Mục đích cơ bản của hành động trên là SAP, Symantec, McAfee và nhiều hãng khác muốn kinh doanh tại thị trường Nga và họ buộc phải cho phép giới chức Nga xem xét mã nguồn của một số sản phẩm. Sự việc này đã xảy ra từ cách đây nhiều năm và đến hôm nay mới được tiết lộ.
Nga cho biết hoạt động kiểm tra mã nguồn là cần thiết để phát hiện các lỗ hổng có thể bị hacker khai thác. Thế nhưng trớ trêu thay, nhiều phần mềm bảo mật trong số đó lại đang bảo vệ những khu vực nhạy cảm nhất của chính phủ Mỹ bao gồm Lầu Năm Góc, NASA, Bộ ngoại giao và đặc biệt là cộng đồng tình báo và FBI trước nguy cơ tấn công mạng từ Nga.
Ngược với Nga, chính phủ Hoa Kỳ ít khi yêu cầu kiểm tra mã nguồn khi mua các phần mềm thương mại!
Trong một lá thư được gởi đến vị thượng nghị sĩ này hồi ngày 7 tháng 12 năm ngoái, Lầu Năm góc cho biết họ đang 'xem xét tính khả thi' của việc yêu cầu các nhà sản xuất tiết lộ khi nào họ cho phép chính phủ nước ngoài truy xuất mã nguồn sản phẩm. Shaheen lập tức chất vấn Lầu Năm Góc về vấn đề này, dẫn chứng từ vụ việc về phần mềm ArcSight được Reuters đề cập.
Lamar Smith - chủ tịch đảng Cộng hòa của Ủy ban khoa học, không gian và công nghệ thuộc hạ viện cho rằng Mỹ cần phải có một đạo luật để đảm bảo an toàn cho chuỗi cung cấp giải pháp an ninh mạng liên bang. Trong khi đó đại biểu đảng Dân chủ Jim Langevin, thành viên của Ủy ban dịch vụ vũ trang thuộc hạ viện nói Lầu Năm Góc cần phải nhìn nhận nghiêm túc về vấn đề rằng khi quyết định mua phần mềm thì mọi thế lực thù địch đều muốn xem xét mã nguồn.
Hầu hết các cơ quan thuộc chính phủ Hoa Kỳ vẫn chưa phản hồi khi được hỏi liệu chăng họ có quan ngại khi những phần mềm đang dùng trên hạ tầng mạng của mình bị sói mói bởi các nhà thầu quân sự Nga? Một số cho biết bảo mật là mối quan tâm cao nhất nhưng không nói rõ họ đang dùng phần mềm nào. Trong khi đó một đại diện của Lầu Năm Góc nói rằng cơ quan này vẫn liên tục giám sát các công nghệ thương mại được sử dụng để bảo vệ các điểm yếu bảo mật.
Thông thường những công ty công nghệ muốn tiếp cận thị trường Nga rộng lớn thì sản phẩm của họ phải đạt các chứng chỉ do các cơ quan như Tổng cục An ninh Liên Bang Nga (FSB) và Cơ quan Liên Bang về kỹ thuật và kiểm soát xuất khẩu của Nga (FSTEC) cấp.
FSTEC từ chối bình luận trong khi FSB cũng không phản hồi về vấn đề trên. Tuy nhiên FSTEC là đơn vị thường yêu cầu các công ty phải cho phép một nhà thầu thuộc chính phủ Nga thử nghiệm mã nguồn phần mềm. SAP HANA - một hệ thống cơ sở dữ liệu nổi tiếng của SAP cũng từng trải qua một cuộc kiểm tra mã nguồn để đạt chứng chỉ của Nga vào năm 2016. Phần mềm này lưu trữ và phân tích thông tin cho Bộ ngoại giao, Sở thuế vụ, NASA và quân đội Hoa Kỳ. Người phát ngôn của SAP cho biết hoạt động kiểm tra đã được giám sát nghiêm ngặt và 'tất cả các chính phủ và tổ chức thuộc chính phủ đều như nhau, không có ngoại lệ.
Đại diện Symantec nói rằng phiên bản mới hơn của Endpoint Protection được phát hành năm 2016 chưa từng được kiểm tra mã nguồn và những phiên bản trước đó cũng đã được cập nhật nhiều lần kể từ khi chính phủ Nga đòi xem qua. Symantec khẳng định các cuộc kiểm tra trước đó đều không ảnh hưởng đến phần mềm của mình. Các phiên bản cũ của Endpoint Protection vẫn được Symantec bán đến hết năm 2017 và sẽ tiếp tục được cập nhật đến 2019.
Trong khi đó McAfee từng công bố hồi năm ngoái rằng công ty không còn cho phép chính phủ nước ngoài xem xét mã nguồn phần mềm. Hãng thừa nhận vào năm 2015, phần mềm Security Information & Event Management (SIEM) của mình đã được nhà thầu quân sự Echelon, đại diện cho FSTEC xem xét mã nguồn theo các quy định của Nga. SIEM hiện đang được Bộ tài chính và quốc phòng Hoa Kỳ sử dụng để bảo vệ hạ tầng mạng của mình.
Echelon cũng chính là tổ chức kiểm tra mã nguồn của ArcSight. Tổ chức này mô tả là bản thân là đơn vị thí nghiệm chính thức của FSB, FSTEC và Bộ quốc phòng Nga. Alexey Markov - chủ tịch của Echelon cho biết các công ty Mỹ ban đầu thường tỏ qua quan ngại về quy trình kiểm tra lấy chứng chỉ của Nga. Trong một email ông này cho biết: 'Liệu chúng có bất cứ lỗ hổng nào không? Tất nhiên là có! Không có nhiều người nắm vai trò ký kết hiểu rõ về lập trình, vì thế họ càng hoang mang. Tuy nhiên, trong quá trình làm rõ chi tiết về việc thực hiện các thủ tục chứng nhận, những nguy cơ và rủi ro sẽ được giải quyết tốt hơn.'
Markov cho biết đơn vị của ông luôn thông báo cho các công ty công nghệ trước khi công bố những lỗ hổng được phát hiện với giới chức Nga, từ đó cho phép các công ty vá các lỗ hổng. Ông nói việc xem xét mã nguồn sản phẩm sẽ 'cải thiện đáng kể độ an toàn của chúng.'
Thế nhưng ý kiến của Markov không được tán thành. Chris Inglis - Cựu phó giám đốc Cơ quan an ninh quốc gia (NSA) cho rằng: 'Khi bạn ngồi bàn với một tay chia bài bịp thì bạn không thể tin ai cả. Nếu là tôi, tôi sẽ chẳng cho ai xem mã nguồn!.'