Az amerikai belbiztonsági minisztérium (Department of Homeland Security) 2017. szeptember 13-án megtiltotta, hogy a szövetségi kormányzat számítógépein, informatikai rendszerein a vírusirtó és kiberbiztonsági programjairól ismert orosz Kaspersky Lab termékeit használják. Néhány hónappal korábban a szenátus hírszerzési bizottságának meghallgatásán a Szövetségi Nyomozó Iroda (FBI), a Központi Hírszerző Ügynökség (CIA), a Nemzetbiztonsági Ügynökség (NSA) és még néhány amerikai titkosszolgálat vezetői arra a kérdésre, hogy ajánlják-e a Kaspersky termékeit, egyhangúlag nemmel feleltek. Nem sokkal később a Szenátus fegyveres erők bizottsága elsöprő többséggel fogadta el azt a módosítót, amely megtiltja a védelmi minisztériumnak (Department of Defense) a Kaspersky termékeinek használatát, s az FBI ez idő tájt hallgatta ki a moszkvai központú vállalat amerikai részlegének munkatársait. Az ősz folyamán az is kiderült, hogy a legnagyobb amerikai katonai titkosszolgálat, a Védelmi Hírszerző Ügynökség (DIA) már 2004-ben figyelmeztetett a Kaspersky programjai miatt, amit később többször is megismételt – s a védelmi minisztérium távol is tartotta magát a Kaspersky termékeitől. Más szövetségi minisztériumok, hivatalok azonban nem; az elmúlt hónapokban lefolytatott vizsgálat tárta fel, hogy mintegy hatoduk használta az orosz cég szoftvereit. December 1-jén a brit kiberbiztonsági központ (National Cyber Security Centre) igazgatójának a brit kormány közigazgatási államtitkáraihoz intézett levelében adott ki figyelmeztetést: a nemzetbiztonságot és a kritikus fontosságú infrastruktúrát érintő informatikai rendszerekben soha ne használjanak Kaspersky-termékeket. Az ok valamennyi esetben a Kaspersky Lab és a Kreml, illetve az orosz titkosszolgálatok gyanúra okot adó, tisztázatlan viszonya, a Kaspersky feltételezett – talán akaratlan – részvétele a kibertérben végrehajtott orosz kémműveletekben.
Magyar érintettség
Ezek után kíváncsiak lettünk, hogy a magyar kormányzati szervek, állami intézmények vajon milyen kibervédelmi eszközöket alkalmaznak, s hogy a Kaspersky termékeit használják-e. Kérdéseinkkel megkerestük a minisztériumokat, az Országgyűlést, a Köztársasági Elnöki Hivatalt (KEH), az Alkotmánybíróságot (AB) és a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH) is. A KEH és a NAIH nem adott érdemi választ, hivatkozva arra, hogy a kért információk szenzitívek, azok nyilvánosságra hozatala védelmi infrastruktúrájukat veszélyeztethetné. Annyit azonban készek voltak elárulni, hogy e két hivatal nem használt és a jövőben sem tervez használni Kaspersky-szoftvereket. Az AB még titkolózóbb válasza ettől annyiban különbözött, hogy arról sem kívántak részleteket megosztani, korábban vagy jelenleg használtak/használnak-e Kaspersky-programokat. Bitskey Botond főtitkár szerint az AB vonatkozó belső szabályzata szigorúan előírja, kivel és mely információk közölhetők, sőt maga a szabályzat is titkos, olyannyira, hogy az AB munkatársai közül sem ismerheti azt bárki – legfeljebb annak kivonatát.
Az Országgyűlés Hivatala ellenben készségesen megírta, hogy a törvényhozás gépein jelenleg a Kaspersky Endpoint Security for Business Select internetbiztonsági szoftverét futtatják. A programot 1500 gépre szóló licenccel 2014-ben a NewCo ICT Security Services Kft. szállította nettó 3 millió forintért, a szoftver üzemeltetését azonban – a hivatal közlése szerint – belső munkatársak látják el. Válaszukból az is kiderült, hogy a Parlament gépein korábban a finn F-Secure és az amerikai McAfee vírusvédelmi szoftverei voltak telepítve, 2014-ben azonban, úgy tűnik, valamiért szükségessé vált a csere. Az Országgyűlés Hivatalától kapott válasz némiképp ellentmondásosan arra hívta fel a figyelmünket, hogy a velünk közölt információk „publikálása önmagában is kockáztathatja az információs rendszereink és rendszerelemeink biztonságát”, ezért a válasznak csak a Kaspersky-szoftverekre vonatkozó részét közöljük, úgy ítélvén meg, hogy az orosz cég termékeinél felmerült biztonsági kockázatok indokolják ezek nyilvánosságra hozatalát.
