«Лаборатория Касперского» пообещала раскрыть исходный код своих программ
«Лаборатория Касперского» намерена предоставить независимым экспертам для проведения анализа исходный код своих продуктов, программных обновлений и правил распознавания угроз, говорится в поступившем в РБК сообщении компании. Таким образом компания рассчитывает «подтвердить прозрачность своей деятельности, которая прежде всего направлена на защиту пользователей от любых киберугроз, независимо от их происхождения или цели». Анализ исходного кода должен начаться до конца первого квартала 2018 года.
Эти действия компании будут частью ее глобальной инициативы по информационной открытости (Global Transparency Initiative), цель которой — «вовлечь экспертное сообщество в области кибербезопасности в проверку целостности и надежности продуктов, внутренних процессов и бизнес-операций компании». Помимо независимого анализа исходного кода, компания в рамках данной инициативы намерена разработать дополнительные механизмы контроля за процессом обработки данных, открыть три «центра прозрачности» (Transparency Centers) по всему миру с целью решения любых вопросов в сфере кибербезопасности совместно с клиентами, партнерами и государственными органами. Первый центр планируется открыть в 2018 году, к 2020 году центры прозрачности должны появиться в Азии, Европе и США.
Кроме того, компания увеличит вознаграждение по программе bug bounty — распространенной среди разработчиков софта инициативе, по которой любой человек может получить денежную выплату за найденные серьезные уязвимости в программном продукте. В «Лаборатории Касперского» заявили, что максимальный размер выплаты увеличится с текущих $5 тыс. до $100 тыс.
«Интернет был задуман для объединения людей и обмена знаниями. Кибербезопасность не знает границ, и любые попытки поделить киберпространство, исходя из географических территорий, контрпродуктивны. Им надо положить конец. Мы должны восстановить доверие в отношениях между компаниями, правительствами и гражданами», — заявил гендиректор «Лаборатории Касперского» Евгений Касперский. Впрочем, пока неясно, каким независимым экспертам будет передан для анализа исходный код продуктов компании и как именно будут работать ее «центры прозрачности».
Опасные связи с Кремлем
Инициатива «Лаборатории Касперского» возникла неспроста — в середине июля правительство США исключило «Лабораторию Касперского» из списка поставщиков программного обеспечения, чья продукция одобрена для использования госструктурами США. Министерство внутренней безопасности США к 13 декабря обязало все госучреждения отказаться от использования антивирусов «Лаборатории Касперского» и заменить их на другой софт.
Свои действия власти США объясняли соображениями информационной безопасности. Сенатор от Демократической партии Джин Шахин заявляла о «связи «Лаборатории Касперского» с Кремлем», которая «внушает очень большую тревогу». По ее словам, продуктам Касперского «нельзя доверить защиту критических узлов инфраструктуры, в особенности компьютерных систем, жизненно важных для обеспечения национальной безопасности».
Информация о «закладках» в софте «Лаборатории Касперского», позволяющих получать информацию российским спецслужбам, в последнее время часто появлялась и в американской прессе. Так, The Wall Street Journal со ссылкой на анонимных действующих и бывших должностных лиц США сообщал, что российские власти модифицировали программное обеспечение «Лаборатории Касперского» для шпионажа и поиска на использующих его компьютерах документов федеральных ведомств США с грифом «Top Secret».
В «Лаборатории Касперского» называли заявления властей США о связях компании с Кремлем «необоснованными» и опровергли сотрудничество с какими бы то ни было государствами для кибершпионажа. Евгений Касперский в июле уже заявлял о готовности предоставить властям США исходные коды программ его компании для экспертизы, однако публичного ответа со стороны США на это предложение не последовало. Комитет палаты представителей по науке, космосу и технологиям конгресса США приглашал Касперского лично посетить одно из заседаний для дачи показаний, однако затем заседание было отложено, хотя Евгений Касперский выразил готовность приехать. Новое заседание комитета назначено на 25 октября, однако на него Евгения Касперского уже не приглашали, сообщил представитель «Лаборатории Касперского» Андрей Булай.
