In un recente rapporto, Kaspersky chiede a BSI di adattare l'avviso dal 15 marzo 2022 o di ritirarlo del tutto. A quel tempo, la BSI ha messo in guardia contro l'uso delle soluzioni Kaspersky. Da allora, Kaspersky ha messo a disposizione di BSI ampie informazioni, che non sono state ancora prese in considerazione.
Il 15 marzo 2022, BSI ha pubblicato un avviso sul software antivirus Kaspersky. Questo avviso è legalmente e tecnicamente controverso. Ad oggi, la BSI non è stata in grado di identificare eventuali falle di sicurezza nel software AV nell'avvertimento o sulla scia di esso. Inoltre, non è riuscito a mostrare prove sufficienti di una minaccia alla sicurezza informatica. Dai fascicoli originali del BSI, resi pubblici da un'istanza ai sensi del Freedom of Information Act (IFG) della Bayerischer Rundfunk, il processo di discussione nel BSI diventa trasparente ed è anche chiaro che l'avviso è stato pubblicato sulla base di considerazioni geopolitiche. Kaspersky è un'azienda etica, responsabile, indipendente e trasparente e ora ha subito un notevole danno reputazionale ed economico a seguito di questo avvertimento.
Richiesta al BSI
Anche il ruolo del BSI è stato pubblicamente discusso e commentato. Molti media, come Netzpolitik.org, Deutschlandfunk, Golem.de, Stern o WirtschaftsWoche discutono dei diversi standard applicati a Kaspersky. Dal punto di vista legale, il Prof. Dr. Kipker, specializzato in diritto informatico e diritto della sicurezza informatica, giunge a una conclusione: "Ciò di cui non abbiamo bisogno, tuttavia, sono organismi statali che operano clandestinamente che prendono decisioni politiche con effetti giuridici significativi con il pretesto della sicurezza informatica, e quindi influenzano sia i cittadini che le imprese del nostro Paese e quindi non solo la reputazione di BSI, ma la sicurezza informatica nel suo complesso." (1).
In questo contesto, Kaspersky sottolinea i seguenti fatti e invita BSI ad adempiere ai propri obblighi legali:
- Nonostante le numerose richieste von Kaspersky, la BSI non ha ancora fornito alcuna giustificazione fattuale per l'avviso e il suo mantenimento negli ultimi sette mesi che sarebbe idoneo a dimostrare il rispetto dei requisiti di fatto per l'avviso con certezza del diritto.
- Il file IFG, che la BSI ha consegnato alla Bayerischer Rundfunk e che anche la BSI ha consegnato alla società quattro settimane dopo la richiesta dell'IFG di Kaspersky, documenta numerose supposizioni e dichiarazioni della BSI che si sono successivamente rivelate errate. Kaspersky sottolinea che finora BSI non ha né modificato l'avviso né informato il pubblico e quindi non sembra adempiere ai suoi obblighi immediati ai sensi della legge BSI.
- Secondo § 7 comma 2 frase 2 BSIG deve informare immediatamente BSI se le informazioni fornite al pubblico successivamente si rivelano errate o le circostanze sottostanti vengono segnalate come errate. Questo è senza dubbio il caso qui. Da un lato, Kaspersky ha fornito a BSI molte informazioni sulle misure tecniche e organizzative adottate dal febbraio 2022 e ha invitato l'autorità a controllare il codice sorgente di Kaspersky AV e a controllare i processi di sviluppo e distribuzione del software. D'altra parte, Kaspersky ha informato BSI in modo esauriente sulle certificazioni e gli audit secondo gli standard internazionali riconosciuti da BSI e già proposto il 15 marzo 2022 per sviluppare un quadro tecnico e organizzativo che eliminasse le preoccupazioni di BSI. Il BSI non ha reagito a nessuno di questi suggerimenti e misure per molti mesi. Il primo incontro tra BSI e Kaspersky è avvenuto solo alla fine di agosto. Questa discussione continua, anche se Kaspersky vorrebbe che BSI agisse molto più rapidamente.
- Quasi sette mesi dopo l'avviso non si è verificato alcun incidente informatico che abbia coinvolto il software Kaspersky. La valutazione del BSI del 14.03.2022 marzo XNUMX secondo cui vi era un pericolo imminente si è rivelata errata a posteriori.
- Kaspersky si era basato sul Freedom of Information Act (IFG) ha chiesto l'accesso alle informazioni, "quali misure/proprietà/criteri di sicurezza per garantire una sicurezza sufficiente attraverso i prodotti Kaspersky mancavano o ha espresso positivamente quali misure di sicurezza Kaspersky deve implementare in modo che siano considerate sufficienti da BSI nella situazione attuale". risposta Kaspersky non l'ha ricevuta fino ad oggi.
- Arne Schönbohm, Presidente del BSI nel suo ruolo di capo dell'agenzia, fa affermazioni non vere e per le quali non esiste una base né tecnica né giuridica. È così che è successo nel suo discorso del 23 giugno 2022 alla Conferenza di Potsdam sulla sicurezza informatica nazionale 2022 Su cui ha affermato: "Chiunque continui a utilizzare il software antivirus Kaspersky, ad esempio in infrastrutture critiche o nei parlamenti statali, agisce in modo negligente", e "Kaspersky è una minaccia per la sicurezza nazionale".
Constanze Kurz di Netzpolitik.org e portavoce del Chaos Computer Club chiede nel suo commento del 10 ottobre 2022: "Abbiamo bisogno di fatti affidabili dal BSI, valutazioni ben fondate e idee strategiche sulle questioni di sicurezza IT". aggiungere a questo.
"Kaspersky ha fornito a BSI ampie informazioni da febbraio, ha invitato BSI a valutazioni tecniche e organizzative e ha sempre perseguito in modo costruttivo l'obiettivo di rafforzare la sicurezza informatica e la resilienza in Germania e in Europa, che è anche compito di BSI. Indipendentemente dalla sua opinione legale secondo cui l'avviso era illegale e tecnicamente inappropriato, Kaspersky sta ancora lavorando con la massima priorità per fornire a BSI tutte le informazioni in modo che BSI possa modificare o ritirare l'avviso sulla base di queste informazioni. Kaspersky ha nominato in modo costruttivo e completo tutte le misure che tengono pienamente conto dei legittimi interessi di sicurezza informatica della Repubblica Federale di Germania, soddisfano i requisiti legali del BSIG nel miglior modo possibile e che rafforzano effettivamente la sicurezza informatica e la resilienza in Germania e in Europa. hanno affermato Jochen Michels, Head of Public Affairs Europe di Kaspersky, e Marco Preuss, Deputy Director, Global Research & Analysis Team di Kaspersky.
(1) Muori La questione se l'avvertimento di BSI nei confronti di Kaspersky sia illegale o legale non è stata ancora definitivamente chiarita (Sentenza della Corte costituzionale federale del 10 giugno 2022).
Altro su Kaspersky.de
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/
Articoli relativi all'argomento
Maggiori informazioni su Sophos.com