Nagyon valószínű, hogy a magyar államigazgatás jelentős részében szintén Kaspersky fut a számítógépeken. Ez esetben azonban csak következtetésekre hagyatkozhatunk. A minisztériumok ugyanis – törvényellenesen – hetekig a fülük botját sem mozdították, míg végül – újabb megkeresésünkre – a Belügyminisztérium egyetlen mondatos válaszleveléből kiderült, hogy a Nemzeti Kibervédelmi Intézet (NKI) tud választ adni kérdéseinkre. A Nemzetbiztonsági Szakszolgálat szervezetén belül 2015 végén létrehozott részleg sajtóreferense, Balogh Enikő a Közbeszerzési és Ellátási Főigazgatóság (KEF) weboldalára irányított bennünket: a KEF adatbázisában azonban nem találhatók adatok arról, hogy az egyes minisztériumok vagy más államigazgatási szervek milyen vírusvédelmi programokat használnak. Az adatbázis a KEF által lebonyolított központosított közbeszerzés rendszerében elérhető termékeket listázza: az állami intézmények ezek közül választhatnak. És a Kaspersky kiberbiztonsági termékei szerepelnek a listán.
| ||
Nem egyértelmű azonban, hogy a Kaspersky-szoftverek magyar államigazgatáson belüli elterjedtsége milyen széles körű. Mintegy 600 állami intézmény és további több mint 500 önként csatlakozó szervezet (önkormányzatok, bíróságok, állami és önkormányzati tulajdonú gazdasági társaságok stb.) intézi beszerzéseit a központosított rendszerben. A törvény ugyanakkor enged kivételeket: bizonyos esetekben az állami intézmények a KEF-től függetlenül intézhetik beszerzéseiket, a Honvédelmi Minisztérium és a külképviseletek pedig egyáltalán nem tartoznak a központosított közbeszerzés hatálya alá. Annyi mindenesetre a fentiek alapján is megállapítható, hogy a Kaspersky termékei jelen vannak a magyar államigazgatásban.
Amerikai aggályok
De mi is a probléma a Kasperskyvel? Hiszen az orosz vállalat világszerte több mint 400 millió felhasználóval büszkélkedhet, 700 millió dolláros éves bevételének több mint 60 százalékát Nyugat-Európában és az Egyesült Államokban realizálja, Németországban vagy Nagy-Britanniában kifejezetten népszerű. És bár a Kaspersky termékeit a szakma is megbízhatónak értékeli, az amerikai hírszerző közösség hosszú évek óta gyanakvással tekint az orosz szoftvercégre.
A rosszindulatú programok (malware) után kutató vírusvédelmi szoftverek nagyjából egyforma elven működnek. Ahhoz, hogy feladatukat hatékonyan tudják ellátni, a komputeren tárolt valamennyi fájlhoz hozzáférést kell kapniuk. A gépen talált információt a szoftvergyártó cég központjában található adatbázissal vetik össze, s onnan kapják az utasításokat is, hogyan semlegesítsék, ha valami gyanúsat találnak. A vírusvédelmi szoftverek tehát teljes leltárt készítenek a gépen tárolt információkról, és folyamatos kapcsolatban állnak külső forrásukkal. A Kaspersky ráadásul agresszíven kutat a kártevők után, a programot telepítő felhasználók ahhoz is hozzájárulnak, hogy a szoftver fájlokat küldhessen a cég moszkvai központjába. Egy vírusvédelmi program tehát bizonyos esetekben sebezhetőséggé alakítható. Ahogy egy amerikai szakértő fogalmazott, az igazi hátsó ajtó a vírusirtó, amely állandó és megbízható távoli hozzáférést biztosít a számítógépekhez, segítségével a rendszerek megtámadhatók vagy titokban megfigyelhetők.
A Wall Street Journal október 5-i száma szerint 2015-ben az orosz kormányzathoz köthető hekkerek olyan információkat loptak, hogy az amerikai hírszerzés miként hatol be külföldi informatikai hálózatokba, ehhez milyen kódokat használ, és hogyan védi az amerikai rendszereket a kibertámadásoktól. A szigorúan titkos adatokat az NSA egyik szerződéses alkalmazottja illetéktelenül vitte haza és másolta át saját számítógépére. Az amerikaiak szerint az orosz hekkerek azt követően indítottak támadást a gépe ellen, hogy a gépre telepített Kaspersky vírusvédelmi szoftver segítségével sikerült azonosítaniuk az NSA fájljait. Az esetre csak 2016 tavaszán derült fény, s az amerikaiak értékelése szerint az adatlopás az elmúlt évek egyik legsúlyosabb biztonsági incidense volt.
