Grote technologiebedrijven lieten Russen broncode beveiligingssoftware bekijken

Een aantal grote softwaremakers lijken wat fouten gemaakt te hebben ten aanzien van hun Rusland-beleid. Bedrijven als SAP, Symantec en McAfee hebben de Russische overheid toegestaan op zoek te gaan naar kwetsbaren in hun software. Het gaat dan om software die veel gebruikt wordt door de Amerikaanse overheid.

Dat meldt persbureau Reuters op basis van uitgebreid onderzoek. De praktijk brengt de veiligheid van de computernetwerken in meer dan een dozijn Amerikaanse federale agentschappen in gevaar. Het gaat verder om meer bedrijven dan alleen de drie die we eerder genoemd hebben.

Russische defensie eist toegang

Als een technologiebedrijf een product wil verkopen op de Russische markt, moet het de Russische defensie toestaan om de broncode daarvan te bekijken. Dat is volgens de Russische overheid nodig om te kunnen controleren of de software ook echt veilig is voor gebruik. Tegelijk stelt men zich er daarmee van te vergewissen dat hackers niet zomaar toegang krijgen tot belangrijke overheidsgegevens.

Maar diezelfde producten beveiligen ook delen van de Amerikaanse overheid. Het gaat daarbij onder meer om het Pentagon, de NASA, FBI en andere inlichtingendiensten. Die software beschermt deze onderdelen van de Amerikaanse overheid juist tegen hackersaanvallen. Maar als de Russen de software standaard kunnen checken op kwetsbaarheden, lijkt dat geen realistisch doel.

Geen gevaar

In een reactie laten McAfee, SAP en Symantec weten dat alle onderzoeken naar de broncode in een veilige omgeving en onder supervisie van de bedrijven zelf plaatsvinden. Dat houdt in dat niemand wijzigingen kan aanbrengen in de code, en ook niets kan verwijderen. Volgens hen zou de veiligheid van de producten dan ook niet in geding zijn.

Toch hebben sommige van de bedrijven besloten hun beleid aan te passen en staan onder meer Symantec en McAfee controles van hun broncode niet langer toe. Reuters laat verder weten dat het geen geval kon vinden waarbij broncode die gecontroleerd is misbruikt is voor het uitvoeren van cyberaanvallen. In die zin lijken de bedrijven gelijk te hebben.

Tegelijkertijd is het volgens experts die met Reuters spraken zo dat het wel makkelijker is om aanvallen uit te voeren met kennis van de broncode. De vraag is voorlopig dus nog of er wel gevolgen aan klampen, maar heel handig lijkt dit beleid in elk geval niet te zijn geweest.