De acuerdo con la ley rusa, las empresas occidentales están obligadas a cumplir con la solicitud del FSB y proporcionar el código fuente de sus programas propietarios para su revisión antes de que se les permita ingresar al mercado ruso; las autoridades quieren asegurarse de que no haya puertas traseras integradas en los programas. Todas las empresas cumplen con este requisito. Microsoft muestra el código fuente de Windows, mientras que Cisco, IBM, SAP y otras compañías comparten con la Federación de Rusia el código fuente de sus firewalls, antivirus y programas con módulos criptográficos. Pero recientemente, las empresas tienen esa práctica de preocupación, porque al mismo tiempo, las agencias de inteligencia rusas pueden encontrar vulnerabilidades en los programas propietarios de las empresas occidentales,
escribe Reuters. Estas vulnerabilidades pueden utilizarse posteriormente durante los ataques cibernéticos y el espionaje.
Debido a la preocupación por la seguridad de sus productos, una empresa, Symantec, dejó de cooperar con los auditores rusos.
Funcionarios estadounidenses dicen que advirtieron a las compañías comerciales sobre los riesgos involucrados en la transferencia de códigos fuente a las autoridades rusas. Pero el gobierno de los Estados Unidos no tiene la autoridad para prohibir esta práctica, si no se trata de algún tipo de desarrollo militar, sino de software puramente civil.
A su vez, las propias empresas dicen que no tienen otra opción. Si no proporcionan el código fuente, no se les permitirá ingresar al mercado. La auditoría se lleva a cabo en un entorno seguro, en salas especialmente equipadas para evitar fugas de código fuente.
Además de Cisco, IBM y SAP, se sabe que los productos de Hewlett Packard Enterprise Co y McAfee se sometieron a una auditoría del código fuente. En los últimos años, el número de solicitudes de auditoría del código fuente de los productos de Microsoft ha aumentado considerablemente.
En general, Rusia fue el primero en el mundo en recibir el código fuente de Windows. Esto sucedió
en 2002 . Microsoft acordó mostrar la fuente solo con la condición de que
sean considerados un secreto de estado de la Federación Rusa . La colaboración continuó en los años siguientes. Por ejemplo, en el verano de 2010, Microsoft proporcionó al FSB el código fuente de Windows 7, Windows Server 2008 R2, Office 2010, SQL Server 2008 R2 y Exchange Server 2010 "para aumentar la confianza del gobierno en los productos de Microsoft".
Se realiza un examen directo del código fuente, incluido el Servicio Federal de Control Técnico y de Exportación (
FSTEC de Rusia ). Los registros de FSTEC indican que de 1996 a 2013 realizó un examen del código fuente de 13 productos tecnológicos de empresas occidentales, y de 2014 a 2016 el número de exámenes aumentó considerablemente y ascendió a 28. En un comentario a Reuters, los representantes de FSTEC dijeron que dicha auditoría del código fuente corresponde al mundo En la práctica, el FSB declinó hacer comentarios.
Algunas empresas más acreditadas por el FSB están involucradas en auditorías de código fuente. Por lo general, todos tienen vínculos con estructuras militares. Por ejemplo, la compañía Echelon recibió premios de "Secretos de Estado" del Ministerio de Defensa.
Edificio de oficinas Echelon en MoscúA pesar de todos los temores, los expertos entrevistados por Reuters no pudieron nombrar un solo caso específico de piratería, ataque cibernético u operación de espionaje cibernético, que se habría llevado a cabo debido al hecho de que los servicios secretos rusos tenían acceso a los códigos fuente de uno u otro producto patentado. Hasta ahora, estos temores son especulativos.
De hecho, auditar el código fuente de productos patentados no es una práctica única para Rusia. Incluso el gobierno de los Estados Unidos en algunos casos requiere el código fuente de un programa cerrado, especialmente cuando se trata de una orden de defensa u otro contrato importante. En ocasiones, China también exige la provisión de códigos fuente como condición para la importación de software comercial.
En 2014, Microsoft abrió el Centro de Transparencia en Redmond, y más tarde lo mismo en Bruselas. Los funcionarios del gobierno pueden visitar este lugar, ver el código fuente del sistema operativo Windows y otros programas, y asegurarse de que no tengan puertas traseras y marcadores de espías.
El director de la compañía Echelon, Alexei Markov, dijo que el código se audita en una especie de "salas limpias", laboratorios especiales desde los cuales no se puede transmitir el código fuente. Curiosamente, no todos los procedimientos de auditoría tienen lugar en Moscú. Por ejemplo, los expertos rusos realizaron el código fuente de los productos de SAP en un laboratorio seguro de SAP en Alemania.
Pero para Symantec, estas condiciones no serían suficientes si no confiaba en la experiencia.
"Esto representa un riesgo para la integridad de nuestros productos que no queremos aceptar", dijo la portavoz de la compañía, Kristen Batch. Después de negarse a mostrar la fuente, Symantec ya no podrá vender algunos productos corporativos en Rusia.