Amerikansk panik over udbredt russisk AV-software - dansk cybermyndighed tavs

I december 2016 blev der annonceret et samarbejde mellem Rigspolitiets National Cyber Crime Center (NC3) og Kaspersky Lab. På billedet ses daværende NC3-chef Kim Aarenstrup (tv) og direktør for Kaspersky Lab Eugene Kaspersky.
I USA er produkter fra Kaspersky Lab under kritik for at udgøre en sikkerhedsrisiko i den offentlige sektor, herhjemme forholder Center for Cybersikkerhed sig tavst.

Måske sidder du derude som it-sikkerhedsansvarlig i en offentlig eller privat organisation og har fulgt med i den amerikanske debat, hvor produkter fra den russiske it-sikkerhedsvirksomhed Kaspersky Lab er blevet beskyldt for at udgøre en cybertrussel?

Og måske har du i den forbindelse spurgt dig selv om, hvorvidt it-sikkerhedsprodukterne kan vise sig at være en it-sikkerhedstrussel mod din organisation?

I et forsøg på at gøre vores læsere klogere på emnet har vi rettet henvendelse til Center for Cybersikkerhed. Organisationen er ikke bare Danmarks nationale it-sikkerhedsmyndighed, men agerer også nationalt kompetencecenter på cybersikkerhedsområdet. Og derfor virker det da også oplagt at få den danske myndigheds vurdering af sagen frem i lyset.

Det er dog ikke lykkedes for Version2 at få svar på, hvorvidt Center for Cybersikkerhed mener, den amerikanske debat bør give anledning til at være varsom med at bruge Kaspersky-software herhjemme.

Sagen med Kaspersky Lab er aktuel, da den russiske virksomhed fra amerikansk side gennem længere tid har været beskyldt for at have for tætte bånd til den russiske regering, hvilket ifølge amerikanerne kan udgøre en it-sikkerhedstrussel.

Og forleden kunne Version2 citere nyhedsbureauet Reuters for, at det amerikanske senat - på linje med efterretningstjenesterne FBI, NSA og CIA - mener, at Kaspersky-softwaren er problematisk. Senatet har således vedtaget et forbud mod brug af Kaspersky-produkter hos civile og militære myndigheder.

Efter senatets afstemning skal den amerikanske kongres også vedtage forbuddet, før det reelt træder i kraft.

Kaspersky Lab har flere gange blankt afvist kritikken om, at virksomhedens software skulle udgøre en cybertrussel.

Hvad med Danmark?

Produkterne fra den russiske it-sikkerhedsvirksomhed Kaspersky anvendes også i Danmark, og det virker nærliggende at høre, hvad Center for Cybersikkerhed, som er en del af Forsvarets Efterretningstjeneste, anbefaler i den sammenhæng.

Vi har konkret spurgt:

Der har som bekendt været flere historier på det seneste, hvor amerikanske myndigheder har udtrykt bekymring over brugen af produkter fra den russiske it-sikkerhedsvirksomhed Kaspersky, der nu er på vej ud flere steder i den offentlige sektor i USA. Set i det lys mener Center for Cybersikkerhed så, at der er grund til en lignende bekymring i forhold til danske myndigheders brug af Kaspersky-produkter i den offentlige sektor?

Lidt mere end et døgn efter vores henvendelse har vi modtaget følgende svar sendt via Forsvarets Efterretningstjenestes pressefunktion:

»For så vidt angår produkter på statens indkøbsaftaler, henvises til Moderniseringsstyrelsen. For øvrige sektorer henvises til henh. KL og Danske Regioner,« står der i et mail-svar fra en person, der blot kalder sig Anne.

Svaret fortsætter:

»Når FE’s Center for Cybersikkerhed bliver anmodet om at rådgive om sikkerhedsløsninger og produkter på f.eks. statens indkøbsaftaler, inddrager Center for Cybersikkerhed alle tilgængelige relevante oplysninger om det pågældende produkt eller løsning, herunder f.eks. om andre landes erfaringer.«

En konkret vurdering fra it-sikkerhedsmyndigheden er det altså ikke umiddelbart muligt at få. Det lyder dog til, at man hos CFCS gerne rådgiver om sikkerhedsløsninger efter anmodning (antageligt) fra andre end pressen.

