Vista Equity Partners покупает Websense

20-го мая инвестиционный фонд Vista Equity Partners объявил о намерении приобрести известную и в России ИБ-компанию Websense. Интересных моментов в этой сделке несколько. Во-первых, это сумма сделки, которая не только открыта, но и достаточно велика, чтобы считать эту сделку одной из самых крупных рынке ИБ-поглощений за последние годы. Величина сделки - около 1 миллиарда долларов (оборот Websense около 360 миллионов). Во-вторых, Websense вел переговоры с несколькими покупателями. И судя по размеру сделки, эти покупатели были явно из первой пятерки игроков ИТ-рынка (что-нибудь уровня Dell, Oracle и т.п.). В-третьих, после поглощения Websense станет непубличной компанией.

Но самое интересное - это имя покупателя. Не могу сказать, что Vista сильно известна на рынке ИБ и даже ИТ своими поглощениями. В их портфолио 27 компаний, большинство из которых предлагали или предлагают различные отраслевые ИТ-решения - для рынка недвижимости, управления кадрами, ритейла, здравоохранения, бухгалтерии, библиотек и т.п. Причем большинство поглощенных Vista в последнее время компаний предлагают свои услуги по аутсорсинговой или облачной (SaaS) модели. А еще все без исключения поглощенные компании имеют ярко выраженную отраслевую направленность. Нет ни одной компании, решения которой были бы интересны всем без исключения. Очень сфокусированные приобретения. На этом фоне покупка Websense немного выбивается из общей картины.

Что касается будущего Websense, то пока прогнозы строить рано. Менеджмент заявляет о продолжении развития компании, но цель приобретения и стратегия развития после поглощения как обычно не озвучена. Кроме стойкого желания продать купленный актив подороже ничего не понятно. Но с продажей подороже тоже не все просто. Купить компанию дороже чем за миллиард?.. Таких покупателей не так и много в мире. Раздробить на мелкие части и продать по отдельности? Что-то не припомню на рынке ИБ таких сделок. В общем будем следить, как и за судьбой инвестиционного фонда Thoma Bravo, накупившего немало ИБ-компаний.

О грядущем PHDays III, Жириновском, будущем молодежи, SDLC и другие размышления

Осталось всего два дня до начала третьего форума Positive Hack Days. Пора уже рассказать о том, что я там буду делать и прокомментировать некоторые одиозные высказывания людей, далеких от понимания того, что и ради чего организовывается на PHD.

Начну с конца - в первый день я буду модерировать секцию про SDLC, в которой примут участие Антон Карпов (руководитель службы ИБ Яндекса), Денис Баранов (руководитель группы по безопасности Web-приложений), Рустем Хайретдинов (генеральный директор Appercut Security) и ваш покорный слуга. Говорить мы будем о анализе качества кода с точки зрения информационной безопасности. Антон и я будем делиться практическим опытом того, как это устроено в наших компаниях (Яндекс и Cisco), а Денис и Рустем расскажут о том, как использовать SAST/DAST/IAST в контексте поиска уязвимостей и поиске закладок в исходном коде. Ну и нельзя будет обойти вниманием вопрос реализации механизма работы автоматического анализа в виде локального сканера и облачного сервиса. И хотя времени на секцию выделено немного, попробуем осветить ключевые моменты и сделать ее практической.

Вторая секция является "молодежной". Аннотация у нее следующая: "Сегодня, в 2013-м году мы находимся на пороге серьезных изменений в отрасли информационной безопасности, которые коренным образом меняют современную картину мира многих специалистов в области ИБ. Stuxnet, Duqu, Flame, Red October, Wikileaks, «Лунный лабиринт», операция «Аврора»… Атаки становятся изощреннее, а методы борьбы с ними остаются прежними. Прежние люди, отдавшие службе Родине не один десяток лет, прежние документы, мало поменявшиеся с 90-х годов. При этом современная молодежь чувствует себя лишней на этом «празднике жизни». Снижение качества образования в области информационной безопасности, нехватка специалистов, ориентация на «бумажную безопасность»… Все это отторгает молодежь от современной отечественной отрасли ИБ. Она не до конца понимает, чем она может пригодиться своей Родине. У многих молодых выпускников возникает понятное желание побыстрее заработать на своих знания, что зачастую приводит к уходу одаренных специалистов в полукриминальный или полностью криминальный бизнес; в киберпреступность. Как бороться с этой проблемой? Какие шаги предпринимают государство и бизнес для решения данной задачи? Как направить свои знания и умения в правильное русло? Об этом пойдет разговор на секции, куда приглашены представители всех основных «профильных» организаций, ответственных за информационную безопасность в Российской Федерации".