На фоне обвинений со стороны властей США у «Лаборатории Касперского» возникли проблемы с поставками не только в госсектор, но и обычным американским пользователям. Так, крупная сеть магазинов потребительской электроники Best Buy объявила о снятии с продаж «Антивируса Касперского» в связи с подозрениями о связях компании с российскими спецслужбами.
Активизировались и конкуренты компании, которые стали использовать тезисы о небезопасности продуктов «Лаборатории Касперского» в маркетинговых целях. Например, международная IT-компания NovaStor рассылала своим потенциальным клиентам и партнерам в Европе электронные письма с предупреждением о том, что использование программных продуктов ее российских конкурентов — компаний «Лаборатория Касперского», Veeam и Acronis — небезопасно. А на сайте антивирусной компании McAfee в сентябре появлялся рекламный слоган: «ФБР советует удалить антивирус «Лаборатории Касперского» из-за подозрительных связей с российскими шпионами. Защити компьютер с McAfee Total Protection».
В 2016 году «Лаборатория Касперского» продала американским госструктурам продуктов примерно на $300 тыс., сообщали «Ведомости» со ссылкой на представителя компании. На всю Северную Америку приходилось до 24,3% от суммарных доходов компании, которые составили $644 млн по итогам года. По данным IDC, в 2016 году «Лаборатория Касперского» занимала 6,7% на мировом рынке софта для защиты конечных устройств, который оценивается в $9,5 млрд. Более популярным был лишь софт Symantec (занимает 24,7% рынка), Intel (15,3%) и Trend Micro (10,1%)
Восстановить доверие
Все опрошенные РБК эксперты сходятся во мнении, что аудит не поможет «Лаборатории Касперского» полностью опровергнуть заявления американских властей. «Аудит исходного кода программы, тем более такого объемного, как антивирусное решение, — очень трудоемкая задача. Так, например, анализ проекта TrueCrypt, обладающего заметно меньшей сложностью и количеством кода, занял у целой группы исследователей безопасности почти два года», — говорит старший менеджер группы по управлению информационными рисками KPMG в России и СНГ Илья Шаленков.
Предложенная «Лабораторией Касперского» мера очень разумна, это удачный пиар-ход, но он вряд ли восстановит доверие к компании со стороны американцев, полагает эксперт по кибербезопасности из Института США и Канады РАН Павел Шариков. «Лаборатории Касперского» очень важно показать, что ее интерес на американском рынке исключительно коммерческий, но не политический, объясняет Шариков мотивы российской компании. «Исключив «Лабораторию Касперского» из списка «надежных поставщиков» программного обеспечения для американских государственных структур, Министерство внутренней безопасности не ставило ультиматум или какие-то условия, выполнение которых восстановит доверие. Поэтому очевидно, что, если бы «Лаборатория Касперского» не предприняла какой-нибудь ответный шаг, это бы означало, что компания признает обвинения», — сказал Шариков РБК.
По мнению эксперта по кибербезопасности и консультанта «ПИР-центра» Александры Куликовой, заявленные «Лабораторией Касперского» планы отражают вполне естественное направление устойчивого развития глобальной компании, бизнес которой основан на укреплении доверия к продукту, а не просто на удержании достигнутого масштаба его распространенности. «Подобный внешний аудит — это здоровая корпоративная практика и возможность подтвердить качество продукта через вовлечение различных заинтересованных сторон. Однако не стоит ожидать, что эта стратегия значительно поменяет отношение к компании и ее продукту со стороны некоторых государств, по крайней мере в краткосрочной перспективе», — заключает Куликова.
Власти США ранее уже обвиняли другие иностранные компании в шпионаже. Минобороны США в ежегодном докладе конгрессу от 2008 года сообщало, что китайская компания Huawei «поддерживает тесные связи» с Народно-освободительной армией Китая. После этого телекоммуникационное оборудование Huawei запретили использовать для построения сетей, передающих информацию государственного или военного характера. В 2012 году новая порция обвинений в сторону китайских производителей оборудования Huawei и ZTE была обнародована в докладе комитета конгресса США по разведке. В этот раз власти обвинили Huawei в помощи китайским властям в сборе информации. В результате, по данным Statista, доля выручки Huawei от американского рынка упала с 14,4% в 2012 году до 8,4% в 2016 году.