Γιατί η κυβέρνηση των ΗΠΑ δεν πρέπει να απαγορεύσει το Kaspersky; Το γνωστό σε όλους λογισμικό ασφαλείας που κατατάσσεται νούμερο 1 στις προτιμήσεις των χρηστών έχει μπει για τα καλά στο στόχαστρο της Αμερικής.
Νωρίτερα αυτό το καλοκαίρι, η Επιστημονική Επιτροπή House Science Committee απέστειλε επιστολές σε 22 αμερικανικές κυβερνητικές υπηρεσίες ζητώντας πληροφορίες σχετικά με τη χρήση των προϊόντων ασφαλείας Kaspersky Lab.
Καθώς η ομοσπονδιακή κυβέρνηση εξακολουθεί να διερευνά τις σχέσεις μεταξύ της διοίκησης του Trump και της Ρωσίας, αξιωματούχοι στην Ουάσινγκτον εξέφρασαν την ανησυχία τους ότι η χρήση λογισμικού από την κυβέρνηση της Kaspersky Lab – ένας πολύ γνωστός πωλητής ασφάλειας στη Ρωσία – θα μπορούσε να θέσει σε κίνδυνο την εγχώρια νοημοσύνη.
Αυτό το αίτημα αντιπροσωπεύει την πιο πρόσφατη ενέργεια σε μια επιθετική καμπάνια από το Κογκρέσο για να εξετάσει τις πιθανές συνέπειες στην ασφάλεια από τη χρήση του λογισμικού Kaspersky για κυβερνητική υποδομή.
Ήδη η Διοίκηση Γενικών Υπηρεσιών (GSA) διέταξε την κατάργηση των πλατφορμών λογισμικού της Kaspersky από τους καταλόγους των εγκεκριμένων προμηθευτών. Εν τω μεταξύ, η Γερουσία εξετάζει ένα νομοσχέδιο της Άδειας Εξαγοράς Εθνικής Άμυνας του 2018 (γνωστό ως NDAA, που καθορίζει το μέγεθος και τις χρήσεις για το οικονομικό έτος 2018 του προϋπολογισμού του Υπουργείου Άμυνας των ΗΠΑ) που θα εμπόδιζε τη χρήση των προϊόντων Kaspersky στο στρατό .
Αν και το Κογκρέσο έχει ασφαλώς την ευθύνη να διατηρήσει την ασφάλεια των κυβερνητικών συστημάτων, μια τέτοια γενική απαγόρευση συμβάλλει στην αυξανόμενη τάση προστατευτισμού στις δημόσιες συμβάσεις τεχνολογίας και απειλεί την καινοτομία.
Οι επιλογές προμήθειας έχουν συνέπειες πολύ πέρα από τις απώλειες συμβάσεων. Η κίνηση για την κατάργηση των προϊόντων της Kaspersky από τα κυβερνητικά συστήματα είναι πιθανό να επηρεάσει τους κρατικούς εργολάβους και τους καταναλωτές. Δεδομένου ότι η GSA αξιολογεί τις πρακτικές των εργολάβων και προμηθευτών στην αλυσίδα εφοδιασμού της κυβέρνησης, η χρήση των προϊόντων της Kaspersky μπορεί να αποδειχθεί ότι είναι ένας τιμωρούμενος, αν όχι αποκλειστικός, παράγοντας για τις εταιρείες κατά τη διαδικασία αξιολόγησης προτάσεων.
Οι επιστολές της επιτροπής επιστημών ζητούν συγκεκριμένα τα ονόματα των αντισυμβαλλομένων ή των υπεργολάβων των ΗΠΑ που χρησιμοποιούν τα προϊόντα της Kaspersky.
Ενώ το NDAA στοχεύει μόνο στο λογισμικό, η τεχνολογία Kaspersky ενσωματώνεται επίσης στα προϊόντα υλικού και λογισμικού εταιρειών όπως η Juniper και η Microsoft. Δεν είναι σαφές εάν η απαγόρευση του NDAA θα εμπόδιζε τη χρήση προϊόντων που ενσωματώνουν τεχνολογία Kaspersky. Εάν συμβαίνει αυτό, άλλες εταιρείες τεχνολογίας θα μπορούσαν να απομακρυνθούν από τις εταιρικές σχέσεις με την εταιρεία, κάτι που θα ήταν ένα χτύπημα στις επιχειρήσεις της στις ΗΠΑ.
