Yhdysvaltain armeijan käyttämä turvallisuusohjelmisto päätyi venäläisyhtiön analysoitavaksi

Ohjelmistoyhtiö toivoi tuotteelleen markkinoita myös Venäjältä.

tietoturva
tietokoneen näppäimistö ja näyttö
Turvaohjelmistosta ei HPE:n mukaan löytynyt haavoittuvuuksia arviointitilanteessa. Miki Wallenius / Yle

Ohjelmistoyhtiö Hewlett Packard Enterprise (HPE) antoi Venäjällä toimivan tietoturvayrityksen tutkia turvallisuusohjelmistoa, jota Yhdysvaltain armeija käyttää suojautuakseen esimerkiksi kyberhyökkäyksiltä.

Analyysin tehnyt yritys työskenteli Venäjän hallinnon toimeksiannosta, ja raportoi ohjelmistosta löytyneet haavoittuvuudet eteenpäin. Se kävi läpi ohjelman lähdekoodia.

Taustalla oli HPE:n toive saada ohjelmistoa myytyä myös Venäjälle. Yhtiön mukaan ohjelmiston arviointi tehtiin sen tiloissa, eikä haavoittuvuuksia löytynyt tässä yhteydessä.

Uutistoimisto Reutersin mukaan (siirryt toiseen palveluun) tällaiset arvioinnit ovat tavallisia, jos yritys haluaa myydä ohjelmistoaan Venäjällä. Tällä kertaa seurauksena kuitenkin saattoi olla, että Venäjän olisi helpompi löytää Yhdysvaltain armeijan käyttämästä ohjelmasta haavoittuvuuksia ja hyödyntää niitä.

Vaikka tällainen hyötyminen ei aiheuta suoraa uhkaa, voisi haavoittuvuuksia hyödyntää esimerkiksi niin, ettei ohjelma huomaisi kyberhyökkäystä yhtä nopeasti kuin muutoin.

Kyseisen ArcSight-nimisen ohjelmiston tarkoitus on paljastaa epätavallista ja mahdollisesti epäilyttävää toimintaa, kuten useita epäonnistuneita kirjautumisyrityksiä. Sitä käytetään myös yksityisissä yrityksissä.

Yhdysvaltain puolustusministeriön tiedottaja kertoi Reutersille, että heitä ei informoitu arvioinnista, mutta sitä ei myöskään vaadita sopimuksessa.

Lähteet: Reuters