Leszerződött az orosz Kasperskyval a NATO-ba igyekvő Bosznia-Hercegovina kormánya

A boszniai kormány szerepét betöltő Miniszterek Tanácsa az egyre több NATO- és EU-tagállamban betiltott Kaspersky Lab nevű orosz informatikai biztonsági cég termékeinek beszerzése mellett döntött az ország elleni tavaly szeptemberi kibertámadásra válaszul. A döntés komoly felháborodást váltott ki Bosznia- Hercegovinában, miután kiderült, hogy a legfontosabb állami intézmények informatikai védelmét már több éve a Kaspersky termékeivel oldják meg.

Az egész ország Kasperskyt használ

A korábbi hetekben egyre több részlet látott napvilágot a boszniai kormány szerepét betöltő Miniszterek Tanácsa (Vijeća Ministara) és a Prointer nevű banjalukai cég között megkötött szerződésről, aminek keretében a Prointer a Kaspersky Lab szoftvereinek a beszerzésében működött közre.

A mindig jól értesült Klix hírportál megkeresésére a Miniszterek Tanácsának titkársága hivatalos válaszban megerősítette, hogy a boszniai kormány valóban az orosz vírusirtó program beszerzése mellett döntött.

A Kaspersky ötletes rajzfilmekkel népszerűsíti magát a YouTube-n

A programot több mint 50 boszniai közintézményben használják jelenleg is. Ezek közé tartoznak olyan védett intézmények, mint a boszniai államelnökség, a hadsereg és a jelentős súlyú bűncselekmények nyomozásával, valamint az állami vezetők védelmével foglalkozó SIPA.

2022. végén mintegy 1300 darab állami felhasználási ponthoz köthető Kaspersky előfizetés volt Bosznia- Hercegovinában.

A Miniszterek Tanácsának közelmúltbeli döntése alapján ez további 200 darabbal fog nőni. A Prointerrel megkötött mostani szerződést a Miniszterek Tanácsának titkársága kezdeményezte, és annak összértéke 18.000 euróra rúgott.

A fent említett állami szervek mellett a Kaspersky szoftvert számos önkormányzati és közintézményben használják Bosznia- Hercegovinában, így a boszniai postánál, az adóhivatalban, a szerb entitás vasúttársaságánál, de még a szarajevói egyetem jogi karának számítógépein is ez van telepítve.

Szeptemberben Boszniát támadták

2022 szeptemberében jelentek meg hírek a boszniai sajtóban arra vonatkozóan, hogy több állami intézményt, köztük a Miniszterek Tanácsának használatában lévő számítástechnikai eszközöket is kibertámadás érte.

A komoly titoktartás mellett kezelt informatikai biztonsági esemény súlyát jelzi, hogy a boszniai parlament weboldala bő két hétig nem volt elérhető. Ugyanígy működésképtelenné vált a Miniszterek Tanácsának honlapja és a Szarajevó Kanton gázszolgáltatójaként működő SarajevoGas cég weboldala is.

A Kaspersky reklámarca (Forrás: YouTube, Kaspersky)

A konkrét támadásokkal összefüggésben a sajtóban nem jelent meg érdemi vizsgálati eredmény, sőt az illetékesek azt sem közölték, hogy pontosan mely állami szerveket, milyen mértékben és formában ért kibertámadás.

Mindenesetre a tavaly szeptemberi támadás miatt tartotta indokoltnak a Miniszterek Tanácsa, hogy további szolgáltatást rendeljen meg a Kaspersky cégtől. A beruházáshoz kötődően megerősítették, hogy annak eredményeként a boszniai kormányzati hálózathoz kötődő valamennyi számítógép fel lett szerelve ezzel a szoftverrel. Sőt, ha már lúd, legyen kövér alapon a Prointer által nyújtott védelmi szolgáltatásról kiderült, hogy az asztali számítógépek mellett a kormányzati használatban lévő laptopok és a védelmet igénylő mobilkészülékek is ezzel lettek ellátva.

A Miniszterek Tanácsának titkársága az elégedetlen, orosz befolyást kiáltó tömegek megnyugtatására egy rövid közleményt adott ki, amely szerint „nincs arról tudomásuk, hogy a szoftver potenciális visszaélésekre adna lehetőséget, viszont azzal tisztában vannak, hogy az eszközt számos európai vállalkozás és állami intézmény most is használja.”

Arra a kérdésre, hogy a Kaspersky szoftver jelenthet-e biztonsági fenyegetést, a titkárság azt válaszolta, hogy „minden nyilvános linken keresztüli forgalmat felügyelnek, és egyelőre nincs jele ilyen tevékenységnek”, ergo lehet, hogy van, csak nem tudnak róla.

Fél Európában már tiltják

Az 1997-ben Moszkvában alapított Kaspersky Lab nevű cég vezetője és társtulajdonosa, Eugen (oroszosabban Jevgenyij) Kaspersky kapcsán a korábbi években rendre felmerült, hogy szakmai előélete miatt szoros kapcsolatban állhat jelenleg is az orosz titkosszolgálatokkal.

Bár az orosz informatikai biztonsági cég ezeket a vádakat rendre tagadja, a NATO tagállamok jelentős részében a Kaspersky-szoftvercsalád kormányzati eszközökön való alkalmazása nem megengedett.

A moszkvai cég és az orosz szolgálatok valamelyike közti kapcsolat ugyan nem bizonyított, vagyis helyesebb talán úgy megközelíteni a kérdést, hogy a nyilvánosság számára nem vált hozzáférhetővé ezt alátámasztó bizonyíték, a cégvezető és felesége múltjával összefüggésben nyilvánosan elérhető adatok azonban magukért beszélnek.