Selvom det virker lidt som at gå over åen efter vand, er vi på redaktionen ved at forhøre os i den offentlige sektor, om nogen på de interne kommunikationslinjer skulle have hørt fra Center for Cybersikkerhed i forhold til Kaspersky-produkterne.

Foreløbig har vi fået svar fra en it-afdeling i en kommune, som oplyser, at man ikke har set nogle anbefalinger angående Kasperskys produkter.

Såfremt vi kommer et svar nærmere desangående, vender vi tilbage, så vores læsere over en bred kam kan nyde godt af det nationale cyberkompetencecenters viden på området.

Rigspolitiet og Kaspersky Lab

En af de offentlige organisationer i Danmark, som har været åben omkring sin relation til Kaspersky, er Rigspolitiet.

I december 2016 udgik der nemlig en pressemeddelelse om det dengang nye samarbejde mellem Kaspersky Lab og det nationale cybercrime-center under Rigspolitiet, NC3. I den forbindelse blev daværende chef for NC3 Kim Aarenstrup citeret for at sige:

»Vi har en forventning om, at det nye samarbejde med Kaspersky Lab kan hjælpe os med særligt kompliceret it-kriminalitet. Den hollandske pendant til NC3 har opnået nogle rigtig fine resultater via deres samarbejde med Kaspersky Lab, og det har vi fulgt interesseret med i. Vi håber, at vores samarbejde kan resultere i nogle lige så fine resultater, som kan være til gavn for det danske samfund.«

Vi har spurgt Rigspolitiet, om det amerikanske forbehold i forhold til Kasperskys produkter har eller får nogen indflydelse på samarbejdet mellem NC3 og den russiske virksomhed.

Via Rigspolitiets pressefunktion har vi modtaget en mail med en udtalelse fra nuværende chef for NC3 Claus Birkelyng:

»Rigspolitiet kan bekræfte, at NC3 i 2016 indgik en samarbejdsaftale med selskabet Kaspersky Lab. Samarbejdet er alene udtryk for, at vi fra NC3’s side ønsker at være på forkant med trends og modus inden for cyberkriminalitet og i den forbindelse trække på den viden, som også private sikkerhedsfirmaer ligger inde med,« står der i mailsvaret, som fortsætter:

»NC3 har således ikke udvekslet data med eller brugt software fra selskabet. Rigspolitiet vurderer nøje, hvilke firmaer vi samarbejder med, og i hvilket omfang, og har i den forbindelse også fokus på de sikkerhedsmæssige aspekter ved et eventuelt samarbejde.«

I en opfølgende mail oplyser Rigspolitiet, at den aftale, NC3 indgik sidste år med Kaspersky Lab, er et 'memorandum of understanding' (en hensigtserklæring, red.) som stadig er gældende.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
Michael Rasmussen

En statsborger i USA behøver principielt ikke være "bange" hverken for NSA eller CIA da han er beskyttet af loven i hvert fald teoretisk... det er derfor Snowden blev så stor en sag.

Det gælder kun så længe personen opholder sig indenfor USAs jurisdiktion. Befinder personen sig udenfor USAs jurisdiktion, er personen lige så retsløs som klodens øvrige borgere!

John Foley

At Center for Cybersikkerhed (CFCS), under Forsvarets Efterretningstjeneste, kalder sig for Danmarks nationale it-sikkerhedsmyndighed, og også et nationalt kompetencecenter på cybersikkerhedsområdet, er en falsk varebetegnelse.
Svaret på Versions2 henvendelse understreger dette , hvor CFCS svarer på en hel legitim henvendelse med et "Goddag mand økseskaft". CFCS har ingen kvaler- skatteborgeren betaler.

Tom Paamand

Over the last five years, Kaspersky has made a name for itself exposing one nation-state attack after another, including Stuxnet, Duqu, Flame, Gauss, Regin and the Equation Group—many of them seemingly launched by the US and its UK and Israeli allies.
https://www.wired.com/2015/06/kaspersky-finds-new-nation-state-attack-ne...

Jeg forventer naturligvis, at Kaspersky bliver presset til at fokusere mindre på Ruslands egne spionværktøjer - og at det modsatte sker for USAs store IT-virksomheder. Herhjemme kan man så mistænke, at Center for Cybersikkerheds samarbejde med Kaspersky Lab eventuelt kunne tillade PETs sniffere at gemme sig - så for god kontrol, benyt diverse meget forskellige leverandører!

