В результате вступления в действие подписанного 13 августа 2018 г. Президентом США Дональдом Трампом (Donald Trump) закона H.R.5515, иностранные поставщики решений в сфере информационной безопасности (ИБ) могут отказаться от прохождения сертификации в Федеральной службе по техническому и экспортному контролю (ФСТЭК). К такому выводу, проанализировав текст закона, пришел Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems.
В соответствии с новым законом Министерству обороны США разрешается отказываться от использования ИТ-решений или технологий информационной безопасности, если выявлен факт проведения анализа исходного кода этих решений иностранными государственными структурами и иными организации. Любопытным является тот факт, что закон, похоже, обладает обратной силой, поскольку распространяется в том и на продукты, в отношении исходного кода которых была осуществлена проверка в последние пять лет до принятия соответствующего закона.
Действие закона распространяется на структуры государств, которые, по мнению американских властей, являются угрозой безопасности для критической инфраструктуры государственных институтов США или их союзников, оказывают влияние на цепочки поставок, созданные в интересах США или замечены в хищении американской интеллектуальной собственности.
Учитывая ажиотаж в американском обществе, вызванный якобы имевшем место вмешательством «русских хакеров» в ход выборов президента США 2016 г., можно с определенной долей уверенности сказать, что Россия наверняка окажется в списке стран, организации и государственные структуры которых попадут под действие нового закона.
Что грозит поставщикам
По мнению Алексея Лукацкого, поставщикам Министерства обороны США, среди которых, например, числятся Cisco, Check Point, Forcepoint, IBM, Microsoft, SAP, при самом оптимистичном исходе грозит значительное усложнение процедуры продажи своих решений.
В худшем же случае американское оборонное ведомство может полностью отказаться от приобретения продуктов таких компаний, что сулит последним многомилионные убытки.
Как отметил специалист, доля России в бизнесе иностранных ИБ-компаний мизерна, поэтому шансы того, что поставщики ИБ-решений откажутся от привлекательных контрактов с МО США в пользу прохождения сертификации ФСТЭК, невелики.
Последствия для российских заказчиков
Напомним, что российские организации, допущенные к работе с государственной тайной, в соответствии с требованиями ФСТЭК обязаны осуществлять сертификацию используемых средств защиты информации. То же самое касается средств защиты Государственных информационных систем (ГИС). В процессе проведения испытаний исходный код программного обеспечения анализируется на предмет не задокументированных возможностей («бэкдоров», «закладок»).
По мнению эксперта, труднее всего в новых реалиях придется именно этой категории заказчиков, поскольку они и до вступления обсуждаемого закона в силу были неспособны в полной мере выполнить требования регулятора, а теперь цель становится практически недостижимой.
«Теперь у них окно возможностей сократится еще больше, и это при полной нерасторопности отечественных игроков, которые не торопятся выпускать продукты на замену иностранным решениям», – отметил специалист.
Лукацкий прогнозирует дальнейшее снижение количества сертифицированных ФСТЭК зарубежных ИБ-решений, первоначально вызванное ужесточением требований ведомства
Источник: CNEWS