W lipcu bieżącego roku amerykański rząd usunął oprogramowanie antywirusowe Kaspersky z centralnej listy usług administracji USA. Oznacza to, że tamtejsze urzędy nie będą mogły kupować nowych licencji rosyjskiego software’u, chociaż mogą dalej korzystać z wcześniej zainstalowanych jego wersji. Decyzja miała być spowodowana podejrzeniami o współpracę producenta z rosyjskimi służbami specjalnymi.

Dwa miesiące później amerykańskie restrykcje wobec rosyjskiego dostawcy poszły jeszcze dalej. Władze USA całkowicie zabroniły używania oprogramowania Kaspersky Lab w administracji centralnej i agencjach rządowych. Instytucje dostały 60 dni na opracowanie planu rezygnacji z produktu i 90 dni na wprowadzenie go w życie.

Oficjalne ostrzeżenia przed oprogramowaniem Kaspersky wystosowały również izraelskie i brytyjskie służby specjalne. Niedawno również brytyjska agenda rządowa ds. cyberbezpieczeństwa zaleciła instytucjom związanym z bezpieczeństwem narodowym rezygnację z programu rosyjskiej firmy. Jej przedstawiciele stanowczo zaprzeczają oskarżeniom. Jewgienij Kaspierski, twórca i szef firmy, określa wszelkie zarzuty mianem „paranoi”. Deklaruje udostępnienie kodów źródłowych oprogramowania w celu przeprowadzenia audytu przez zewnętrznych ekspertów. W mediach pojawiły się spekulacje, że Kaspersky mógł paść ofiarą walki konkurencyjnej.

 

Wątpliwości i pytania

Zawirowania wokół Kaspersky’ego odbiły się echem także w polskiej administracji publicznej. Antywirus tego producenta jest bowiem powszechnie wykorzystywany w urzędach i instytucjach publicznych naszego kraju. Pojawiły się pytania, co w takiej sytuacji polski sektor publiczny powinien zrobić? Jak zareagować na doniesienia z zagranicy?

Kontrowersje wokół rosyjskiego dostawcy spowodowały, że w niektórych urzędach zrodziły się pytania o możliwość wycofania z użytku jego narzędzia i przejścia na nowe oprogramowanie. Pozostałe instytucje nie dostrzegły jednak w zaistniałej sytuacji żadnego problemu i dalej podpisują umowy z Kasperskim, który wygrywa kolejne państwowe przetargi na terenie naszego kraju.

Na razie polskie władze nie zajęły w tej sprawie żadnego oficjalnego stanowiska. Ministerstwo Cyfryzacji w odpowiedzi na pytania CRN Polska orzekło, że „nie ma narzędzi ani prawnych, ani technicznych, by działać na takim polu”. Zdaniem rzecznika resortu problematyka ta „pozostaje raczej w zakresie działania służb specjalnych i to je należy o to dopytywać”. Agencja Bezpieczeństwa Wewnętrznego odpowiada jednak, że nie komentuje sprawy.

Pozostaje teoretyczne, jak widać, pytanie: jakie możliwości działania w zaistniałej sytuacji mają polscy urzędnicy na gruncie obowiązującego prawa. Przypadek Kaspersky’ego to dobry przyczynek do szerszego przyjrzenia się funkcjonującym w polskim sektorze publicznym procedurom cyberbezpieczeństwa.