Российская компания обеспечивает кибербезопасность правительства США

Сотрудники спецслужб США рассказали, что они озабочены близкими отношениями между компанией Kaspersky и правительством России, а также наличием у компании доступа к правительственным системам США. Все чиновники, которые говорили на условиях анонимности, говорили о внутренних обсуждениях разведывательного сообщества, по поводу Kaspersky.

Пресс-секретарь Kaspersky рассказал, что компания “не имеет никаких связей с любым правительством, и компания никогда не помогала и не будет помогать ни одному правительству в мире в кибершпионаже. В течение 20 лет Kaspersky были ориентированы на защиту населения и организаций от киберугроз, а местоположение их штаб-квартиры не меняло этой миссии - так же как и в США компании не отправляла и не разрешала доступ к конфиденциальной информации относительно ее продукции правительству США, к продуктам Kaspersky также не разрешался доступ и не предоставлялась секретная информация правительству любой другой страны. Озабоченность по поводу доступа Kaspersky к правительственным учреждениям США происходит на фоне растущей тревоги в Вашингтоне по поводу безопасности государственных систем и взлома кампании DNC и Клинтон, в которых разведывательное сообщество обвинило Москву.

Чиновники заявили, что они не видели никаких доказательств причастности Kaspersky к избирательной кампании, но сказали, что проблема заключается в широкой обеспокоенности российским вмешательством в дела США.

Kaspersky, которые обеспечивают глобальную кибербезопасность и антивирусные службы, уже давно опровергли утверждения, что они имеют связи с Кремлем. В своем блоге на вопрос о его связях с российской властью и ее спецслужбами, основатель компании Евгений Касперский написал, что работал “по заказу Министерства обороны инженером по программному обеспечению в течение нескольких лет... но повторяю еще раз: я никогда не работал на КГБ.”

Связи с Россией

Государственные контракты показывают, что Kaspersky начали получать государственные заказы для защиты интернет-систем в Национальном институте здравоохранения в 2008 году, а к 2014 году продукция компании уже использовалась Министерством юстиции, Министерством финансов, а также несколькими офисами в рамках Государственного департамента, в том числе некоторыми американскими посольствами. По данным Федеральной базы закупок, последние договора Kaspersky были подписаны с комиссией по безопасности потребительских товаров в июне 2016 года.

Озабоченность по поводу роли Kaspersky в государственных контрактах США усилилась в последние месяцы, поскольку сотрудники разведки продолжают бороться с российским вмешательством в дела США. Заявление американских спецслужб, что российские спонсируемые государством хакеры не только взломали почту членов Демократической партии, но и использовали информацию, чтобы попытаться повлиять на ход президентских выборов 2016, продемонстрировало чиновникам уязвимость США перед кибератаками вражеского государства, Москвы, в частности. Эксперты кибербезопасности предупреждали в течение многих лет, что американские системы были плохо защищены и подвержены всему, от простых фишинг схем до более изощренных вредоносных программ. Немногие в правительстве осознали масштабы того, что злоумышленники могли совершить, или того, сколько людей опирается на свои онлайн системы для хранения данных и обмена информацией.

“Мы видим проблемы, которые могут возникнуть при предоставлении подрядчикам доступа к чувствительным системам. Я думаю, что правительству США нужно подумать долго и упорно о том, какой тип работ оно заказывает работы в области кибербезопасности, - сказал один чиновник, который работает в сфере киберопераций, ссылаясь на недавние опасения, что подрядчик взламывает инструменты в WikiLeaks. - Мы видим все больше и больше частных фирм кибербезопасности на рынке. Нужно задавать вопросы о том, кто они и что они увидят после того, как получат доступ к системе”.

Использование Kaspersky правительством США необоснованно — особенно для ФБР. Но беспокойства не было до недавнего времени, пока в разведывательном сообществе не стали обращать внимание на объем государственных контрактов. Часть проблемы, по словам чиновников, заключается в том что Kaspersky, как правило, предоставляет услуги государственным учреждениям через сторонних подрядчиков. Есть работы, где правительство США не проверило соглашения о доступе этих сторонних поставщиков и Kaspersky.

