O CEO e fundador da Kaspersky, Eugene Kaspersky, publicou no dia 16 de março, quarta-feira passada, uma ‘carta aberta’ em resposta a um alerta feito na véspera pelo BSI, o Escritório Federal de Segurança da Informação (BSI) da Alemanha. O órgão publicou um documento de alerta com o título “Software de proteção contra vírus do fabricante Kaspersky”. Segundo o documento, “o software antivírus , incluindo os serviços de nuvem com capacidade em tempo real associados, possui amplas autorizações de sistema e, devido ao sistema (pelo menos para atualizações), deve manter uma conexão permanente, criptografada e não verificável com os servidores do fabricante”. O texto da carta de Eugene Kaspersky está reproduzido abaixo:
Veja isso
Kaspersky sob ataque nos EUA
Governo alemão publica alerta contra a Kaspersky
Danos colaterais — sobre segurança cibernética
Nas últimas três semanas, a guerra na Ucrânia destruiu o mundo que conhecíamos. Famílias, relações, parcerias e laços foram afetados dramaticamente na Ucrânia, Rússia, Europa e no mundo inteiro. A avalanche desses eventos trágicos atinge todos nós.
Também atingiu minha empresa, a maior empresa privada de segurança cibernética do mundo que orgulhosamente leva meu nome. Nesta semana, o Escritório Federal Alemão de Segurança da Informação (BSI) emitiu um alerta sobre os produtos Kaspersky, citando riscos potenciais para a segurança de TI daqueles que usam produtos e soluções Kaspersky. Sem entrar em detalhes, posso dizer que essas alegações são especulações não apoiadas por nenhuma evidência objetiva nem oferecendo detalhes técnicos. A razão é simples. Nenhuma evidência de uso ou abuso do Kaspersky para fins maliciosos jamais foi descoberta e comprovada nos vinte e cinco anos de história da empresa, apesar das inúmeras tentativas de fazê-lo.
Sem essa evidência, só posso concluir que a decisão do BSI é tomada apenas por motivos políticos. É tristemente irônico que a organização que defende objetividade, transparência e competência técnica – os mesmos valores que a Kaspersky apoiou por anos junto com o BSI e outros reguladores europeus e órgãos do setor – decidiu ou foi forçada a abandonar seus princípios literalmente da noite para o dia. A Kaspersky, parceira de longa data e colaboradora do BSI e da indústria de segurança cibernética alemã, recebeu apenas algumas horas para lidar com essas alegações falsas e infundadas. Isso não é um convite ao diálogo – é um insulto.
Apesar dos contínuos pedidos da Kaspersky para a realização de uma auditoria profunda de nosso código-fonte, atualizações, arquitetura e processos nos Kaspersky Transparency Centers na Europa, o BSI nunca o fez. Essa decisão também omite convenientemente o fato de que a Kaspersky há anos é pioneira em maior transparência com um esforço de vários milhões de euros para realocar os dados de ameaças de nossos clientes europeus para a Suíça como parte de nossa Iniciativa de Transparência Global. É por isso que considero a decisão do BSI um ataque injustificado e injusto à minha empresa e especificamente aos funcionários da Kaspersky na Alemanha e na Europa. Mais importante, este também é um ataque à grande base de consumidores na Alemanha que confia na Kaspersky, que há duas semanas foi premiada como a melhor oferta de segurança (pela AV-Test). É também um ataque aos empregos de milhares de profissionais alemães de segurança de TI, aos policiais que treinamos para combater o cibercrime, aos estudantes alemães de ciência da computação que ajudamos a obter habilidades para o trabalho, aos nossos parceiros em projetos de pesquisa nas áreas mais críticas da segurança cibernética e em dezenas de milhares de empresas alemãs e europeias de todos os tamanhos que temos protegido de todo o espectro de ataques cibernéticos.
O dano reputacional e comercial da decisão do BSI já é bastante significativo. A única pergunta que tenho – para que fim? Não ter a Kaspersky na Alemanha não tornará a Alemanha ou a Europa mais seguras. Pelo contrário. A decisão do BSI significa que os usuários alemães são fortemente aconselhados a desinstalar imediatamente o único antivírus que, de acordo com o AV-Test, um instituto alemão independente de segurança de TI, garante 100% de proteção contra ransomware. Isso significa que os principais fabricantes alemães de equipamentos industriais não receberão mais informações sobre vulnerabilidades críticas em seus softwares e hardwares da Kaspersky ICS-CERT — uma organização aclamada por seu trabalho de divulgação responsável por esses mesmos fabricantes. Isso significa que os gigantes automotivos alemães permanecerão alheios aos bugs que podem permitir que um invasor ultrapasse todo o sistema de computador de bordo e mude sua lógica. Isso significa um enorme ponto cego na superfície de ataque para quem responde a incidentes e para operadores de SOC europeus, que não poderão mais receber dados de ameaças de todo o mundo – e da Rússia em particular.
Minha mensagem ao BSI, que agora parece estar evitando contatos com nossa equipe alemã, é simples: consideramos essa decisão injusta e totalmente errada. No entanto, continuamos abertos a abordar quaisquer preocupações que eles possam ter de maneira objetiva, técnica e honesta. Somos gratos aos reguladores europeus e especialistas do setor que adotaram uma abordagem mais equilibrada, solicitando análises técnicas adicionais e escrutínio de soluções de segurança e da cadeia de suprimentos de TI, e estou totalmente comprometido em fornecer todas as informações e cooperação necessárias de Kaspersky durante todo esse processo. E para nossos clientes alemães e europeus, quero dizer que estamos imensamente gratos por sua escolha da Kaspersky e que continuaremos a fazer o que fazemos de melhor — protegendo você de todas as ameaças cibernéticas, não importa de onde venham.
A guerra na Ucrânia só pode terminar por meio da diplomacia, e todos nós esperamos o fim das hostilidades e a continuidade do diálogo. Essa guerra é uma tragédia que já trouxe sofrimento a pessoas inocentes e repercussões em nosso mundo hiperconectado. A indústria global de segurança cibernética, que foi construída com base na confiança e cooperação para proteger os links digitais que nos conectam pode muito bem ser seu dano colateral – e, assim, deixar todos ainda menos seguros.”