Americké ministerstvo obchodu přistoupilo na konci června k ráznému kroku. V rámci ochrany dat amerických občanů rozhodlo o úplném zákazu prodeje softwaru společnosti Kaspersky Lab ve Spojených státech. Na vrcholné manažery společnosti navíc uvalili Američané sankce.

Ministerstvo své kroky zdůvodnilo tím, že panují obavy, aby se firma, která spadá do jurisdikce Ruska, nepokusila ukrást data amerických občanů, případně jim do počítačů dostat škodlivý malware.

„Rusko znovu a znovu ukázalo, že má schopnosti a zájem využít ruské společnosti, jako je Kaspersky Lab, ke shromažďování a zneužití citlivých amerických informací, a budeme i nadále používat všechny nástroje, které máme k dispozici, abychom chránili národní bezpečnost USA a americký lid,“ řekla k tomu americká ministryně obchodu Gina Raimondo.

Ze strany amerických úřadů se nejedná o první krok proti této mezinárodní firmě specializující se na vývoj a prodej antivirových programů. Už v roce 2017 ministerstvo vnitřní bezpečnosti zakázalo používání produktů Kaspersky na federálních úřadech. Také tehdy argumentovalo strachem z propojení firmy a ruských tajných služeb.

V březnu 2022, po ruské agresi proti Ukrajině, byly produkty Kaspersky v USA zařazeny na seznam komunikačních technologií, které představují ohrožení pro národní bezpečnost.

Firma dlouhodobě napojení na Rusko popírá. Aktuálně ale po vydání zákazu prodeje oznámila úplné stažení z USA.

NÚKIB čeká na informace

„Pokud by se jednalo o politické rozhodnutí, pak platí, že NÚKIB se neřídí politickými rozhodnutími vlád jiných zemí, ale vlastními analýzami. Pokud by rozhodnutí úřadů v USA bylo podloženo něčím konkrétním, co by s námi byli ochotni sdílet, může nás to ovlivnit,“ doplnila.

Postoj kyberúřadu je přitom klíčový v tom, jak se při nákupu softwarů zařídí další státní instituce. Už jeho varování v roce 2022 způsobilo, že se některé začaly produktů od Kaspersky Lab zbavovat. Jednou z nich byl i Státní úřad pro jadernou bezpečnost (SÚJB).

„Po začátku války na Ukrajině jsme produkty ruské společnosti vyhodnotili jako bezpečnostní riziko, proto jsme v březnu roku 2022 nahradili antivir od firmy Kaspersky Lab antivirovým řešením jiného dodavatele,“ napsala Radiožurnálu Lenka Babická z Oddělení strategie SÚJB. Podobně se zachoval třeba i Energetický regulační úřad.

Přesto, jak zjistil Radiožurnál z registru smluv, jsou v Česku i instituce, které přes veškerá dřívější varování licence od Kaspersky Lab nakupují doteď. Například městu Znojmo na konci loňského roku končila platnost licencí od dříve pořízených softwarů Kaspersky Lab.

Město proto vypsalo soutěž na nový antivirus. Přesto v soutěži opět vyhrála nabídka firmy, která nabízela produkty Kaspersky Lab. Podle mluvčího města Pavla Kovaříka se přitom snažili těmto softwarům už vyhnout.

„Naší snahou bylo dále s produkty Kasperky Lan raději nepokračovat a produkt Kaspersky Lab ze soutěže vyloučit,“ tvrdí Kovařík. „Kontaktovali jsme v této souvislosti NÚKIB a žádali jejich stanovisko. Bohužel jejich odpověď byla nejednoznačná, velmi obecná a neposkytla nám nástroj, díky kterému bychom mohli produkt Kaspersky Lab ze soutěže vyloučit, aniž bychom se nedopustili diskriminace, případně porušení zákona o zadávání veřejných zakázek,“ dodal.