Ωστόσο, δεν υπήρξαν αποδεδειγμένες ενδείξεις ότι το Kaspersky επηρεάζεται από τις ρωσικές αρχές, ούτε ότι οι ρωσικές υπηρεσίες πληροφοριών έχουν επικρίνει την εταιρεία να εγκαταστήσει backdoors. Οι σημαντικότερες και επαληθεύσιμες συνδέσεις της Kaspersky Lab με τις ρωσικές υπηρεσίες πληροφοριών είναι η εκπαίδευση του διευθύνοντος συμβούλου Eugene Kaspersky σε ένα ινστιτούτο κρυπτογραφίας της KGB και ο έλεγχός του στη σοβιετική στρατιωτική υπηρεσία πριν από περισσότερα από 20 χρόνια.
Ωστόσο, δεν είναι παράλογο να πιστεύουμε ότι η Kaspersky Lab μπορεί να έχει δεσμούς με τη ρωσική κυβέρνηση. Η εταιρεία απασχολεί πρώην αξιωματούχους πληροφοριών και το επιχειρηματικό κλίμα που βασίζεται στη σχέση της Ρωσίας σημαίνει ότι είναι απίθανο η Kaspersky Lab να είχε κατορθώσει να έχει σχέσεις με ανώτερους κυβερνητικούς αξιωματούχους.
Ωστόσο, είναι μια επιβάρυνση που θα μπορούσε να επιβληθεί σε πολλές εταιρείες τεχνολογίας, ιδίως εταιρείες ηλεκτρονικής ασφάλειας. Καθώς η ψηφιακή οικονομία έχει αυξηθεί, οι διεθνείς υπηρεσίες πληροφοριών και οι εταιρείες τεχνολογίας έχουν σχηματίσει ένα είδος νοημοσύνης-βιομηχανικού συγκροτήματος. Μετά την έξοδο από τις υπηρεσίες πληροφοριών των ΗΠΑ, πολλοί πρώην αξιωματικοί και κρυπτογράφοι μεταβαίνουν σε θέσεις εργασίας με επιχειρήσεις υψηλής τεχνολογίας , που προσλαμβάνονται για τις δεξιότητες που έμαθαν στην υπηρεσία ή ειδικά για τις ισχυρές προσωπικές σχέσεις τους με κυβερνητικούς αξιωματούχους.
Οι ευρωπαϊκές δυνάμεις δεν διαφέρουν, ενώ η γαλλική υπηρεσία πληροφοριών, DGSE, διατηρεί άτυπες σχέσεις ανταλλαγής πληροφοριών με γαλλικές τεχνολογικές εταιρείες και γαλλικές εταιρείες που συχνά λαμβάνουν οικονομική κατασκοπεία από το DGSE. Στο Ισραήλ, η μονάδα 8200 των Ισραηλινών δυνάμεων, μια υπηρεσία πληροφοριών, είναι γνωστή ως εκκολαπτήριο τεχνολογίας de-facto , ενώ οι αποφοίτοι της Μονάδας 8200 συχνά εγκαταλείπουν την υπηρεσία για την άμεση χρηματοδότηση νέων τεχνολογιών, που επικεντρώνονται συνήθως στην ασφάλεια στον κυβερνοχώρο.
Παρατηρώντας τους δεσμούς και τα συμφέροντα των υπηρεσιών πληροφοριών με ξένες εταιρείες τεχνολογίας, άλλες χώρες αποφάσισαν να προτιμούν τις εγχώριες επιχειρήσεις. Από το 2014, ο Ρώσος πρόεδρος Βλαντιμίρ Πούτιν έχει ωθήσει τη χώρα να γίνει τεχνολογικά ανεξάρτητη από τις δυτικές εταιρείες. Το Κρεμλίνο υποστηρίζει επί του παρόντος ένα σχέδιο για την κατάργηση του ξένου λογισμικού από κυβερνητικά γραφεία και κρατικές εταιρείες. Εν τω μεταξύ, η κυβέρνηση του κυβερνοχώρου της Κίνας μόλις κυκλοφόρησε την τελική έκδοση του μέτρου της για τη διεξαγωγή ελέγχων ασφάλειας δικτύων και προϊόντων δικτύου που χρησιμοποιούνται σε βασικούς τομείς. Τα μέλη του ΠΟΕ εκφράζουν ήδη ανησυχίες ότι οι αόριστα καθορισμένοι κανονισμοί εισάγουν διακρίσεις σε βάρος των μη εγχώριων εταιρειών και τεχνολογιών.
Αυτές οι ανησυχίες προστατευτισμού είναι νόμιμες. Το Κογκρέσο πρέπει να εξετάσει τις συνέπειες της αγοράς από μια γενική απαγόρευση. όπως κάθε προστατευτικός φραγμός, αυτός ο τύπος περιορισμού είναι πιθανό να μειώσει την ανταγωνιστικότητα της χώρας, να μειώσει τη διαθεσιμότητα των φθηνών αγαθών και υπηρεσιών και να προωθήσει ξένες αποζημιώσεις έναντι των αμερικανικών επιχειρήσεων.
