Россия получила доступ к исходному коду ArcSight, фото: buhbiz.com.ua
Министерство обороны России изучило код системы ArcSight, которая лежит в основе кибербезопасности большинства подразделений американской армии, сообщает Reuters.
По данным агентства, доступ министерству к системе предоставила разработавшая его компания Hewlett Packard Enterprise (HPE).
Исходный код ArcSight тщательно охраняется HPE. Однако Москва получила доступ к коду во время сертификации системы для продажи ее российскому государственному сектору. Разработчики ArcSight и сотрудники американских спецслужб рассказали Reuters, что изучив код, российская сторона могла обнаружить уязвимости в программном обеспечении. При этом обнаруженные уязвимости могут помочь хакерам скрыть кибератаку от американских военных, сообщают источники агентства.
По словам бывшего разработчика системы безопасности ArcSight Грега Мартина, это огромная уязвимость в области безопасности. "Вы точно предоставляете внутренний доступ и потенциальный инструмент для вторжения противника",— отметил он.
Как пояснили источники Reuters, в России изучением системы ArcSight занималась связанная с российской военной отраслью компания "Эшелон", которая специализируется на информационной безопасности и защите данных. "Эшелон" получил запрос на изучение кода системы получил от Федеральной службы по техническому и экспортному контролю (ФСТЭК), уточнили источники.
ЧИТАЙТЕ ТАКЖЕ
Президент и владелец контрольного пакета акций "Эшелон" Алексей Марков заявил Reuters, что компания обязана уведомлять российские власти о наличии обнаруженных уязвимостей. При этом он уточнил, что прежде чем сообщать о проблеме властям, они уведомили разработчика системы — компанию HPE. После получения от нее разрешения на передачу данных об уязвимости были проинформированы российские власти.
ФСТЭК подтвердила слова Маркова, сообщив в заявлении, что сотрудники российских лабораторий сразу же уведомляют зарубежных разработчиков о наличии уязвимостей и только после этого направляют отчет в правительственный "банк данных угроз безопасности информации".