O Gabinete de Indústria e Segurança (BIS) do Departamento de Comércio dos Estados Unidos anunciou uma Determinação Final que proíbe a Kaspersky Lab, Inc., a subsidiária americana de uma empresa russa de software antivírus e cibersegurança, de fornecer, directa ou indirectamente, software antivírus e produtos ou serviços de cibersegurança nos Estados Unidos ou a cidadãos americanos. A proibição também se aplica aos afiliados, subsidiárias e empresas-mãe da Kaspersky Lab, Inc. (juntamente com a Kaspersky Lab, Inc., “Kaspersky”).
A mudança, que foi pensada pelo menos no ano passado, foi anunciada pelo Bureau de Indústria e Segurança da agência e pode ser lida aqui. Segue-se a uma proibição pré-existente das ofertas da Kaspersky nos sistemas do governo dos EUA, que foi promulgada em 2017, depois de autoridades terem dito que o seu software foi usado para roubar dados confidenciais de funcionários da NSA através de intercepções de backdoor controladas pelo Kremlin.
A proibição inédita começará em 29 de Setembro e impedirá efectivamente a empresa de antivírus com sede em Moscovo de fornecer serviços de segurança cibernética em qualquer lugar do país. Os clientes existentes também não poderão actualizar o software Kaspersky após essa data.
A empresa não poderá inscrever novos clientes após 20 de Julho. A Kaspersky disse em comunicado por escrito que “pretende buscar todas as opções legalmente disponíveis para preservar suas operações e relacionamentos actuais”.
Esta acção é a primeira deste tipo e é a primeira Determinação Final emitida pelo Gabinete de Serviços e Tecnologias de Informação e Comunicação (OICTS) do BIS, cuja missão é investigar se determinadas transacções de serviços ou tecnologias de informação e comunicação nos Estados Unidos representam um risco de segurança nacional indevido ou inaceitável. De um modo geral, a Kaspersky deixará de poder, entre outras actividades, vender o seu software nos Estados Unidos ou fornecer actualizações a software já em utilização. A lista completa de transacções proibidas pode ser consultada em oicts.bis.gov/kaspersky.
Para além desta acção, o BIS acrescentou três entidades – OO Kaspersky Lab e OOO Kaspersky Group (Rússia), e Kaspersky Labs Limited (Reino Unido) – à Lista de Entidades devido à sua cooperação com as autoridades militares e de inteligência russas em apoio aos objectivos de inteligência cibernética do Governo russo.
A “Determinação Final e a inclusão na Lista de Entidades são o resultado de uma investigação longa e exaustiva, que concluiu que a continuação das operações da empresa nos Estados Unidos representava um risco para a segurança nacional – devido às capacidades cibernéticas ofensivas do Governo russo e à capacidade de influenciar ou dirigir as operações da Kaspersky – que não podia ser resolvido através de medidas de atenuação que não fossem uma proibição total”.
A Kaspersky fornece soluções de segurança de TI – incluindo “ferramentas destinadas a defender contra ameaças cibernéticas, como malware, spam, hackers, ataques distribuídos de negação de serviços, ferramentas de espionagem cibernética e armas cibernéticas que visam infra-estruturas críticas – a utilizadores domésticos de computadores, pequenas empresas, grandes corporações e governos”, refere o BIS.
Segundo os Estados Unidos, a Kaspersky está sujeita à jurisdição do Governo russo e deve cumprir os pedidos de informação que possam levar à exploração do acesso a informações sensíveis presentes em dispositivos electrónicos que utilizem o software antivírus da Kaspersky.
“A Kaspersky tem amplo acesso e privilégios administrativos sobre as informações dos clientes por meio do fornecimento de software de segurança cibernética e antivírus. Os funcionários da Kaspersky poderiam potencialmente transferir dados de clientes dos EUA para a Rússia, onde ficariam acessíveis ao Governo russo ao abrigo da legislação russa”.
A Kaspersky “tem a capacidade de utilizar os seus produtos para instalar software malicioso nos computadores dos clientes dos EUA ou para recusar selectivamente actualizações, deixando as pessoas e infra-estruturas críticas dos EUA vulneráveis a malware e exploração”.
O software Kaspersky “é integrado em produtos e serviços de terceiros através da revenda do seu software, da integração do seu software de cibersegurança ou antivírus noutros produtos e serviços, ou do licenciamento do software de cibersegurança ou antivírus Kaspersky para efeitos de revenda ou integração noutros produtos ou serviços. Transacções de terceiros como estas criam circunstâncias em que o código fonte do software é desconhecido”.
Sobre este assunto a Kaspersky esclareceu, em comunicado, que “a decisão não afecta a capacidade da empresa de vender e promover ofertas e/ou formações de inteligência de ameaças cibernéticas nos EUA” e que “o departamento de comércio tomou a sua decisão com base no actual clima geopolítico e em preocupações teóricas, em vez de numa avaliação abrangente da integridade dos produtos e serviços Kaspersky”.
A empresa sublinha que “não se envolve em actividades que ameaçam a segurança nacional dos EUA e, de facto, fez contribuições significativas com os seus relatórios de protecção contra uma variedade de agentes de ameaças que visavam os interesses e aliados dos EUA”.
“A decisão do Departamento de Comércio ignora injustamente as provas”, diz. Esta situação, refere, “causará uma perturbação dramática para os nossos clientes que serão forçados a substituir urgentemente a tecnologia que preferem e na qual confiam para a sua protecção há anos”.
Notícia actualizada às 18:03