Eugen, illetve Jevgenyij Kaspersky ugyanis a KGB főiskolai szintű intézményében szerzett matematikus és informatikus képesítést. A diploma megszerzését követően az akkor még szovjet, ma már orosz GRU kötelékében teljesített szolgálatot informatikai területen.

Azt már csak az érdekesség kedvéért jegyezzük meg, hogy Kaspersky életében olyan fontos helyet töltöttek be, illetve töltenek be most is a szovjet-orosz titkosszolgálatok, hogy Natalija nevű feleségét egy KGB-üdülőben ismerte meg, aki szintén a szovjet szolgálat tisztje volt akkoriban.

Kaspersky neje pedig szintén a cég vezetésében játszik szerepet ma is.

A Kaspersky cég és a Kreml közötti esetleges kapcsolat taglalása már lassan fél évtizede visszatérő hír a nemzetközi sajtóban.

Az USA kiberhadviselésért felelős Nemzetbiztonsági Szolgálata (National Security Agency, NSA) még 2017-ben készített egy jelentést, amelyben feltárta, hogy egy meg nem nevezett orosz kormányzati szervhez köthető hackerek a Kaspersky vírusirtóhoz köthető sérülékenységet kihasználva szereztek meg érzékeny adatokat az egyik szerződéses, külső munkavállalójuk számítógépéről.

Az esetet követően az USA valamennyi kormányszervénél betiltották az orosz cég termékeinek használatát. A tilalmat alkalmazó országok listája gyorsan bővült, 2017-ben Nagy- Britannia, majd 2018-ban Litvánia és Hollandia tiltotta be a Kaspersky termékek alkalmazását kormányzati eszközökön.

A 2022. februárjában megindult Ukrajna elleni orosz offenzívát követően olyan NATO tagállamok is a cég eszközei elleni kereskedelmi korlátozások bevezetése mellett döntöttek, amelyek korábban ilyent nem léptettek életbe.

A német Szövetségi Informatikai Biztonsági Hivatal (Bundesamt für Sicherheit in der Informationstechnik, BSI) közleményben figyelmeztette a felhasználókat a szoftver használatával kapcsolatos lehetséges veszélyekre.

A lengyel kormány és a balti államok pedig közös javaslatot nyújtottak be az Európai Unió Bizottságához, hogy biztonsági aggályok miatt az tiltsa be az orosz cég termékeinek értékesítését az uniós közös piacon.

Meg kell azonban jegyezni, hogy az orosz szolgálatokkal való együttműködésre utaló konkrét bizonyítékot egyik említett állam kormányzati szerve sem hozott nyilvánosságra a Kasperskyvel szemben.

A lengyel-balti kereskedelmi tilalmi javaslat is sokkal inkább az uniós gazdasági szankciókhoz hasonló exporttilalom körébe lenne sorolható, mintsem az uniós jog által ismert „nemzetbiztonsági érdeken” alapulva elrendelt korlátozás.

Ergo, az a tény, hogy a szoftvercsalád használatát már a fél európai kontinensen tiltják, önmagában jelentheti azt is, hogy ezek az államok az informatikai rendszereik védelme mellett közvetetten védik a kevésbé tőkeerős hazai fejlesztőik érdekeit is.

Az EU nem reagált

Mindezek után nem meglepő, hogy a boszniai internetes sajtóorgánumoknak nyilatkozó informatikai biztonsági szakemberek is értetlenkedtek az állami megrendelés miatt.

A legtöbb szakértői vélemény abban egyezett, hogy a szoftver csomag működőképes és hatékony védelmet nyújthat.

Megjegyezték továbbá, hogy bár a konkrét beszerzési érték és az azért kapott védelmi szolgáltatás pontosan nem ismert, a korábbi évek gyakorlata alapján más nyugati gyártók azonban alá szoktak menni a Kaspersky által adott árajánlatnak, vagyis a legtöbb esetben nem ez a legköltséghatékonyabb megoldás.

Az esetleges orosz biztonsági fenyegetés kapcsán hangsúlyozták, hogy arra vonatkozóan nekik sincs konkrét bizonyítékuk, a legfontosabb közvetett bizonyítékként azonban azt emelték ki, hogy olyan informatikai mogulok, mint a Twitter és a Facebook is tiltják a cég termékeinek használatát.

A szakértői vélemények azt is kiemelték, hogy például Németországban azért nem léptettek életbe kereskedelmi tilalmat az érintett termékekre, mert a BSI fent már említett tájékoztató körlevele azt a „nem javasolt” kategóriába sorolta már korábban.

Az említett körlevél pedig a szakmai szentírással egy kategóriába tartozik a német informatikai biztonsági berkekben, így ezeket a szoftvereket a fegyelmezett germán rendszergazdák tilalom hiányában sem fogják alkalmazni.

Az említett beszerzés kapcsán két kérdés tisztázása mellett kardoskodik a boszniai közvélemény, mégpedig, hogy kik találták alkalmazhatónak a Kaspersky termékeket Bosznia- Hercegovinában, és mit szólnak ehhez a „nyugati” szövetségesek, különös tekintettel arra, hogy Bosznia- Hercegovina januárban felállt koalíciós kormánya az uniós csatlakozást minősítette az egyik legfontosabb állami szintű célkitűzésnek.

Zárszóként említjük meg, hogy a sajátosra sikerült közbeszerzés kapcsán az EU és a NATO vezetése részéről eddig nem volt hivatalos reakció.