O Tribunal Administrativo de Colônia decidiu que o Escritório Federal de Segurança da Informação (BSI) pode alertar contra o software de proteção contra vírus da Kaspersky. Isso foi decidido hoje pelo tribunal administrativo de Colônia, rejeitando assim o pedido urgente de uma empresa do Grupo Kaspersky com sede na Alemanha.
Em 15 de março de 2022, o Escritório Federal de Segurança da Informação (BSI) publicou um aviso afirmando que a confiabilidade do fabricante russo Kaspersky foi questionada pelas atuais atividades bélicas da Rússia e recomendou a substituição do software antivírus Kaspersky por produtos alternativos.
A Kaspersky está solicitando uma liminar
Em 21 de março de 2022, a Kaspersky Labs GmbH, que vende produtos antivírus do fabricante russo, solicitou uma liminar para cessar e desistir e revogar este aviso. Ela explicou que foi uma decisão puramente política sem relação com a qualidade técnica do software antivírus.
Aviso deveria ter sido puramente político
Não há falha de segurança no sentido de uma vulnerabilidade técnica conhecida. Também não há indícios de que agências governamentais na Rússia estejam influenciando a Kaspersky. Além disso, várias medidas foram tomadas para aumentar a segurança e a transparência dos dados.
O tribunal não seguiu isso. A legislatura formulou amplamente o conceito de falha de segurança que autoriza o BSI a emitir um aviso. O software de proteção antivírus basicamente atende a todos os requisitos para essa lacuna de segurança devido às autorizações de longo alcance para acessar o respectivo sistema de computador. O fato de seu uso ser, no entanto, recomendado baseia-se apenas no alto grau de confiança na confiabilidade do fabricante. Portanto, há uma lacuna de segurança se o alto nível de confiança exigido no fabricante não for (ou não for mais) garantido.
A falta de confiança é vista como uma falha de segurança
Este é atualmente o caso do Kaspersky. A empresa está sediada em Moscou e emprega um grande número de pessoas lá. Em vista da guerra de agressão russa na Ucrânia, que também está sendo travada como uma “guerra cibernética”, não se pode descartar com certeza suficiente que os desenvolvedores russos explorarão as possibilidades técnicas do software de proteção contra vírus para ataques cibernéticos contra alvos alemães. por iniciativa própria ou sob pressão de outros atores russos.
Kaspersky pode ser usado indevidamente como software de ataque
Também não se pode presumir que os atores estatais na Rússia aderirão às leis de maneira constitucional, segundo as quais a Kaspersky não é obrigada a repassar informações. Além disso, as restrições maciças à liberdade de imprensa na Rússia durante a guerra com a Ucrânia mostraram que a base legal correspondente pode ser criada rapidamente. As medidas de segurança citadas pela Kaspersky não oferecem proteção suficiente contra a interferência do estado.
Influência do estado não excluída
Não se pode descartar que programadores baseados na Rússia possam acessar os dados de usuários europeus armazenados em data centers na Suíça. Por outro lado, o monitoramento permanente do código-fonte e das atualizações parece praticamente impossível devido à quantidade de dados, à complexidade do código do programa e à frequência necessária de atualizações.
Os envolvidos podem recorrer da decisão, que será decidida pelo Tribunal Administrativo Superior de Münster. Ref.: 1L 466/22
Mais em VG-Koeln.nrw.de