“В ФБР очень беспокоятся отчасти потому, что они знают, как работают российские агенты,” – сказал один из чиновников разведки.

Пресс-секретарь компании Kaspersky сказал, что компания “не в курсе официальных проблем, а репутация и ее успех зависят от соблюдения нормальной деловой этики, именно поэтому обидно, что Kaspersky несправедливо осуждаются без каких-либо веских доказательств.”

GSA, которые утверждают контракты для государственных служб, не реагируют на запросы по поводу официальных комментариев. Сотрудники разведки тоже пытались получить ответы от GSA о сфере использования Kaspersky в правительстве.

“Мы видим, что эта компания укоренилась в рамках почти 3500 различных продуктов,” - сказал один чиновник GSA на условиях анонимности, чтобы объяснить, почему трудно определить степень использования Kaspersky  в системах США.

Независимая компания

Сфера использования Kaspersky в системах США, по словам чиновника, может быть даже больше, чем можно проследить на основе государственных контрактов. Чиновник не стал вдаваться в подробности, но сказал, что появится программное обеспечение Kaspersky, которое будет “лицензионным компонентом других кибер-продуктов,” и будет предлагаться другими производителями для использования правительством США.

Kaspersky запустили дочернюю компанию в США в Вашингтоне, округ Колумбия, летом 2014 года. Kaspersky Government Security Solutions, известная как KGSS, пыталась, в соответствии с информацией от четырех бывших сотрудников, установить более тесные отношения с чиновниками в надежде на получение большего количества федеральных контрактов США. Бывшие сотрудники заявили, что компания регулярно передавала разведданные, собранные глобальной сетью исследователей Kaspersky, правительственным чиновникам США, чтобы заслужить расположение правительства США. Представитель Kaspersky заявил, что компания ведет бизнес в Северной Америке с 2005 года, и что ее технология была сертифицирована Национальным Институтом стандартов и технологий и полностью соответствует требованиям Федерального стандарта обработки информации.

“Есть много опасных угроз, которые компания сделала доступными для разведывательного сообщества. Они предложили и мы согласились”, - говорит Крис Доггетт, бывший президент Kaspersky, который работал в KGSS с момента запуска в 2014 году до декабря 2015 года.

Он сказал, что KGSS “ предприняли значительные усилия, чтобы стать независимыми” от Kaspersky. Он также сказал, что они “абсолютно разные”, но не приводил конкретные различия. Представители американской разведки, однако, не верят этому.

Чиновники разведки США сказали, что они не имеют никаких контрактов с Kaspersky и их подразделениями в разведывательном сообществе США. (Контракты в рамках разведывательного сообщества США традиционно классифицируют.)

До недавнего времени некоторые чиновники даже не знали, что Kaspersky были одобрены GSA, не говоря уже о масштабах использования. Один из чиновников разведки был явно ошеломлен, когда BuzzFeed News указали на долгосрочные контракты между Kaspersky и государственным департаментом.

Вопрос Kaspersky несколько раз вставал на недавних закрытых заседаниях Комитета Сената по разведке. В одном случае, по словам одного чиновника, присутствующего на недавнем брифинге, члены комитета по разведке Сената были поражены, что продукты Kaspersky были одобрены для использования правительством.

30 марта комитет обсудил Kaspersky во время слушаний о кибернетической операции в России. Сенатор Марко Рубио задал экспертам кибербезопасности и национальной безопасности вопрос будут ли они ставить продукты Kaspersky на какое-либо из своих устройств. Генерал Кит Александер, бывший директор NSA, заявил: “Я не буду и вам не советую. Есть и другие американские фирмы, которые помогут решить ваши проблемы”. Однако, Томас Рид, профессор кафедры военных исследований королевского колледжа в Лондоне, утверждает, что он будет использовать Kaspersky, рассказывая сенаторам, что “ Kaspersky не связаны с российской властью”.

Kaspersky, по словам Рида, опубликовали информацию о российских кибератаках, в то время как многие американские компании отказались сделать то же самое в США.

Чиновники теперь пытаются выяснить, как продукты кибербезопасности Kaspersky стали использоваться правительством США.

По состоянию на понедельник продукты кибербезопасности Kaspersky были еще доступны для официального использования на сайте GSA.