By JEANNE SHAHEEN / nytimes.com

MADBURY, N.H. — The Kremlin hacked our presidential election, is waging a cyberwar against our NATO allies and is probing opportunities to use similar tactics against democracies worldwide. Why then are federal agencies, local and state governments and millions of Americans unwittingly inviting this threat into their cyber networks and secure spaces?

That threat is posed by antivirus and security software products created by Kaspersky Lab, a Moscow-based company with extensive ties to Russian intelligence. To close this alarming national security vulnerability, I am advancing bipartisan legislation to prohibit the federal government from using Kaspersky Lab software.

Kaspersky Lab insists that it has “no inappropriate ties with any government.” The company’s products, which are readily available at big-box American retailers, have more than 400 million users around the globe. And it provides security services to major government agencies, including the Department of State, the National Institutes of Health and, reportedly, the Department of Defense.

But at a public hearing of the Senate Intelligence Committee in May, six top intelligence officials, including the heads of the F.B.I., C.I.A. and National Security Agency, were asked if they would be comfortable with Kaspersky Lab software on their agencies’ computers. Each answered with an unequivocal no. I cannot disclose the classified assessments that prompted the intelligence chiefs’ response. But it is unacceptable to ignore questions about Kaspersky Lab because the answers are shielded in classified materials. Fortunately, there is ample publicly available information to help Americans understand the reasons Congress has serious doubts about the company.

The firm’s billionaire founder, Eugene Kaspersky, graduated from the elite cryptology institute of the K.G.B., the Soviet Union’s main intelligence service, and was a software engineer for Soviet military intelligence. He vehemently dismisses concerns that his company assists Russia’s intelligence agencies with cyberespionage and claims that he is the target of Cold War-style conspiracy theories. But Kaspersky Lab has committed missteps that reveal the true nature of its work with Russia’s Federal Security Service, or F.S.B., a successor to the K.G.B.

Bloomberg recently reported on emails from October 2009 in which Mr. Kaspersky directs his staff to work on a secret project “per a big request on the Lubyanka side,” a reference to the F.S.B.’s Moscow offices. The McClatchy news service uncovered records of the official certification of Kaspersky Lab by Russian military intelligence, which experts in this field call “persuasive public evidence” of the company’s links to the Russian government.

The challenge to United States national security grew last year when the company launched a proprietary operating system designed for electrical grids, pipelines, telecommunications networks and other critical infrastructure. The Defense Intelligence Agency recently warned American companies that this software could enable Russian government hackers to shut down critical systems.

Beyond the evidence of direct links between Mr. Kaspersky and the Russian government, we cannot ignore the indirect links inherent in doing business in the Russia of President Vladimir Putin, where oligarchs and tycoons have no choice but to cooperate with the Kremlin. Steve Hall, former C.I.A. station chief in Moscow, told a reporter: “These guys’ families, their well-being, everything they have is in Russia.” He added that he had no doubt that Kaspersky Lab “could be, if it’s not already, under the control of Putin.”

The technical attributes of antivirus software amplify the dangers from Kaspersky Lab. Mr. Kaspersky might be correct when he says that his antivirus software does not contain a “backdoor”: code that deliberately allows access to vulnerable information.

But a backdoor is not necessary. When a user installs Kaspersky Lab software, the company gets an all-access pass to every corner of a user’s computer network, including all applications, files and emails. And because Kaspersky’s servers are in Russia, sensitive United States data is constantly cycled through a hostile country. Under Russian laws and according to Kaspersky Lab’s certification by the F.S.B., the company is required to assist the spy agency in its operations, and the F.S.B. can assign agency officers to work at the company. Russian law requires telecommunications service providers such as Kaspersky Lab to install communications interception equipment that allows the F.S.B. to monitor all of a company’s data transmissions.

The Senate Armed Services Committee in June adopted my measure to prohibit the Department of Defense from using Kaspersky Lab software, to limit fallout from what I fear is already a huge breach of national security data. When broad defense legislation comes before the Senate in the weeks ahead, I hope to amend it to ban Kaspersky software from all of the federal government.

Americans were outraged by Russia’s interference in our presidential election, but a wider threat is Russia’s doctrine of hybrid warfare, which includes cybersabotage of critical American infrastructure from nuclear plants to electrical grids. Kaspersky Lab, with an active presence in millions of computer systems in the United States, is capable of playing a powerful role in such an assault. It’s time to put a stop to this threat to our national security.

foto:

Eugene Kaspersky, the founder of Kaspersky Lab, is a graduate of the KGB’s elite cryptology institute and was a software engineer for Soviet military intelligence. CreditAndrew Harrer/Bloomberg

*****************************************

ПЕРЕВОД:

*****************************************

Российская компания, представляющая угрозу нашей безопасности

Джин Шахин (Jeanne Shaheen)

Мэдбери, Нью-Гэмпшир. — Кремль осуществлял хакерские атаки на наши выборы, он ведет кибервойну против наших союзников по НАТО, а также изыскивает возможности для использования аналогичных приемов против демократических государств во всем мире. Почему же в таком случае федеральные ведомства, местные органы власти, администрации штатов и миллионы американцев, сами того не желая, навлекают эту угрозу на свои киберсети и защищенные пространства?

Такую угрозу создает программная продукция по борьбе с вирусами и обеспечению безопасности, изготавливаемая московской компанией «Лаборатория Касперского», которая поддерживает обширные связи с российскими спецслужбами. Чтобы ликвидировать этот тревожный пробел в национальной безопасности, я выдвигаю двухпартийный законопроект, запрещающий федеральному правительству использовать программное обеспечение «Лаборатории Касперского».

