Urząd Komisji Nadzoru Finansowego w nowym piśmie sektorowym zaleca instytucjom nadzorowanym uważne przeanalizowanie ryzyk związanych z wykorzystywaniem oprogramowania komputerowego pochodzącego z Federacji Rosyjskiej bądź Białorusi. W obecnej sytuacji nikt nie zdecyduje się na korzystanie z software’u pochodzącego z Rosji lub Białorusi. Jednak problemem może być świadomość użytkowników, a raczej jej brak, na temat tego, gdzie powstał wykorzystywany program – komentuje Tomasz Klecor, prawnik, partner w kancelarii Legal Geek, specjalizującej się w obsłudze rynku finansowego.
Informacje, że antywirus Kaspersky jest rosyjski, i że różne służby ostrzegają przed instalowaniem go, są już dość rozpowszechnione. Ale co z przeróżnymi “małymi” narzędziami, których nie nazywamy nawet programami? Kto weryfikuje pochodzenie aplikacji do edycji zdjęć lub alternatywy dla notatnika, nie wspominając już o wtyczkach i rozszerzeniach do przeglądarek internetowych? Niestety tego typu oprogramowanie może też być instalowane na stacjach roboczych w instytucjach nadzorowanych przez KNF (np. w Biurach Usług Płatniczych i agentów Małych i Krajowych Instytucji Płatniczych czy agentów towarzystw ubezpieczeniowych).
KNF wskazuje na konieczność samooceny ryzyka związanego z używaniem oprogramowania pochodzącego z Rosji lub Białorusi. Pisma sektorowe Komisji nie są formalnie wiążące. Jestem jednak przekonany, że jeśli w którejś z nadzorowanych instytucji doszłoby teraz do incydentu w związku z wykorzystywaniem takiego oprogramowania, ocena tego zdarzenia byłaby zupełnie inna, niż jeszcze przed opublikowaniem tego pisma.
Warto przy tym zwrócić uwagę na “niezależność polityczną” oprogramowania i hardware’u w szerszym kontekście. Ufamy, że dane o nas zbierane przez Google, Amazon czy Microsoft na swoich serwerach we Frankfurcie, a niektóre nawet w Warszawie, są zabezpieczone przed dostępem służb amerykańskich. Jednocześnie korzystamy z komputerów i smartfonów składanych w Chinach. Nawet te z jabłuszkiem w logo są przecież montowane w Kraju Środka. I tak naprawdę nie wiemy co ten nasz sprzęt ma w środku, bo przecież oprogramowanie szpiegujące można zaimplementować w BIOS-ie lub nawet procesorze. I nie jest to ryzyko abstrakcyjne. Mieliśmy już przykłady podobnych działań ze strony Chin.
Innego rodzaju zagrożeniem mogą stanowić technologie open-source, które dziś są wszędzie. Na to ryzyko Komisja również wskazuje. Nawet systemy pisane „od zera” często nie są pisane od zera, bo w tle jest jakiś framework. O ile w samym otwartym oprogramowaniu nie ma nic złego, to problemem jest weryfikacja źródeł. Jeśli program korzysta z otwartych bibliotek, to przy jego kompilowaniu lub aktualizacji najczęściej sięga się do źródła w serwisach typu GitHub. A nad nimi instytucja nadzorowana nie ma kontroli. Teoretycznie przy każdym takim sięgnięciu do źródła trzeba by je ponownie weryfikować. A to nie jest zapewne powszechna procedura.
