Блог

Тезис о том, что национальная принадлежность ПО является определяющей в вопросе его безопасности (недекларированные возможности, проще говоря, "закладки"), в последние годы у нас довольно популярен. Причем тезис этот формулируется довольно любопытным образом: российская национальность продукта интерпретируется как синоним "безопасного", американская – "точно опасного", все остальные (в том числе китайская) – "нам все равно".
[spoiler]
В частности, я этот тезис слышал в начале апреля на "Фестивале ИТ-импортозамещения". Там выступал представитель проекта "Эльбрус" (микропроцессоры), говоря о безопасности микропроцессоров он сказал примерно следующее: "Зарубежная техника, как известно, имеет закладки, а наша – нет".

В своем вопросе я сказал, что мне ничего не известно о закладках в зарубежной техники, хотя я по роду работу много лет слежу за этим вопросом. И спросил: не может ли он привести публично доказанные примеры?
И задал второй вопрос: чем разработчики "Эльбруса" могут доказать отсутствие подобных вещей в их продукции?

На первый вопрос конкретного ответа я не получил, а на второй был дан уверенный ответ: "потому что мы – российская компания".

Ответ, надо сказать, довольно странный, потому что, насколько я знаю, национальность никогда не была гарантией добропорядочности человека (что в ИТ-сфере подтверждается судебной практикой – россияне среди ИТ-преступников тоже встречаются).

Примерно такой же разговор состоялся на недавней встрече по корпоративной мобильности. Там тоже тезис о том, что решением проблемы создания безопасной мобильной корпоративной среды может быть создание "российского стека ПО".
И там я тоже спросил у участников проекта (три компании): "Чем же вы можете доказать безопасность своего решения?"

И тут нужно отдать должное докладчикам – они не стали оперировать к "пятому пункту".

Они привели целый набор доводов:
- репутация разработчика;
- репутационные риски для разработчика, если "закладки" будут обнаружены (можно прощаться с этим бизнесом);
- наличие отраслевого опыта эксплуатации;
- наличие строгих сертификаций (независимых аудитов);
- готовность предоставить проверяющим исходный код.

Согласен, все именно так. Это известные доводы, которые были хорошо известны и десять, и сто, и даже тысячу лет назад.

Делаю вывод: уровень безопасности не зависит от национальности. Точнее так: национальность "в среднем" может как-то на нее влиять, но не является решающим фактором. И в любом случае она не является гарантией чего бы то ни было.