Иными словами на этой секции не будет хардкора, не будет техники, не будет шоу. Будет серьезный разговор представителей Совета Федерации, Министерства связи и массовых коммуникаций,  ЦИБ ФСБ, представителей ruCTF и Defcon Russia, представителей бизнеса с участниками PHD, с молодежью. Не будет нравоучений. Будет интересная дисскусия. Причем не односторонняя, а с активным участием тех, на кого и рассчитана секция.

Теперь насчет Жириновского. В Твиттере и ФБ началась истерия с использованием эпитетов к самому спикеру и PHD - "шапито", "клоуны", "цирк" и т.п. Отдельные личности, которым, видимо, не дает спокойно спать успех PHD, заявляют о том, что организаторы, не умея рекламировать PHD (хотя хорошее мероприятие в рекламе не нуждается), пытаются завлечь "левую" аудиторию и прессу на свою конференцию. Они же заявляют о том, что не дело на хардкорной конференции привлекать "Сару Пейлин" местного разлива. Отвечаю. Где, написано, что PHD - это хардкорное мероприятие? Где написано, что вообще техническое?

Заходим на сайт и читаем "международный форум по практической безопасности, организованный компанией Positive Technologies. Беспрецедентный по масштабу ИБ-марафон, объединяющий на одной площадке специалистов с разных сторон баррикад, теорию и практику, профессиональную дискуссию и захватывающие соревнования. На PHDays III соберется рекордное число участников — более 2000 человек, среди которых ведущие эксперты в области ИБ, важнейшие фигуры хакерской сцены, студенты и молодые ученые, представители государственных организаций, CIO и CISO крупнейших российских и зарубежных компаний". Что видим? Теория и практика, разные стороны баррикад, госорганы и бизнес, ученые и студенты... Где хардкор? В том-то и прелесть этого мероприятия, что в нем найдет баланс между техническими и бизнесовыми докладами, между правовыми и практическими аспектами ИБ, между выступления бизнеса и госорганов. Я уже в третий раз буду участвовать в PHD и могу сказать, что никогда не рассматривать его как хакерскую тусовку. даже в самый первый раз я там читал тему про кибервойны и про законодательное регулирование криптографии в России. Во второй раз говорил опять про законодательство и про плохие документы ФСТЭК. В этот раз с моими темами докладов (опять про законодательство и про безопасность M2M) меня завернули, но и без этого в программе немало "бизнесовых" выступлений, которые не тянут на хардкор, но при этом не менее интересны.

Могу отметить один интересный момент в программе. Речь идет об активном участии ФСТЭК в мероприятии. В этом году будет закрытая сессия ФСТЭК с рассказом об инспекционных проверках, а также сессия ФСТЭК про сертифицированные СЗИ и недостатки современной системы сертификации средств защиты, а также пути выхода из сложившейся ситуации. Один из редких случаев, когда регулятор готов выслушать пожелания индустрии и учесть их в своих нормативных документах (а они готовятся).

Но вернемся к Жириновскому. На этом фоне, выступление чиновника (пусть даже и уровня вицеспикера Госдумы) не выглядит чем-то из ряда вон выходящим. А в секции про роль молодежи в России и подавно. Он не будет участвовать в секциях по безопасности АСУ ТП (а их много на PHD), и слушать про бизнес-модели киберпреступности тоже. Его задача ответить на вопросы касательно усилий государства в части поддержки молодежи. И для этой задачи он как никто лучше подходит. Кстати, на тему клоунады. Мне довелось на Парламентских слушаниях (не под камеру) его несколько раз видеть и слышать и могу сказать, что глупостей он не говорит. Более того, если отбросить его особую манеру говорить, то в его словах обычно скрывает потаенный смысл (особенно учитывая, что он часто говорит то, что потом наши власти реализуют на практике). Поэтому его будет интересно послушать. Но это далеко не все сюрпризы, которые будут на "молодежной" секции. Будет очень интересное выступление от Центра информационной безопасности ФСБ России, но предвосхищать его я не буду. Вас ждут два сюрприза! Приходите - сами все увидите и услышите ;-) Будет интересно!

