Před pár týdny vzbudil NÚKIB značný rozruch. Varoval české úřady před používáním produktů čínských firem Huawei a ZTE. Premiér Andrej Babiš se zlobil, že úřad seznámil se svým stanoviskem širokou veřejnost dřív, než informoval vládu. Vedle toho úředníkům vyčetl, že své varování nemají dostatečně důkazně podloženo. Bezpečnostní informační služba (BIS) postupuje podle Babiše profesionálněji.
A teď vydal NÚKIB další varování. Tentokrát upozornil na rizika, které s sebou může nést používání antivirového programu Kaspersky. Server iDnes.cz k tomu dodává, že program používá např. největší zdravotní pojišťovna v zemi - Všeobecná zdravotní pojišťovna (VZP), ale také Ministerstvo vnitra a celá řada dalších státních institucí.
USA a Izrael tvrdí, že ruští hackeři tento program zneužívají jako zadní vrátka pro své nepovolené pokusy o proniknutí do cizích systémů. Izrael tvrdí, že Rusové zneužívají program k vyhledávání citlivých informací v počítačích druhých států. Ruská strana i firma sama to opět odmítá.
„Jsme soukromá společnost a nemáme nevhodné vazby na jakoukoliv vládu včetně té ruské. Jediné rozumné vysvětlení je, že jsme se ocitli uprostřed geopolitického boje,“ glosoval v minulosti nařčení z USA šéf firmy Eugene Kaspersky s tím, že mu připomíná scénář céčkového špionážního filmu. Není bez zajímavosti, že Kaspersky vystudoval kryptografii na škole, kterou za sovětských časů podporovala KGB.
Úřad si však trvá na svém. „Můj názor je ten, že bychom měli používat hardware či software pouze států, kteří jsou našimi spojenci. Ať už v EU, či v NATO. Problém je v zákoně o veřejných zakázkách. Ten to takto rozlišovat neumožňuje,“ řekl před časem v rozhovoru pro MF DNES šéf NÚKIB Dušan Navrátil.
Reakce společnosti Kaspersky Lab zaslaná ParlamentnímListům.cz:
Společnost Kaspersky Lab nemá žádné informace o tom, že by Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal, nebo se chystal vydat, varování před softwarem společnosti. Společnost nechce šířit žádné neověřené informace.
Společnost Kaspersky Lab je zcela transparentní a otevřenou společností, jejíž produkty procházejí externími bezpečnostními audity a důvěřují jí i zákonodárci například z Evropské komise nebo odborníci BSI. V dubnu loňského roku například eurokomisařka M. Gabriel vydala prohlášení k procesu okolo Kaspersky Lab, ve kterém zmiňuje, že neexistují žádné indicie o tom, že by software Kaspersky Lab představoval nebezpečí. Kaspersky Lab rovněž podpořila v červnu loňského roku společnost IDC nebo nezávislá asociace Danish ICT Association (IT-Branchen). Ani podle nich neexistují žádné důkazy podporující zákaz společnosti a jejích produktů.
Společnost Kaspersky Lab spustila na podzim 2017 svoji Globální iniciativu pro transparentnost – Global Transparency Initiative. Touto iniciativou chce společnost Kaspersky Lab zapojit do prověřování důvěryhodnosti svých produktů, interních procesů a obchodních praktik širší informačně-bezpečnostní komunitu a další zainteresované strany. Zároveň zavedla další mechanismy pro podporu odpovědnosti, čímž chce prokázat, že jakékoliv bezpečnostní problémy řeší okamžitě a důkladně. V rámci iniciativy rovněž poskytuje pro nezávislé posouzení zdrojový kód svého softwaru, včetně jeho aktualizací a pravidel detekce hrozeb.
Mezi jednotlivé aktivity Globální iniciativy pro transparentnost patří:
- Datacentrum a Centrum transparentnosti v Curychu – od 13. listopadu 2018 jsou podezřelé a infikované soubory od evropských uživatelů produktů Kaspersky Lab zpracovávány v datovém centru ve švýcarském Curychu. Přesunutí části firemní infrastruktury dokládá odhodlání společnosti prokázat nezávadnost a důvěryhodnost svých produktů. Data, která se uživatelé sami rozhodli se společností sdílet, zahrnují podezřelé nebo doposud neznámé škodlivé složky a související meta-data, která produkty společnosti posílají k automatické malwarové analýze do Kaspersky Security Network. Dvě nová datacentra poskytují špičková zařízení, která jsou v souladu s oborovými standardy, a poskytují tak nejvyšší úroveň zabezpečení.
V novém Centru transparentnosti mají důvěryhodní partneři možnost přezkoumat firemní zdrojové kódy, softwarové aktualizace a pravidla detekce hrozeb. Prostřednictvím tohoto centra poskytuje společnost vládám a svým partnerům informace o produktech a jejich zabezpečení včetně nezbytné technické dokumentace. Na tyto první kroky naváže přemístění systémů zpracovávajících data uživatelů z dalších regionů a části výroby, která je určená pro sestavení softwaru. Další dvě podobná centra plánuje společnost do roku 2020 otevřít také v Asii a USA.
- Digitální podpis produktů – Kaspersky Lab začne ve Švýcarsku opatřovat digitálním podpisem všechny své produkty a databáze pravidel pro zjišťování hrozeb (AV databases) ještě před tím, než budou distribuovány zákazníkům. Tímto krokem zajistí, že všechny nově sestavené softwary budou ověřeny nezávislou organizací. Zákazníci tak budou mít jistotu, že jejich software a softwarové aktualizace se shodují se zdrojovým kódem, který byl poskytnut k auditu.
- Společnost zapojila poradenskou firmu z Velké čtyřky, aby provedla audit firemních postupů spojených s tvorbou a distribucí databáze pravidel detekcí hrozeb. Vyhodnocení proběhne v souladu se standardem SSAE 18 (Statement of Standards for Attestation Engagements). Jeho rozsah bude zahrnovat pravidelné automatické aktualizace antivirových záznamů, které společnost Kaspersky Lab vytváří a distribuuje pro své produkty na systémech Windows a serverech Unix. Výsledky hodnocení podle SSAE 18 lze očekávat zároveň s vydáním zprávy SOC 2 (The Service and Organization Controls) za 2. čtvrtletí roku 2019.
- Společnost Kaspersky Lab zvýšila odměny za nalezení programových chyb až do výše 100 000 dolarů. Odměny se týkají zjištění nejzávažnějších zranitelností v rámci programu Coordinated Disclousure Vulnerability. Tento fakt má ještě více motivovat nezávislé bezpečnostní odborníky k tomu, aby společnosti pomohli detekovat zranitelnosti a minimalizovat následky zákeřných aktivit.
Psali jsme:
autor: mp
