Beláthatatlan hatású folyamatot indított el Kína, majd Oroszország azzal, hogy saját biztonságára hivatkozva csak olyan szoftvereket enged be állami intézményeibe és nemzetbiztonsági szempontból kiemelten kezelt szervezeteibe, melyeknek a forráskódjába belenézhet. Ennek veszélyét az amerikai törvényhozók is kezdik belátni, különösen olyan szoftverek esetében, melyeket az amerikai kormányzati és védelmi szervek is használnak.

Már megvan rá a törvény tervezete

A szenátus fegyveres szolgálatokért felelős bizottsága már elfogadott egy olyan törvénytervezetet, amely egyelőre csak a nyilvánosság erejével védené az amerikai védelmi érdekeket. A tervezet szerint azoknak a technológiai cégeknek, melyek az amerikai hadseregnek is szállítanak, nyilvánosságra kellene hozniuk, ha egy Amerikával szemben álló ország – elsősorban Kína és Oroszország – hatóságának lehetővé tették a szoftvereik forráskódjának vizsgálatát.

Az egyelőre nem nyilvános tervezet a Reuters szerint azt is tartalmazza, hogy az ilyen vizsgálat nem jelenti az adott szoftver azonnali kitiltását a védelmi szervektől. Csupán arra kötelezné a céget, hogy haladéktalanul kezdjen egyeztetéseket az érintett szervekkel arról, hogyan lehet a forráskódvizsgálatból eredő kockázatokat minimalizálni. Szükség esetén azonban elrendelhetnék a szoftver használatának korlátozást is.

A javaslat elfogadására egyébként elég nagy az esély annak ellenére, hogy a fő képviselője a New Hampshire-i demokrata szenátor, Jean Shaheen. Shaheen azonban már tavaly is sikerrel járt: akkor többek között az ő harcos hozzáállásának köszönhetően tiltották ki a Kaspersky Lab termékeit a kormányzati szervektől.

Nem csak backdoort lehet keresni

A biztosság indoklása egyszerű – és nincs is benne semmi új: a forráskód alapos vizsgálatával nem csak a backdoorok jelenlétét lehet kizárni. Olyan sérülékenységekre, kódolási hibákra is rá lehet bukkanni, melyek kihasználásával kémfegyverré változtatható az adott szoftver.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

A Symantec vezérigazgatója, Greg Clark már a múlt évben elég határozott véleményt mondott ezekről a vizsgálatokról, igaz, elsősorban a biztonsági szoftverek kapcsán: nonszensz, hogy kormányok belenézhetnek például a víruskereső szoftver forráskódjába. A probléma az idén lépte át a törvényhozók ingerküszöbét, amikor már Amerika lépéshátrányban volt. A vizsgálatok egy része ugyanis már Oroszországban is rég lefutott.

A Reuters még januárban készített egy érzékletes ábrát négy olyan szoftverről, melyet az orosz hatóságok ellenőriztek. Az ábrán látható, hogy a négy szoftver milyen mélyen része az amerikai kormányzati rendszereknek. A gyártók egyöntetűen azt nyilatkozták, hogy az forráskód ellenőrzését a felügyeletükkel végezték el általuk ellenőrzött létesítményben, ahol sem kód ellopására, sem módosítására nem volt mód.

Orosz hatóságok által ellenőrzött szoftverek az amerikai kormányzati rendszerekben

Forrás: Reuters

Máshol is vannak kockázatok

Miközben az amerikai cégek a kínai és orosz piac eléréséért kockára teszik szoftvereik biztonságát, máshonnan is fenyegeti az amerikai védelmi pozíciókat. A DefenseNews szerint CFIUS-nek (Committee on Foreign Investment in the United States), amelynek egyébként többek között az a feladata, hogy felügyelje a gazdasági tranzakciók (befektetések, cégeladások stb.) nemzetbiztonsági hatásait, nem rendelkezik sem a szükséges jogosítványokkal, sem a megfelelő erőforrásokkal.

A lap szerint jól példázza ezt, hogy a közelmúltban, amikor egy kínai konzorcium megszerezte az USA egyetlen működő ritkaföldfém-bányáját üzemeltető vállalatot, a CFIUS gond nélkül jóváhagyta az ügyletet. Pedig a ritkaföldfémek stratégiailag is nagyon fontosak: nemcsak informatikában, hanem a modern fegyverrendszerekben is nélkülözhetetlenek. Kína számára például hatalmas előny, hogy óriási ritkaföldfém-tartalékokkal rendelkezik.

A kongresszus tervbe vette azt is, hogy erősíti a CFIUS jogköreit, így a szervezet sokkal átfogóbban vizsgálhatja az egyes tranzakciók nemzetbiztonsági hatásait.