13 августа 2018 года Президент США Дональд Трамп подписал закон №115-232, также известный как H.R.5515 – John S. McCain National Defense Authorization Act for Fiscal Year 2019. В отечественной прессе он рассматривался с точки зрения увеличения американского военного бюджета, но мне бы хотелось на него взглянуть с более привычной читателям моего блога точки зрения – кибербезопасности. В этом документе, занявшем 788 страниц, среди прочего затесалась неприметная статья под номером 1655, вольный перевод с английского которой звучит примерно так: «Министерство обороны США может не использовать (читай – не приобретать) ИТ- или промышленные решения, АСУ ТП или технологии кибербезопасности, если в отношении них в течение пяти лет до принятия настоящего закона или в любой момент после принятия настоящего закона иностранные организации или государственные структуры проводили анализ исходного кода упомянутых решений, используемых или планируемых к использованию министерством обороны США».
Что означает данная статья для компаний, чей исходный код инспектировался во время сертификации по требованиям безопасности в любой стране, которая установила такие требования (например, Китай, Германия или Россия)? В самом лучшем варианте – существенное усложнение процедуры продажи таких решений министерству обороны США, поскольку в положения закона уже заложена возможность отказа. В худшем сценарии возможен полный отказ МО США от использования и приобретения таких решений, что может обернуться огромными потерями для ИТ/OT/ИБ-компаний, измеряемыми десятками и даже сотнями миллионов долларов.
Какие известные нам компании поставляют свою продукцию в американское министерство обороны (обратите внимание, что речь идет не об американских компаниях, а о тех, кто имея штаб-квартиру, например, в Германии или Израиле, поставляет свою продукцию в МО США)? Вот только небольшой перечень (в алфавитном порядке):
Как вы думаете, что будет делать компания, которая стоит перед дилеммой – сохранить минобороны США в качестве своего клиента, отказавшись от передачи исходного кода своих продуктов другим государствам, или попробовать получить новых клиентов в новых странах, которые требуют инспекции исходников (в России – сертификации на отсутствие НДВ)? Я не берусь предсказывать и тем более предполагать за руководство именитых и упомянутых ранее компаний, но что-то мне подсказывает, что они в лучшем случае приостановят все процессы сертификации, требующие передачи исходных кодов иностранным государственным структурам или организациям, упомянутым в статье 1654 обсуждаемого в заметке закона. К ним относятся организации и структуры тех стран, которые:
Экспресс-анализа вышеперечисленных пунктов достаточно, чтобы понять, что к государствам, которые попадают в прицел рассматриваемого закона, относится Россия (Китай тоже, но он нас сейчас не интересует). Вспоминая, что доля России в бизнесе международных ИТ/ОТ/ИБ-компаний составляет от 0,5 до 1,5 процентов, можно предположить, что мало кто из таких компаний будет рисковать своими проектами в американском военном ведомстве ради получения сертификатов на отсутствие НДВ в ФСТЭК. В худшем случае, все проекты по сертификации будут закрыты. Промежуточным решением является приостановление всех проектов, требующих предоставления исходных кодов. Иными словами, максимальный уровень сертификации, который в обозримом будущем смогут получить и перечисленные выше, и другие компании, поставляющие свои продукты в министерство обороны США, в идеальной ситуации будет шестой (А6/Б6 для МСЭ, С6 – для СОВ и т.д.). Кто-то из иностранцев и вовсе откажется от сертификации (это уже происходит), которая с легкой руки какого-нибудь Reuters может быть подана в американском информационном пространстве как нарушение принятого закона. И журналисты, не очень разбираясь в особенностях российской сертификации, могут нечаянно подставить и российское представительство, и американскую штаб-квартиру (такие случаи уже бывали).
Что это означает для российских потребителей? Предвижу существенное сокращение числа сертифицированных по требованиям ФСТЭК иностранных средств защиты. Их и так стало мало после ужесточения требований ФСТЭК (троекратное снижение), а станет еще меньше. Максимально доступный уровень сертификации будет шестым и полное отсутствие сертификатов на отсутствие НДВ (или невысокие уровни доверия в соответствие с новыми требованиями ФСТЭК, которые придут на смену НДВ в ближайшем будущем).
А что делать? Ну, государственным заказчикам и иным организациям, обязанным по закону применять сертифицированные средства защиты 5-го или 4-го классов, я не позавидую. Они и так не в состоянии были выполнить требования 17-го приказа, потому что на отечественном рынке нет продуктов с сертификатами, которые бы закрыли все требования регулятора (я про это еще напишу отдельно). А теперь у них окно возможностей сократится еще больше (при полной нерасторопности отечественных игроков, которые не торопятся выпускать продукты на замену иностранным решениям). Всем остальным компаниям я бы посоветовал посмотреть в стороны иных форм оценки соответствия, которые разрешены законодательством, не противоречат документам ФСТЭК и позволят выбрать то, что нужно заказчику, соблюдая требования действующих нормативно-правовых актов. Про то, как это сделать и какие формы оценки соответствия являются легальными в России, я также напишу отдельно, а может быть даже и организую в ближайшие пару-тройку недель отдельный вебинар.
