Rosyjscy prawodawcy w odpowiedzi na amerykańską ustawę o zakazie stosowania w Departamencie Obrony (min. w Pentagonie) oprogramowania antywirusowego firmy Kaspersky Lab, rozpoczęli prace nad własnym projektem. Zgodnie z proponowanym nowym prawem, od 2019 roku rosyjscy urzędnicy będą wymagać, aby każdy komputer wyprodukowany lub zaimportowany do Eurazjatyckiej Unii Gospodarczej był zabezpieczony tylko przy użyciu „lokalnych środków technologicznych”. Oznacza to, że każde rozwiązanie ochronne, które będzie dostarczone z innego kraju niż Rosja, Armenia, Białoruś, Kazachstan i Kirgistan, będzie zainstalowane nielegalnie.
Nikołaj Anatoljewicz Nikiforow, szef Ministerstwa Łączności i Środków Masowego Przekazu Rosji poinformował, że projekt ustawy został przekazany Władimirowi Putinowi w środę, tj. 5 lipca. Nowe prawo wejdzie w życie w połowie 2019 roku.
Denis Mateev, szef słowackiego ESET’a w wywiadzie dla rosyjskiej agencji prasowej Meduza powiedział, że zagraniczni producenci oprogramowania antywirusowego mają nie więcej niż 5% rosyjskiego rynku antywirusowego w swoich rękach. Oznacza to, że decyzja rosyjskiej Dumy ma charakter czysto polityczny i nie będzie miała większego wpływu na przychody zagranicznych firm dostarczających oprogramowanie antywirusowe do Rosji. Choć żaden rosyjski urzędnik nigdy tego nie przyzna, proponowana ustawa jest bezpośrednią odpowiedzią na projekt budżetu Stanów Zjednoczonych, który zakazuje używania antywirusów Kaspersky Lab w strategicznych instytucjach.
Kaspersky Lab vs USA
Przypomnijmy, że od maja br. amerykańscy urzędnicy rozpatrują kwestie dotyczące szpiegowskiej działalności programów Kaspersky Lab w Stanach Zjednoczonych, powołując się na możliwe „wpływy rządu rosyjskiego”, które godzą w interesy USA. Oficjalne śledztwo nigdy nie zostało rozpoczęte, a przynajmniej nigdy nie zostało ogłoszone publicznie.
Jewgienij Kapersky w wywiadzie dla The Associated Press powiedział, że jest gotów do współpracy z rządem USA i może zeznawać przed prawodawcami Stanów Zjednoczonych, by udowodnić, że zarzuty wobec jego firmy nie są prawdziwe.
If the United States needs, we can disclose the source code.
Anything I can do to prove that we don’t behave maliciously I will do it.
Szef rosyjskiej firmy antywirusowej przyznał, że mógłby przenieść część prac badawczo-rozwojowych nad oprogramowaniem na terytorium USA, aby ukrócić wszystkie plotki na temat jego firmy i produktów, które – jak to określił – „zostały zapoczątkowane dwie dekady temu przez zazdrość”. Prawdopodobnie chodziło o zazdrość ukierunkowaną na wyspecjalizowane oprogramowanie zabezpieczające rosyjskiej firmy, które od wielu lat znajduje się w ścisłej czołówce i ustąpić z tego miejsca nie chce.
Na inne zarzuty wobec zatrudniania byłych szpiegów w dziale sprzedaży, firma Kaspersky Lab odpowiedziała twierdząco. Oskarżenia te wobec prawdopodobnej ingerencji zewnętrznych czynników na oprogramowanie antywirusowe dementuje w ten sposób, że wymagałoby to dostępu do różnych procesów technologicznych w jednym czasie przez grupę osób, które musiałby posiadać odmienne poziomy dostępu do określonych zasobów.
Chociaż Jewgienij Kapersky chcąc powstrzymać wszystkich sceptyków, idzie na rękę amerykańskiemu rządowi i sam proponuje skontrolowanie kodu programów opracowanych przez firmę Kaspersky Lab, to trwający spór o to, kto ma rację, od dwóch lat ciągle nie ma końca. Jedyna pewna informacja jest taka, że Kaspersky Lab za kilka lat może całkowicie zniknąć z rynku amerykańskiego, który do roku 2022 może osiągnąć nawet 22 miliardy dolarów. Jest więc o co toczyć spór.
Rosja zamyka się na świat, albo dba o własne interesy
W ostatnich miesiącach Rosja dyktuje własne warunki przedstawicielom obcych firm technologicznych. Jeśli zachodni giganci nie będą skłonni ujawnić kodu źródłowego oprogramowania / firmware przed rosyjskimi urzędnikami, mogą dostać zakaz prowadzenia działalności na terytorium Federacji Rosyjskiej. Ustawa, która została przedstawiona prezydentowi Rosji, jest podyktowana nie tylko względami politycznymi, ale także gospodarczymi – Kreml chce uzyskać większą autonomię w erze cyfrowej. Do roku 2024 rosyjscy urzędnicy chcą ograniczyć wpływ na życie gospodarczo-polityczne zachodnich technologii w Rosji do 10%.
