Казалось бы, отечественные производители должны радоваться — им государство делает преференции, защищая рынок от иностранных производителей требованием специфически российских сертификатов. Однако на практике все оказывается не столь однозначно.
Дело в том, что сертификация — мероприятие затратное, в то же время переложить на клиентов расходы на нее не всегда получается — продукт становится дороже. Поэтому производителям приходится включать затраты на сертификацию в маркетинговый бюджет, и, если у компаний, работающих на мировом рынке, он может быть достаточно велик, то многие отечественные производители программного обеспечения не могут похвастаться в нем крупными цифрами. В результате может сложиться ситуация, когда мера, обещавшая стать государственной преференцией, обратится против российских компаний. Первой ласточкой стала сертификация продуктов линейки NOD32 компании Eset в системе ФСТЭК, причем по высшему первому классу К1 для защиты персональных данных — такого сертификата нет ни у одного отечественного производителя антивирусных средств.
Для сертификации по этому классу нужно обеспечить доступ проверяющих к исходным текстам продукта. Российскому представительству Eset удалось убедить руководство компании в Братиславе, что такая проверка на территории офиса не приведет к утечкам промышленных секретов. Проверку кодов выполняло НПО «Эшелон», которое обладает инструментарием для полуавтоматического выявления программных закладок и уязвимостей. Впрочем, недоверие к проверяющим было настолько высоким, что в Eset потребовали уничтожения ключа HASP, которым защищалось программное обеспечение «Эшелона», только потому, что он напоминал съемный USB-накопитель.
По результатам проверок в Eset модернизировали свое программное обеспечение, удовлетворив все требования закона «О персональных данных»; эти изменения будут доступны всем пользователям антивирусных продуктов во всех странах. Собственно, сертифицировано было целое производство, что позволяет компании выпустить практически неограниченное количество сертифицированных продуктов, и компания не намерена упускать этой возможности — она предлагает корпоративным пользователям пакет сертифицированных программ NOD32 Platinum Pack 4.0, куда входят лицензия ФСТЭК, антивирус и комплекс защитных средств Smart Security, а также инструменты для защиты файловых серверов под управлением операционных систем Linux, BSD и Sun Solaris, которые также имеют сертификаты. Кроме того, в комплект входит программа управления системой антивирусной защиты Remote Administrator. Таким образом, Eset предлагает полный набор продуктов для создания сертифицированной корпоративной системы защиты от вредоносных кодов.
Ценовая политика компании не изменилась, хотя ей пришлось потратиться на прохождение процедуры сертификации. Андрей Албитов, глава представительства Eset, отказался назвать величину затрат, ограничившись только эпитетом «очень большая». Компания предлагает легальным клиентам перейти на сертифицированную версию с помощью специального пакета Media Pack, который включает собственно сертификаты и ПО. Стоить он будет 2,5 тыс. руб., однако одного такого пакета будет достаточно, чтобы сделать сертифицированными уже установленные антивирусы.
Фактически это первый случай проверки исходных кодов иностранных программных продуктов, позволивший западной компании получить такой сертификат, которого пока нет у отечественных производителей антивирусов. Аналогичную процедуру могут выполнить и другие компании. В частности, подобные планы есть, например, у Cisco.