В своем отчете, озаглавленном «Как жить в мире без доверия: когда надежность цепочки поставок и онлайн-инфраструктура ИТ поставлены под сомнение», Gartner рассматривает эти проблемы и дает оценку того, в какой мере можно будет рассчитывать на надежность цепочки поставок ИТ в ближайшем будущем.

Один из свежих примеров - поставка тысяч компьютеров из Китая с контрафактной ОС Windows и установленным на них вредоносным ПО - компьютеры были «заряжены» еще до того, как их извлекли из упаковки.

«Мы изучили несколько случаев, - пишет вице-президент исследования Нил Макдональд. - Еще один включал контрафактные маршрутизаторы Cisco, которые были найдены во многих компаниях на всей территории США в 2008 году. В данном случае не было никаких признаков шпионажа, это был просто контрафакт. В маршрутизаторах использовались комплектующие ненадлежащего качества, которые выдавались за подлинные, а разница в цене присваивалась продавцом. Некоторые из этих устройств были даже куплены через eBay, а это, как вы знаете, не самое надежное место».

В стремлении снизить затраты цепочка поставок ИТ постепенно всё больше склоняется к аутсорсингу из стран, где рабочая сила дешевле. Типичные примеры - Китай, Индия, Бразилия, Вьетнам, Индонезия. Поскольку комплектующие поступают из разных стран, проверка качества готовых изделий затруднена.

Макдональд приводит статистику, показывающую, что количество случаев поставки контрафактной продукции удвоилось в период с 2005 по 2008 г., и есть признаки, что этот темп не снижается. Недавно Главное бюджетно-контрольное управление США (GAO) опубликовало отчет, показывающий, что контрафакт имеет место даже среди компонентов, идущих на оборонные предприятия.

«Проблемы можно свести к минимуму, введя строгую дисциплину политики закупок, - пишет Макдональд. - Ваш вендор должен доказать сертификацию цепи поставок, продемонстрировать вам спецификацию комплектующих и показать механизм обеспечения качества для всех этих компонентов».

Не только оборудование, но и ПО подвержено контрафакции. Часто мишенью становится связующее ПО, языковые пакеты, виртуальные машины и операционные системы; их следует проверять на отсутствие взлома и подлинность сертификатов.

«Кое-кто пытался встроить "черный ход" в Linux, - пишет Макдональд. - Свободное ПО удобно, но многие из этих библиотек уязвимы - по некоторым данным до 39%. Нельзя выводить такой товар на рынок».

Макдональд приводит также пример «черного хода», встроенного в смартфоны ZTE Score M, которые были поставлены в США. «ZTE утверждает, что это была просто недоработка ПО, но если это так, тогда почему она была не на всех их смартфонах, а лишь на тех, что поставлялись в Соединенные Штаты?» - пишет Макдональд.
Все эти случаи, безусловно, заставили госструктуры США и других стран относиться к закупкам оборудования у ZTE и Huawei с повышенной осторожностью.

«Есть прямые опасения, что Huawei связана с китайским правительством - об этом свидетельствуют некоторые данные о ее создании, о том, кто ею руководит и тому подобные вещи, - пишет Макдональд. - Налицо полное отсутствие прозрачности, и есть сомнения, действительно ли они так уж независимы от китайского правительства».

Макдональд пишет, что Австралия, Канада и Великобритания также подвергают сомнению надежность продуктов Huawei. Возможно, и другие страны последуют их примеру.

Gartner прогнозирует: еще до 2016 года новый, ставший достоянием публики инцидент, касающийся надежности цепочки поставок ИТ, обойдется в миллионы долларов и затронет как минимум 25% компаний списка Global 2000. Фирма ожидает также, что к 2020 году более половины всех данных на корпоративных СХД будут шифроваться (сейчас - лишь 5%).

«Абсолютной безопасности не существует, но это не значит, что мы не можем поднять планку», - заключает Макдональд.

Дизайн и поддержка: Silicon Taiga

Обратиться по техническим вопросам