У недавньому звіті Kaspersky просить BSI адаптувати попередження від 15 березня 2022 року або взагалі відкликати його. Тоді BSI застеріг від використання рішень Kaspersky. Відтоді Kaspersky надав BSI велику кількість інформації, яка досі не врахована.
15 березня 2022 року BSI опублікував попередження про антивірусне програмне забезпечення Kaspersky. Це попередження є суперечливим з юридичної та технічної точки зору. На сьогоднішній день BSI не вдалося виявити жодних прогалин у безпеці програмного забезпечення AV у попередженні чи після нього. Він також не продемонстрував достатніх доказів загрози кібербезпеці. З оригінальних файлів BSI, які були оприлюднені заявою Bayerischer Rundfunk відповідно до Закону про свободу інформації (IFG), процес обговорення в BSI стає прозорим, а також зрозуміло, що попередження було опубліковано на основі геополітичні міркування. Kaspersky є етичною, відповідальною, незалежною та прозорою компанією, яка зазнала значної репутаційної та економічної шкоди в результаті цього попередження.
Запит до BSI
Роль BSI також публічно обговорювалася та коментувалася. Багато засобів масової інформації, як-от Netzpolitik.org, Deutschlandfunk, Golem.de, Stern або WirtschaftsWoche, обговорюють різні стандарти, які застосовує Kaspersky. З юридичної точки зору проф. Кіпкер, який спеціалізується на ІТ-праві та праві ІТ-безпеки, приходить до одного висновку: «Однак нам не потрібні таємно діючі державні органи, які приймають політичні рішення зі значними правовими наслідками під виглядом кібербезпеки, і таким чином впливають на як громадянам, так і компаніям у нашій країні, що завдає шкоди не лише репутації BSI, але й кібербезпеці в цілому.» (1).
На цьому тлі Kaspersky вказує на наступні факти та закликає BSI виконати свої юридичні зобов’язання:
- Незважаючи на численні прохання фон Касперського, BSI досі не надав жодних фактичних обґрунтувань для попередження та його збереження протягом останніх семи місяців, які б доводили виконання фактичних вимог до попередження з юридичною достовірністю.
- Файл IFG, який BSI передала Bayerischer Rundfunk і яку BSI також передала компанії через чотири тижні після запиту Kaspersky IFG, документує численні припущення та заяви BSI, які згодом виявилися невірними. Касперський зазначає, що BSI досі не змінив попередження та не поінформував громадськість і, таким чином, схоже, не виконує своїх безпосередніх зобов’язань відповідно до Закону про BSI.
- Згідно з § 7 абзац 2 речення 2 BSIG повинен негайно повідомити BSI, якщо надана громадськості інформація згодом виявиться невірною або основні обставини повідомлено як невірні. Це, безсумнівно, так і тут. З одного боку, Kaspersky надав BSI багато інформації про технічні та організаційні заходи, вжиті з лютого 2022 року, і запросив уповноважені органи перевірити вихідний код Kaspersky AV та перевірити процеси розробки та розповсюдження програмного забезпечення. З іншого боку, Касперський всебічно проінформував BSI про сертифікацію та аудит відповідно до міжнародних стандартів, визнаних BSI, і вже запропонував 15 березня 2022 року розробити технічну та організаційну структуру, яка б усунула занепокоєння BSI. BSI не реагує на жодну з цих пропозицій і заходів протягом багатьох місяців. Перша зустріч між BSI і Kaspersky відбулася лише в кінці серпня. Це обговорення продовжується, хоча Kaspersky хотів би, щоб BSI діяв набагато швидше.
- Майже сім місяців після попередження не було жодного кіберінциденту за участю програмного забезпечення Kaspersky. Оцінка BSI від 14.03.2022 березня XNUMX року про наявність безпосередньої небезпеки виявилася помилковою в ретроспективі.
- Kaspersky базувався на Законі про свободу інформації (IFG) попросив надати доступ до інформації, «які заходи безпеки/властивості/критерії для забезпечення достатньої безпеки за допомогою продуктів Kaspersky були відсутні або позитивно висловив, які заходи безпеки Kaspersky повинен застосувати, щоб BSI вважав їх достатніми в поточній ситуації». відповіді Касперський досі не отримав.
- Арне Шенбом, президент BSI у своїй ролі керівника агентства робить заяви, які не відповідають дійсності та для яких немає ні технічної, ні правової підстави. Так воно і сталося у своєму виступі 23 червня 2022 року на Потсдамській конференції з національної кібербезпеки 2022 На що він сказав: «Кожен, хто продовжує використовувати антивірусне програмне забезпечення Касперського, наприклад, у критичних інфраструктурах або в парламентах штатів, діє недбало», і «Касперський становить загрозу національній безпеці».
Констанце Курц з Netzpolitik.org і прес-секретар Chaos Computer Club вимагає у своєму коментарі від 10 жовтня 2022 року: «Нам потрібні достовірні факти від BSI, добре обґрунтовані оцінки та стратегічні ідеї з питань ІТ-безпеки». Касперському нема чого додати до цього.
«Касперський надав BSI велику кількість інформації з лютого, запросив BSI на технічну та організаційну оцінку та завжди конструктивно переслідував мету посилення кібербезпеки та стійкості в Німеччині та Європі, що також є завданням BSI. Незважаючи на свою юридичну думку про те, що попередження було незаконним і технічно неприйнятним, Kaspersky все ще працює з найвищим пріоритетом, щоб надати BSI всю інформацію, щоб BSI міг скорегувати або скасувати попередження на основі цієї інформації. Касперський конструктивно та вичерпно назвав усі заходи, які повністю враховують законні інтереси кібербезпеки Федеративної Республіки Німеччини, найкращим чином відповідають правовим вимогам BSIG і фактично зміцнюють кібербезпеку та стійкість у Німеччині та Європі. – сказали Йохен Міхельс, керівник європейського відділу зв’язків із громадськістю компанії Kaspersky, і Марко Пройс, заступник директора групи глобальних досліджень і аналізу компанії Kaspersky.
(1) The Питання про те, чи є попередження BSI Касперського незаконним чи законним, ще остаточно не з’ясовано (Рішення Федерального конституційного суду від 10 червня 2022 р).
Більше на Kaspersky.de
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/
Статті по темі
Більше на Sophos.com