Oficiul Federal pentru Securitatea Informației din Germania (BSI) a emis în data de 15.03.2022 un comunicat în care sfătuiește utilizatorii software-ului de tip antivirus (AV) Kaspersky, cu sediul în Rusia, să utilizeze produse alternative.
BSI nu a acuzat Kaspersky de vreo încălcare specifică a încrederii clienților, dar a făcut referire la ostilitatea Rusiei față de Uniunea Europeană, NATO și Germania, în contextul conflictului din Ucraina.
Agenția guvernamentală consideră că un furnizor de soluții IT din Rusia poate efectua operațiuni ofensive, poate fi forțat să atace sisteme țintă, poate fi victimă a unei operațiuni de spionaj sau poate fi folosit abuziv ca instrument pentru atacuri împotriva propriilor clienți.
BSI explică faptul că produsul de tip antivirus, respectiv soluțiile cloud asociate, dispun de privilegii extinse la nivelul unui sistem informatic și mențin o legătură permanentă, criptată și imposibil de verificat cu serverele producătorului. Teama este că ar putea fi extrase și încărcate pe serverele Kaspersky fișiere sensibile de pe computerele care folosesc soluțiile companiei.
Kaspersky se declară neutră
Compania dezvoltatoare a soluției antivirus a susținut în repetate rânduri că operează separat de guvernul Rusiei, iar fondatorul acesteia, Eugene Kaspersky, a menținut un aer de neutralitate cu privire la invazia Ucrainei într-un tweet de la începutul lunii martie.
BSI a subliniat că în situația în care soluțiile IT sunt compromise de guverne străine există un risc deosebit la nivelul companiilor/instituțiilor care gestionează informații sensibile, precum și la nivelul operatorilor de infrastructuri critice. Astfel, recomandă entităților germane care folosesc soluții AV sau alte tipuri de soft-uri de la Kaspersky să renunțe la ele și să folosească programe asemănătoare.
Kaspersky a răspuns printr-o declarație în care a precizat că principala preocupare a companiei constă în ”implementarea continuă a măsurilor concrete pentru a demonstra angajamentul de integritate și încredere față de clienți”.
În același context, consideră că avertismentul BSI vine în urma unei decizii politice și nu după o evaluare tehnică.
Compania a declarat că în 2018 și-a mutat infrastructura de procesare din Rusia în Elveția. De asemenea, securitatea și integritatea, au fost confirmate de evaluări independente realizate de terți: Auditul SOC 2 efectuat de un auditor ”Big Four”, prin certificate ISO 27001 și recertificarea recentă de către TUV Austria.
Kaspersky s-a confruntat cu presiuni și în trecut. În data de 13.09.2017, utilizarea produselor dezvoltate de aceasta au fost interzise la nivelul agențiilor guvernamentale din SUA printr-un ordin al Departamentului pentru Securitatea Internă (DHS).
De asemenea, în urma cu o saptămână Kaspersky a negat zvonurile legate de un leak al codului sursă din competența produselor dezvoltate. În acest context a reacționat după ce gruparea hacktivistă cunoscută ca Network Battalion 65 sau NB65 a susținut că a obținut codul sursă al produsului Kaspersky.