Если вы думали, что в своем пленарном докладе на конференции RSA Security Conference член совета директоров RSA Артур Ковьелло расставит точки на i в вопросе о том, получала ли компания 10 млн. долл. от Агентства национальной безопасности (АНБ) США за то, что будет использовать легко взламываемое криптографическое ПО, то были не правы.
В своем выступлении, которое ожидалось, пожалуй, как никакое другое за всю историю конференции, Ковьелло обошел этот вопрос длинным кружным путем и вместо этого постарался свести полемику вокруг АНБ к дискуссии о роли государства в защите цифровых секретов и прав граждан. А закончил речь изложением состоящего из четырех пунктов глобального плана защиты цифровой информации. Что же касается вопроса о 10 млн. долл., то ответа на него не последовало.
В принципе этого можно было ожидать. Сам вопрос возник после того, как в декабре прошлого года Reuters опубликовало статью, в которой утверждалось следующее: “Ключевой частью кампании по встраиванию взламываемого криптографического ПО в широко используемые компьютерные продукты стал секретный контракт на 10 млн. долл., который AНБ заключило с RSA”. Последняя выступила с опровержением, в котором заявила, что никогда не заключила бы соглашение, предполагающее намеренное ослабление защиты ее продуктов, но при этом не стала давать пояснения относительно конкретного контракта с АНБ или 10 млн. долл.
Данная статья наряду с недавними разоблачениями шпионской практики АНБ бывшим госслужащим Эдвардом Сноуденом кардинально изменила общую направленность RSA Conference по сравнению с прошлыми годами. Если на предыдущих конференциях основное внимание уделялось достижениям в области криптографии и новейшим ИБ-продуктам представленных на конференции вендоров, то в этом году произошел поворот в сторону вопросов цифровой политики, многие из которых касаются прав и ответственности государственных структур при решении конфликтующих между собою задач по защите самих граждан и соблюдению приватности их частной жизни.
В ходе пленарного доклада Ковьелло заявил, что информация о сотрудничестве АНБ и RSA давно является достоянием общественности. “Приходилось ли RSA работать совместно с АНБ? Да, приходилось. Но данный факт общеизвестен на протяжении уже десятилетия”, — сообщил он аудитории. Он упомянул, в частности, подразделение АНБ, занимающееся вопросами защиты, — Information Assurance Directive (IAD) — и предложил выделить его в отдельную организацию. По его мнению, четкое разделение наступательной и защитной ролей внутри государственных организаций, занимающихся вопросами кибербезопасности, является ключом к решению проблемы размывания их ролей и реализуемых ими политик.
Несмотря на высказывавшиеся предположения, что во время доклада могут прозвучать протестные реплики, аудитория вела себя вежливо и аплодировала Ковьелло, когда он закончил.
Углубившись в своей речи в вопросы политики, Ковьелло изложил план разрешения вопросов кибербезопасности в мире, состоящий из четырех пунктов. План включает предложения, предполагающие отказ от кибероружия, организацию сотрудничества в расследовании инцидентов и уголовном преследовании киберпреступников, гарантирование прав на экономическую деятельность и интеллектуальную собственность, а также соблюдение конфиденциальности личной информации. Ковьелло призвал к созданию широкой коалиции вендоров, исследователей и государственных ведомств для организации контроля за соблюдением конфиденциальности личной информации в условиях современной экономики, все в большей степени зависящей от цифровых технологий. “Спецслужбы разных стран мира должны принять модель управления, которая позволит им делать больше в нашу защиту и меньше того, что может нас оскорбить”, — заявил он.
Решение руководства RSA поднять проблему в общем плане вместо того, чтобы внести ясность в вопрос о контракте с АНБ, вряд ли охладит споры вокруг него. Альтернативная конференция TrustyCon пройдет в непосредственной близи от Moscone Convention Center, где сейчас проходит RSA Conference, и на ней выступят спикеры, байкотировавшие мероприятие RSA.
Между тем история с предполагаемым 10-миллионным контрактом так и остается невыясненной, и может пройти не один год, прежде чем правда о ней станет достоянием общественности, если это вообще когда-либо произойдет.