Οι περισσότερες από αυτές τις ενέργειες ενδέχεται να περιορίσουν την πρόσβαση των καταναλωτών στην καινοτομία. Η Kaspersky είναι ηγέτης στον κλάδο της ασφάλειας πληροφοριών και της απειλής πληροφοριών για απειλές στον κυβερνοχώρο. Οι ερευνητές στον τομέα της ασφάλειας συχνά βασίζονται στην υψηλής ποιότητας ανάλυση των ομάδων απειλών του κυβερνοχώρου, ιδιαίτερα εκείνων που προέρχονται από τη Ρωσία. Σήμερα, το ζήτημα είναι μία εταιρεία, αλλά πολλές εταιρείες τεχνολογίας έχουν δεσμούς με τις υπηρεσίες πληροφοριών και τις κυβερνήσεις. Εάν η απαγόρευση αυτή προχωρήσει, είναι εύκολο να προβλεφθεί η χρήση της ενάντια σε κινεζικές, γαλλικές ή ισραηλινές επιχειρήσεις. Εάν υπάρξουν τέτοιες απαγορεύσεις, οι εθνικές κυβερνήσεις αυτών των εταιρειών θα είναι βέβαιο ότι θα καταστήσουν τις αμερικανικές τεχνολογικές εταιρείες να μοιράζονται τον πόνο, με καθυστερημένη διάκριση έναντι των αμερικανικών προϊόντων.
Εάν η κυβέρνηση των ΗΠΑ έχει ανησυχίες πέρα από την απλή συνεργασία με τις ξένες υπηρεσίες πληροφοριών, εάν πιστεύει αληθινά ότι ορισμένα τεχνολογικά προϊόντα διατηρούν ευπάθειες στις ξένες κυβερνήσεις, οι υπάλληλοι θα πρέπει να συνεργάζονται με τις επιχειρήσεις για να παρέχουν μια διαφανή διαδικασία για την αναθεώρηση τέτοιων ζητημάτων. Η Kaspersky δήλωσε ότι είναι πρόθυμη να υποβάλει τα προϊόντα της για έλεγχο.
Το 2010, προκειμένου να αποδείξει στο βρετανικό γραφείο ασφαλείας GCHQ ότι η κινεζική κυβέρνηση δεν έδωσε εντολή για backdoors στον τηλεπικοινωνιακό εξοπλισμό της, η κινεζική εταιρεία Huawei δημιούργησε το Κέντρο Αξιολόγησης Ασφάλειας της Huawei για την παροχή ελέγχων ασφάλειας και επιθεωρήσεων προϊόντων Huawei. Ενώ ο οργανισμός αντιμετώπισε αρχικά επικρίσεις σχετικά με την αντικειμενικότητα, οι μεταγενέστερες επιχειρησιακές αλλαγές δημιούργησαν έναν οργανισμό ελέγχου ο οποίος προς το παρόν ικανοποιεί τις ανησυχίες της βρετανικής κυβέρνησης σχετικά με πιθανές τρωτά σημεία στα προϊόντα της κινεζικής εταιρείας τηλεπικοινωνιών. Αντί να εφαρμόσει γενικές απαγορεύσεις στα προϊόντα, η αμερικανική κυβέρνηση πρέπει να επιδιώξει παρόμοιο συμβιβασμό με τις ύποπτες επιχειρήσεις. Μια τέτοια κίνηση θα μπορούσε να μετριάσει τους φόβους της κυβέρνησης και να προστατεύσει τις ανοιχτές αγορές τεχνολογίας των ΗΠΑ.
Τελικά, εάν οι ΗΠΑ θέλουν να εξαλείψουν την απειλή των τρωτών σημείων της κυβέρνησης σε ξένα προϊόντα τεχνολογίας, θα πρέπει να διεξάγουν μια ρύθμιση σε διπλωματικό επίπεδο. Η Microsoft, στην πρόσφατα προτεινόμενη Σύμβασή της για τη Ψηφιακή Γενεύη , κάλεσε όλες τις κυβερνήσεις να σταματήσουν τις επιθετικές επιχειρήσεις εναντίον πολιτικών δικτύων και υποδομών. Αν και μια τέτοια συμφωνία μπορεί να είναι μακριά, ένα ενδιάμεσο βήμα προς αυτή την κατεύθυνση μπορεί να είναι για τις κυβερνήσεις να παύσουν τις εντολές για τρωτά σημεία και backdoors στο λογισμικό και το υλικό που παράγεται στο εσωτερικό της χώρας. Μια συμφωνία εναντίον της εγκατάστασης με κερκόπορτα θα προσφέρει ανακούφιση για τις αμερικανικές, κινεζικές και ρωσικές κυβερνήσεις – και θα επιτρέψει στις τεχνολογικές επιχειρήσεις να επανέλθουν σε πραγματικά ελεύθερο εμπόριο.