PS. Да, кстати. Будет у меня еще одно выступления, как от представителя спонсора ;-) Расскажу о предлагаемых Cisco продуктах в области ИБ, о которых мало кто вообще слышал в России - о CTD, о WAF, и о AntiDDoS ;-) Аккурат на 15 минут ;-)

Обновленная статистика по нормотворчеству в области ИБ в России

Обновил статистику по появлению нормативных актов по ИБ в России. Озвученная полгода назад цифра в 4-5 нормативных акта в месяц остается в силе - темп наши законодатели и регуляторы пока не снижают. Вот так выглядит разбивка по месяцам с июня 2011-го года.

А вот так выглядит статус этих нормативных актов - 3/4 из них обязательны к применению.

Около трети нормативных актов находится в статусе проектов, а значит в этом и следующем году нас ждет еще немало сюрпризов по части регуляторики. Расслабиться нам точно не дадут.

Если до 2011-го года большинство нормативных актов принималось на уровне ведомственных актов, то сейчас преимущество на стороне Федеральных законов и Постановления Правительства.

В числе инициаторов принимаемых нормативных актов традиционные лидеры - Банк России, ФСТЭК, ФСБ, Роскомнадзор, Минкомсвязь.

И больше всего регулируется у нас сфера финансовая - банки и участники национальной платежной системы (тут ничего не поменялось). На втором мете госорганы и мцниципальные учреждения. На третьем операторы связи.

Jaibreak or not jailbreak?

Я не буду подробно говорить о СКЗИ для iOS, которая для своей установки требует jailbreak. Это, на мой взгляд, не вина разработчика. У него простой выбор - сделать продукт, востребованный рынком, или не делать его. Очевидно, что потребность в сертифицированной криптографии для смартфонов и планшетников компании Apple достаточно высока и было бы неправильным не воспользоваться такой возможностью увеличить свои доходы. Дальше разработчик начинает анализировать возможность реализации продукта с учетом требований будущей сертификации и понимает, что для успешного прохождения 8-го Центра и ЦЛСЗ ФСБ и получения заветной бумажки необходимо обойти ограничения, установленный компанией Apple (т.е. произвести jailbreak). И он, взвесив все "за" и "против" выпускает такой продукт и сертифицирует его в ФСБ. При этом сам разработчик, как бы и не нарушает ничего, т.к. jailbreak должен делать не он, а потребитель, купивший сертифицированную систему криптографической защиты. 

Потребитель тоже стоит перед выбором и взвешивает, какие риски выше? Применения несертифицированной СКЗИ на легальной iOS (например, Cisco AnyConnect или множества иных VPN-клиентов) или сертифицированной СКЗИ на "взломанной" iOS? При этом варианты использование специализированного прикладного ПО с встроенной сертифицированной СКЗИ я не рассматриваю - спектр их применения не очень велик ввиду их заточенности под конкретные применения.

Но дело не в рисках потребителя (а вопрос применения в этом случае 146-й статьи УК РФ вполне может стоять на повестке дня - нашелся бы тот, кто подаст в суд на нарушителя). И не в рисках производителя. Я бы хотел посмотреть на ситуацию в контексте поведения регулятора, вынуждающего разработчиков и потребителей нарушать законодательство об интеллектуальной собственности. При этом сам регулятор в лице 8-го Центра открещивает от таких обвинений. Они говорят: "А мы тут ни причем. Никто никого не заставляет нарушать авторские права. Просто у нас есть требования по сертификации, а уж как их выполнить, это не наша проблема".

ФСБ - не единственный регулятор, который "не смотрит" на интеллектуальную собственность разработчиков средств защиты. ФСТЭК в своей системе сертификации средств защиты по требованиям безопасности тоже не сильно "напрягается" на эту тему. Иначе как еще можно объяснить возможность подачи заявки на сертификацию средств защиты, минуя разработчика? Вообще это нонсенс - компания-разработчик узнает о проведенной сертификации либо задним числом, либо вообще может не знать о том, что кто-то взял ее продукт, "распотрошил" его с целью оценки защитных свойств и выдал на результат потрошения сертификат соответствия! А ведь именно так и обстоит дело с большинством продуктов иностранного происхождения, присутствующих на российском рынке. В массе своей заявителями сертификации по линии ФСТЭК являются либо продавцы средств защиты, либо покупатели. Не буду говорить за других вендоров, но по Cisco, в реестре сертифицированных средств защиты присутствует около 30-40 сертификатов на маршрутизаторы Cisco ISR и столько же примерно на межсетевые экраны Cisco ASA 5500. При этом большая часть сертификатов выдана на схожие версии продуктов, но в сертификатах указаны разные заявители, разные классы защищенности МСЭ, разные классы АС/ИСПДн, в которых возможно применение средств защиты, разные ограничения на эксплуатацию... И при этом Cisco про эти сертификации никто не уведомлял. Все бы ничего, если бы такие сертификационные исследования не были бы запрещены партнерскими договорами и лицензионными соглашениями. Но при приеме средства защиты на сертификацию этот вопрос обходится вниманием. Допускаю, что по незнанию, но проблема от этого менее острой не становится.

