Bayerischer Rundfunk y SPIEGEL han publicado un informe de investigación sobre el proceso de toma de decisiones de BSI en relación con la advertencia de Kaspersky de marzo. Incluso un abogado de seguridad informática llega a la conclusión de que primero se determinó el resultado (la advertencia) y luego se buscaron los argumentos en cooperación con el Ministerio Federal del Interior.
Después Advertencia sobre el software Kaspersky ruso a mediados de marzo de este año seguidas de las declaraciones del BSI, cartas abiertas de Eugene Kaspersky y varias audiencias judiciales. Kaspersky intenta refutar repetidamente los motivos de la BSI para la advertencia, pero fracasó una y otra vez en los tribunales. Muchos expertos calificaron la advertencia de BSI como motivada políticamente porque no estaba dirigida a ninguna otra empresa.
Informe de Bayrischer Rundfunk y Spiegel
Según lo informado por Bayerischer Rundfunk (BR)., los editores tienen casi 370 páginas que permiten una mirada al interior de la BSI y muestran lo difícil que fue la Oficina Federal responsable de la seguridad informática con el proceso de toma de decisiones. Los documentos también muestran que los aspectos políticos jugaron un papel importante y que el Ministerio Federal del Interior estuvo muy involucrado. El BR y el espejo hicieron una solicitud de investigación bajo la Ley de Libertad de Información y así recibieron los documentos.
Kaspersky tuvo 3 horas para responder
El BR informa además que el BSI quería coordinar la advertencia. El BSI luego informó a Kaspersky el 14 de marzo y le dio a la empresa tres horas para reaccionar. El correo electrónico debería haber ido a dos buzones funcionales (buzones de grupo). Kaspersky no respondió dentro del tiempo especificado, lo cual no sorprende.
El BR der Spiegel envió los documentos al profesor de derecho de seguridad informática de Bremen, Dennis-Kenji Kipker, para su evaluación. Su valoración: el BSI trabajó “claramente en función del resultado”. Esto contradice el mandato de la BSI de actuar "sobre la base del conocimiento científico y técnico", como se establece en el párrafo 1 de la ley de la BSI. Este "método de trabajo en realidad presupone que no tienes el resultado primero y luego piensas en cómo puedo obtenerlo". Pero eso es exactamente lo que pasó. Según Kipker, hubiera sido mejor "advertir sobre los productos rusos en general" en lugar de "usar a Kaspersky como ejemplo".
El comentario de Kaspersky sobre el contenido de los informes
Kaspersky ha aceptado la investigación de BR y Spiegel con cierta satisfacción. Finalmente, la evaluación prueba la mayoría de los argumentos en contra de Kaspersky y muestra cómo surgió la advertencia. La declaración de la ley de seguridad informática Dennis-Kenji Kipker es particularmente interesante: se advirtió explícitamente contra Kaspersky y no globalmente contra el software ruso.
Aquí está la declaración oficial de Kaspersky sobre la investigación realizada por Bayerischer Rundfunk y SPIEGEL sobre el proceso de toma de decisiones en el BSI en relación con la advertencia de Kaspersky.
el comunicado oficial
“Kaspersky agradece la investigación y evaluación detalladas de Bayerischer Rundfunk y SPIEGEL sobre el proceso de toma de decisiones de la Oficina Federal para la Seguridad de la Información (BSI) con respecto a la advertencia sobre Kaspersky. La empresa se esfuerza por continuar el diálogo constructivo de larga data con BSI para trabajar juntos sobre la base de evaluaciones basadas en hechos para el más alto nivel de seguridad cibernética para nuestros ciudadanos y empresas alemanes y europeos.
Kaspersky agradece el hecho de que los medios hayan aprovechado las oportunidades brindadas por la Ley Federal de Libertad de Información, investigaron los archivos de BSI de 370 páginas e informaron al público sobre sus hallazgos. La investigación también incluye un análisis realizado por el renombrado abogado de seguridad de TI Prof. Kipker. Según él, de los archivos se desprende que la publicación de la advertencia fue cierta desde el principio y las razones y argumentos para ello solo se compilaron después. El Tribunal Constitucional Federal también consideró que la legalidad de la advertencia de BSI no está clara y debe aclararse en el procedimiento principal.
BSI también fue invitado a las pruebas y auditorías, pero se negó
Kaspersky tuvo la misma impresión al estudiar los expedientes de los procedimientos sumarios; los argumentos técnicos y los hechos no jugaron ningún papel. Kaspersky ha realizado amplias ofertas de información al BSI desde febrero y lo ha invitado a realizar pruebas y auditorías. El BSI no respondió a ninguna de estas ofertas durante la advertencia.
Kaspersky cree que la transparencia y la implementación continua de acciones concretas que demuestren nuestro compromiso continuo con la integridad y la confiabilidad para con nuestros clientes son de suma importancia. Ya en 2017, la compañía anunció su Iniciativa de Transparencia Global y desde entonces, como pionera de la transparencia en la industria de la ciberseguridad, ha implementado continuamente medidas concretas para promover sus principios de confiabilidad, integridad, gestión de riesgos y cooperación internacional.
Kaspersky continúa asegurando a sus socios y clientes la calidad e integridad de sus productos y se compromete a trabajar con BSI para aclarar su decisión y abordar las inquietudes de BSI y otros reguladores".
Más en Kaspersky.com Investigación en BR.de espejo + S+ en Spiegel.de