Október 10-én a New York Times arról tudósított, hogy az izraeli hírszerzés a Kaspersky belső rendszereibe behatolva hosszabb időn keresztül élőben figyelte, ahogyan orosz kormányzati hekkerek az egész világot „felforgatva” titkos amerikai programok után kutatnak. A globális merítést a Kaspersky széles körben elterjedt szoftvere tette lehetővé, azt az orosz hekkerek a szoftvercég programja által védett számítógépek tüzetes átvizsgálására használták fel. Az NYT forrásai szerint az orosz művelet része volt a fent említett adatlopás is, arról azonban nincsenek további információk, hogy az oroszoknak honnan és milyen titkokat sikerült még letölteni.
A Wall Street Journal október 11-i beszámolója tette némiképp kerekké a történetet: eszerint az orosz kormány úgy módosította a Kaspersky szoftvereit, hogy azok titkos amerikai kormányzati dokumentumokat és programokat keressenek. A WSJ amerikai kormányzati tisztviselőktől származó információi szerint a módosítás eredményeként a szoftver amerikai kormányzati programok titkosított kódnevei vagy olyan tág fogalmak után kutatott, mint például a minősített kormányzati dokumentumokon olvasható „szigorúan titkos” (top secret) jelzés. Az amerikaiak szerint mindez nem történhetett a Kaspersky tudta nélkül. A fent ismertetett 2015-ös adatlopás felfedezését követően az amerikai hírszerzés további bizonyítékokat kezdett gyűjteni a Kaspersky szerepéről a minősített információk azonosításában és ellopásában. Ellenőrzött kísérleteket is végrehajtottak, amelyek az amerikai lap informátorai szerint meggyőzően bizonyították, hogy a Kaspersky szoftverét minősített információk felkutatására használják.
Az ügy jellegéből fakadóan az amerikaiak semmilyen bizonyítékot nem hoztak nyilvánosságra, az amerikai lapok tudósításai a Kasperskyvel kapcsolatos vizsgálatot ismerő, névtelenül nyilatkozó volt és jelenlegi magas rangú tisztviselők információira támaszkodnak.
Az orosz vállalat azonban mindent tagad. Többször is kijelentette, hogy egyetlen kormány, így az orosz számára sem nyújt segítséget a számítógépes rendszerek elleni hírszerzési műveletekhez, s kész bármilyen vizsgálatban együttműködni az amerikai szervekkel, illetve várja a vádakat alátámasztó dokumentumokat, bizonyítékokat.
A Kaspersky és az amerikai, illetve izraeli kormány közötti bizalmat nyilván nem szolgálta, hogy az orosz cégnek múlhatatlan érdemei voltak az iráni atomcentrifugák egyötödét megbénító s így Teherán nukleáris programját néhány évre visszavető Stuxnet nevű számítógépes féreg azonosításában. Hasonlóképp ők írták le a Flame komplex lehallgató, a billentyűzet használatát figyelő Regin vagy az iráni atomalku szereplői után kémkedő Duqu programot – valamennyi az amerikai vagy az izraeli hírszerzéshez kötődik. A Kaspersky által malware-ként azonosított kódok valójában tehát államok által fejlesztett kiberfegyverek, vagyis nem csodálkozhatunk, hogy ezek leleplezése nem tetszik az amerikaiaknak. (Érdemes megemlíteni, hogy több rosszindulatú program azonosításában szerepet játszott a Budapesti Műszaki Egyetemen működő CrySyS Lab nevű csoport is.)