Zacieśniający się nadzór nad internetem, sprzętem informatycznym i oprogramowaniem jest wynikiem – dla jednych aktu zdrady, dla innych aktu bohaterstwa – jednego człowieka, Edwarda Snowdena. Rosja, tak samo jak USA i inne kraje na świecie, zdaje sobie sprawę, że korzystając z oprogramowania innego niż rodzimego, naraża własne strategiczne instytucje na możliwość szpiegowania przez wbudowane backdoory.
Sankcje to broń obosieczna
Oręż, którym wywija USA i Rosja, ale także inne kraje, jest bronią obosieczną. Niebezpieczeństwo prowadzenia takiej polityki dostrzega Jewgienij Kaspersky, któremu trudno odmówić zdrowego rozsądku w tej sprawie. Poniższy cały fragment wypowiedzi został przetłumaczony z oryginalnego artykułu, który znajduje się na blogu szefa firmy Kaspersky Lab.
„Istnieje więcej negatywnych skutków ubocznych zabraniania korzystania z technologii pochodzących z określonych regionów na podstawie decyzji rządów. Biorąc pod uwagę obecną sytuację geopolityczną, oto pięć niebezpiecznych skutków takich działań:
1. Organizacje rządowe nie będą mogły stosować najlepszych rozwiązań bezpieczeństwa dostępnych na rynku. Biorąc pod uwagę to, że posiadanie kilku warstw ochrony – od różnych producentów – oferuje poprawę bezpieczeństwa, eliminowanie jednego z czołowych producentów z łańcucha bezpieczeństwa może istotnie obniżyć poziom zabezpieczeń, szczególnie gdy mówimy o producentach, którzy wykrywają wszystkie cyberzagrożenia niezależnie od ich pochodzenia, języka i celu.
2. Spowolnienie rozwoju technologii cyberbezpieczeństwa. Ze względu na to, że rządowe kontrakty nie będą podpisywane z najlepszymi z branży, a z producentami lokalnymi w danym kraju, będziemy obserwować mniej inwestycji w innowacje odnośnie bezpieczeństwa. Na przykład, mniejsze firmy z „nieodpowiednich” krajów nie będą w stanie podpisać dostatecznej liczby umów, by wygenerować zysk wymagany do udoskonalania technologii.
3. Ograniczenie możliwości korzystania z produktów bezpieczeństwa zawęzi bazę badaczy, co z kolei spowoduje obniżenie czasu reakcji na nowe globalne cyberzagrożenia. Jeżeli ta gra w sankcje stanie się ogólnoświatowa, dotknie ona większości producentów z branży bezpieczeństwa, a tym samym wszyscy użytkownicy bez wyjątków będą bardziej narażeni na cyberataki. Mówiąc krótko, święta przychodziłaby wcześniej – i cześciej – jednak wyłącznie dla cyberprzestępców.
4. Ograniczając działanie firm na podstawie tego, skąd pochodzą, będzie miało negatywny wpływ na międzynarodową współpracę. Od ponad dekady na konferencjach poświęconych bezpieczeństwu IT wszyscy mówią (a ja chyba najgłośniej), że potrzebujemy więcej zaufania, otwartości, współpracy i partnerstwa, by walczyć z globalną cyberprzestępczością. Aby nadążyć za ewoluującym krajobrazem zagrożeń, organy ścigania z różnych krajów muszą współpracować ze społecznością cyberbezpieczeństwa. Tylko w ten sposób można powstrzymać przestępców działających na całym świecie.
5. I na koniec, choć wcale nie jest to najmniej istotne: omawiany trend doprowadziłby do znacznego ograniczenia konkurencji wewnątrz branży cyberbezpieczeństwa, a jak wszyscy wiemy, konkurencja jest dobra dla rynku – a szczególnie dla klientów, którzy oczekują najlepszych i najskuteczniejszych produktów. Nie wszyscy producenci dysponują takimi samymi możliwościami i wiedzą ekspercką. Co więcej, atakujący będą mieli ułatwione zadanie, ponieważ będą wiedzieli, że muszą złamać wyłącznie określone (lokalne) technologie, by włamać się do infrastruktury, firm i rządów w danym kraju. Cyberataki staną się po prostu łatwiejsze w realizacji. Oczywiście, jeżeli rynek bezpieczeństwa w danym kraju jest na tyle rozwinięty, że istnieje wewnętrzna konkurencja, sytuacja nie będzie aż tak nieciekawa.
Te pięć przykładów negatywnego wpływu na branżę bezpieczeństwa to nie żarty i powinniśmy zastanowić się nad potencjalnym konsekwencjami, jakie mogą nieść decyzje podejmowane – być może – w dobrej wierze, jednak z uwzględnieniem złych przesłanek. Podejmowanie dalekosiężnych decyzji na podstawie spekulacji i nieprawdziwych domysłów nie jest rozsądne.”
