A Symantec nem engedélyezi, hogy különböző kormányok belenézzenek termékei forráskódjába, mondta a biztonsági cég vezérigazgatója, Greg Clark a Reutersnek. A cég már akkor is határozottan ezt az álláspontot képviselte, amikor az orosz állam ehhez a feltételhez kötötte a külföldi biztonsági termékek forgalomba hozatalának engedélyezését Oroszorszgában. A témát két közelmúltbeli esemény ismét aktuálissá tette.

Az egyik a Kaspersky esete. Mint azt megírtuk, kiderült, hogy a titkosszolgálatok ki-be járkáltak a védelmi szoftvereiben.

A másik HPE ügye: október elején derült ki, hogy hozzájárult az ArcSight forráskódjának ellenőrzéséhez, hogy a szoftvert forgalmazhassa Oroszországban. Csakhogy a szoftver egyik legnagyobb felhasználója a Pentagon, amely az ArcSight segítségével monitoroz gyanús tevékenységeket a SIPRNeten ( Secret Internet Protocol Router Network). Ez a hálózat biztosítja többek között az amerikai kémek titkos kommunikációját. Ha tehát az oroszok az ArcSight-ban olyan sebeszhetőséget találnak, amellyel a SIPRNet támadható, az végzetes lehet az amerikai hírszerző hálózat számára. (Hogy a dolog még kínosabb legyen, állítólag a HPE a vizsgálatról nem tájékoztatta a Pentagont.)

Államilag táplált paranoia

Ahogy szaporodnak az egyes államok által koordinált, megrendelt, segített hackertámadások, úgy növekszik az államilag is erősített paranoia. Ebben a szemben álló felek között azért nincs olyan nagy különbség. A Huawei 2012-ben kiszorult az ausztrál távközlési tenderekből, majd egy évvel később a sorozatos vegzálások miatt önként kivonult az amerikai piacról. De Kína sem marad adós: 2014-ben kitiltotta a Windows 8-at a kormányzati rendszerekből, de lényegében ellehetetlenítette a Google és a Facebook működését is az országban.

Mostanában azonban a tiltás helyett más dívik. Mivel a kínai piacban hatalmas potenciál van, sok nagy gyártó, többek között az IBM és a Microsoft is belement abba, hogy a kínai kormány ellenőrzött körülmények között belenézhessen a külföldi fejlesztésű szoftverek forráskódjába. A tavaly életbe lépett kiberbiztonsági törvény egyébként még tovább szigorított.

Az orosz állam idén követte a kínai példát. A külföldi szállítókat arra kötelezik, hogy adjanak hozzáférést a biztonsági termékeik forrásához. Tűzfalak, vírusvédelmi alkalmazások stb. kódjában akarnak kutakodni, mielőtt engedélyeznék azok orosz piacon történő értékesítést. A Symantec már akkor bejelentette, hogy nem járul hozzá ilyen vizsgálatokhoz.

Üzleti döntést hoztak

A Symantec élére tavaly augusztusban kinevezett Greg Clark szerint volt már példa arra, hogy a vállalat lehetővé tette, hogy egy állam belenézzen a forráskódjába. De a vezérigazgató szerint összességében túlságosan nagy egy ilyen döntés kockázata. Mivel ezek a termékek alapvetően a védelmet szolgálják, nonszensz lenne, hogy kormányoknak engedélyezzék az ilyen hozzáférést. Mint Clark mondta, amikor egyre gyakrabban államok állnak a nagy hackerakciók mögött, ügyfeleik bizalmát veszíthetnék el, ha engednének az ilyen kéréseknek.

Már csak azért is elképzelhetetlennek tartja ezt, mert szoftvereiknek épp az a feladata, hogy védelmet biztosítson ügyfeleiknek. Ezt pedig így tudják a legjobb hatásfokkal nyújtani. A vezérigazgatónak egyébként meggyőződése, hogy cége nincs kényszerhelyzetben, hogy elveit feladja némi plusz üzletért cserébe.

Bár a Symantec részesedése az orosz piacon elenyésző, Clark a sokkal nagyobb kínai piaccal kapcsolatban sem megengedő. Állította, hogy a kínaiak nem is keresték meg ilyen kérelemmel a céget, de ha megkeresték volna sem mondhatna mást, mint nem. És ez igaz bármely külföldi kormányra, hangsúlyozta.

Biztonsági szakértők szerint ez az egyetlen jó út

A Reuters által megszólaltatott szakértők egyöntetűen üdvözölték Clark határozott álláspontját. Az egész szituáció egyértelműen rombolja a globális technológiai piacot, mivel a felhasználók és a kormányok is csak akkor érzik magukat biztonságban, ha saját országukban fejlesztett-gyártott eszközöket használnak. (Képzeljük el, mil lenne a következménye ennek az olyan méretű országok esetében, mint Magyarország vagy a balti államok.)

Az ügyel kapcsolatban megszólaltatták az NSA kibervédelmi részlegének korábbi vezetőjét, Curtis Dukes-t, aki idén januárban hagyta el az ügynökséget, és jelenleg egy nonprofit szervezet, a Center for Internet Security alelnökeként dolgozik. Ő egyenesen azt állítja, hogy ez egy olyan csúszósz lejtő, aminek a végén az IT-piac balkanizálódása látható. Az amerikai cégek csak Európa egyes országaiban tudják majd értékesíteni IT-eszközeiket és szolgáltatásaikat, az orosz cégek pedig nem tudnak majd semmit sem eladni az Egyesült Államokban.