Danos colaterais na cibersegurança

Carta aberta de Eugene Kaspersky em resposta ao aviso contra o uso de produtos Kaspersky pelo Escritório Federal Alemão de Segurança da Informação (BSI).

Danos colaterais na cibersegurança

Nas últimas três semanas, a guerra na Ucrânia destroçou o mundo que conhecíamos. Famílias, relações, associações e laços viram-se afetados de uma forma dramática na Ucrânia, Rússia, Europa e no mundo inteiro. Este conjunto de eventos trágicos afeta a todos nós.

Minha empresa, que tem com orgulho o meu nome, e que é a maior empresa privada de cibersegurança do mundo, não foi uma exceção. Esta semana, o Escritório Federal de Segurança da Informação (BSI) da Alemanha emitiu um alerta sobre os produtos da Kaspersky, citando potenciais riscos para a segurança de TI de quem utiliza os produtos e as soluções da Kaspersky.

Sem entrar em detalhes, posso dizer que estas afirmações são especulações que não estão fundamentadas por nenhuma evidência objetiva, nem usam detalhes técnicos. A razão é simples. Nos vinte e cinco anos de história da empresa, nunca se descobriu nem se provou nenhuma evidência de uso ou abuso da Kaspersky para fins maliciosos, apesar das inúmeras tentativas nesse sentido.

Sem estas evidências, só posso concluir que a decisão da BSI foi tomada unicamente por motivos políticos. É extremamente irônico que a organização que defende a objetividade, a transparência e a competência técnica, que são os mesmos valores que a Kaspersky defende há anos junto à BSI e outros reguladores europeus e órgãos da indústria, decidam ou se vejam obrigados a abandonar os seus princípios, literalmente, da noite para o dia. A Kaspersky, uma parceira e coolaboradora de longa data da BSI e da indústria alemã de cibersegurança, teve apenas algumas horas para entender e responder às acusações falsas e infundadas. Isto não é um convite ao diálogo, isto é um insulto.

Apesar dos nossos convites aos Centros de Transparência da Kaspersky na Europa e tentativas contínuas para a realização de uma auditoria detalhada ao nosso código-fonte, mecanismos de atualização, arquitetura e processos, a BSI nunca o fez ou aceitou. Esta decisão também omite convenientemente o pioneirismo da Kaspersky, que já dura anos, na transparência e seu esforço multimilionário para transportar os dados de armazenamento dos nossos clientes europeus para a Suíça, como parte da nossa Iniciativa Global de Transparência.

É por estes motivos que considero que a decisão da BSI é um ataque injustificado contra a minha empresa e mais especificamente contra os colaboradores da Kaspersky na Alemanha e na Europa. Mais importante ainda, isto é também um ataque ao grande número de consumidores alemães que confia na Kaspersky, e que há duas semanas atrás foi premiada como a melhor solução de segurança de acordo com o AV-Test.

É também um ataque ao trabalho de milhares de profissionais alemães de segurança da informação, aos agentes que temos capacitado para combater o cibercrime na linha da frente, aos estudantes alemães de informática que temos ajudado a formar para este trabalho, aos nossos parceiros em projetos de investigação nas áreas mais críticas de cibersegurança e a dezenas de milhares de empresas alemãs e europeias de todos os tamanhos que protegemos de todo o tipo de ciberataques.

O dano causado à reputação e ao negócio, resultado da decisão da BSI, é bastante significativo. A única pergunta que faço é: com qual finalidade? Não ter a Kaspersky na Alemanha não fará com que a Alemanha ou a Europa estejam mais seguras. Pelo contrário, a decisão da BSI é uma recomendação aos clientes alemães que desinstalem imediatamente o único antivírus que garante uma proteção de 100% contra o ransomware, segundo o AV-Test – um instituto alemão e independente de segurança de TI.

Isto pressupõe que os principais fabricantes da Alemanha de equipamentos industriais não receberão mais informação da Kaspersky ICS-CERT sobre vulnerabilidades críticas em seu software e hardware, uma organização aclamada por esses mesmos fabricantes e pelo seu trabalho de divulgação.

Também significa que as grandes empresas automobilísticas alemãs vão permanecer alheias a falhas que possam permitir que hackers controlem todo o sistema de controles e consigam mudar suas regras. Isto significa um grande “ponto cego” na superfície de ataque para os responsáveis de resposta a incidentes e aos operadores de SOC europeus que já não poderão receber dados de ameaças de todo o mundo, e da Rússia em particular.

A minha mensagem à BSI, que agora parece estar evitando contato com nossa equipa alemã, é simples: consideramos que esta decisão é injusta e completamente incorreta. Mesmo asim, estamos abertos a responder qualquer inquietude que possa existir de forma objetiva, técnica e honesta. Agradecemos aos reguladores europeus e aos especialistas da indústria que adotaram uma postura mais equilibrada solicitando uma análise técnica adicional e um exame das soluções de segurança e da cadeia de suprimentos de TI. Estou totalmente empenhado em fornecer qualquer informação e cooperação que sejam necessárias da Kaspersky durante este processo.

E, aos nossos clientes, alemães e europeus, quero dizer-lhes que estamos imensamente agradecidos por escolherem a Kaspersky e continuaremos fazendo o que sabemos fazer de melhor: protegê-los de todas as ciberameças, não importa de onde elas venham,  e continuaremos a ser completamente transparentes com relação às nossas tecnologias e operações.

A guerra na Ucrânia só pode terminar por meio da diplomacia, e esperamos o fim das hostilidades e um diálogo contínuo. Esta guerra é uma tragédia que já causou muito sofrimento a pessoas inocentes e repercussões no nosso mundo hiperconectado. A indústria global de cibersegurança construiu-se sobre a base da confiança e da cooperação para proteger os vínculos digitais que nos conectam uns aos outros, mas que também podem ter danos colaterais, e por isso, deixar-nos numa posição menos segura.

Dicas