Điều đáng nói là nhiều phần mềm của trong số đó được chính phủ Mỹ khai thác và theo các nhà làm luật cũng như giới bảo mật, hành động này có thể gây nguy hiểm cho an ninh mạng của hàng chục tổ chức liên bang.
Mục đích cơ bản của hành động trên là SAP, Symantec, McAfee và nhiều hãng khác muốn kinh doanh tại thị trường Nga và họ buộc phải cho phép giới chức Nga xem xét mã nguồn của một số sản phẩm. Sự việc này đã xảy ra từ cách đây nhiều năm và đến hôm nay mới được tiết lộ.
Nga cho biết hoạt động kiểm tra mã nguồn là cần thiết để phát hiện các lỗ hổng có thể bị hacker khai thác. Thế nhưng trớ trêu thay, nhiều phần mềm bảo mật trong số đó lại đang bảo vệ những khu vực nhạy cảm nhất của chính phủ Mỹ bao gồm Lầu Năm Góc, NASA, Bộ ngoại giao và đặc biệt là cộng đồng tình báo và FBI trước nguy cơ tấn công mạng từ Nga.
Steve Quane - phó chủ tịch điều hành mảng an ninh mạng tại công ty bảo mật Trend Micro cho biết 'Việc cho người ta xem mã nguồn chỉ trong một phút thôi cũng đủ gây ra nguy hiểm lớn.' Trend Micro hiện tại đang cung cấp giải pháp bảo mật TippingPoint cho quân đội Hoa Kỳ và hãng này đã từ chối cho phép người Nga thực hiện một cuộc kiểm tra mã nguồn của TippingPoint, Quane cho biết. Ông nhấn mạnh rằng những nhà nghiên cứu bảo mật hàng đầu có thể nhanh chóng phát hiện các lỗ hổng trong phần mềm chỉ với việc xem qua mã nguồn và nhấn mạnh rằng: 'Chúng tôi biết có những người có thể làm điều này bởi chúng tôi có những con người như vậy đang làm việc cho chúng tôi.'
Ngược với Nga, chính phủ Hoa Kỳ ít khi yêu cầu kiểm tra mã nguồn khi mua các phần mềm thương mại!
Một số nhà lập pháp Hoa Kỳ lo lắng việc đánh giá mã nguồn phần mềm có thể là một cái cớ để Moscow kiếm tiền bằng hoạt động tấn công an ninh mạng. Nói với Reuters, thượng nghị sĩ Jeanne Shaheen cho biết: 'Tôi sợ rằng việc truy cập vào cơ sở hạ tầng an ninh của Mỹ dù là công khai hay bí mật đều có thể mở ra cánh cửa cho những lỗ hổng bảo mật nguy hiểm.'
Trong một lá thư được gởi đến vị thượng nghị sĩ này hồi ngày 7 tháng 12 năm ngoái, Lầu Năm góc cho biết họ đang 'xem xét tính khả thi' của việc yêu cầu các nhà sản xuất tiết lộ khi nào họ cho phép chính phủ nước ngoài truy xuất mã nguồn sản phẩm. Shaheen lập tức chất vấn Lầu Năm Góc về vấn đề này, dẫn chứng từ vụ việc về phần mềm ArcSight được Reuters đề cập.
Lamar Smith - chủ tịch đảng Cộng hòa của Ủy ban khoa học, không gian và công nghệ thuộc hạ viện cho rằng Mỹ cần phải có một đạo luật để đảm bảo an toàn cho chuỗi cung cấp giải pháp an ninh mạng liên bang. Trong khi đó đại biểu đảng Dân chủ Jim Langevin, thành viên của Ủy ban dịch vụ vũ trang thuộc hạ viện nói Lầu Năm Góc cần phải nhìn nhận nghiêm túc về vấn đề rằng khi quyết định mua phần mềm thì mọi thế lực thù địch đều muốn xem xét mã nguồn.
Hầu hết các cơ quan thuộc chính phủ Hoa Kỳ vẫn chưa phản hồi khi được hỏi liệu chăng họ có quan ngại khi những phần mềm đang dùng trên hạ tầng mạng của mình bị sói mói bởi các nhà thầu quân sự Nga? Một số cho biết bảo mật là mối quan tâm cao nhất nhưng không nói rõ họ đang dùng phần mềm nào. Trong khi đó một đại diện của Lầu Năm Góc nói rằng cơ quan này vẫn liên tục giám sát các công nghệ thương mại được sử dụng để bảo vệ các điểm yếu bảo mật.
