En un informe reciente, Kaspersky le pide a BSI que adapte la advertencia del 15 de marzo de 2022 o que la retire por completo. En ese momento, el BSI advirtió contra el uso de las soluciones de Kaspersky. Desde entonces, Kaspersky ha puesto a disposición de la BSI una amplia información que aún no ha sido tenida en cuenta.
El 15 de marzo de 2022, BSI publicó una advertencia sobre el software antivirus Kaspersky. Esta advertencia es legal y técnicamente controvertida. Hasta la fecha, BSI no ha podido identificar ninguna brecha de seguridad en el software AV en la advertencia o después de ella. Tampoco pudo mostrar evidencia suficiente de una amenaza a la seguridad cibernética. A partir de los archivos originales de la BSI, que se hicieron públicos mediante una solicitud en virtud de la Ley de libertad de información (IFG) de Bayerischer Rundfunk, el proceso de discusión en la BSI se vuelve transparente y también queda claro que la advertencia se publicó sobre la base de consideraciones geopolíticas. Kaspersky es una empresa ética, responsable, independiente y transparente y ahora ha sufrido daños económicos y de reputación considerables como resultado de esta advertencia.
Solicitud a la BSI
El papel de la BSI también fue discutido y comentado públicamente. Muchos medios, como Netzpolitik.org, Deutschlandfunk, Golem.de, Stern o WirtschaftsWoche comentan los diferentes estándares que se aplican en Kaspersky. Desde un punto de vista legal, el Prof. Dr. Kipker, que se especializa en derecho de TI y derecho de seguridad de TI, llega a una conclusión: "Sin embargo, lo que no necesitamos son organismos estatales clandestinos que toman decisiones políticas con efectos legales significativos bajo el pretexto de la seguridad cibernética y, por lo tanto, afectan tanto a los ciudadanos como a las empresas de nuestro país y así no solo dañar la reputación de la BSI, sino la ciberseguridad en su conjunto.” (1).
En este contexto, Kaspersky señala los siguientes hechos y pide a la BSI que cumpla con su obligación legal:
- A pesar de las numerosas solicitudes von Kaspersky, la BSI aún no ha dado ninguna justificación fáctica para la advertencia y su mantenimiento en los últimos siete meses que sea adecuada para probar el cumplimiento de los requisitos fácticos para la advertencia con certeza jurídica.
- El archivo IFG, que BSI entregó a Bayerischer Rundfunk y que BSI también entregó a la empresa cuatro semanas después de la solicitud de IFG de Kaspersky, documenta numerosas suposiciones y declaraciones de BSI que posteriormente resultaron ser incorrectas. Kaspersky señala que, hasta el momento, BSI no ha ajustado la advertencia ni informado al público y, por lo tanto, no parece estar cumpliendo con sus obligaciones inmediatas en virtud de la Ley BSI.
- De acuerdo con § 7 párrafo 2 oración 2 BSIG debe informar a la BSI de inmediato si la información proporcionada al público posteriormente resulta ser incorrecta o las circunstancias subyacentes se informan como incorrectas. Este es sin duda el caso aquí. Por un lado, Kaspersky ha proporcionado a BSI una gran cantidad de información sobre las medidas técnicas y organizativas tomadas desde febrero de 2022 e invitó a la autoridad a verificar el código fuente de Kaspersky AV y verificar los procesos de desarrollo y distribución de software. Por otro lado, Kaspersky informó ampliamente a la BSI sobre certificaciones y auditorías de acuerdo con los estándares internacionales reconocidos por la BSI y ya propuso el 15 de marzo de 2022 desarrollar un marco técnico y organizativo que eliminaría las preocupaciones de la BSI. El BSI no ha reaccionado a ninguna de estas sugerencias y medidas durante muchos meses. La primera reunión entre BSI y Kaspersky solo tuvo lugar a fines de agosto. Esta discusión continúa, aunque a Kaspersky le gustaría que la BSI actuara mucho más rápido.
- Casi siete meses después de la advertencia, no ha habido ningún incidente cibernético que involucre al software de Kaspersky. La evaluación de BSI del 14.03.2022 de marzo de XNUMX de que había un peligro inminente resultó ser incorrecta en retrospectiva.
- Kaspersky se había basado en la Ley de Libertad de Información (IFG) pidió acceso a la información, "qué medidas/propiedades/criterios de seguridad faltaban para garantizar la seguridad suficiente a través de los productos de Kaspersky o expresó positivamente qué medidas de seguridad tiene que implementar Kaspersky para que BSI las considere suficientes en la situación actual". respuesta Kaspersky no la ha recibido hasta la fecha.
- Arne Schönbohm, presidente de la BSI en su calidad de jefe de la agencia, hace afirmaciones que no son ciertas y para las cuales no existe base técnica ni legal. así fue como sucedió en su discurso del 23 de junio de 2022 en la Conferencia de Potsdam sobre Seguridad Cibernética Nacional 2022 Sobre lo cual dijo: “Cualquiera que continúe usando el software antivirus Kaspersky, por ejemplo en infraestructuras críticas o en los parlamentos estatales, está actuando con negligencia”, y “Kaspersky es una amenaza para la seguridad nacional”.
Constanze Kurz de Netzpolitik.org y portavoz del Chaos Computer Club exige en su comentario del 10 de octubre de 2022: "Necesitamos datos confiables del BSI, evaluaciones bien fundamentadas e ideas estratégicas sobre cuestiones de seguridad de TI". agregar a esto
"Kaspersky ha proporcionado a BSI amplia información desde febrero, invitó a BSI a evaluaciones técnicas y organizativas y siempre ha perseguido constructivamente el objetivo de fortalecer la ciberseguridad y la resiliencia en Alemania y Europa, que también es tarea de BSI. Independientemente de su opinión legal de que la advertencia era ilegal y técnicamente inapropiada, Kaspersky sigue trabajando con la máxima prioridad para proporcionar a la BSI toda la información para que la BSI pueda ajustar o retirar la advertencia en función de esta información. Kaspersky ha nombrado de manera constructiva y exhaustiva todas las medidas que tienen plenamente en cuenta los intereses legítimos de seguridad cibernética de la República Federal de Alemania, cumplen los requisitos legales de BSIG de la mejor manera posible y que realmente fortalecen la seguridad cibernética y la resiliencia en Alemania y Europa. dijo Jochen Michels, Jefe de Asuntos Públicos de Europa en Kaspersky, y Marco Preuss, Director Adjunto, Equipo de Análisis e Investigación Global en Kaspersky.
(1) El La cuestión de si la advertencia de Kaspersky de la BSI es ilegal o legal aún no se ha aclarado de manera concluyente (Sentencia del Tribunal Constitucional Federal de 10 de junio de 2022).
Más en Kaspersky.de
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/
Artículos relacionados con el tema
Más en Sophos.com