23.8.18

Новый закон США повлияет на сертификацию ФСТЭК

13 августа 2018 года Президент США Дональд Трамп подписал закон №115-232, также известный как H.R.5515 – John S. McCain National Defense Authorization Act for Fiscal Year 2019. В отечественной прессе он рассматривался с точки зрения увеличения американского военного бюджета, но мне бы хотелось на него взглянуть с более привычной читателям моего блога точки зрения – кибербезопасности. В этом документе, занявшем 788 страниц, среди прочего затесалась неприметная статья под номером 1655, вольный перевод с английского которой звучит примерно так: «Министерство обороны США может не использовать (читай – не приобретать) ИТ- или промышленные решения, АСУ ТП или технологии кибербезопасности, если в отношении них в течение пяти лет до принятия настоящего закона или в любой момент после принятия настоящего закона иностранные организации или государственные структуры проводили анализ исходного кода упомянутых решений, используемых или планируемых к использованию министерством обороны США».

Что означает данная статья для компаний, чей исходный код инспектировался во время сертификации по требованиям безопасности в любой стране, которая установила такие требования (например, Китай, Германия или Россия)? В самом лучшем варианте – существенное усложнение процедуры продажи таких решений министерству обороны США, поскольку в положения закона уже заложена возможность отказа. В худшем сценарии возможен полный отказ МО США от использования и приобретения таких решений, что может обернуться огромными потерями для ИТ/OT/ИБ-компаний, измеряемыми десятками и даже сотнями миллионов долларов.

Какие известные нам компании поставляют свою продукцию в американское министерство обороны (обратите внимание, что речь идет не об американских компаниях, а о тех, кто имея штаб-квартиру, например, в Германии или Израиле, поставляет свою продукцию в МО США)? Вот только небольшой перечень (в алфавитном порядке):
  • Check Point
  • Cisco
  • Dell
  • Forcepoint
  • Fortinet
  • HP
  • IBM
  • McAfee
  • Microfocus (Arcsight)
  • Microsoft
  • Palo Alto
  • Rockwell
  • SAP
  • Trend Micro
  • VMware
Как можно заметить, тут и поставщики средств информационной безопасности, и гиганты ИТ-индустрии, и разработчики промышленных решений.

Как вы думаете, что будет делать компания, которая стоит перед дилеммой – сохранить минобороны США в качестве своего клиента, отказавшись от передачи исходного кода своих продуктов другим государствам, или попробовать получить новых клиентов в новых странах, которые требуют инспекции исходников (в России – сертификации на отсутствие НДВ)? Я не берусь предсказывать и тем более предполагать за руководство именитых и упомянутых ранее компаний, но что-то мне подсказывает, что они в лучшем случае приостановят все процессы сертификации, требующие передачи исходных кодов иностранным государственным структурам или организациям, упомянутым в статье 1654 обсуждаемого в заметке закона. К ним относятся организации и структуры тех стран, которые:
  • Представляют риск кибербезопасности (читай атакуют) для критической инфраструктуры граждан и финансовых систем США или коалиционных партнеров США (это те государства и военные организации, которые вместе с США участвуют в военных операциях или помогают в них США).
  • Поддерживают лиц и государства, перечисленные в предыдущем пункте.
  • Занимаются разведкой с целью подрыва национальной безопасности США.
  • Участвуют в транснациональной организованной преступности или преступной деятельности.
  • Пытаются воздействовать на цепочки поставок, созданные в интересах американского правительства.
  • Крадут интеллектуальную собственность у правительства или граждан США.

Экспресс-анализа вышеперечисленных пунктов достаточно, чтобы понять, что к государствам, которые попадают в прицел рассматриваемого закона, относится Россия (Китай тоже, но он нас сейчас не интересует). Вспоминая, что доля России в бизнесе международных ИТ/ОТ/ИБ-компаний составляет от 0,5 до 1,5 процентов, можно предположить, что мало кто из таких компаний будет рисковать своими проектами в американском военном ведомстве ради получения сертификатов на отсутствие НДВ в ФСТЭК. В худшем случае, все проекты по сертификации будут закрыты. Промежуточным решением является приостановление всех проектов, требующих предоставления исходных кодов. Иными словами, максимальный уровень сертификации, который в обозримом будущем смогут получить и перечисленные выше, и другие компании, поставляющие свои продукты в министерство обороны США, в идеальной ситуации будет шестой (А6/Б6 для МСЭ, С6 – для СОВ и т.д.). Кто-то из иностранцев и вовсе откажется от сертификации (это уже происходит), которая с легкой руки какого-нибудь Reuters может быть подана в американском информационном пространстве как нарушение принятого закона. И журналисты, не очень разбираясь в особенностях российской сертификации, могут нечаянно подставить и российское представительство, и американскую штаб-квартиру (такие случаи уже бывали).

Что это означает для российских потребителей? Предвижу существенное сокращение числа сертифицированных по требованиям ФСТЭК иностранных средств защиты. Их и так стало мало после ужесточения требований ФСТЭК (троекратное снижение), а станет еще меньше. Максимально доступный уровень сертификации будет шестым и полное отсутствие сертификатов на отсутствие НДВ (или невысокие уровни доверия в соответствие с новыми требованиями ФСТЭК, которые придут на смену НДВ в ближайшем будущем).


А что делать? Ну, государственным заказчикам и иным организациям, обязанным по закону применять сертифицированные средства защиты 5-го или 4-го классов, я не позавидую. Они и так не в состоянии были выполнить требования 17-го приказа, потому что на отечественном рынке нет продуктов с сертификатами, которые бы закрыли все требования регулятора (я про это еще напишу отдельно). А теперь у них окно возможностей сократится еще больше (при полной нерасторопности отечественных игроков, которые не торопятся выпускать продукты на замену иностранным решениям). Всем остальным компаниям я бы посоветовал посмотреть в стороны иных форм оценки соответствия, которые разрешены законодательством, не противоречат документам ФСТЭК и позволят выбрать то, что нужно заказчику, соблюдая требования действующих нормативно-правовых актов. Про то, как это сделать и какие формы оценки соответствия являются легальными в России, я также напишу отдельно, а может быть даже и организую в ближайшие пару-тройку недель отдельный вебинар.


3 коммент.:

Анонимный комментирует...

Железный занавес всё ближе...

krocodl комментирует...

Гм, а как же используемые Open Source компоненты???

Алексей Лукацкий комментирует...

[b]krocodl:[/b] а для open source есть другие требования