卡巴斯基被永久禁止向美國政府提供服務!
最終規定於本周二生效,取代出台已一年多的臨時規定。
本周二起,美國政府機構(民用和軍用)要遵守一項正式的最終規定,禁止它們使用由總部位於俄羅斯的卡巴斯基提供的網路安全產品或開發的軟體。
領導聯邦採購監管委員會的三個政府機構:國防部、總務管理局和美國宇航局於周二向美國政府的官方出版物《聯邦公報》(Federal Register)公布最終規定,最終規定概述了政府機構應如何遵守2018年《國防授權法案》中限制使用卡巴斯基產品的條文。
美國立法者出台該法律,是由於美國情報界擔心卡巴斯基的高管(其中一些人是前俄羅斯情報官員)與俄羅斯政府官員關係密切。美國官員還表示擔心俄羅斯法律會迫使這家公司與俄羅斯政府分享通過其平台獲取的有關美國政府機構的敏感的網路安全信息。
國土安全部此前早已下令,要求政府機構在2017年10月之前從其系統中刪除所有卡巴斯基產品,但採購規定將該命令的範圍擴大到了為聯邦機構提供服務的承包商。
該規定禁止任何聯邦機構購買或以其他方式「簽約使用卡巴斯基或相關實體開發或提供的硬體、軟體和服務,或在開發履行本合同中的過程中首次產生的數據或可交付成果時禁止使用此類硬體、軟體或服務」,《聯邦採購條例》附增的合同條款中明文規定。規定特別指出,這包括各層面的分包商。
專業服務委員會(Professional Services Council)是一家代表聯邦承包商的行業組織,該組織的執行副總裁兼法律顧問Alan Chvotkin表示,禁令甚至限制在涉及政府工作的任何IT系統上使用卡巴斯基產品,甚至適用於開展聯邦業務的承包商的工資單系統。他表示,雖然供應商的商用業務可享受該規定的豁免權,但政府傳達出來的意圖明確無誤。
他告訴Nextgov網站:「美國政府傳達出來的明確訊息是,千萬不要抱著僥倖的心態,從你的系統中刪除卡巴斯基的產品,對許多公司來說這也是更明智的做法。」
最終規定還重申,該禁令也適用於金額低於簡化收購限額的採購,限額原本旨在讓小額採購儘可能享受豁免權。該規定還增加了另一層,將禁令擴大到所有的商用現成產品。
規定提到聯邦採購政策辦公室的決心時稱:「雖然該法律並不專門針對商業產品的採購,包括商用現成(COTS)商品,但政府購買卡巴斯基全部或部分開發或提供的硬體、軟體或服務存在令人無法接受的風險。這個風險並不因所採購的商品已出售給普通公眾或面向普通公眾銷售這個事實而有所緩解。」
Chvotkin表示,最終規定的出台代表了多年來努力將卡巴斯基從聯邦系統中刪除的一錘定音,至少對於政府機構和承包商來說是這樣。
卡巴斯基認為該規定是非法的,聲稱規定將矛頭針對單單一家公司,因此違反憲法。
卡巴斯基周一在發給Nextgov的聲明中表示:「卡巴斯基堅持認為,構成現行最終規定的法定條款,即2018財年《國防授權法案》的Sections 1634(a)和(b),違反憲法,基於未經證實的指控,而且缺乏任何證明本公司存在不法行為的公開證據。通過全球透明度計劃(Global Transparency Initiative),卡巴斯基繼續表明自己不斷致力於確保其產品的完整性和可信賴性以及保護用戶數據。」
該委員會於2018年6月發布了一項臨時規定,以符合該法律規定的2018年10月1日截止日期。從那時起,該組織採納了一些補充意見,但最後決定不做任何修改、使臨時規定確定下來。
根據周二發布的通告,該委員會在發布臨時規定後收到了三條意見,「其中一條超出了規定的範圍。」
一名評論者建議政府應製作一份具體的清單以列出被禁止的公司和產品,另外給出如何製作和修改此類清單的方法。
委員會注意到這個想法之前已提出過,附在臨時規定的序言中,要求公眾就「如何製作和維護一份清單」提出意見。然而,「沒有提供公眾意見。」
通告稱:「由於技術產品和服務產品在不斷變化,包括可能增加或消除卡巴斯基軟體等元素的第三方產品,以及如何應對這個挑戰方面沒有建議,國防部、總務管理局和美國宇航局得出了結論,認為提供一份權威的清單以列出符合『適用條款』這一定義的硬體、軟體或服務是不切實際的,尤其是在監管方面。」
另一則意見認為,鑒於這個問題的緊迫性,最終確定規定的過程應該更快。委員會回復,臨時規定在2018年10月1日截止日期之前完全生效,旨在成為「幫助政府機構實施的一種工具......但規定並未影響或損害政府機構為了應對適用條款而開展的其他任何計劃中或進行中的工作。」
威脅檢測公司Vectra AI的安全分析主管Chris Morales稱,禁令不難實施,因為為散布的大批系統刪除軟體代理相對簡單。不過他擔心的是替代方案。
更大的問題是,什麼軟體取代卡巴斯基成為端點保護代理?市面上有許多方案,需要任何組織進行評估和測試,以確保軟體與目前的系統和軟體兼容。
然而面臨的風險是,端點代理可能干擾系統,導致業務受到重大幹擾。這意味著,如果組織立即刪除卡巴斯基產品,卻事先沒有驗證替代方法,它可能會在一段時期面臨端點安全得不到保護的威脅。
許可權訪問管理解決方案公司Thycotic Software的首席安全科學家Joseph Carson特別指出,禁令會使一些政府機構(民用和軍用)的關鍵系統遇到一些中斷,甚至嚴重的停運。
刪除任何反病毒產品方面的重大問題是,幾乎總是要求系統重啟,有時重啟多次。這就意味著在清除卡巴斯基軟體的過程中,所有那些系統(包括關鍵系統)可能會遇到一些中斷,甚至較長時間的停運。這也會給員工帶來嚴重的擾亂,這意味著會影響員工的工作效率。
