Эксперт в эфире «Ъ FM» — о доступе к ПО американских военных

Минобороны России получило доступ к системе киберзащиты Пентагона. Как сообщает агентство Reuters, разработчик программного обеспечения — американская компания Hewlett Packard Enterprise — позволила российскому ведомству исследовать систему, которой пользуются военные США. Подобный пункт якобы был включен в соглашение о продаже софта российскому госсектору. Руководитель Агентства кибербезопасности Евгений Лифшиц прокомментировал эти сообщения в беседе с ведущим «Коммерсантъ FM» Олегом Булгаком.

— Насколько правдоподобна эта информация?

— Абсолютно правдоподобна. Российские органы власти при закупке импортного ПО требуют сертификации ФСТЭК. Есть соответствующие сертификации. Соответственно, проверяется программный код на наличие так называемых недокументированных возможностей: делается слепок системы, контрольные суммы, берется код и проверяется на наличие недокументированных возможностей в системе кода.

Если детально описывать: берется программное обеспечение конкретной версии, конкретный слепок, измеряется контрольная сумма, получается программный код исходный — он проверяется. И если в нем находятся недокументированные возможности, они путем работы с производителями устраняются. Дальше эти операции проходят до полной вычистки. Дальше контрольная сумма должна соответствовать самому софту и его версионности, после этого он попадет в реестр, уже вычищенный от этих уязвимостей.

— Собеседник агентства Reuters говорит, что это огромная уязвимость в плане безопасности. Получается, что таким образом Hewlett Packard предоставила доступ к внутренним системам противнику. Насколько важными сведениями могли завладеть российские военные?

— Сведения действительно могут оказаться очень важными. Но компания, которая проводила сертификацию и проверку, сообщает сначала заказчику — в данном случае Hewlett Packard является заказчиком — о наличии тех или иных замечаний. Но после попадает в реестр, и если эти данные важные данные были в коде, то соответственно, я думаю, сообщает также и властям.

— Это открывает лазейку для кибератак?

— Я думаю, что если там эти недокументированные возможности в каком-то виде есть, то, наверное, это может открывать некие бреши в системе безопасности этого программного обеспечения.

— Означает ли это, что может быть и обратная ситуация — наши данные попадут в руки других?

— Я более чем уверен, что нет — для этого и проводится сертификация и проверка ПО, выявление этих недокументированных возможностей. Если сертифицировали программное обеспечение, внесли уже в реестр разрешенного ПО для органов власти, то бреши в безопасности уже вычистили.

В любом случае, даже если какой-то потенциальный намек на угрозу появится после уже имплементации этого программного обеспечения в органы власти, Минобороны и другие государственные структуры Российской Федерации всегда могут вернуться к исходному коду, найти и исправить этот недочет. Если какая-то появилась киберугроза или какая-то атака хакерская непосредственно по этим протоколам, портам этого софта, то всегда смогут вернуться к исходному коду, найти этот участок, рассмотреть более детально, если нужно — подправить, исправить и доработать. Поэтому вероятность тех опасностей, о которых вы говорите, она ничтожно мала.

— Можно хотя бы примерно предположить, какие потери понес Пентагон от действий Hewlett Packard Enterprise?

— Я думаю, потери первые — репутационные. Возможно, Пентагону придется менять систему безопасности, перестраивать ее, либо заказывать доразработку этого софта у Hewlett Packard до новой версии, которая позволит какие-то уязвимости доработать, или переработать софт до неузнаваемости.