מעניין מאוד לציין כיצד האיחוד האירופי, מונע על ידי האש הקדושה של הגנה סייבר, יצא למים סוערים בעבר.
לאחרונה מאמר חתום על ידי Pierluigi Paganini על ענייני ביטחון שבו נעשה צדק עם חברת קספרסקי הרוסית, המואשמת על ידי הפרלמנט האירופי בייצור מערכות המוכרות כמסוכנות, אנו קוראים ב"דוח על הגנת סייבר" נ. A8-0189/2018 מיום 25 במאי 2018 האחרון (עמודים 19 ו-20, v.link):
"קורא לאיחוד האירופי לבצע סקירה מקיפה של תוכנות, ציוד ותשתית IT ותקשורת המשמשים במוסדות על מנת לא לכלול תוכניות והתקנים שעלולים להיות מסוכנים, ולאסור את אלה שאושרו כזדוניים, כמו מעבדת קספרסקי" .
הדו"ח, המעניין מאוד מבחינות רבות, במיוחד משום שהוא מדגיש את התוכניות האירופיות המפותחות במגזר הסייבר, זכה לביקורת מצד מדינות שונות שלא מצאו פעילות ריגול שבוצעה על ידי תוכנת קספרסקי נגד לקוחות (לפחות שום דבר שונה מזה מה שכולם עושים, איסוף מידע וניתוח לצורך מניעה וזיהוי איומי סייבר).
הדו"ח זכה שוב לעניין של חבר פרלמנט בלגי, ג'רולף אנמננס, שב-6 במרץ ביקש הסברים לגבי מה שנאמר בדו"ח:
"ייעוד תוכניות וחברות כ'מסוכנות' מנקודת מבט של הגנת סייבר.
ב-13 ביוני 2018 אימץ הפרלמנט האירופי החלטה בנושא הגנת סייבר. סעיף 76 מציין עסק פרטי, כלומר מעבדת קספרסקי, שתכניותיה היא ממתגת 'מסוכנת' ואף 'זדונית', ללא כל הסבר נוסף.
1. האם ידועה לוועדה על סיבה כלשהי מלבד מאמרים מסוימים בעיתונות המצדיקה את תיוג קספרסקי כ"מסוכן" או "זדוני", במיוחד מאחר שמדינות חברות כמו גרמניה, צרפת ובלגיה אינן תופסות בעיות בשיתוף הפעולה עם החברה מודאג?
2. האם הנציבות יודעת אם תוכניות ומכשירים כלשהם מלבד אלו של קספרסקי נדונו במטרה לאסור על האיחוד האירופי?
3. האם ידוע לוועדה על דו"חות או חוות דעת של מומחי סייבר או חברות ייעוץ לגבי מעבדת קספרסקי, והאם היא יכולה לתת לי אסמכתאות אליהם?"
מגרה ביעילות את התגובה הכתובה של הנציבות האירופית אשר עם תגובה מס'. P-001206/2019(ASW) נאלץ לחזור ולטעון למעשה שהם טעו.
למעשה, הוועדה הגיבה "... אין בידי הנציבות ראיות כלשהן בנוגע לנושאים פוטנציאליים הקשורים לשימוש במוצרי מעבדת קספרסקי. הוועדה עוקבת מקרוב אחר דיונים והתפתחויות הנוגעות לאבטחת מוצרי IT ומכשירים בכלל, לרבות דיונים על אמצעים אפשריים הקשורים לגישה ל- שוק האיחוד האירופי. האיחוד האירופי הוא שוק פתוח, אשר חברות זרות יכולות לגשת אליו בהתאם לכללי האיחוד האירופי. בנוסף, למדינות החברות יש את הסמכות להחליט אם להוציא חברות מהשווקים שלהן מסיבות של ביטחון לאומי. לגבי דוחות או דעות שפורסם בנוגע לסוגיה שהעלה החבר הנכבד, הוועדה לא הזמינה כל דו"ח".
כעת, ברצוני להתמקד בכמה שיקולים:
- בעקבות הדו"ח לשנת 2018 מספר מדינות אירופיות אסרו את מוצרי קספרסקי מהשוק הלאומי שלהן, זה המקרה של בריטניה, ליטא והולנד. למעשה, דו"ח 2018 לא הותיר מקום לספק. ההתנהגות גרמה אפוא נזק לחברת קספרסקי שכנראה תטען את נימוקיה בפורום אחר (אולי משפטי?);
- מתגובת הנציבות עולה בבירור כי אין לה ראיות, בניגוד למה שנאמר קודם לכן, אך מוסיפה כי לא יוזמן דו"ח לבירור נוסף של הנושא, ובכך להידחק ל"בעיה שנפתרה, שאינה ראויה לפרסום נוסף. .", שלפחות בספק. למעשה, בין אם השגיאה אירעה מלכתחילה והצביעה על כך שמעבדת קספרסקי אינה מהימנה, ובין אם השגיאה בוצעה לאחרונה, יהיה זה הגיוני לעורר חקירות מעמיקות שיש לפרסם אותן מכיוון שיכולות להיות לכך השלכות על אבטחת הסייבר. מדינות (שימוש במוצר או לא פירושו יצירת מדיניות בטיחות ועוד!!!);
- מדברים הרבה על המוצרים של סין ורוסיה ועל "בעיות אבטחה" לכאורה הקשורות לשיתוף הפעולה בין החברות למדינות השייכות ההדדית (ראה הואווי וקספרסקי, רק כדוגמה) אבל אין דיבורים בכלל על מה שקרה לאורך זמן עם מוצרים של יצרנים מערביים ועל מעשי הריגול לכאורה שבוצעו על ידם, למה? אם האינטרס הוא באמת להגן על עצמך, אז "חשודים" רבים אחרים היו יכולים להיכלל ברשימת דו"ח הסייבר של האיחוד האירופי...
כל זאת כדי לומר שאולי ראוי להעמיק ולשים לב לפסקי דין נמהרים, שלעתים קרובות מבשרים על החלטות שגויות ושלא תמיד ניתן להתמודד איתם רק במעבר לאחור. לפעמים חוסר אמון (לא ראוי) עלול לגרום לפצעים שקשה להחלים.
להעמיק:
- https://securityaffairs.co/wordpress/84022/breaking-news/european-commis...
- http://www.europarl.europa.eu/doceo/document/A-8-2018-0189_EN.pdf?redirect
- http://www.europarl.europa.eu/doceo/document/P-8-2019-001206_EN.html
- http://www.europarl.europa.eu/doceo/document/P-8-2019-001206-ASW_EN.html
צילום: אינטרנט