Pojišťovna a univerzity firmě věří

Kasperskyho antivirus využívá i Česká průmyslová zdravotní pojišťovna, která zpracovává řadu citlivých osobních údajů. Mluvčí pojišťovny Eva Mazurková tvrdí, že produkt od společnosti Kaspersky Lab využívají v rámci bezpečnostních řešení jako sekundární, doplňkovou kontrolu v kombinaci s dalšími produkty.

„Pro specifické funkce a potřeby ochrany některých prvků infrastruktury se jeví jako nejvhodnější řešení. V současné době nelze v rámci veřejného nakupování jednoznačně vyloučit produkty Kaspersky Lab,“ dodala Mazurková.

Používání softwaru konzultovala pojišťovna podle Mazurkové i s externími bezpečnostními experty. Mluvčí ale připustila, že budou před koncem platnosti licencí uvažovat o změně. 

Produkty Kaspersky Lab využívají také dvě fakulty českých univerzit – 1. lékařská fakulta Univerzity Karlovy a také Fakulta stavební na Českém vysokém učení technickém.

Mluvčí lékařské fakulty Veronika Ležatková to zdůvodňuje tím, že jsou dlouhodobě s produkty firmy spokojení. Navíc firma podle nich poskytuje záruky, že jsou data v bezpečí. „Kromě toho, že společnost Kaspersky má sídlo v Londýně a data spravuje ve Švýcarsku, všechny své postupy nechává veřejně auditovat,“ uvedla Ležatková.

Ostatně stejně argumentuje na svou obranu dlouhodobě i samotná firma Kaspersky Lab. Podle manažera komunikace firmy pro východní Evropu a Izrael Darko Nataliče americké ministerstvo obchodu učinilo své rozhodnutí na základě současného geopolitického klimatu a teoretických obav, spíše než na základě komplexního hodnocení integrity produktů a služeb společnosti Kaspersky.

„Kaspersky Lab opakovaně prokázal svou nezávislost na jakékoli vládě. Kromě toho Kaspersky zavedl významná opatření pro transparentnost, která nemají v odvětví kybernetické bezpečnosti obdoby, aby prokázal svůj závazek k integritě a důvěryhodnosti. Rozhodnutí Ministerstva obchodu tato fakta nespravedlivě ignoruje,“ napsal Natalič Radiožurnálu.

Natalič popsal, že firma kromě přesunu datacenter do Švýcarska také prochází pravidelnými audity a v minulosti nabídla některým institucím své zdrojové kódy.

Expert: je absurdní to kupovat

Podle experta na kybernetickou bezpečnost Tomáše Flidra ale Kaspersky dlouhodobě představuje bezpečností riziko. „Z mého pohledu je naprosto absurdní po roce 2022 něco takového kupovat. Ty instituce by měly brát v úvahu i geopolitickou situaci,“ upozornil Flidr pro Radiožurnál.

Podle experta navíc neobstojí ani obhajoba některých institucí, které stále produkty firmy používají. „To, že NÚKIB nenapsal do svého varování rovnou jméno Kaspersky, nic neznamená. Oni si mají ze zákona dělat bezpečnostní analýzu rizik a neumím si představit analýzu, která jim řekne, že produkty Kaspersky Lab jsou ok,“ zmínil dále Flidr.

Připomněl, že firma s ruským původem má problémy s důvěryhodností už zhruba od roku 2014, kdy začal konflikt na Ukrajině. Mimo jiné proto, že zakladatel firmy Eugene Kaspersky je někdejší absolvent Vysoké školy KGB. A právě vliv ruských tajných služeb představuje podle Flidra zásadní riziko. Třeba agentura Bloomberg už v roce 2017 informovala, že firma Kaspersky Lab spolupracovala s ruskou kontrarozvědkou FSB. 

„Neumím si představit, že by Rusko v té současné situaci, kdy útočí pomocí kyberútoků dnes a denně a tajné služby mají v Rusku neomezené pole působnosti, tak by v momentě, kdy by se jim to hodilo, nevyužily tu úroveň přístupu, který jim dává antimalware od Kasperskeho,“ je přesvědčen Flidr.