Menurut hukum Rusia, perusahaan-perusahaan Barat berkewajiban untuk memenuhi permintaan FSB dan memberikan kode sumber untuk program eksklusif mereka untuk ditinjau sebelum mereka diizinkan memasuki pasar Rusia - pihak berwenang ingin memastikan bahwa tidak ada pintu belakang yang terpasang di dalam program. Semua perusahaan mematuhi persyaratan ini. Microsoft menunjukkan kode sumber untuk Windows, sementara Cisco, IBM, SAP dan perusahaan lain berbagi dengan Federasi Rusia kode sumber untuk firewall, antivirus, dan program mereka dengan modul kriptografi. Tetapi baru-baru ini, perusahaan memiliki praktik yang memprihatinkan, karena pada saat yang sama, badan intelijen Rusia dapat menemukan kerentanan dalam program kepemilikan perusahaan Barat,
tulis Reuters. Kerentanan ini selanjutnya dapat digunakan selama serangan cyber dan untuk spionase.
Karena khawatir akan keamanan produknya, satu perusahaan - Symantec - berhenti bekerja sama dengan auditor Rusia.
Para pejabat AS mengatakan mereka memperingatkan perusahaan komersial tentang risiko yang terlibat dalam mentransfer kode sumber ke pihak berwenang Rusia. Tetapi pemerintah AS tidak memiliki wewenang untuk melarang praktik ini, jika itu bukan semacam pengembangan militer, tetapi murni perangkat lunak sipil.
Pada gilirannya, perusahaan itu sendiri mengatakan bahwa mereka tidak punya pilihan lain. Jika mereka tidak memberikan kode sumber, mereka tidak akan diizinkan masuk pasar. Audit berlangsung di lingkungan yang aman, di kamar yang dilengkapi secara khusus untuk mencegah kebocoran kode sumber.
Selain Cisco, IBM dan SAP, diketahui bahwa produk Hewlett Packard Enterprise Co dan McAfee menjalani audit kode sumber. Dalam beberapa tahun terakhir, jumlah permintaan untuk audit kode sumber produk Microsoft telah meningkat tajam.
Secara umum, Rusia adalah yang pertama di dunia yang menerima kode sumber Windows. Ini terjadi
pada tahun 2002 . Microsoft setuju untuk menunjukkan sumber hanya dengan syarat bahwa mereka
akan dianggap sebagai rahasia negara Federasi Rusia . Kolaborasi berlanjut di tahun-tahun berikutnya. Sebagai contoh, pada musim panas 2010, Microsoft memberikan FSB dengan kode sumber untuk Windows 7, Windows Server 2008 R2, Office 2010, SQL Server 2008 R2, dan Exchange Server 2010 "untuk meningkatkan kepercayaan pemerintah terhadap produk-produk Microsoft."
Pemeriksaan langsung terhadap kode sumber dilakukan, termasuk oleh Layanan Federal untuk Kontrol Teknis dan Ekspor (
FSTEC Rusia ). Catatan FSTEC menyatakan bahwa dari tahun 1996 hingga 2013 pihaknya melakukan pemeriksaan kode sumber dari 13 produk teknologi perusahaan-perusahaan Barat, dan dari 2014 hingga 2016 jumlah pakar meningkat tajam dan berjumlah 28. Dalam komentar kepada Reuters, perwakilan FSTEC mengatakan bahwa audit kode sumber sesuai dengan dunia. Dalam praktiknya, FSB menolak memberikan komentar.
Beberapa perusahaan lagi yang diakreditasi oleh FSB terlibat dalam audit kode sumber. Biasanya, mereka semua memiliki ikatan dengan struktur militer. Sebagai contoh, perusahaan Eselon telah menerima penghargaan "Rahasia Negara" dari Kementerian Pertahanan.
Gedung kantor eselon di MoskowTerlepas dari semua kekhawatiran itu, para ahli yang diwawancarai oleh Reuters tidak dapat menyebutkan satu kasus khusus peretasan, serangan dunia maya atau operasi spionase dunia maya, yang akan dilakukan karena fakta bahwa dinas rahasia Rusia memiliki akses ke kode sumber dari satu atau produk hak milik lainnya. Sejauh ini, ketakutan ini spekulatif.
Bahkan, mengaudit kode sumber produk berpemilik bukanlah praktik unik untuk Rusia. Bahkan pemerintah AS dalam beberapa kasus memerlukan kode sumber dari program tertutup, terutama ketika datang ke perintah pertahanan atau kontrak penting lainnya. China juga terkadang mensyaratkan penyediaan kode sumber sebagai syarat untuk impor perangkat lunak komersial.
Pada 2014, Microsoft membuka Pusat Transparansi di Redmond, dan kemudian yang sama di Brussels. Pejabat pemerintah dapat mengunjungi tempat ini, melihat kode sumber sistem operasi Windows dan program lainnya - dan memastikan bahwa mereka tidak memiliki penanda pintu belakang dan mata-mata.
Direktur perusahaan Eselon, Alexei Markov, mengatakan bahwa kode tersebut diaudit dalam semacam "kamar bersih" - laboratorium khusus tempat kode sumber tidak dapat ditransmisikan. Menariknya, tidak semua prosedur audit berlangsung di Moskow. Misalnya, para ahli Rusia melakukan kode sumber untuk produk SAP di laboratorium SAP yang aman di Jerman.
Tetapi untuk Symantec, kondisi ini tidak cukup jika tidak mempercayai keahlian.
"Ini menimbulkan risiko bagi integritas produk kami yang tidak ingin kami terima," kata juru bicara perusahaan itu, Kristen Batch. Setelah menolak untuk menunjukkan sumbernya, Symantec tidak lagi dapat menjual beberapa produk perusahaan di Rusia.