Em um relatório recente, a Kaspersky está pedindo ao BSI para adaptar o aviso de 15 de março de 2022 ou retirá-lo completamente. Naquela época, o BSI alertou contra o uso de soluções Kaspersky. Desde então, a Kaspersky disponibilizou extensas informações ao BSI, que ainda não foram levadas em consideração.
Em 15 de março de 2022, o BSI publicou um aviso sobre o software antivírus Kaspersky. Este aviso é legal e tecnicamente controverso. Até o momento, o BSI não conseguiu identificar nenhuma falha de segurança no software AV no aviso ou na sequência dele. Também não conseguiu mostrar evidências suficientes de uma ameaça à segurança cibernética. A partir dos arquivos originais do BSI, que foram tornados públicos por meio de um requerimento sob a Lei de Liberdade de Informação (IFG) da Bayerischer Rundfunk, o processo de discussão no BSI torna-se transparente e também fica claro que o aviso foi publicado com base em considerações geopolíticas. A Kaspersky é uma empresa ética, responsável, independente e transparente e já sofreu danos econômicos e de reputação consideráveis como resultado deste aviso.
Pedido ao BSI
O papel do BSI também foi discutido e comentado publicamente. Muitas mídias, como Netzpolitik.org, Deutschlandfunk, Golem.de, Stern ou WirtschaftsWoche discutem os diferentes padrões aplicados na Kaspersky. Do ponto de vista jurídico, o Prof. Dr. Kipker, especialista em direito de TI e direito de segurança de TI, chega a uma conclusão: "O que não precisamos, no entanto, são órgãos estatais operando clandestinamente que tomam decisões políticas com efeitos jurídicos significativos sob o pretexto de segurança cibernética e, assim, afetam cidadãos e empresas em nosso país e, portanto, não apenas prejudicam a reputação do BSI, mas a segurança cibernética como um todo." (1).
Nesse contexto, a Kaspersky aponta os seguintes fatos e pede ao BSI que cumpra sua obrigação legal:
- Apesar dos inúmeros pedidos von Kaspersky, o BSI ainda não apresentou justificativas fáticas para o aviso e sua manutenção nos últimos sete meses que seriam adequadas para comprovar o cumprimento dos requisitos fáticos para o aviso com segurança jurídica.
- O arquivo IFG, que o BSI entregou à Bayerischer Rundfunk e que o BSI também entregou à empresa quatro semanas após a solicitação do IFG da Kaspersky, documenta várias suposições e declarações do BSI que posteriormente se revelaram incorretas. A Kaspersky aponta que o BSI até agora não ajustou o aviso nem informou o público e, portanto, não parece estar cumprindo suas obrigações imediatas sob a Lei do BSI.
- De acordo com § 7 parágrafo 2 frase 2 BSIG deve informar o BSI imediatamente se as informações fornecidas ao público posteriormente se revelarem incorretas ou as circunstâncias subjacentes forem relatadas como incorretas. Este é, sem dúvida, o caso aqui. Por um lado, a Kaspersky forneceu ao BSI muitas informações sobre as medidas técnicas e organizacionais tomadas desde fevereiro de 2022 e convidou a autoridade a verificar o código-fonte do Kaspersky AV e a verificar os processos de desenvolvimento e distribuição de software. Por outro lado, a Kaspersky informou o BSI de forma abrangente sobre certificações e auditorias de acordo com os padrões internacionais reconhecidos pelo BSI e já propôs em 15 de março de 2022 desenvolver uma estrutura técnica e organizacional que eliminasse as preocupações do BSI. O BSI não reagiu a nenhuma dessas sugestões e medidas por muitos meses. A primeira reunião entre o BSI e a Kaspersky só aconteceu no final de agosto. Essa discussão continua, embora a Kaspersky gostaria que o BSI agisse muito mais rapidamente.
- quase sete meses após o aviso, não houve nenhum incidente cibernético envolvendo o software Kaspersky. A avaliação do BSI de 14.03.2022 de março de XNUMX de que havia perigo iminente provou estar errada em retrospecto.
- A Kaspersky baseou-se na Lei de Liberdade de Informação (IFG) pediu acesso às informações, "quais medidas/propriedades/critérios de segurança para garantir segurança suficiente por meio dos produtos Kaspersky estavam faltando ou expressou positivamente quais medidas de segurança Kaspersky deve implementar para que sejam consideradas suficientes pelo BSI na situação atual". resposta A Kaspersky não a recebeu até o momento.
- Arne Schönbohm, presidente do BSI na sua qualidade de chefe da agência, faz afirmações que não são verdadeiras e para as quais não existe base técnica nem legal. Foi assim que aconteceu em seu discurso de 23 de junho de 2022 na Conferência de Potsdam sobre Segurança Cibernética Nacional 2022 Sobre o qual ele disse: "Qualquer pessoa que continue a usar o software antivírus Kaspersky, por exemplo, em infraestruturas críticas ou em parlamentos estaduais, está agindo de forma negligente.", e "Kaspersky é uma ameaça à segurança nacional".
Constanze Kurz, da Netzpolitik.org e porta-voz do Chaos Computer Club, exige em seu comentário de 10 de outubro de 2022: "Precisamos de fatos confiáveis do BSI, avaliações bem fundamentadas e ideias estratégicas sobre questões de segurança de TI". adicionar a isso.
"A Kaspersky forneceu ao BSI informações abrangentes desde fevereiro, convidou o BSI para avaliações técnicas e organizacionais e sempre buscou de forma construtiva o objetivo de fortalecer a segurança cibernética e a resiliência na Alemanha e na Europa, que também é tarefa do BSI. Independentemente de sua opinião legal de que o aviso era ilegal e tecnicamente inapropriado, a Kaspersky ainda está trabalhando com a mais alta prioridade para fornecer ao BSI todas as informações para que o BSI possa ajustar ou retirar o aviso com base nessas informações. A Kaspersky nomeou de forma construtiva e abrangente todas as medidas que levam em consideração os interesses legítimos de segurança cibernética da República Federal da Alemanha, atendem aos requisitos legais do BSIG da melhor maneira possível e que realmente fortalecem a segurança cibernética e a resiliência na Alemanha e na Europa. disse Jochen Michels, Chefe de Assuntos Públicos da Europa na Kaspersky, e Marco Preuss, Vice-Diretor, Equipe Global de Pesquisa e Análise da Kaspersky.
(1) O A questão de saber se o aviso do BSI sobre Kaspersky é ilegal ou legal ainda não foi esclarecida de forma conclusiva (Acórdão do Tribunal Constitucional Federal de 10 de junho de 2022).
Mais em Kaspersky.de
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/
Artigos relacionados ao tema
Mais em Sophos.com