Агентство Reuters сообщило, что Министерством обороны Российской Федерации был изучен код системы ArcSight, которая лежит в основе кибербезопасности большинства подразделений американской армии. По информации, которой располагает агентство, доступ министерству к системе был предоставлен разработавшей его компанией Hewlett Packard Enterprise (HPE).
Источники агентства сообщили, что исходный код ArcSight тщательно охраняется HPE. Хотя Москвой был получен доступ к коду в ходе сертификации системы для продажи ее российскому государственному сектору.
Разработчики ArcSight и сотрудники спецслужб Соединенных Штатов рассказали Reuters, что, изучив код, Россия могла найти уязвимости в программном обеспечении. Причем, обнаруженные уязвимости могут помочь хакерам скрыть кибератаку от американских военных.
«Это огромная уязвимость в области безопасности. Вы точно предоставляете внутренний доступ и потенциальный инструмент для вторжения противника», — сообщил агентству бывший разработчик системы безопасности ArcSight Грег Мартин.
Как отметили источники Reuters, в Российской Федерации изучением системы ArcSight занималась связанная с российской военной отраслью компания «Эшелон», которая специализируется на информационной безопасности и защите данных. «Эшелону» был направлен запрос на изучение кода системы от Федеральной службы по техническому и экспортному контролю (ФСТЭК), пояснили источники.
Глава и владелец контрольного пакета акций «Эшелон» Алексей Марков сообщил Reuters, что компания должна уведомлять российское руководство о наличии обнаруженных уязвимостей. Причем, он пояснил, что до того, как сообщать о проблеме руководству, они уведомили разработчика системы — компанию HPE. После того, как было получено от нее разрешения на передачу информации об уязвимости были проинформированы российские власти.
ФСТЭК подтвердила слова Маркова, сообщив в заявлении, что работники российских лабораторий сразу же уведомляют зарубежных разработчиков о наличии уязвимостей и только после этого направляют отчет в правительственный «банк данных угроз безопасности информации».