חברות היי-טק מערביות נכנעות ללחץ הרוסי לשתף סודות סייבר

בתקופה זו שבה רוסיה מואשמת במספר גדל והולך של התקפות סייבר על המערב, חברות הטכנולוגיה המערביות – כולל סיסקו (Cisco), יבמ (IBM) וסאפ (SAP) – נענות לדרישות של מוסקבה ומספקות לה גישה לסודות אבטחה שמורים במיוחד של מוצרים, כך עולה ממחקר של רויטרס (Reuters).

הרשויות הרוסיות מבקשות מחברות טכנולוגיה מערביות לאפשר להן לסקור קודי מקור למוצרי אבטחה – כגון חומות אש, יישומי אנטי-וירוס ותוכנות המכילות הצפנה – לפני שהן מותירות לייבא את המוצרים ולמכור אותם במדינה.

הבקשות – אשר גדלו מאז 2014 – נעשות לכאורה על-מנת להבטיח שסוכנויות ריגול זרות לא מסתירות דלתות אחוריות (backdoors) שיאפשרו להן לחדור לתוך מערכות רוסיות.

אלא שהבדיקות הללו מספקות לרוסים במקביל הזדמנות למצוא נקודות תורפה בקוד המקור של המוצרים – הוראות השולטות בפעולות הבסיסיות של ציוד מחשבים – כך אומרים גורמים רשמיים בארצות הברית ומומחי אבטחה.

סימנטק לא במשחק

בעוד שמספר חברות בארצות הברית אמרו כי הן לוקחות חלק במשחק בכדי לשמר את יכולת כניסתן לשוק הטכנולוגי הענקי ברוסיה, לפחות אחת החברות האמריקניות, סימנטק (Symantec), סיפרה לרויטרס כי היא הפסיקה לשתף פעולה עם ביקורות קוד המקור בגלל חששות ביטחוניים. בהסבר שסיפקה לבחירתה שלא לשתף פעולה עם הרוסים, טענה סימנטק כי אחת המעבדות שבודקות את מוצריה אינה נפרדת מספיק מהממשלה הרוסית.

גורמים רשמיים בארצות הברית אומרים כי הזהירו את החברות בנוגע לסיכונים שאליהם מוצריהם נחשפים כשהן מאפשרות לרוסים לבחון את קוד המקור של המוצרים שלהן, מחשש שניתן להשתמש בו במתקפות סייבר, אך אמרו שאין להם סמכות חוקית להפסיק את הנוהל, אלא אם כן יש לטכנולוגיה בקשות הגבלה צבאיות או שהיא מפרה סנקציות של ארצות הברית.

השוק במדינה הגדולה רווחי ומחייב השלמה עם הדרישות

מנגד, החברות אומרות כי הן נמצאות תחת לחץ להשלים עם הדרישות של הרגולטורים הרוסים, או להסתכן באובדן השוק הרווחי של המדינה הגדולה. החברות טוענות כי הן רק מאפשרות לרוסיה לבחון את קוד המקור שלהן במתקנים מאובטחים, המונעים העתקת או שינוי הקוד.

הדרישות נעשות על ידי שירות הביטחון הפדרלי הרוסי, ה-FSB (ר"ת Russia’s Federal Security Service), שממשלת ארצות הברית אמרה כי השתתף במתקפות הסייבר על מסע הבחירות לנשיאות של הילרי קלינטון ב-2016, ועל המתקפה על 500 מיליון חשבונות הדוא"ל של יאהו (Yahoo) ב-2004. אבל מסתמן כי ה-FSB, אשר הכחיש מעורבות גם בבחירות וגם פריצה ליאהו, פועל בתפקיד כפול, הן כרגולטור המפקח מכירת מוצרי טכנולוגיה מתוחכמים ברוסיה והן כמי שמסייע לפורצים.

הסקירות מתבצעות גם על ידי השירות הפדרלי לבקרת יצוא טכני, ה-FSTEC (ר"ת Federal Service for Technical and Export Control), שהיא סוכנות ההגנה הרוסית האמונה על ריגול סייבר והגנה על סודות המדינה.

רשומות שפורסמו על ידי FSTEC, ושנסקרו על ידי רויטרס, מראות כי מ-1996 עד 2013, ביצע ה-FSTEC ביקורות קוד מקור כחלק ממתן אישורים בעבור 13 מוצרים טכנולוגיים של חברות מערביות. בשלוש השנים האחרונות בלבד ביצעה הסוכנות 28 ביקורות.

דובר הקרמלין הפנה את כל השאלות ל-FSB, שמיאנה להיענות לבקשות התגובה. ה-FSTEC אמר בהצהרה בעקבות התחקיר של רויטרס, כי הביקורות שלו עמדו בקנה אחד עם הנוהג הבינלאומי ואילו מחלקת המדינה האמריקנית סירבה להגיב לממצאים.