Аналогичная ситуация с описанными вчера недекларированными возможностями. Средство защиты американского происхождения подают на сертификацию на отсутствие НДВ. Замечательно. Очень важно и нужно! А кто-нибудь побеспокоился узнать, выдана ли Минпромторгом США лицензия на проведения таких работ? Точнее на передачу конфиденциальной информации, подпадающей под экспортные ограничения, для проведения таких работ?

Да и фиг с ним, с правом на интеллектуальную собственность. Это все буржуйские заморочки и нарушение прав потребителей, которые могут делать с купленным товаром все, что угодно. Распространенная точка зрения. Именно ею мотивируют jailbreak'и многие его сторонники. Я не буду говорить, что с точки зрения безопасности тот же jailbreak это хорошо. Он не дает запускаться приложениям с административными привилегиями. Он не дает осуществлять некоторые системные вызовы и обращаться к некоторым областям памяти. Он создает для приложений некий аналог "песочницы". Он не дает копировать/красть установленные приложения. И вообще он не дает устанавливать "левые", непроверенные приложения.

Для рядового пользователя (физлица) это все не так и критично. А для корпоративного? Тут картина меняется. Да, последние внесенные изменения в закон DMCA сделали процедуру jailbreak легальной, а точнее ненаказуемой. Аналогичная ситуация и в России и в ряде других стран, но... гарантия производителя на телефон в этом случае теряется и гарантийному ремонту он уже не подлежит. При этом Apple сообщает о том, что пользователи, осуществившие jailbreak столкнулись с рядом серьезных проблем:

• снижение уровня защищенности, кража конфиденциальной информации, проникновение вредоносных программ
• нестабильная работа
• снижение времени автономной работы
• неработающие службы
• невозможность обновления и т.д.

Не знаю насколько это информация верна, но это официальная позиция производителя, который открыто заявляет, что поддерживать такие устройства не намерен. Возникает закономерный вопрос - готова ли компания внедрить у себя сертифицированную в ФСБ СКЗИ, если условием ее установки станет полная потеря гарантии производителя на планшетник или смартфон и потенциальные проблемы с работой служб и приложений на устройстве? Где проходит грань?

Аналогичная ситуация с подменой стандартной библиотеки MS GINA, которую часто подменяют для реализации расширенных процедур входа в систему на базе Windows. На сайте Microsoft четко написано, что да, третьи лица часто подменяют MS GINA для своих целей (например, подключение аутентификации по токену или расширение стандартной парольной аутентификации биометрией), но это несет за собой риски некорректной загрузки системы или даже невозможности такой загрузки. Безусловно гарантия, которая по лицензионному соглашению Microsoft и так не сильно велика, в этом случае может быть утеряна. Схожая ситуация с встраиванием отечественной сертифицированной криптографию в продукцию Microsoft. Как прямо заявляют разработчики "MS не предоставил способа "честно" встраивать локализованную криптографию".

И вновь вопрос - кто виноват больше, разработчик, вынужденный нарушать авторское право другого разработчика, или регулятор, который своими требованиями (или отсутствие требований) вынуждает разработчика так поступать? Вопрос, конечно, риторический, но учитывая активное движение России в сторону признания международных норм по защите интеллектуальной собственности (у нас даже специальная Федеральная служба создана) может быть пора и задуматься и поменять требования как к средствам защиты, так и к оценке их соответствия.

Приказ ФСТЭК по ПДн зарегистрирован в Минюсте

15 мая долгожданный приказ ФСТЭК №21 от 18 февраля 2013 года "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" был зарегистрирован в Минюсте. В ближайшие пару дней он должен попасть в реестр зарегистрированных нормативных актов, а в течение недели он должен быть официально опубликован.

Для тех, кому лень ждать официального опубликования и хочется поскорее узнать, что же написано в приказе, рекомендую посмотреть запись семинара RISSPA, который проводился в марте. Презентация до сих пор актуальна.

