убедиться, что "наш исходный код и продукция не подвержены никакому риску", - сказала она.
Аналитики в сфере безопасности сказали, что изучение исходного кода, даже позволяющее получить сведения об уязвимостях, не откроет хакерам легкий доступ к системам военных. Вероятно, им потребуется вначале проникнуть во внешнюю защиту сети, чтобы взломать ArcSight, сказал основатель института SANS Аллан Поллер, который обучает аналитиков в области кибербезопасности.
По его словам, решение HPE разрешить России проанализировать исходный код, не стало сюрпризом. Если технологические компании вроде HPE хотят работать в России, "в действительности у них нет выбора", сказал он.
HPE отказалась назвать размер своего бизнеса в России, но данные российских правительственных тендеров показали, что ArcSight используют многие госучреждения и компании, близкие к Кремлю, включая банк ВТБ (MCX:VTBR) и медиагруппу "Россия Сегодня".
Неважно, находится ли клиент в России или в США, так как неучтенные ошибки в программном коде могут позволить зарубежным правительствам и хакерам получить доступ к пользовательскому компьютеру.
Некоторые специалисты в области безопасности говорят, что изучение исходного кода продукта значительно облегчает процесс выявления уязвимостей, даже если те, кто его анализируют, не покидали помещение с копией кода.
В исследовании от 2014 года руководство Эшелона сообщило, что компания обнаружила уязвимости в 50 процентах проанализированного зарубежного и российского программного обеспечения.
Использование найденных в исходном коде уязвимостей может лишить ArcSight способности обнаружить, что используемая военными компьютерная сеть подвергается атаке, сказал Аллен Помрой, бывший сотрудник ArcSight, помогавший клиентам создавать собственную систему кибербезопасности.
"Ответить на атаку в таком случае будет просто невозможно", - сказал он.
Представитель HPE сказала, что вопросы Рейтер о возможных уязвимостях "носят гипотетический и спекулятивный характер".
HPE отказалась сказать, передавала ли она сведения о российском анализе Пентагону, но сообщила, что "всегда информирует наших клиентов об изменениях, которые могут их затронуть".
Представитель Управления безопасности информационных систем Пентагона (DISA), которое управляет используемыми военными компьютерными сетями, сказала, что HPE не сообщала ведомству об анализе. Военные контракты не всегда обязывают поставщиков сообщать о том, что зарубежные государства ознакомились с исходным кодом, сказала она.
Само ведомство не требовало анализировать исходный код перед покупкой ArcSight и обычно не вынуждает технологические компании делать это, если речь идет о готовом софте, таком как ArcSight, сказала представитель Пентагона. Вместо этого DISA оценивает используемые поставщиками стандарты обеспечения безопасности, сказала она.
"ВСЕ РАДУЮТСЯ"
Эшелон выполняет функции официальной лаборатории и тестировщика программного обеспечения для ФСТЭК и Федеральной службы безопасности России, свидетельствуют данные российского государственного реестра органов по сертификации и испытательных лабораторий, с которыми ознакомился Рейтер. Американская разведка обвиняет ФСБ в содействии проведению кибератак против США и вмешательстве в президентские выборы 2016 года.
Марков, президент Эшелона, высказался в защиту подобных анализов, отметив, что "в случае выявления уязвимости все радуются", потому что обнаружение изъянов означает, что эксперты лаборатории "продемонстрировали свою квалификацию", а "разработчики искренне радуются, что обнаружена ошибка (уязвимость), ведь, ее исправят, и значит, продукт станет лучше".
В последние годы Россия ужесточила требования к проведению анализов исходного кода, сделав это условием для осуществления деятельности в стране, сообщал Рейтер в июне.
Ряд международных компаний, включая крупнейшего в мире производителя сетевого оборудования Cisco Systems Inc (NASDAQ:CSCO) и немецкого гиганта в области разработки программного обеспечения SAP, согласились на проведение анализов. В то же время некоторые другие, включая компанию Symantec, специализирующуюся на кибербезопасности, от этого отказались из соображений безопасности.
ОСНОВА ЗАЩИТЫ
Данные о госзакупках США показали, что американские военные, включая сухопутные войска, ВВС и военно-морские силы, используют ArcSight в качестве одного из основных инструментов мониторинга киберугроз. К примеру, ArcSight используется в SIPRNet Пентагона - системе взаимосвязанных компьютерных сетей, используемых для передачи секретной информации, показали данные о закупках военного ведомства.
Представитель Пентагона отказалась комментировать риски для сети военного ведомства, которые создают конкретные продукты, однако сказала, что все ПО, используемое DISA, "тщательно проверяется на предмет наличия рисков для безопасности" и постоянно контролируется после установки.
ArcSight, которая была основана в 2000 году в качестве независимой компании, стала первопроходцем, дав крупным организациям возможность в реальном времени получать уведомления о потенциальных кибератаках.
Это ПО собирает информацию о событиях с серверов, брандмауэров и отдельных компьютеров сети - до сотен тысяч в секунду. Затем система ищет подозрительные модели поведения, например, многочисленные неудачные попытки войти в систему в течение нескольких секунд, и уведомляет аналитиков.
За десять лет ArcSight стала "ключевым" инструментом защиты компьютерных сетей, на который аналитики Пентагона "опираются для защиты сетей министерства обороны", сообщило DISA в заявке на закупку ArcSight в 2011 году.
Сегодня ArcSight практически незаменима во многих структурах армии США, свидетельствуют документы Пентагона.
"Программное и аппаратное обеспечение HP ArcSight настолько укоренилось", написало в апреле управление материально-технического обеспечения Пентагона, что американские военные даже не могут рассматривать других конкурентов, "если только не произойдет перестройка инфраструктуры IT".
HPE в 2016 году договорилась о продаже ArcSight и других продуктов для обеспечения информационной безопасности британской технологической компании Micro Focus. Сделка завершилась в сентябре.
Джейсон Шмитт, который сейчас возглавляет подразделение ArcSight, сказал, что на этот продукт приходится чуть меньше половины $800-миллионной годовой выручки, которую Micro Focus рассчитывает получить от бизнеса ПО для обеспечения безопасности, купленного у HPE.
Шмитт сказал, что не может комментировать какие-либо анализы программного кода, проведенные до 2017 года, поскольку он занял пост лишь в этом году, однако подчеркнул, что такие оценки на данный момент не осуществляются. Micro Focus не ответила на просьбы о комментариях относительно того, разрешит ли она России проводить аналогичные анализы программного кода в будущем и знало ли руководство Micro Focus о существовании подобной практики до приобретения ArcSight.
(Перевели Мария Жук, Ксения Орлова, Вера Сосенкова и Марина Боброва) 2017-10-02T123719Z_1_LYNXNPED910ZW-ORUTP_RTROPTP_1_ORUTP-SPECIAL-REPORT-HPENTERPRISE.JPG