Ryska myndigheter har fått en djup inblick i Arcsight, ett säkerhetssystem som HP Enterprise levererat till Pentagon. Något som kan äventyra it-säkerheten inom den amerikanska militären, säger flera källor med insyn i processen till Reuters.

Arcsight är ett analysverktyg som bland annat varnar för misstänkta dataintrång. Mjukvaran beskrivs som en så djupt integrerad del av Pentagons säkerhetslösning att hela it-infrastrukturen skulle behöva göras om för att ersätta den. Lösningen används också av många större företag i den privata sektorn.

HPE vill sälja verktyget även till ryska myndigheter, men för att få lov krävde landet en genomgång av mjukvarans källkod. En säkerhetsåtgärd som bland annat är tänkt att säkerställa att amerikanska myndigheter inte byggt in bakdörrar i program som används inom offentlig sektor i Ryssland.

Men att just Arcsights källkod visas upp för Ryssland är mycket kontroversiellt. Reuters har talat både med källor inom den amerikanska underrättelseverksamheten och tidigare HPE-anställda som kritiserar tilltaget.

– Det är en enorm säkerhetsrisk. Det här är definitivt att ge stor åtkomst och potentiella säkerhetshål till en motståndare, säger Greg Martin som tidigare jobbade som säkerhetsarkitekt i utvecklingen av Arcsight.

Läs ocksåSå spåras du varje gång du öppnar ett mejl

Genom att låta Ryssland granska källkoden ger man landets underrättelsetjänst möjlighet att hitta och snappa upp sårbarheter, menar kritikerna. I värsta fall skulle det ge ryska hackare en chans att obemärkt attackera amerikansk militär.

Företaget som gör kodgranskningen åt ryska myndigheter heter Echelon, och har enligt Reuters starka kopplingar till Rysslands militära underrättelsetjänst FSB. Företagets ägare Alexey Markov säger dock i ett mejl till nyhetsbyrån att bolaget visserligen måste rapportera alla sårbarheter till ryska myndigheter, men att de bara gör så efter att de kontaktat företaget som utvecklat mjukvaran så att de fått en chans att åtgärda buggarna.

HPE säger i ett uttalande att kodgenomgången skedde under noggrann övervakning i bolagets egna lokaler utanför Rysslands gräns, och att ingen kod lämnade byggnaden. It-jätten uppger att de låtit Ryssland göra liknande genomgångar av annan mjukvara i åratal och slår fast att varken ”vår källkod eller våra produkter har på något sätt äventyrats”.

Läs ocksåNya molngänget: Den gamla outsourcingen är död

Reuters granskning visar att flera ryska myndigheter och bolag köpt in Arcsight efter att granskningen genomförts. Arcsight har sedan dess sålts till brittiska Micro Focus International, som officiellt tog över produkten i september.