Czerwona gorączka: urzędy w USA mają 90 dni na pozbycie się Kaspersky Lab

Amerykańska administracja federalna, nie czekając na zmiany wprawie, przyspiesza z akcją mającą na celu wyeliminowanieoprogramowania Kaspersky Lab ze wszystkich swoich organów. HomelandSecurity (DHS, Departament Bezpieczeństwa Krajowego, czyli coś nakształt naszego MWSiA) wydał wiążącą dyrektywę operacyjną,która zmusza menedżerów IT w urzędach federalnych do usunięciaproduktów rosyjskiej firmy w ciągu 90 dni.

Dyrektywa daje menadżerom IT 30 dni na zidentyfikowanie systemów,które mają zainstalowane oprogramowanie Kaspersky Lab, kolejne 30dni na opracowanie planu likwidacji tego oprogramowania, oraz finalne30 dni, w trakcie których ma ono zniknąć z komputerów (chyba żeDHS zaproponuje inaczej).

W oficjalnym oświadczeniu DHS stwierdza, że jest zaniepokojonypowiązaniami pomiędzy niektórymi pracownikami Kaspersky Lab arosyjskimi służbami wywiadowczymi. Zwraca też uwagę na wymogiprawa rosyjskiego, które pozwalają rosyjskim agencjom wywiadowczymzwracać się do Kaspersky Lab o pomoc – między innymi wprzechwytywaniu komunikacji w rosyjskiej Sieci.

Istnieć ma więc uzasadnione ryzyko, że władze Rosji, działającsamodzielnie lub we współpracy z Kaspersky Lab, mogą wykorzystaćoprogramowanie tej firmy do przejęcia federalnych systemówinformatycznych i narazić na szwank bezpieczeństwo narodowe StanówZjednoczonych. Czyżby czerwona gorączka w USA?

Tydzień temu demokratyczna senator Jeanne Shaheen przedstawiłaprojekt ustawy, która w praktyce wyeliminować ma rosyjskieoprogramowanie z amerykańskich instytucji – można więc uznaćdziałania DHS za wyjście przed szereg, uznanie, że sprawa jestzbyt poważna, by można było czekać na zakończenie procesulegislacyjnego. Podobnie zaczynają myśleć firmy prywatne. Wostatni piątek sieć sklepów Best Buy usunęła oprogramowanieKaspersky Lab ze swojej oferty, i to bez żadnego uzasadnienia.

Amerykańskie agencje wywiadowcze od miesięcy też prywatnymikanałami informują polityków i ważnych biznesmenówniebezpieczeństwie związanym z rosyjskim oprogramowaniem. Dowodynie są potrzebne, należy w to zapewne wierzyć tak samo, jakwierzyło się w broń masowego rażenia Saddama Husseina.

Można więc powiedzieć, że mamy powtórkę z politykirealizowanej w latach 50 zeszłego wieku przez senatora JosephaMcCarthy’ego. Jako przewodniczący komisji śledczej w Senaciezainicjował on kampanię na rzecz badania lojalności pracownikówadministracji rządowej, szkół wyższych, wojska i innychinstytucji życia publicznego, by zneutralizować mających działaćw tym gronie radzieckich agentów. W swoich działaniach, jakoceniają to dziś historycy, senator McCarthy opierał się napomówieniach, donosach i insynuacjach, aby zniszczyć reputacjęswoich oponentów… lecz w wielu przypadkach jego oskarżenia, mimoże niedowiedzione, okazały się trafne.

Co szczególnie osobliwe, DHS stwierdziło, że życzyłoby sobie,aby przedstawiciele Kaspersky Lab nawiązali kontakt z urzędnikamifederalnymi i udowodnili, że ich oprogramowanie jest wolne odwszelkich furtek. Najwyraźniej ktoś puścił mimo uszu wielokrotniepowtarzane przez Jewgienija Kasperskiego propozycje udostępnieniawładzom USA kodu źródłowego wszystkich produktów, by mogły sięprzekonać, że niczego niewłaściwego tam nie ma.

Rosjanie najwyraźniej utrzymują dobrą minę do złej gry. W tymtygodniu rzecznik Kaspersky Lab stwierdził, że po pierwszeamerykańskie władze federalne nie były dużym klientem, po drugie,że otwiera nowe biura w Stanach Zjednoczonych, by sprostaćzainteresowaniu ze strony nowych klientów. Podkreślił, że jegofirma nie utrzymuje żadnych potajemnych relacji z żadnym rządem,nigdy też nie przedstawiono wiarygodnych dowodów, że jest inaczej.

Rosyjska firma zarzeka się też, że nigdy nie pomagała i niepomogłaby żadnemu rządowi w prowadzeniu operacji związanych z cyberszpiegostwem. Rozczarowanie budzi to, że prywatna firma możebyć uznana za winną mimo braku dowodów – i to tylko z powodówgeopolitycznej natury – stwierdził rzecznik prasowy.

Biorąc pod uwagę to, jakimi możliwościami dysponują dziśwhitehaci w badaniu nawet zamkniętego oprogramowania, trudno sobiewyobrazić, by producent tak bardzo na świeczniku będącychprzecież produktów ryzykował w nich umieszczenie furtek czynarzędzi zdalnego dostępu. Jedna taka wpadka oznaczałaby koniecbazującego przecież na zaufaniu biznesu na całym świecie. Jeśliwięc Kaspersky Lab jest niewinny, to dlaczego jest winny?

Istnieje chyba tylko jedno racjonalne wytłumaczenie tego stanurzeczy. Od kilku lat Kaspersky Lab regularnie odkrywa, opisuje ineutralizuje próbki malware, które jak twierdzą niektórzyeksperci z branży, mogłyby powstać w laboratoriach NSA i CIA. Byćmoże chodzi więc o potrzebę zwykłego odegrania się ze stronyczłonków amerykańskiej społeczności wywiadowczej.