Bayerischer Rundfunk e SPIEGEL hanno pubblicato un rapporto investigativo sul processo decisionale del BSI in relazione all'allarme Kaspersky di marzo. Anche un avvocato specializzato in sicurezza informatica giunge alla conclusione che il risultato (l'avvertimento) è stato prima determinato e poi gli argomenti sono stati cercati in collaborazione con il Ministero federale dell'Interno.
Dopo Avviso sul software russo Kaspersky a metà marzo di quest'anno seguite le dichiarazioni del BSI, lettere aperte di Eugene Kaspersky e varie udienze giudiziarie. Kaspersky cerca ripetutamente di confutare i motivi dell'avvertimento della BSI, ma fallì ancora e ancora in tribunale. Molti esperti hanno definito l'avvertimento di BSI politicamente motivato perché non era rivolto a nessun'altra azienda.
Rapporto Bayrischer Rundfunk e Spiegel
Come riportato da Bayerischer Rundfunk (BR)., gli editori hanno quasi 370 pagine che consentono uno sguardo all'interno del BSI e mostrano quanto sia stato difficile l'Ufficio federale responsabile della sicurezza informatica con il processo decisionale. I documenti mostrano anche che gli aspetti politici hanno svolto un ruolo importante e che il ministero federale dell'Interno è stato fortemente coinvolto. Il BR e lo specchio hanno presentato una richiesta di ricerca ai sensi del Freedom of Information Act e quindi hanno ricevuto i documenti.
Kaspersky ha avuto 3 ore per rispondere
Il BR riferisce inoltre che il BSI ha voluto coordinare l'avvertimento. La BSI ha quindi informato Kaspersky il 14 marzo e ha concesso all'azienda tre ore per reagire. L'e-mail dovrebbe quindi essere inviata a due caselle di posta funzionali (caselle di posta di gruppo). Kaspersky non ha risposto entro il tempo specificato, il che non sorprende.
Il BR der Spiegel ha presentato i documenti al professore di Brema per la legge sulla sicurezza informatica Dennis-Kenji Kipker per la valutazione. Il suo giudizio: il BSI ha lavorato “chiaramente in base al risultato”. Ciò contraddice il mandato del BSI di agire "sulla base di conoscenze scientifiche e tecniche", come affermato nel paragrafo 1 della legge BSI. Questo "metodo di lavoro in realtà presuppone che tu non abbia prima il risultato e poi pensi a come posso ricavarlo". Ma questo è esattamente quello che è successo. Secondo Kipker, sarebbe stato meglio “mettere in guardia contro i prodotti russi in generale” piuttosto che “usare Kaspersky come esempio”.
Il commento di Kaspersky sul contenuto dei rapporti
Kaspersky ha accettato la ricerca di BR e Spiegel con un po' di soddisfazione. Infine, la valutazione dimostra la maggior parte delle controargomentazioni di Kaspersky e mostra come è nato l'avvertimento. La dichiarazione della legge sulla sicurezza informatica Dennis-Kenji Kipker è particolarmente interessante: è stato esplicitamente messo in guardia contro Kaspersky e non globalmente contro il software russo.
Ecco la dichiarazione ufficiale di Kaspersky sulla ricerca investigativa di Bayerischer Rundfunk e SPIEGEL sul processo decisionale presso la BSI in relazione all'avvertimento di Kaspersky.
Il comunicato ufficiale
“Kaspersky apprezza la ricerca dettagliata e la valutazione di Bayerischer Rundfunk e SPIEGEL sul processo decisionale dell'Ufficio federale per la sicurezza delle informazioni (BSI) in merito all'avvertimento su Kaspersky. L'azienda si impegna a continuare il dialogo costruttivo di lunga data con BSI al fine di lavorare insieme sulla base di valutazioni basate sui fatti per il massimo livello di sicurezza informatica per i nostri cittadini e le aziende tedesche ed europee.
Kaspersky accoglie con favore il fatto che i media abbiano sfruttato le opportunità offerte dal Federal Freedom of Information Act, ricercato i file BSI di 370 pagine e informato il pubblico sulle loro scoperte. La ricerca include anche un'analisi del rinomato avvocato specializzato in sicurezza informatica Prof. Kipker. Secondo lui, dagli atti emerge chiaramente che la pubblicazione dell'avviso era certa fin dall'inizio e le ragioni e gli argomenti di ciò sono stati raccolti solo successivamente. La Corte costituzionale federale ha inoltre ritenuto che la legittimità dell'ammonimento di BSI non sia chiara e debba essere chiarita nel procedimento principale.
Anche BSI è stata invitata a test e audit, ma ha rifiutato
Kaspersky ha avuto la stessa impressione studiando i fascicoli per il procedimento sommario; argomenti tecnici e fatti non hanno avuto alcun ruolo. Kaspersky ha fatto ampie offerte di informazioni alla BSI da febbraio e l'ha invitata a test e audit. Il BSI non ha risposto a nessuna di queste offerte durante l'avvertimento.
Kaspersky ritiene che la trasparenza e la continua implementazione di azioni concrete che dimostrino il nostro costante impegno per l'integrità e l'affidabilità nei confronti dei nostri clienti siano della massima importanza. Già nel 2017, l'azienda ha annunciato la sua Global Transparency Initiative e da allora, come pioniere della trasparenza nel settore della sicurezza informatica, ha costantemente implementato misure concrete per promuovere i suoi principi di affidabilità, integrità, gestione del rischio e cooperazione internazionale.
Kaspersky continua a rassicurare i suoi partner e clienti sulla qualità e l'integrità dei suoi prodotti e si impegna a collaborare con BSI per chiarire la sua decisione e rispondere alle preoccupazioni di BSI e di altri regolatori".
Altro su Kaspersky.com Ricerca presso BR.de specchio + S+ su Spiegel.de