Kompanija Kasperski (Kaspersky), čuvena firma za sajber bezbednost ruskog porekla, koja je imala velikih problema sa prihvatanjem na Zapadu, ovih je dana registrovana kod nemačkog Saveznog zavoda za informacionu bezbednost (BSI) u skladu sa NIS 2 Direktivom.
Kaspersky Labs GmbH je registrovan kao „veoma važan subjekt“ (essential entity) a registracija kod nemačkog BSI važi za celu Evropsku uniju.
„Naši dugogodišnji napori u primeni širokog spektra mera transparentnosti i sertifikacija nezavisnih trećih strana predstavljaju čvrst temelj za usklađenost sa zahtevima NIS 2 Direktive i potvrđuju posvećenost kompanije Kaspersky proverljivim bezbednosnim praksama i odgovornosti. Nezavisne procene, poput studije „Transparency Review and Accountability in Cyber Security organizacije AV-Comparatives“ , dodatno su istakle vodeću poziciju kompanije u oblasti transparentnosti i odgovornosti u industriji sajber bezbednosti, naglašavajući značaj merljivog poverenja i dobrog korporativnog upravljanja u današnjem digitalnom okruženju“ izjavio je ovim povodom Valdemar Bergštraser, generalni direktor kompanije Kaspersky Labs GmbH.
Iako bi to na prvi pogled moglo izgledati kao rutinska registracija jedne poznate kompanije iz branše u jednoj vodećoj državi EU, u slučaju Kasperskog je to svakako više od toga. Ono bi i na širem planu moglo da znači da e Evropa okreće svojoj bezbednosti, jer evidentno je svesnija (prekomernog) uticaja američke politike i tehnoloških kompanija u SAD u svim segmentima savremenog života. Sa dolaskom velikog talasa AI, tro se pojačava i jedno pitanje izbija u prvio plan – transparentnost.
Kroz deljenje stručnog znanja i obaveštajnih podataka o pretnjama (threat intelligence), Kaspersky želi da dodatno ojača otpornost Evrope na sajber pretnje i pruži podršku organizacijama u snalaženju u sve složenijem regulatornom okruženju, istaknuto je iz kompanije.
Bezbednosni zid EU
NIS 2 se prvenstveno primenjuje na subjekte unutar EU, ali može da „povuče“ i firme van EU ako su poslovno vezane za EU ili pružaju usluge/infrastrukturu tamo. U praksi, van-EU firme najčešće potpadaju pod NIS 2 ako spadaju u jednu od ovih grupa:
- Pružaoci digitalne infrastrukture i usluga, posebno data centri i slični operatorski servisi.
- Internet ili domenski servisi, ako imaju relevantnu EU vezu, na primer kroz TLD domen ili upravljačku/odlučujuću infrastrukturu u EU.
- Kompanije koje pružaju usluge ili infrastrukturu EU subjektima, čak i ako je sedište van Unije.
- Subjekti čije je poslovanje dovoljno povezano sa kritičnim sektorima obuhvaćenim NIS 2, kao što su energetika, transport, zdravstvo, finansije, voda, otpad, poštanske i kurirske usluge, hrana, hemikalije i IKT oprema.
Istorija "nesporazuma"
Sve navedeno pocrtava značaj dobijanja registracije, pogotovo u slučaju Kasperkog, koji ima svoju istoriju „nesporazuma“ sa EU i SAD.
Tako su 2017. SAD zabranile Kaspersky na federalnim mrežama uz navode o mogućim vezama sa ruskim obaveštajnim službama i riziku po bezbednost, zatim je 2018: Evropski parlament pozvao institucije EU da prestanu da koriste proizvode ove firme i da uklone softver koji se smatra rizičnim. To je uslovilo da dođe do privremenog prekid saradnje kompanije sa evropskim cybercrime inicijativama, ali i promene unutar same kompanije.
Godine 2020: premestili su servere sa podacima iz Rusije u Švajcarsku, što je donekle umirilo Evropljane ali su 2024. SAD najavile zabranu prodaje Kaspersky antivirusnog softvera i uvele sankcije za 12 rukovodilaca, uz obrazloženje da Rusija može da eksploatiše takve firme za prikupljanje podataka.
Time je Kasperski doživeo sudbinu sličnu kineskom Huaveju, koji iako nije sajber-bezbednosna firma u užem smislu, takođe je tretiran kao visokorizičan non-EU dobavljač zbog mogućeg državnog uticaja i bezbednosnog poverenja.
