Az orosz hatóságok is elővették a kínai receptet: a külföldi szállítókat arra kötelezik, hogy adjanak hozzáférést a biztonsági termékeik forrásához, hogy abban felderíthessék az esetleges backdoorokat. Elsősorban a biztonsági (tűzfal, vírusvédelem stb.) és a titkosítást tartalmazó szoftvereket akarják megvizsgálni, mielőtt az orosz piacon történő értékesítést engedélyeznék – írja a Reuters.

Az amerikai biztonsági szakértők viszont arra hívják fel a figyelmet, hogy a forráskód ellenőrzése során nemcsak a backdoor-mentességről bizonyosodhatnak meg, hanem olyan biztonsági réseket is felfedezhetnek, amivel később visszaélhetnek. (Erről valószínűleg sokaknak eszébe jut a WannaCry, ami egy olyan Windows-hibát használ ki, amit az NSA fedezett fel, és próbált saját céljaira felhasználni ahelyett, hogy azonnal értesítette volna arról a Microsoftot.)

A Symantec le is állt az együttműködéssel, nyilatkozta a cég a Reutersnek, mert kétségek merültek fel az ellenőrzést végző labor függetlenségével kapcsolatban. A Symantec szerint a labor túl szorosan kötődhet az orosz kormányhoz. Érdekes ugyanakkor, hogy míg a kínai törvény ellen hangosan tiltakoztak a cégek – majd a cégek szépen megállapodtak a kínai hatóságokkal –, az orosz intézkedés nem váltott ki ilyen heves reakciót.

Nagy a kockázat

Az amerikai hatóságok figyelmeztették az érintett cégeket annak kockázatára, hogy ez a gyakorlat alkalmas lehet arra is, hogy az oroszok kibertámadásokat intézzenek amerikai célpontok ellen. Ugyanakkor a egy illetékes azt nyilatkozta, hogy nem tudják megakadályozni a cégeket az ilyen alkuk megkötésében, csak akkor, ha az ellenőrzés olyan termékre vagy technológiákra vonatkozik, amit például amerikai katonai rendszerekben is használnak, vagy sértik az Oroszország elleni szankciókat.

A cégek viszont arra hivatkoznak, hogy kénytelenek engedni az orosz hatóságoknak, mert ellenkező esetben kizárják magukat az orosz piacról, ami érzékenyen érintené az üzleti érdekeiket, hiszen az orosz piac meglehetősen nagy. A forráskód ellenőrzését azonban csak olyan biztonságos laborokban engedélyezik, amelyek garantálják, hogy a forráskódot nem másolják le és nem is módosítják.

Minden mögött az FSZB áll

A legnagyobb probléma persze az, hogy az ellenőrzések előírója az oroszok belbiztonsági és kémelhárítási feladatokat ellátó Szövetségi Biztonsági Szolgálata, az FSZB. Épp az a szervezet, amely feltételezések szerint a legutóbbi elnökválasztási kampány során a Hillary Clinton csapata elleni számítógépes támadások mögött is állt. (Az FSZB-nek tulajdonítják azt a 2014-es a támadást is, melynek során félmilliárd felhasználó adatát lopták el a Yahoo-tól – az FSZB természetesen ezt tagadta.) A Reuters például megkereste kérdéseivel az orosz kormány illetékeseit, akik rendre az FSZB-hez irányították a hírügynökséget. A Szolgálta viszont nem válaszolt semmilyen kérdésre.

Az orosz hatóságok az elmúlt években nagyon felpörgették az ellenőrzést. A Reuters megnézte az orosz Szövetségi Műszaki és Export-ellenőrzési Iroda (angol rövidítése: FSTEC) adatait. A szervezet 1996 és 2013 között mindössze 13 technológiai termék forrákódját ellenőrizte. 2014-től viszont már 28 minősítést adott ki. Az iroda ezzel kapcsolatban annyit mondott a hírügynökségnek, hogy tevékenysége összhangban van a nemzetközi gyakorlattal.

Információk szerint többek között az IBM, a Cisco, a HPE, a McAfee és az SAP is lehetővé tette, hogy az oroszok ellenőrizzék a forráskódjukat.

Már vannak tapasztalatok is

Bár abban minden szakértő egyetértett, hogy mivel a nyugati államok – különösen az Egyesült Államok – és az oroszok közötti viszony a Krím annektálása után nagyon megromlott, nagyon kockázatos engedni az orosz ellenőrzési kéréseknek. Ugyanakkor a Reutersnek nyilatkozók közül senki sem tudott olyan példát mondani, amikor az ellenőrzés és egy esetleges oroszokhoz köthető hackertámadás között kapcsolatot lehetett volna kimutatni.

Az ellenőrzéseket többek között a moszkvai központú Echelon végzi. A cég rendelkezik a FSTEC hitelesítésével, hogy ilyen jellegű ellenőrzéseket végezhet. Alekszej Markov vezérigazgató azt nyilatkozta, hogy a forráskód ellenőrzését olyan speciális laboratóriumokban végzik az érintett cégek felügyeletével, ahol nincs lehetőség a forráskód ellopására vagy módosítására.

A Symantec szerint azonban a cég egyáltalán nem megbízható, mert átláthatatlan, hogyan kapcsolódik a kormányhoz. Az amerikai biztonsági cég véleményét erősíti az is, hogy a Echelon a honlapján vezérigazgatóját néhol az orosz védelmi minisztérium tanúsító központja vezetőjének nevezi. A cég 2013-ban díjat is kapott az államtitkok védelméért a minisztériumtól, bár arról Markov azt állította, hogy teljesen általános díj, és semmi jelentősége.

Kristen Batch, a Symantec szóvivője azt mondta, 2016-ban úgy döntöttek, nem veszélyeztetik termékeik integritását csak azért, hogy növelhessék az orosz piacon a részesedésüket.

Mekkora piacért hajoltak le?

Az IDC a teljes orosz IT-piacot idén 18,4 milliárd dollárra becsüli. Megközelítőleg hasonló a Fitch Group egyik kutató cége, a BMI Research becslése is. Utóbbi cég elemzése az orosz IT-piacnak 2021-ig meglehetősen nagy növekedést jósol. A hardverpiacon átlagosan évi 4,6 százalékos, a szoftverpiacon 8,2 százalékos, míg a szolgáltatásoknál 7,9 százalékos növekedést várnak. A BMI Research szerint a teljes piac idén 1100 milliárd rubel (kb. 18,7 milliárd dollár), 2021-re pedig meghaladhatja az 1424 milliárd rubelt (24,2 milliárd dollár).

A globális IT-kiadások idén 3400 milliárd dollár körül alakulnak, 2021-re pedig megközelíthetik a 3900 milliárdot. Ennek jelenleg 13-14 százalékát fedi le a kínai piac. Azaz az orosz piac esetében sokkal kisebb összegekért megy a közdelem.

A BMI Research elemzése abban lát kockázatot, hogy szerinte a szoftverpiacon csökken a külföldi termékek aránya, mivel a gazdasági nehézségek miatt nagyon drága az import. Ez azonban előnyös az orosz szoftvercégeknek, amelyek így jobb pozícióba kerülhetnek. Elsősorban felhőszolgáltatásokat érinti a szabályozói kockázat, és ez mérsékli is a növekedés dinamikáját. A felhőszolgáltatások elfogadottsága egyébként az orosz piacon egyelőre alacsony, de a kínálat gyorsan növekszik.