A KGB-szál
Néhány körülmény a Kasperskyt megkülönbözteti a többi vírusvadásztól (például az amerikai Symantectől, amelynek ugyancsak jelentős szerepe volt a Stuxnet feltárásában, ám ez számára nem okozott törést az amerikai kormányzati kapcsolataiban). A céget alapító Jevgenyij Kaszperszkij 1965-ben született Novorosszijszkban, 8 évesen került Moszkvába, ahol a Kolmogorovról elnevezett speciális iskolában hamar felismerték matematikai tehetségét. A Wired 2012-ben közölt portréja szerint 16 évesen vették fel a szovjet állambiztonsági hatóság, a KGB főiskoláján működő kriptográfiai, telekommunikációs és számítástechnikai intézetbe. 1987-ben végzett, majd 22 évesen hírszerző tiszt lett az orosz hadseregben. Kaszperszkij saját bevallása szerint lehetetlen volt lelépni a seregből, a kriptográfiai intézetes tanára segítségével az 1990-es évek elején neki mégis sikerült: a professzor valahogy elérte, hogy az ő, a cipőktől a számítógépekig mindenfélével kereskedő cégénél helyezkedhessen el a fiatal tehetség. Kaszperszkij sem az orosz katonai hírszerzésnél eltöltött éveiről, sem a leszereléséről nem volt hajlandó elárulni részleteket – 25 év múltán sem. Valószínű azonban, hogy ebben a periódusban végig különleges szakképesítésének megfelelő területen működött. Kaszperszkij nyilatkozatai alapján annyi bizonyosan tudható, hogy nagyon korán a számítógépes biztonsági kockázatokkal kezdett foglalkozni. Először 1989 őszén találkozott vírusokkal, s e szakterület hamar a szenvedélyévé vált, kutatásainak költségeit a professzor kereskedőcégének egyéb bevételei fedezték. Ezek után nem kell különösebb képzelőerő annak feltételezéséhez, hogy az utóbbi vállalkozás keretében folytatott munka, majd a Kaspersky Lab 1997-es megalapítása is valójában az orosz hírszerzés közreműködésével, de legalábbis a jóváhagyásával történt. Ha valóban így van, akkor a Kaspersky felépítése és nemzetközi elterjedése a KGB és utóda, az FSZB egyik legsikeresebbnek bizonyult hosszú távú művelete lehet.
Az amerikaiakat azonban nem csak Kaszperszkij KGB-hez fűződő homályos előélete aggasztja. A cég máig szoros kapcsolatokat ápol a kibervédelmet ellátó FSZB-vel, ami egy bizonyos mértékig természetes: valamennyi szoftvercég együttműködik országa bűnüldöző és hírszerző szerveivel. A Bloomberg júliusi cikkében szemlézett belső levelezés szerint azonban a Kaspersky kifejezetten az FSZB számára fejlesztett szoftvereket. Munkatársai emellett nemcsak a kiberbűnözők lenyomozásában, hanem az FSZB-vel közösen végrehajtott rajtaütéseken is részt vettek, ami már inkább nevezhető szokatlannak. Amerikai tisztviselők és szakértők értékelése szerint Vlagyimir Putyin Oroszországában a vállalkozásoknak nincs lehetőségük az együttműködés megtagadására, vagy legalábbis nem ajánlatos visszautasítani a hatóságok, adott esetben a titkosszolgálatok részéről megfogalmazott segítségkéréseket. Az orosz törvények szerint az FSZB bármely telekommunikációs vállalkozást kötelezhet arra, hogy titkos műveleteinek segítésére különleges hardvereket vagy szoftvereket telepítsen a rendszerébe. Emellett saját embereit is áthelyezheti a cégekhez. A Wired riportjában megszólaltatott orosz technológiai vállalkozó szerint „a sikeres vállalatok egyes számú szabálya, hogy jóban kell lenni a szilovikivel”, vagyis a hadsereg, a titkosszolgálatok és a bűnüldöző szervek volt tisztviselői alkotta hálózat szereplőivel. Talán nem meglepő, hogy a Kaspersky alkalmazásában is állnak néhányan e körből.
A Kaspersky működéséről, termékeinek sebezhetőségéről, az orosz államhoz fűződő viszonyáról számos súlyos gyanú és biztonsági kockázat fogalmazódott meg az elmúlt időszakban. Nem hallani ugyanakkor arról, hogy a magyar hivatalosságok komolyan foglalkoznának e kockázati tényezők értékelésével – bár lehet, csak arról van szó, hogy vizsgálódásaik eredményeit nem kötik az egyszerű állampolgár orrára. Megkereséseink nyomán viszont biztosan tudható, hogy az Országgyűlés Kasperskyt használ, s az is feltételezhető, hogy az államigazgatásban széles körben elterjedt a szoftver használata. Tekintve, hogy ezeken a számítógépeken nagy valószínűséggel minősített információkat (vagy például ellenzéki kampánystratégiákat) és magyar állampolgárok szenzitív adatait is tárolják, talán nem ártana, ha a közvélemény hitelesen megbizonyosodhatna arról, hogy a magyar állam titkai és a visszaélésekre is felhasználható személyes adatok nem kerülnek illetéktelen kezekbe.
