美国商务部禁止美国客户使用俄罗斯卡巴斯基软件
- Boring Editor
- 2024年6月21日
- 讀畢需時 4 分鐘
2024 年 6 月 20 日
美国商务部工业和安全局 (BIS) 宣布了一项最终裁定,禁止俄罗斯一家反病毒软件和网络安全公司的美国子公司卡巴斯基实验室公司直接或间接在美国或向美国公民提供反病毒软件和网络安全产品或服务。该禁令也适用于卡巴斯基实验室公司的附属公司、子公司和母公司(与卡巴斯基实验室公司合称为“卡巴斯基”)。
此项行动是此类行动中的首例,也是美国商务部工业和安全局信息和通信技术与服务办公室 (OICTS) 发布的第一项最终裁定,该办公室的使命是调查美国的某些信息和通信技术或服务交易是否构成过度或不可接受的国家安全风险。卡巴斯基通常将不再能够在美国境内销售其软件或提供已在使用的软件的更新等活动。完整的禁止交易清单可在 oicts.bis.gov/kaspersky 上找到。
除此项行动外,美国商务部工业和安全局还将三家实体——AO 卡巴斯基实验室、OOO 卡巴斯基集团(俄罗斯)以及卡巴斯基实验室有限公司(英国)(AO Kaspersky Lab and OOO Kaspersky Group (Russia), and Kaspersky Labs Limited (United Kingdom))添加到实体名单中,原因是它们与俄罗斯军事和情报部门合作,支持俄罗斯政府的网络情报目标。
为了尽量减少对美国消费者和企业的干扰,并让他们有时间找到合适的替代方案,该部门的决定将允许卡巴斯基继续在美国开展某些业务,包括提供防病毒签名更新和代码库更新,直到 2024 年 9 月 29 日东部夏令时间 (EDT) 凌晨 12:00。
美国商务部工业和安全局认定卡巴斯基对国家安全构成不当或不可接受的风险,原因如下:
俄罗斯政府的管辖、控制或指导:卡巴斯基受俄罗斯政府的管辖,必须遵守信息请求,这些信息可能导致利用卡巴斯基防病毒软件访问电子设备上的敏感信息。
通过管理权限访问敏感的美国客户信息:卡巴斯基通过提供网络安全和防病毒软件,对客户信息拥有广泛的访问权和管理权限。卡巴斯基员工可能会将美国客户数据传输到俄罗斯,俄罗斯政府将根据俄罗斯法律访问这些数据。
安装恶意软件和拒绝关键更新的能力或机会:卡巴斯基能够使用其产品在美国客户的计算机上安装恶意软件或有选择地拒绝更新,从而使美国个人和关键基础设施容易受到恶意软件和攻击。
卡巴斯基产品的第三方集成:卡巴斯基软件通过转售其软件、将其网络安全或反病毒软件集成到其他产品和服务中,或授权卡巴斯基网络安全或反病毒软件用于转售或集成到其他产品或服务中,被集成到第三方产品和服务中。此类第三方交易会导致软件源代码不明的情况。这增加了卡巴斯基软件在不知不觉中被引入包含高度敏感的美国个人数据的设备或网络的可能性。
卡巴斯基是一家跨国公司,在 31 个国家设有办事处,为 200 多个国家和地区的用户提供服务。卡巴斯基为全球超过 4 亿用户和 27 万家企业客户提供网络安全和反病毒产品和服务。
美国政府此前曾于 2017 年对卡巴斯基采取过行动,当时国土安全部发布指令,要求联邦机构在联邦信息系统上移除并停止使用卡巴斯基品牌产品。此外,2018 财年《国防授权法案》(NDAA)禁止联邦政府使用卡巴斯基。此外,2022 年 3 月,美国联邦通信委员会将卡巴斯基直接或间接提供的信息安全产品、解决方案和服务添加到其“对国家安全构成威胁的通信设备和服务清单”中。该部门今天的决定是美国政府为保护美国公民的国家安全而采取的最新行动。
EO 13873“确保信息和通信技术与服务供应链安全”及其实施条例(15 CFR 第 7 部分)允许商务部调查某些 ICTS 交易是否 (1) 对美国 ICTS 造成不当或不可接受的破坏或颠覆风险;(2) 对美国关键基础设施的安全性或弹性或美国数字经济造成不当的灾难性影响风险;或 (3) 对美国国家安全或美国公民的安全造成不可接受的风险。如果商务部确定某项 ICTS 交易造成不当或不可接受的风险,则商务部可与其跨部门合作伙伴协商,禁止该交易或采取缓解措施。
根据此次调查的结果,根据今天的最终裁定,卡巴斯基被禁止与美国个人进行或参与某些 ICTS 交易。
ICTS 计划于 2022 年成为 BIS 的一项使命。有关 ICTS 计划的更多信息,请访问 oicts.bis.gov。