"Da li proizvod radi" (kako je naznačeno)
Oba slučaja su slična i z bog toga što nema ni najmanjeg dokaza da su sami proizvodi sumnjivi i da poseduju „backdoor“ koji bi mogao da se zloupotrebi. Nije postavljeno pitanje „da li proizvod radi“ kako je naznačeno, već ko bi „mogao da ga kontroliše“.
A pošto je poreklo ili matične firme u ova dva slučaja „sa Istoka“, nije postavljena presumpcija nevinosti čak ni u Evropi, koja inače ima velikih problema sa američkim tehnološkim firmama. Tako je Meta imala probleme u vezi sa GDPR-om i korišćenjem podataka, posebno oko obuke AI modela i obrade korisničkih podataka. Apple je imao sporove sa EU zbog Zakona o digitalnim tržištima, Google, Amazon, Microsoft i OpenAI su pod pojačanim nadzorom EU zbog digitalnih pravila, transparentnosti i kontrole rizika.
Tek u nekim slučajevima evropske institucije i države su počele da smanjuju korišćenje američkih IT usluga zbog digitalnog suvereniteta i političkih tenzija. EU je čak razmatrala i ograničenja za američke kompanije u širem trgovinskom i bezbednosnom kontekstu, ali to je još na dugom štapu.
Kako proizvod radi u Kasperskom daju na proveru klijentima preko Global Transparency Inijative u Transparency Center u Švajcarskoj, Južnoj Koreji i drugde. Tamo se može pregledati source code proizvoda, apdejti i pravila otkrivanja pretnji, od osnovnog do dubokog „Black Piste“ uz pomoć Kaspersky eksperata.
Samo neke kompanije iz SAD i EU nude slične mogućnosti provere koda, i to sa ograničenijim obimom i strožim uslovima. Microsoft ima najsličniji sistem kroz Government Security Program (GSP) do od 2003. godine, gde Vlada i neke međunarodne organizacije mogu izvršiti pregle proizvoda u SAD, Irskoj, Singapuru, Brazilu. Takođe, Cisco ima Transparency Service Center (TSC) — kupci mogu u sigurnom okruženju pregledati i testirati source code, hardware i firmware.
CrowdStrike, Palo Alto Networks i većina drugih velikih sajbersekjuriti firmi (Symantec/Broadcom, itd.) ne nude širok pristup source code-u stranim vladama ili partnerima na način kao Kaspersky/Microsoft. Umesto toga nude treće strane audite, SBOM (Software Bill of Materials), certifikacije i ograničene preglede za velike enterpajz klijente ili vlade SAD (preko FedRAMP ili sličnih programa). Nakon CrowdStrike incidenta 2024. radili su eksterne revizije, ali ne javne Transparency Centre.
EU firme (npr. Thales, Atos, ili manje kompanije) takođe uglavnom nude treće strane odite i sertifikacije (Common Criteria, ENISA), ali retko pun pristup source code. EU regulative (kao GDPR i NIS2) više naglašavaju transparentnost i SBOM, nego direktan pristup kodu.
A kada bi se gledamo i na to „da li nešto (uopšte) radi“ a samo preventivno sumnjalo na to „odakle je“, morali bi da se prisetimo i debakala poput SolarWinds, čiji je softverski apdejt bio jedan od najvećih sajber-incidenata modernog doba kojim je pogođen i veliki broj državnih i privatnih sistema, ili slučaj Log4j, propust koji je pogodio ogroman broj organizacija i pokazao kako američki softverski dobavljači mogu postati izvor sistemskog rizika.
Problematični nisu ni najveći, pa je Microsoftov cloud ekosistem u EU i šire često je bio pod kritikama zbog bezbednosnih propusta i zavisnosti institucija od njihovih servisa, posebno kad je reč o kritičnoj infrastrukturi i državnoj upotrebi.
Google i Meta su češće imali regulatorne i probleme s privatnošću nego klasične sajber-propuste, ali su i oni u EU pod stalnim pritiskom zbog rukovanja podacima i rizika po korisnike.
Čak su i IBM i drugi veliki dobavljači bili predmet ozbiljnih bezbednosnih upozorenja i ranjivosti u enterprise okruženjima.
Sećamo se i Snoudena i afere sa NSI prisluškivanjem i saveznika, sve do nemačkog kancelara Angele Merkel, a kao poslednje upozorenje Evropi da se mora „uzdati u se“ je skandal koji je izazvao Pentagon kada je od Antropika tražio da njihov Klod sa potrebe američke vojske nema nikakva moralna ni druga tehnička ograničenja nadzora i autonomnog korišćenja AI kao oružja.