Что означает данная статья для компаний, чей исходный код инспектировался во время сертификации по требованиям безопасности в любой стране, которая установила такие требования (например, Китай, Германия или Россия)? В самом лучшем варианте – существенное усложнение процедуры продажи таких решений министерству обороны США, поскольку в положения закона уже заложена возможность отказа. В худшем сценарии возможен полный отказ МО США от использования и приобретения таких решений, что может обернуться огромными потерями для ИТ/OT/ИБ-компаний, измеряемыми десятками и даже сотнями миллионов долларов.
Какие известные нам компании поставляют свою продукцию в американское министерство обороны (обратите внимание, что речь идет не об американских компаниях, а о тех, кто имея штаб-квартиру, например, в Германии или Израиле, поставляет свою продукцию в МО США)? Вот только небольшой перечень (в алфавитном порядке):
- Check Point
- Cisco
- Dell
- Forcepoint
- Fortinet
- HP
- IBM
- McAfee
- Microfocus (Arcsight)
- Microsoft
- Palo Alto
- Rockwell
- SAP
- Trend Micro
- VMware
Как вы думаете, что будет делать компания, которая стоит перед дилеммой – сохранить минобороны США в качестве своего клиента, отказавшись от передачи исходного кода своих продуктов другим государствам, или попробовать получить новых клиентов в новых странах, которые требуют инспекции исходников (в России – сертификации на отсутствие НДВ)? Я не берусь предсказывать и тем более предполагать за руководство именитых и упомянутых ранее компаний, но что-то мне подсказывает, что они в лучшем случае приостановят все процессы сертификации, требующие передачи исходных кодов иностранным государственным структурам или организациям, упомянутым в статье 1654 обсуждаемого в заметке закона. К ним относятся организации и структуры тех стран, которые:
- Представляют риск кибербезопасности (читай атакуют) для критической инфраструктуры граждан и финансовых систем США или коалиционных партнеров США (это те государства и военные организации, которые вместе с США участвуют в военных операциях или помогают в них США).
- Поддерживают лиц и государства, перечисленные в предыдущем пункте.
- Занимаются разведкой с целью подрыва национальной безопасности США.
- Участвуют в транснациональной организованной преступности или преступной деятельности.
- Пытаются воздействовать на цепочки поставок, созданные в интересах американского правительства.
- Крадут интеллектуальную собственность у правительства или граждан США.
Экспресс-анализа вышеперечисленных пунктов достаточно, чтобы понять, что к государствам, которые попадают в прицел рассматриваемого закона, относится Россия (Китай тоже, но он нас сейчас не интересует). Вспоминая, что доля России в бизнесе международных ИТ/ОТ/ИБ-компаний составляет от 0,5 до 1,5 процентов, можно предположить, что мало кто из таких компаний будет рисковать своими проектами в американском военном ведомстве ради получения сертификатов на отсутствие НДВ в ФСТЭК. В худшем случае, все проекты по сертификации будут закрыты. Промежуточным решением является приостановление всех проектов, требующих предоставления исходных кодов. Иными словами, максимальный уровень сертификации, который в обозримом будущем смогут получить и перечисленные выше, и другие компании, поставляющие свои продукты в министерство обороны США, в идеальной ситуации будет шестой (А6/Б6 для МСЭ, С6 – для СОВ и т.д.). Кто-то из иностранцев и вовсе откажется от сертификации (это уже происходит), которая с легкой руки какого-нибудь Reuters может быть подана в американском информационном пространстве как нарушение принятого закона. И журналисты, не очень разбираясь в особенностях российской сертификации, могут нечаянно подставить и российское представительство, и американскую штаб-квартиру (такие случаи уже бывали).
Что это означает для российских потребителей? Предвижу существенное сокращение числа сертифицированных по требованиям ФСТЭК иностранных средств защиты. Их и так стало мало после ужесточения требований ФСТЭК (троекратное снижение), а станет еще меньше. Максимально доступный уровень сертификации будет шестым и полное отсутствие сертификатов на отсутствие НДВ (или невысокие уровни доверия в соответствие с новыми требованиями ФСТЭК, которые придут на смену НДВ в ближайшем будущем).
А что делать? Ну, государственным заказчикам и иным организациям, обязанным по закону применять сертифицированные средства защиты 5-го или 4-го классов, я не позавидую. Они и так не в состоянии были выполнить требования 17-го приказа, потому что на отечественном рынке нет продуктов с сертификатами, которые бы закрыли все требования регулятора (я про это еще напишу отдельно). А теперь у них окно возможностей сократится еще больше (при полной нерасторопности отечественных игроков, которые не торопятся выпускать продукты на замену иностранным решениям). Всем остальным компаниям я бы посоветовал посмотреть в стороны иных форм оценки соответствия, которые разрешены законодательством, не противоречат документам ФСТЭК и позволят выбрать то, что нужно заказчику, соблюдая требования действующих нормативно-правовых актов. Про то, как это сделать и какие формы оценки соответствия являются легальными в России, я также напишу отдельно, а может быть даже и организую в ближайшие пару-тройку недель отдельный вебинар.