El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha emitido una guía actualizada sobre el uso de tecnología procedente de empresas rusas por parte de las organizaciones del Reino Unido, diciendo que en este momento no es necesario, o necesariamente prudente, suspender el uso de productos como Kaspersky antivirus (AV) productos
Hace cinco años, el NCSC publicó una guía sobre cómo aborda, comprende y gestiona el riesgo detrás del uso de productos tecnológicos, incluidos los servicios habilitados para la nube, cuando dichas cadenas de suministro de productos o servicios incluyen estados hostiles a la seguridad nacional del Reino Unido, como Rusia.
En ese momento, el NCSC dijo que había asesorado a los departamentos relevantes dentro del gobierno para asegurarse de que no estuvieran usando Kaspersky, y su entonces director ejecutivo, Ciaran Martin, escribió a varios secretarios permanentes de Westminster para informarles de esto, y dijo que los riesgos más apremiantes para el empresa promedio fueron: no mantener el software actualizado, administración deficiente de la configuración de la red y administración deficiente de las credenciales.
Sin embargo, el director técnico de NCSC, Ian Levy, dijo que desde el estallido de la guerra en Ucrania, el contexto que rodea a tales tecnologías ha cambiado y la organización ha respondido múltiples consultas de personas que utilizan los productos y servicios de Kaspersky.
“Hemos recibido consultas de personas preocupadas por la TI de su hogar”, dijo Levy. “Es casi seguro que casi todas las personas en el Reino Unido, y muchas empresas, no serán objeto de un ciberataque ruso, independientemente de si utilizan productos y servicios rusos.
“Si su computadora portátil personal usa Kaspersky AV u otros productos, es muy poco probable que sea un objetivo directo y es seguro encenderla y usarla en este momento.
“Sin embargo, es posible que deba cambiarse a un nuevo producto AV si Kaspersky mismo está sujeto a sanciones, ya que el producto AV probablemente dejará de recibir actualizaciones, y el software AV solo es efectivo si se actualiza regularmente”.
Levy dijo que no había evidencia de que Rusia tenga la intención de sobornar productos y servicios comerciales rusos para causar daño a los intereses británicos, pero que “la ausencia de evidencia no es evidencia de ausencia”.
Añadió: “La guerra ha demostrado que muchas creencias generalizadas están equivocadas y la situación sigue siendo muy impredecible. En nuestra opinión, sería prudente planificar la posibilidad de que esto suceda. En tiempos de tanta incertidumbre, el mejor enfoque es asegurarse de que sus sistemas sean tan resistentes como sea razonablemente posible”.
El NCSC está asesorando a organizaciones del sector público, cualquier organización que brinde servicios a Ucrania, empresas de alto perfil que, si se ven comprometidas, “representarían una victoria de relaciones públicas para Rusia”, operadores de infraestructura nacional crítica (CNI) o cualquier organización que realice un trabajo que podría ser percibido como contrario a los intereses de Moscú, por ejemplo, organizaciones benéficas y ONG, para reconsiderar su exposición al riesgo a la tecnología de origen ruso, incluido Kaspersky.
El NCSC dijo que reconoció que las organizaciones pueden necesitar tomar decisiones difíciles, tal vez eliminando los productos y servicios rusos de manera proactiva, esperando hasta que expiren sus contratos o incluso eligiendo vivir con el riesgo.
“Cualquiera que elija, recuerde que la seguridad cibernética, incluso en un momento de malestar mundial, sigue siendo un equilibrio de diferentes riesgos”, dijo Levy. “Apresurarse a cambiar un producto que está profundamente arraigado en su empresa podría terminar causando el mismo daño que está tratando de prevenir.
“Independientemente de si usted es un objetivo probable, las sanciones globales en curso podrían significar que los servicios tecnológicos rusos y el soporte para los productos deben detenerse en cualquier momento. Esto traería un nuevo conjunto de riesgos. Las empresas deben considerar cómo un evento de este tipo afectaría su resiliencia y considerar planes de mitigación”.
La nueva guía del NCSC sigue una guía similar de las autoridades cibernéticas de Alemania, que provocó una respuesta enojada de Kaspersky.
La empresa de larga data, que fue pionera en tecnología antivirus en la década de 1990, dijo que estaba siendo atacada injustamente por razones políticas. El fundador Eugene Kaspersky calificó de insultante la insinuación de que los productos de la compañía eran una fuente de riesgo y señaló su red de centros de transparencia global como prueba positiva de que la compañía no estaba operando a instancias del Kremlin.
Computer Weekly entiende que el NCSC no se ha comprometido con Kaspersky a través de sus centros de transparencia global sobre la base de que cuando la empresa en cuestión ejecuta tales iniciativas, pueden manipularse con demasiada facilidad y no hay garantía de que el código que está viendo sea el código. ser liberado.
Además, analizar y revisar el código de un producto AV que recibe actualizaciones frecuentes es una tarea ardua que requeriría trabajar en él con tanta gente como Kaspersky necesita para desarrollarlo.
Levy agregó: “Cuando observamos el riesgo, tratamos de tomar medidas razonables para mitigarlo: un centro de transparencia que analiza cientos de millones de líneas de código, sin forma de verificar que es lo que realmente se está ejecutando, no es útil. paso atenuante”.