«Лаборатория Касперского» утверждает, что у нее «нет ненадлежащих связей ни с одним правительством». Продуктами компании, которые в широком ассортименте продаются в крупных американских гипермаркетах, пользуются более 400 миллионов человек во всем мире. Компания также предоставляет услуги по обеспечению безопасности главным государственным ведомствам, в том числе, Госдепартаменту, Национальным институтам здравоохранения и, согласно имеющейся информации, Министерству обороны.

На публичных слушаниях, состоявшихся в мае в сенатском комитете по разведке, шестерым высокопоставленным руководителям, включая директоров ФБР, ЦРУ и Агентства национальной безопасности, задали вопрос о том, захотели бы они, чтобы на компьютерах в их ведомствах установили продукты «Лаборатории Касперского». Каждый из них ответил однозначно: нет. Я не могу раскрывать секретные оценки, вызвавшие такой ответ руководителей спецслужб. Но для нас недопустимо игнорировать вопросы о «Лаборатории Касперского» из-за того, что ответы на них скрыты в секретных папках. К счастью, имеется большое количество общедоступной информации, помогающей американцам понять причины, по которым у конгресса есть серьезные сомнения в отношении данной компании.

Учредитель компании миллиардер Евгений Касперский является выпускником элитного Института криптографии КГБ СССР, и он работал инженером-программистом в советской военной разведке. Касперский категорически отрицает любые утверждения о том, что его компания оказывает содействие российским спецслужбам в ведении кибершпионажа, и утверждает, что он стал жертвой конспирологических теорий в духе холодной войны. Но «Лаборатория Касперского» допустила несколько оплошностей, разоблачивших истинный характер ее совместной работы с российской Федеральной службой безопасности ФСБ, ставшей преемницей КГБ.

Агентство Bloomberg недавно написало об электронных сообщениях от октября 2009 года, в которых Касперский дает указания своим сотрудникам о работе над секретным проектом «по большой просьбе с Лубянки», где размещается московская штаб-квартира ФСБ. Издание McClatchy обнаружило записи об официальной сертификации «Лаборатории Касперского» российской военной разведкой, и эксперты из этой области назвали их «убедительным публичным доказательством» связей компании с российским правительством.

Угрозы для национальной безопасности США в прошлом году усилились, когда компания запустила собственную операционную систему, предназначенную для электросетей, трубопроводов, сетей связи и прочих важнейших элементов инфраструктуры. Разведывательное управление Министерства обороны недавно предупредило американские компании о том, что данный продукт программного обеспечения дает возможность хакерам из российских госструктур отключать критически важные системы.

Наряду с доказательствами прямых связей между Касперским и российской властью, мы видим свидетельства косвенных связей, которые присущи компаниям, занимающимся бизнесом в путинской России, где у олигархов и магнатов нет иного выбора кроме сотрудничества с Кремлем. Бывший руководитель резидентуры ЦРУ в Москве Стив Холл (Steve Hall) заявил репортеру: «Семьи этих парней, их состояния, все, что у них есть, находится в России». Он добавил, что у него нет сомнений в том, что «Лаборатория Касперского» «может находиться, если уже не находится, под контролем Путина».

Технические свойства антивирусных программ усиливают ту опасность, которую представляет «Лаборатория Касперского». Касперский, видимо, прав, говоря о том, что в его антивирусных программах нет «бэкдоров», как называют коды, обеспечивающие доступ к уязвимой информации в обход систем защиты.

Но бэкдор здесь не нужен. Когда пользователь устанавливает ПО «Лаборатории Касперского», компания получает полный доступ ко всем закоулкам его компьютерной сети, в том числе, ко всем приложениям, файлам и электронной почте. А поскольку серверы Касперского находятся в России, секретные американские данные постоянно проходят через вражескую страну. По российскому законодательству и в соответствии с сертификатом, выданным «Лаборатории Касперского» ФСБ, компания обязана оказывать содействие этому шпионскому ведомству в проведении его операций, а ФСБ может направить своих сотрудников на работу в эту компанию. Российский закон требует, чтобы поставщики телекоммуникационных услуг, такие как «Лаборатория Касперского», устанавливали технику перехвата связи, позволяющую ФСБ следить за всеми передачами данных той или иной компании.

Сенатский комитет по делам вооруженных сил в июне утвердил мой законопроект, запрещающий Министерству обороны использовать ПО «Лаборатории Касперского», чтобы ограничить последствия от колоссальной, как я подозреваю, кражи данных, касающихся нашей национальной безопасности. Когда в сенате в предстоящие недели начнут рассматривать общий закон в отношении военного ведомства, я надеюсь внести в него поправки, запрещающие использовать продукты «Лаборатории Касперского» во всех федеральных органах.

Американцы были возмущены российским вмешательством в наши президентские выборы, но гораздо большую опасность представляет российская доктрина гибридной войны, предусматривающая кибернетические диверсии на важнейших объектах американской инфраструктуры, начиная с атомных электростанций и кончая электросетями. «Лаборатория Касперского», чья продукция установлена на миллионах компьютерных систем в США, может сыграть очень существенную роль в таких атаках. Пора положить конец этой угрозе нашей национальной безопасности.

Джин Шахин — сенатор-демократ из Нью-Гэмпшира.

перевод:

* - inosmi.ru

фото:

© РИА Новости, Владимир Трефилов