Keld Rasmussen

Det kan undre mig at man bruger så meget tid på det spøgelse. Hvorfor skulle det ældste AV program pludselig sætte en bagdør ind så de kunne hacke sig ind i fremmede landes sikkerhedssystemer ?
Jeg har brugt dette program siden 2000 og har på ingen måde den fornemmelse at de skulle have set mig over skulderen. Tværtimod så har det selv samme AV program forhindret at vores anlæg og systemer er gået ned og dermed har forhindret at vi kunne arbejde. Det har samtidig beskyttes os mod ransomeware og maleware
Et rigtig godt produkt

Tomas Kjersgaard

Mig bekendt er følgende AV software fra Europa (Dvs. hverken USA eller Rusland):
Bitdefender (Rumænien), G-Data (Tyskland), Avira (Tyskland), Eset (Slovakiet, Polen, Tjekkiet) og F-Secure (Finland). Om de kan have lyssky forbindelser til andre lande aner jeg intet om.
Disse AV-pakker fejler ikke noget mht. effektivitet. Til tider kan man se bedre AV-performance end Kaspersky ifølge AV-test og AV-comparatives. Jeg har testet dem alle og har ikke haft større problemer.
Bitdefender kan være lidt aggressiv med at forhindre programmer i at køre med deres nye "threat defense". Næsten for effektiv.
Avira kommer med mange reklamer selv i købeudgaven.
Læg også mærke til at den nye Windows 10 udgave, der kommer til oktober vil indeholde sikkerhedsopdateringer. I Enterprise udgaven kan Edge browseren sættes til at køre i en virtuel maskine. Man kan også beskytte bestemte foldere fra software via en white-list. Sidstnævnte feature findes også i Bitdefender.

Keld Rasmussen

Hej Tomas,
Jeg ved ikke om de produkter fejler noget. Men i min daglig dag som foregår ude hos kunderne der netop har de produkter kan jeg se at der kommer vira ind på en eller anden måde. Om det er en tilfældighed at jeg ikke endnu har været ude og rede en virksomhed for vira der har Kaspersky installeret kan jeg kun gætte om. Ja, jeg har set at Microsoft kommer med en udgave til Edge. Men igen som med de andre produkter så kommer det an på hvor hurtige de er til at finde en kur når angrebet er sat i gang og igen hvor henne i verden den bliver sat i gang. Det er det samme jeg ser hos de andre producenter. De fleste kommer først med en kur ca. 12 timer efter angrebet er skyllet ind over landet. Det kan være katastrofalt for en virksomhed.
Man skal måske også lige se på at Kaspersky er det største privat eget sikkerhedsvirksomhed i verden. Der er måske en årsag til at NC3 har valgt netop Kaspersky som samarbejdspartner - godt valg vil jeg syntes

Finn Christensen

Det kan undre mig at man bruger så meget tid på det spøgelse. Hvorfor skulle det ældste AV program pludselig sætte en bagdør ind..

Hvem har fortalt dig, at det er "pludseligt" - enten har du den fornødne og fulde indsigt, viden og kontrol med hver line i den udenlandske SW, samt alle stumperne i dit udenlandske HW, eller også du må som Maren i Kæret nøjes med at "tro" et eller andet - sørgeligt, men 100% sandt.

Se @Tomas Kjersgaard ovenfor - 9:39, og vælg så.

Tonni Pedersen

Nu er Rusland jo altså en del af Europa og Kaspersky derfor også en europæisk software. I den virksomhed hvor jeg bla. er ansvarlig for vores edb installation har vi brugt Kaspersky i ca. 10 år, og det har fungeret perfekt. Med hensyn til amerikanernes panik, ser jeg det udelukkende som en del af den igangværende USA vs. Rusland polemik, og det er ikke noget som jeg kan tage alvorligt.

Bo Andersen

Så vidt jeg husker, var det venstrefløjens darling - Obama - der var præsident mens USA spionerede mod Merkel og COP15 og ikke mindst mens NSA spionerede mod alt og alle.

Man kan selvfølgelig aflede opmærksomheden fra sin ideologiske darling, ved at bashe Trump.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017