Берлин. В Министерстве обороны и в вооруженных силах Германии «в настоящее время не используются продукты IT-компании «Лаборатория Касперского». Об этом свидетельствует ответ парламентского статс-секретаря федеральному министру обороны Симтье Мёллеру от 5 июля.
Об этом спросил парламентарий от ХДС Армин Шварц. Шварц, который, среди прочего, является членом Комитета по обороне, хотел узнать от федерального правительства: «Использует ли Федеральное министерство обороны или бундесвер продукты IT-компании «Лаборатория Касперского» и, если да, то как федеральное правительство справляется с предупреждением о безопасности Федерального ведомства по информационной безопасности (BSI) в отношении продуктов этой компании в этом контексте?»
Боннская BSI опубликовала соответствующее предупреждение (согласно BSIG § 7) 15 марта, почти через три недели после крупномасштабного нападения российской армии на Украину. В нем Агентство национальной кибербезопасности рекомендует «заменить программы из портфеля антивирусного ПО Касперского альтернативными продуктами».
Уверенность в надежности и самозащите производителя
В обосновании BSI, среди прочего, говорится: «Антивирусное программное обеспечение, включая связанные с ним облачные сервисы с поддержкой реального времени, имеет далеко идущие системные разрешения и должно поддерживать постоянное, зашифрованное и непроверяемое соединение с серверами производителя из-за системы (по крайней мере, для обновлений). Поэтому доверие к надежности и самозащите производителя, а также его аутентичная способность действовать имеют решающее значение для безопасного использования таких систем. Если есть сомнения в надежности производителя, антивирусное программное обеспечение представляет особый риск для защищаемой ИТ-инфраструктуры».
Ведомство указывает, что «действия военных и/или разведывательных сил в России, а также угрозы российской стороны в адрес ЕС, НАТО и Федеративной Республики Германия в ходе нынешнего вооруженного конфликта связаны со значительным риском успешной IT-атаки». По данным BSI, российский ПРОИЗВОДИТЕЛЬ ИТ может сам проводить наступательные операции, быть вынужденным атаковать целевые системы против своей воли или шпионить даже в качестве жертвы кибероперации без его ведома или неправильно использоваться в качестве инструмента для атак на собственных клиентов. Все пользователи антивирусного программного обеспечения Касперского могут быть затронуты такими операциями, предупреждает Федеральное ведомство: «Компании и органы власти с особыми интересами безопасности и операторы критически важных инфраструктур особенно подвержены риску».
Инструкции для всех департаментов бундесвера и министерства
Статс-секретарь Мёллер сообщила профсоюзному политику Шварцу в своем ответе: «После получения предупреждения о безопасности Федерального ведомства по информационной безопасности всем ведомствам было поручено воздерживаться от будущего использования этих продуктов. Эта директива полностью реализована, так что в настоящее время ни одна продукция IT-компании «Лаборатория Касперского» не используется в Федеральном министерстве обороны и в бундесвере».
Немецкая дочерняя компания Kaspersky подала иск в Административный суд Кельна
После публикации предупреждения BSI компания, которая продает продукты Касперского в Германии, обратилась в Административный суд Кельна (VG Köln). Компания хотела отменить предупреждение и запретить BSI делать такие заявления в будущем. Но суд отклонил ходатайство 1 апреля.
Немецкое отделение Касперского представило решение Федерального ведомства «как чисто политическое», в котором не было упоминания о техническом качестве защиты от вирусов. Также не будет уязвимости безопасности или технической уязвимости. Также нет никаких доказательств вмешательства российского государства.
Суд не последовал мотивировке. В пресс-релизе VG Köln после оглашения решения говорится, что законодатель намеренно сформулировал термин «пробел в безопасности», который дает право BSI на предупреждение, в широком смысле. Благодаря обширным разрешениям на вмешательство в соответствующую компьютерную систему, антивирусное программное обеспечение в основном отвечает всем требованиям для такой уязвимости безопасности. Тот факт, что их использование все же рекомендуется, основан исключительно на высокой степени доверия к надежности производителя. Поэтому в любом случае возникает пробел в безопасности, если требуемый высокий уровень доверия к производителю больше не гарантируется. В настоящее время так обстоит дело с Касперским.
