A Bayerischer Rundfunk e a Spiegel publicaram um relatório investigativo sobre o processo de tomada de decisão do BSI em relação ao aviso de março da Kaspersky. Até mesmo um advogado de segurança de TI chega à conclusão de que o resultado (o aviso) foi determinado primeiro e depois os argumentos foram buscados em cooperação com o Ministério Federal do Interior.
Depois Aviso sobre o software russo Kaspersky em meados de março deste ano declarações seguidas pelo BSI, cartas abertas de Eugene Kaspersky e várias audiências judiciais. Kaspersky tenta repetidamente refutar os motivos do BSI para o aviso, mas falhou repetidamente no tribunal. Muitos especialistas consideraram o alerta do BSI politicamente motivado porque não era direcionado a nenhuma outra empresa.
Relatório de Bayrischer Rundfunk e Spiegel
Conforme relatado por Bayerischer Rundfunk (BR)., os editores têm quase 370 páginas que permitem um olhar por dentro do BSI e mostram a dificuldade do órgão federal responsável pela segurança de TI no processo decisório. Os documentos também mostram que os aspectos políticos desempenharam um papel importante e que o Ministério Federal do Interior esteve fortemente envolvido. O BR e o espelho fizeram um pedido de pesquisa sob a Lei de Liberdade de Informação e assim receberam os documentos.
Kaspersky teve 3 horas para responder
O BR relata ainda que o BSI queria coordenar o alerta. O BSI informou a Kaspersky em 14 de março e deu à empresa três horas para reagir. O e-mail deve ter ido para duas caixas de correio funcionais (caixas de correio de grupo). Kaspersky não respondeu no tempo especificado, o que não é surpreendente.
O BR der Spiegel submeteu os documentos ao professor de direito de segurança de TI de Bremen, Dennis-Kenji Kipker, para avaliação. Sua avaliação: o BSI funcionou “claramente com base no resultado”. Isso contradiz o mandato do BSI de agir "com base no conhecimento científico e técnico", conforme estabelecido no parágrafo 1 da lei do BSI. Este "método de trabalho pressupõe, na verdade, que você não tenha o resultado primeiro e depois pense em como posso derivá-lo". Mas foi exatamente isso que aconteceu. Segundo Kipker, teria sido melhor "alertar contra os produtos russos em geral" do que "usar a Kaspersky como exemplo".
Comentário da Kaspersky sobre o conteúdo dos relatórios
Kaspersky aceitou a pesquisa de BR e Spiegel com um pouco de satisfação. Por fim, a avaliação comprova a maioria dos contra-argumentos da Kaspersky e mostra como surgiu o aviso. A declaração da lei de segurança de TI Dennis-Kenji Kipker é particularmente interessante: ela foi explicitamente advertida contra a Kaspersky e não globalmente contra o software russo.
Aqui está a declaração oficial da Kaspersky sobre a pesquisa investigativa da Bayerischer Rundfunk e Spiegel sobre o processo de tomada de decisão no BSI em relação ao aviso da Kaspersky.
A declaração oficial
“A Kaspersky aprecia a pesquisa detalhada e a avaliação da Bayerischer Rundfunk e da Spiegel sobre o processo de tomada de decisão do Escritório Federal de Segurança da Informação (BSI) em relação ao aviso sobre a Kaspersky. A empresa se esforça para continuar o diálogo construtivo de longa data com o BSI, a fim de trabalhar em conjunto com base em avaliações baseadas em fatos para o mais alto nível de segurança cibernética para nossos cidadãos e empresas alemães e europeus.
A Kaspersky saúda o fato de a mídia ter feito uso das oportunidades oferecidas pela Lei Federal de Liberdade de Informação, pesquisado os arquivos BSI de 370 páginas e informado o público sobre suas descobertas. A pesquisa também inclui uma análise do renomado advogado de segurança de TI Prof. Kipker. Segundo ele, fica claro nos autos que a publicação do aviso era certa desde o início e os motivos e argumentos para isso só foram compilados posteriormente. O Tribunal Constitucional Federal também considerou que a legalidade do aviso BSI não é clara e deve ser esclarecida no processo principal.
O BSI também foi convidado para testes e auditorias, mas recusou
Kaspersky teve a mesma impressão ao estudar os autos do processo sumário; argumentos e fatos técnicos não desempenharam nenhum papel. A Kaspersky fez extensas ofertas de informações ao BSI desde fevereiro e o convidou para testes e auditorias. O BSI não respondeu a nenhuma dessas ofertas durante o aviso.
A Kaspersky acredita que a transparência e a implementação contínua de ações concretas que demonstram nosso compromisso contínuo com a integridade e a confiabilidade com nossos clientes são de extrema importância. Já em 2017, a empresa anunciou sua Iniciativa de Transparência Global e, desde então, como pioneira em transparência no setor de segurança cibernética, implementou continuamente medidas concretas para promover seus princípios de confiabilidade, integridade, gerenciamento de riscos e cooperação internacional.
A Kaspersky continua a assegurar a seus parceiros e clientes a qualidade e integridade de seus produtos e está empenhada em trabalhar com o BSI para esclarecer sua decisão e abordar as preocupações do BSI e de outros reguladores."
Mais em Kaspersky.com Pesquisa em BR.de espelho + S+ em Spiegel.de