Мое мнение об этом приказе не изменилось ;-) Я считаю, что это один из лучших документов, которые выпускался не только ФСТЭК, но и всеми другими регуляторами по ИБ. Есть ли к нему претензии? Наверное есть. Вон Ригель целый пост недавно написал с критикой. Мол фермеры его не поймут. Увы... Квалификацию каждого фермера не учтешь. Планируемые документы ФСТЭК по моделированию угроз и по разъяснению содержания конкретных мер вместе с 21-м приказом должны составить неплохую триаду требований по защите персональных данных.

По сути, ФСТЭК в итоге вышла на те же нормы, что прописаны в Евроконвенции - оператор самостоятельно выбирает меры защиты исходя из актуальных угроз, особенной обработки ПДн, применяемых технологий и адекватности защиты наносимому ущербу. Да, хорошо бы, если бы эта идея была прописана сразу в ФЗ-152; тогда бы не пришлось городить огород с ПП-1119 и подзаконными актами. Но что есть, то есть. ФСТЭК работала в тех условиях и при тех исходных данных, которые были спущены сверху. Поменять ФЗ-152 или ПП-1119 ФСТЭК не в состоянии.

Ну и в заключение поста напомню, что за последнее время было принято еще несколько нормативных актов по части ПДн:

• приказ РКН "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных"
• закон "О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".

Европа должна в ближайшее время принять новую редакцию Евроконвенции. В следующем году станет ясно, в каком варианте будут приняты новые Директивы по ПДн. В обозримом будущем должен быть принят приказ РКН по методам обезличивания, приказ ФСБ по шифрованию ПДн, отраслевая модель угроз ПДн Банка России. Из менее понятных с точки зрения прогнозов могут быть приняты поправки в КоАП по увеличению штрафов за нарушение правил обработки ПДн, проект Постановления Правительства по надзору в сфере ПДн, поправки в ФЗ-152, законопроект Аксакова, новые составы в ст.13.12 КоАП за нарушение правил защиты информации.

Так что этот год станет очень насыщенным с точки зрения законодательства по ПДн. Очень насыщенным...

Обновление программы курса по защите информации в НПС

Обновил программу курса по НПС. В текущей версии 1.9 добавлены следующие темы

• Поправки в ФЗ о банках и банковской деятельности и «О центральном банке»
• Указание от 25.06.2012 №2840-У по операционным рискам
• План работ ТК122 
• Стандарт безопасности банкоматов и платежных терминалов (ЦБ, ГУУР и ГУВО МВД, АРБ)
• Деятельность Ассоциации НПС
• Легитимность применения СКЗИ иностранного производства
• Национальный операционный клиринговый центр
• Национальная система фрод-мониторинга
• Проект Плана мероприятий Банка России по реализации Стратегии развития национальной платежной системы в контексте защиты информации
• Почему следователи отказывают в возбуждении уголовных дел по ст.159

Как провести поиск НДВ в продукции американского происхождения

Межпраздничная дискуссия в блоге и в Фейсбуке в очередной раз высветила некоторые проблемы с оценкой соответствия в форме поиска недекларированных возможностей и доказывания их отсутствия. Если посмотреть на проблему с точки зрения американской компании. Таких исследований, к счастью, никто не проводил, но по моим личным оценкам из 65-70% средств защиты иностранного происхождения присутствующих в России, до 75-80% из них приходится на продукцию, изготавливаемую в США. Поэтому рассмотрение проблемы в таком аспекте является достаточно интересным для достаточно широкого круга специалистов (особенно в органах по сертификации, испытательных лабораториях, экспертных организациях и регуляторах).

Итак, недекларированные возможности. Даже сертификация на 4-й уровень их отсутствия требует предоставления достаточно чувствительной информации. Исходные коды только один из вариантов такой информации, причем далеко не всегда самый важный и критичный. Например, для компании, выпускающей программно-аппаратные, а не только программные средства защиты, гораздо более конфидениальной является информация о системотехнике, архитектуре, функциональные спецификации и т.п. Предоставление этой информации относится к лицензируемому виду деятельности и требует разрешения от Бюро по промышленности и безоппасности, являющегося частью Министерство торговли США. Задача данного подразделения - блюсти экономические интересы США и контролировать среди прочего экспорт высоких технологий и технологий двойного назначения. В частности в т.н. Commerce Control List (CCL) есть параграф "5A002 "Information security" systems, equipment and components therefor, as follows". В него (он не единственный, но один из основных) входит немало того, что требует получения лицензии американского Минпромторга. Также к контролируемым относятся позиции 5A992 и 5B002. Иными словами первый вопрос, на который надо ответить, ЧТО экспортируется и средства защиты, включая средства шифрования, а также элементы, разработанные для работы средств защиты (специальные модули, операционные системы, приложения, микросхемы и т.п.) полностью подпадают под экпортные ограничения из США.