Thông thường những công ty công nghệ muốn tiếp cận thị trường Nga rộng lớn thì sản phẩm của họ phải đạt các chứng chỉ do các cơ quan như Tổng cục An ninh Liên Bang Nga (FSB) và Cơ quan Liên Bang về kỹ thuật và kiểm soát xuất khẩu của Nga (FSTEC) cấp.
FSTEC từ chối bình luận trong khi FSB cũng không phản hồi về vấn đề trên. Tuy nhiên FSTEC là đơn vị thường yêu cầu các công ty phải cho phép một nhà thầu thuộc chính phủ Nga thử nghiệm mã nguồn phần mềm. SAP HANA - một hệ thống cơ sở dữ liệu nổi tiếng của SAP cũng từng trải qua một cuộc kiểm tra mã nguồn để đạt chứng chỉ của Nga vào năm 2016. Phần mềm này lưu trữ và phân tích thông tin cho Bộ ngoại giao, Sở thuế vụ, NASA và quân đội Hoa Kỳ. Người phát ngôn của SAP cho biết hoạt động kiểm tra đã được giám sát nghiêm ngặt và 'tất cả các chính phủ và tổ chức thuộc chính phủ đều như nhau, không có ngoại lệ.
Mặc dù một số công ty đã không còn cho phép giới chức Nga kiểm tra mã nguồn nhưng những sản phẩm của họ vẫn đang được chính phủ Mỹ khai thác và để nâng cấp hay thay thế phải mất hàng nhiều thập niên. Những mối quan ngại về bảo mật đã khiến Symantec phải ngưng toàn bộ hoạt động cấp phép cho các đối tác Nga xem xét mã nguồn vào năm 2016. Tuy nhiên, phần mềm diệt virus Endpoint Protection của Symantec từng được Nga xem xét vào năm 2012 vẫn đang được Lầu Năm Góc, FBI, Sở an sinh xã hội và nhiều tổ chức khác sử dụng cho đến nay.
Đại diện Symantec nói rằng phiên bản mới hơn của Endpoint Protection được phát hành năm 2016 chưa từng được kiểm tra mã nguồn và những phiên bản trước đó cũng đã được cập nhật nhiều lần kể từ khi chính phủ Nga đòi xem qua. Symantec khẳng định các cuộc kiểm tra trước đó đều không ảnh hưởng đến phần mềm của mình. Các phiên bản cũ của Endpoint Protection vẫn được Symantec bán đến hết năm 2017 và sẽ tiếp tục được cập nhật đến 2019.
Trong khi đó McAfee từng công bố hồi năm ngoái rằng công ty không còn cho phép chính phủ nước ngoài xem xét mã nguồn phần mềm. Hãng thừa nhận vào năm 2015, phần mềm Security Information & Event Management (SIEM) của mình đã được nhà thầu quân sự Echelon, đại diện cho FSTEC xem xét mã nguồn theo các quy định của Nga. SIEM hiện đang được Bộ tài chính và quốc phòng Hoa Kỳ sử dụng để bảo vệ hạ tầng mạng của mình.
Echelon cũng chính là tổ chức kiểm tra mã nguồn của ArcSight. Tổ chức này mô tả là bản thân là đơn vị thí nghiệm chính thức của FSB, FSTEC và Bộ quốc phòng Nga. Alexey Markov - chủ tịch của Echelon cho biết các công ty Mỹ ban đầu thường tỏ qua quan ngại về quy trình kiểm tra lấy chứng chỉ của Nga. Trong một email ông này cho biết: 'Liệu chúng có bất cứ lỗ hổng nào không? Tất nhiên là có! Không có nhiều người nắm vai trò ký kết hiểu rõ về lập trình, vì thế họ càng hoang mang. Tuy nhiên, trong quá trình làm rõ chi tiết về việc thực hiện các thủ tục chứng nhận, những nguy cơ và rủi ro sẽ được giải quyết tốt hơn.'
Markov cho biết đơn vị của ông luôn thông báo cho các công ty công nghệ trước khi công bố những lỗ hổng được phát hiện với giới chức Nga, từ đó cho phép các công ty vá các lỗ hổng. Ông nói việc xem xét mã nguồn sản phẩm sẽ 'cải thiện đáng kể độ an toàn của chúng.'
Thế nhưng ý kiến của Markov không được tán thành. Chris Inglis - Cựu phó giám đốc Cơ quan an ninh quốc gia (NSA) cho rằng: 'Khi bạn ngồi bàn với một tay chia bài bịp thì bạn không thể tin ai cả. Nếu là tôi, tôi sẽ chẳng cho ai xem mã nguồn!.'