Vg Köln отметил, что Kaspersky имеет свою штаб-квартиру в Москве и нанимает там многочисленных сотрудников. Ввиду российской агрессивной войны против Украины, которая также ведется как «кибервойна», нельзя с достаточной уверенностью исключать, что российские разработчики по собственной инициативе или под давлением других российских акторов также будут использовать технические возможности антивирусного программного обеспечения для кибератак на немецкие цели.
Также нельзя предполагать, что государственные субъекты в России будут соблюдать законы в соответствии с верховенством закона, в соответствии с которым Касперский не обязан раскрывать информацию. Кроме того, массовое ограничение свободы прессы в России в ходе войны с Украиной показало, что соответствующие правовые базы могут быть созданы быстро.
Меры безопасности, на которые ссылается Касперский, не обеспечивают достаточной защиты от вмешательства государства, наконец, заявил Кёльнский суд. Нельзя исключать, что программисты, базирующиеся в России, могут получить доступ к данным европейских пользователей, хранящимся в дата-центрах Швейцарии. Постоянный мониторинг исходного кода и обновлений, с другой стороны, кажется практически невозможным из-за объема данных, сложности программных кодов и необходимой частоты обновлений.
Высший административный суд Мюнстера отклонил жалобу производителя программного обеспечения
Немецкая дочерняя компания Kaspersky обжаловала решение Административного суда. 4-й Сенат Высшего административного суда в Мюнстере (OVG Münster) постановил 28 апреля: «Предупреждение Федерального ведомства по информационной безопасности против использования антивирусного программного обеспечения от Kaspersky является законным».
В основании решения мы читаем, среди прочего: «Согласно выводам, собранным BSI, […] предоставить достаточные доказательства того, что использование антивирусного программного обеспечения Kaspersky в настоящее время представляет угрозу информационной безопасности. Предположение BSI о том, что действия военных и/или разведывательных сил в России, а также угрозы, исходящие в этом контексте, в том числе против Федеративной Республики Германия, связаны со значительным риском успешной ИТ-атаки с далеко идущими последствиями, особенно при использовании антивирусного программного обеспечения Kaspersky, основано на достаточной информации о текущей ситуации с кибербезопасностью».
BSI учитывает влияние российского правительства на IT-компании, работающие в России, в частности на Kaspersky, которое было задокументировано в прошлом, продолжает OVG Münster. Из этого Управление сделало понятный вывод о том, что имеются достаточные признаки опасности того, что российское правительство также будет использовать российские компании-разработчики программного обеспечения в контексте агрессивной войны, которую оно вело против Украины, для осуществления кибератаки не только на украинские, но и на другие западные цели. В сложившейся ситуации мер предосторожности, принятых Kaspersky, недостаточно для адекватного противодействия угрозам.
Сенат 4-го созыва приходит к выводу: «BSI принял решение вынести предупреждение без ошибок суждения и, в частности, соблюдал принцип соразмерности. Предупреждение не было вынесено на основании посторонних соображений или даже произвольно. В частности, она не была политически мотивированной и не является чисто символической. С учетом выявленной угрожающей ситуации она служит исключительно для снижения риска атак на безопасность в информационных технологиях. Это было удобно и необходимо в этих целях».
Этим предупреждением Федеральное ведомство по информационной безопасности значительно повышает осведомленность о потенциальных опасностях, которые в настоящее время возникают при использовании антивирусных программ Касперского, и рекомендует замену альтернативными продуктами после индивидуальной оценки рисков. Решение является окончательным.
Редакционная статья
Источник: Bundeswehr-Journal, Германия
Перевод МК