Zakoni su (svuda) isti
I EU i SAD u bezbednosnom „progonu“ kompanija koja nisu pod njihovom direktnom kontrolom polaze, u stvari, od sebe. Stav da, de faktom, neka kompanija mora da sarađuje sa svojom vlašću/vojskom/tajnim službama, proizilazi negde i iz de jure propisa.
Američki Cloud Act (2018) kaže da američke kompanije (Microsoft, Google, Apple, Amazon, Cisco, itd.) moraju da predaju podatke (uključujući one pohranjene van SAD) na osnovu sudskog naloga ili naloga za nacionalnu sigurnost. Važi i za podatke korisnika iz drugih zemalja.
Dalje, FISA Section 702 — Omogućava masovni nadzor i prinudu kompanija da pomognu u prikupljanju podataka (bez znanja korisnika), a National Security Letters (NSL) i drugi mehanizmi kažu da čak kompanije ne smeju javno da kažu da su uopšte dobile takav zahtev vlasti (gag order).
Šta je NIS 2 Direktiva
NIS 2 Direktiva na nivou Evropske unije uspostavlja jedinstven okvir za jačanje sajber bezbednosti u 18 kritičnih sektora. Njome se od država članica zahteva izrada nacionalnih strategija sajber bezbednosti, uz unapređenje prekogranične saradnje sa institucijama EU radi bržeg odgovora na incidente i efikasnije primene propisa.
Obaveza registracije u skladu sa NIS 2 Direktivom odnosi se na srednja i velika preduzeća, koja po pravilu imaju najmanje 50 zaposlenih ili ostvaruju godišnji promet od najmanje 10 miliona evra, a posluju u kritičnim sektorima kao što su energetika, transport, bankarstvo, zdravstvo, digitalna infrastruktura, proizvodnja, upravljanje IKT uslugama i drugim oblastima.
Kaspersky je aktivno uključen u razvoj NIS 2 Direktive još od 2020. godine, kako na nivou Evropske unije, tako i u državama članicama. Kompanija je dala svoj doprinos deljenjem svojeg znanja kroz ekspertska saslušanja, javne konsultacije i inicijative za dijalog sa industrijom.
To uključuje aktivnosti poput EU Cyberpolicy Forum-a, u okviru kojeg je Kaspersky okupljao donosioce politika i lidere iz industrije radi diskusije o budućnosti sajber bezbednosti u Evropi, kao i programe obuke i vebinare namenjene podršci kompanijama i javnim institucijama na putu ka usklađivanju sa zahtevima Direktive NIS 2.
Inicijative Kasperskog
Transparentnost je postala osnovni zahtev savremenog digitalnog okruženja. Kroz svoju Globalnu inicijativu za transparentnost (Global Transparency Initiative – GTI), pokrenutu 2017. godine, Kaspersky sprovodi niz konkretnih mera koje široj zajednici stručnjaka za sajber bezbednost i drugim zainteresovanim stranama omogućavaju da provere integritet i pouzdanost njegovih proizvoda, internih procesa i poslovnih aktivnosti. Ove aktivnosti dodatno su potvrđene međunarodno priznatim sertifikatima i revizijama koje sprovode nezavisne institucije.
Kaspersky poseduje sertifikat ISO/IEC 27001, jedan od najpriznatijih međunarodnih standarda za upravljanje informacionom bezbednošću. Ovaj okvir obezbeđuje strukturisan pristup identifikaciji i upravljanju rizicima u oblasti informacione bezbednosti, primeni odgovarajućih kontrola i kontinuiranom praćenju njihove efikasnosti. Sertifikacija se zasniva na nezavisnim revizijama koje obuhvataju ključne sisteme i procese za obradu i skladištenje podataka u okviru globalne infrastrukture kompanije Kaspersky.
Pored toga, Kaspersky je obnovio SOC 2 Type II reviziju, kojom je potvrđeno da su procesi razvoja i isporuke antivirusnih baza efikasno zaštićeni od neovlašćenih izmena. I sertifikacija prema standardu ISO 27001 i SOC 2 revizije sprovode se od strane nezavisnih trećih strana i predstavljaju sastavni deo Globalne inicijative za transparentnost kompanije Kaspersky, dodatno jačajući poverenje kroz kontinuiranu proveru bezbednosnih praksi kompanije.
Kaspersky podržava sve veću integraciju zahteva za transparentnošću i međunarodno priznatih standarda upravljanja rizicima u evropsko zakonodavstvo. U tom kontekstu, kompanija pozdravlja i usklađenost između NIS 2 Direktive i srodnih inicijativa, poput Akta o sajber otpornosti (Cyber Resilience Act – CRA), koji promoviše bezbednost po dizajnu (security by design) i veću transparentnost.
