Bayerischer Rundfunk et SPIEGEL ont publié un rapport d'enquête sur le processus décisionnel du BSI en relation avec l'avertissement de mars de Kaspersky. Même un avocat en sécurité informatique arrive à la conclusion que le résultat (l'avertissement) a d'abord été déterminé, puis les arguments ont été recherchés en coopération avec le ministère fédéral de l'Intérieur.
Nach der Avertissement concernant le logiciel russe Kaspersky à la mi-mars de cette année suivi des déclarations du BSI, lettres ouvertes d'Eugene Kaspersky et diverses audiences du tribunal. Kaspersky tente à plusieurs reprises de réfuter les motifs de la BSI pour l'avertissement, mais a échoué encore et encore devant le tribunal. De nombreux experts ont qualifié l'avertissement de BSI de politiquement motivé car il ne visait aucune autre entreprise.
Rapport Bayrischer Rundfunk et Spiegel
Tel que rapporté par Bayerischer Rundfunk (BR)., les éditeurs ont près de 370 pages qui permettent de jeter un coup d'œil à l'intérieur du BSI et montrent à quel point l'Office fédéral responsable de la sécurité informatique a été difficile avec le processus de prise de décision. Les documents montrent également que les aspects politiques ont joué un rôle important et que le ministère fédéral de l'Intérieur a été fortement impliqué. Le BR et le miroir ont fait une demande de recherche en vertu de la Freedom of Information Act et ont ainsi reçu les documents.
Kaspersky a eu 3 heures pour répondre
Le BR rapporte en outre que le BSI voulait coordonner l'avertissement. Le BSI a ensuite informé Kaspersky le 14 mars et a donné à l'entreprise trois heures pour réagir. L'e-mail doit alors être allé dans deux boîtes aux lettres fonctionnelles (boîtes aux lettres de groupe). Kaspersky n'a pas répondu dans le délai imparti, ce qui n'est pas surprenant.
Le BR der Spiegel a soumis les documents au professeur de Brême pour le droit de la sécurité informatique Dennis-Kenji Kipker pour évaluation. Son bilan : le BSI a travaillé "clairement en fonction du résultat". Cela contredit le mandat du BSI d'agir "sur la base des connaissances scientifiques et techniques", comme indiqué au paragraphe 1 de la loi BSI. Cette "méthode de travail suppose en fait que vous n'ayez pas le résultat d'abord et que vous réfléchissiez ensuite à la façon dont je peux le dériver". Mais c'est exactement ce qui est arrivé. Selon Kipker, il aurait été préférable de "mettre en garde contre les produits russes en général" plutôt que "de prendre Kaspersky en exemple".
Commentaire de Kaspersky sur le contenu des rapports
Kaspersky a accepté les recherches de BR et Spiegel avec une certaine satisfaction. Enfin, l'évaluation prouve la plupart des contre-arguments de Kaspersky et montre comment l'avertissement est survenu. La déclaration de la loi sur la sécurité informatique Dennis-Kenji Kipker est particulièrement intéressante : elle a été explicitement mise en garde contre Kaspersky et non globalement contre les logiciels russes.
Voici la déclaration officielle de Kaspersky sur la recherche d'investigation par Bayerischer Rundfunk et SPIEGEL sur le processus de prise de décision au BSI par rapport à l'avertissement de Kaspersky.
La déclaration officielle
« Kaspersky apprécie la recherche détaillée et l'évaluation par Bayerischer Rundfunk et SPIEGEL sur le processus de prise de décision de l'Office fédéral de la sécurité de l'information (BSI) concernant l'avertissement concernant Kaspersky. L'entreprise s'efforce de poursuivre le dialogue constructif de longue date avec le BSI afin de travailler ensemble sur la base d'évaluations factuelles pour le plus haut niveau de cybersécurité pour nos citoyens et entreprises allemands et européens.
Kaspersky se félicite que les médias aient profité des opportunités offertes par la loi fédérale sur la liberté d'information, aient recherché les fichiers de 370 pages du BSI et informé le public de leurs découvertes. La recherche comprend également une analyse du célèbre avocat en sécurité informatique, le professeur Kipker. Selon lui, il ressort des dossiers que la publication de l'avertissement était certaine dès le début et que les raisons et arguments n'ont été compilés qu'après coup. La Cour constitutionnelle fédérale a également estimé que la légalité de l'avertissement du BSI n'était pas claire et devait être clarifiée dans la procédure au principal.
BSI a également été invité à des tests et des audits, mais a refusé
Kaspersky a eu la même impression en étudiant les dossiers du référé ; les arguments techniques et les faits n'ont joué aucun rôle. Kaspersky a fait de nombreuses offres d'informations au BSI depuis février et l'a invité à des tests et des audits. Le BSI n'a répondu à aucune de ces offres pendant l'avertissement.
Kaspersky estime que la transparence et la mise en œuvre continue d'actions concrètes qui démontrent notre engagement continu envers l'intégrité et la fiabilité envers nos clients sont de la plus haute importance. Dès 2017, l'entreprise a annoncé sa Global Transparency Initiative et depuis lors, en tant que pionnière de la transparence dans l'industrie de la cybersécurité, elle a continuellement mis en œuvre des mesures concrètes pour promouvoir ses principes de fiabilité, d'intégrité, de gestion des risques et de coopération internationale.
Kaspersky continue de rassurer ses partenaires et ses clients sur la qualité et l'intégrité de ses produits et s'engage à travailler avec le BSI pour clarifier sa décision et répondre aux préoccupations du BSI et des autres régulateurs. »
Plus sur Kaspersky.com Recherche chez BR.de miroir + S+ sur Spiegel.de