Однако ответа на вопрос ЧТО недостаточно для принятия решения об экспорте средств защиты. Надо ответить на вопрос КУДА, т.е. определить страну, в которую будет экспортироваться средство защиты. У Минпромторга есть регулярно обновляемая т.н. Commerce Country Chart, которая содержит список стран с указанием причины экспортного контроля. Как можно заметить Россию включили в этот список по направлениям "химическое и биологическое оружие", "национальная безопасность", "стабильность в регионе" и "преступность". Иными словами, средства защиты, будучи контролируемыми вообще, могли и не попасть под контроль для России, но увы... Если посмотреть на CCL, то в нем против каждой контролируемой позиции указаны причины (для средств защиты - это "национальная безопасность" и "антитерроризм".

Затем мы должны ответить на вопросы КТО будет использовать то или иное средство защиты. Например, поставка средств защиты в государственные органы контролируется более серьезно, чем в коммерческие предприятия и уж тем более в малый бизнес. А вообще в США есть несколько "черных" списков стран, организаций и лиц, которым запрещена поставка той или иной продукции. И, наконец, последний вопрос - ЗАЧЕМ. Может быть в производстве оружия массового поражения?

Исходя из ответов на эти 4 вопроса (на самом деле достаточно первых двух) делается вывод о том,  что в Россию из США средства защиты, средства шифрования, а также сопутствующая им информация попадает только после получения соответствующего разрешения американского Минпромторга. В каких-то случаях, это делает легко и автоматически (производителем), в каких-то - требуется серьезная и длительная процедура согласований и обоснований. К последним относится и предоставление исходных кодов, архитектуры, функциональных спецификаций, различные схемы чипов и т.д.

Что это все значит? Только одно - сертификация средств защиты, разработанных американской компанией, на отсутствие НДВ, даже если физически программисты сидят в Индии и сборка средства защиты осуществляется в Китае, требует получения соответствующего разрешения Бюро промышленности и безопасности Минпромторга США. Если же у компании нет соответствующей лицензии, а сертификат на НДВ есть, то это значит, что произошло одно из трех событий:

• Американская компания нарушила американское законодательство. Это очень чревато для американского производителя. Очень! Рисковать своим бизнесом ради сомнительной выгоды продать своих средств защиты в Россию на дополнительные даже 20 миллионов долларов никто не будет.
• ФСТЭК наложила множество ограничений на использование сертифицированного средства защиты и все они должны быть прописаны в технических условиях, прилагаемых к сертификату (и которые часто скрываются заявителем или испытательной лабораторией).
• Испытательная лаборатория или орган по сертификации закрыли глаза на отсутствие исходных кодов или использовали какие-нибудь обходные маневры.

Иногда звучит тезис, что достаточно вывезти специалистов сертификационной лаборатории в США и они там проведут все проверочные испытания, после чего, вернувшись, смогут выдать заключение о присутствии или отсутствии недекларированных возможностей. При этом считается, что никаких исходных кодов передавать в Россию не надо и поэтому никаких лицензий Минпромторга получать не требуется. Это неверно. Под экспортный контроль попадает не передача исходных кодов, а передача чувствительной информации, спектр которой очень широк и часть этой информации обязательно попадает в отчет, который пишется (или как минимум проверяется и читается) уже в России. Поэтому если исходные коды и не передаются, то передается архитектура защитного средства, его функциональные спецификации и другая конфиденциальная информация. А это также требует получения лицензии Минпромторга США.

Собственно к чему этот рассказ? К тому, что передача исходных кодов за пределы России - это не такая уж и простая процедура (срок получения лицензии американского Минпромторга может составлять до года и более). И идет на нее далеко не каждый разработчик средств защиты - требуется серьезное обоснование (бизнес-кейс). И очевидно, что процесс поглощений и слияний также влияет на перспективы того или иного иностранного игрока, действующего в России. Если у какой-либо неамериканской компании был сертификат на отсутствие НДВ, то такой сертификат может быть и не продлен после ее поглощения или срок его получения существенно возрастет по сравнению с первоначальными оценками.