Ticaret Bakanlığı Sanayi ve Güvenlik Bürosu (BIS), Rus siber güvenlik firmasının ABD’deki yan kuruluşu Kaspersky Lab, Inc.’in ABD’de herhangi bir ürün veya hizmet sunmasını yasaklayan bir Nihai Kararı duyurdu. ABD’nin Kaspersky’yi yasaklama yönündeki bu tarihi kararı, Bilgi ve İletişim Teknolojileri ve Hizmetleri Ofisi’nin (OICTS) ilk Nihai Kararını oluşturuyor.
BIS, son tarihi 29 Eylül 2024 olarak belirleyerek ABD’li tüketicilere ve işletmelere alternatif siber güvenlik çözümlerine geçmeleri için zaman tanıdı. Kaspersky artık yazılımını ABD’de satamayacak veya halihazırda kullanımda olan yazılımlara güncelleme sağlayamayacaktır. Yasak aynı zamanda Kaspersky Lab, Inc.’in iştirakleri, yan kuruluşları ve ana şirketleri (Kaspersky Lab, Inc., “Kaspersky” ile birlikte) için de geçerlidir.
ABD’nin Kaspersky’yi yasaklaması olayı, yabancı teknoloji şirketleriyle, özellikle de düşman devletlerdekilerle bağlantılı ulusal güvenlik risklerine ilişkin artan endişeleri ortaya koyuyor. Dahası, yıllarca süren incelemeyi yansıtıyor ve ABD’nin siber altyapısını korumaya yönelik çabalarında önemli bir artışı temsil ediyor.
“Bu eylem, türünün ilk örneğidir ve misyonu Amerika Birleşik Devletleri’ndeki belirli bilgi ve iletişim teknolojisi veya hizmet işlemlerinin bir risk teşkil edip etmediğini araştırmak olan BIS’in Bilgi ve İletişim Teknolojileri ve Hizmetleri Ofisi (OICTS) tarafından yayınlanan ilk Nihai Karardır. yersiz veya kabul edilemez ulusal güvenlik riski,” diye yazıyor resmi BIS duyurusu.
Ayrıca BIS, Rusya Hükümeti’nin siber istihbarat hedeflerini desteklemek amacıyla Rus askeri ve istihbarat yetkilileriyle işbirlikleri nedeniyle Varlık Listesine üç kuruluşu (AO Kaspersky Lab ve OOO Kaspersky Group (Rusya) ve Kaspersky Labs Limited (Birleşik Krallık)) ekledi. .
Bu makale ABD’nin Kaspersky’ye karşı eylemlerinin zaman çizelgesini ve bağlamını inceleyerek Trump yönetiminden Biden yönetimine geçişin altını çiziyor.
ABD Kaspersky’ye Karşı: Siber Güvenlik Eylemlerinin Zaman Çizelgesi
2017
Eylül– Trump Yönetiminin Kaspersky’e yönelik yoğun incelemesi başladı. İç Güvenlik Bakanlığı (DHS), Kaspersky ürünlerinin tüm federal bilgi sistemlerinden kaldırılmasını ve kullanımdan kaldırılmasını zorunlu kılan Bağlayıcı Operasyonel Direktifi (BOD 17-01) yayınladı. Bu direktif, Rus hükümetinin Kaspersky ürünlerini ABD ağlarına sızmak için kullanabileceğini gösteren artan delillerin ardından geldi.
Aralık- 2018 Mali Yılı Ulusal Savunma Yetki Yasası (NDAA), Kaspersky yazılımının tüm federal kurumlarda kullanımını yasaklayarak bu endişeleri yasalaştırdı. Bu yasama eylemi, Rus firmasının oluşturduğu potansiyel riskler konusunda iki partinin de fikir birliğini yansıtıyordu.
2022
Mart- Federal İletişim Komisyonu (FCC), Kaspersky’yi “Ulusal Güvenliğe Tehdit Oluşturan İletişim Ekipmanları ve Hizmetleri Listesi”ne ekledi. Bu eylem, ülkenin iletişim ağlarını yabancı etki ve kontrolden korumaya yönelik daha geniş bir çabanın parçasıydı.
2024
Haziran – BIS’in bugünkü Nihai Belirlemesi, Bilgi ve İletişim Teknolojileri ve Hizmetleri Ofisi (OICTS) tarafından yürütülen kapsamlı bir soruşturmanın sonucunu temsil ediyor. Belirli bilgi ve iletişim teknolojisi (BİT) işlemlerinin kabul edilemez ulusal güvenlik riskleri oluşturup oluşturmadığını değerlendirmek üzere kurulan bu ofis, Kaspersky’nin ABD’deki operasyonlarını savunulamaz buldu.
ABD Kaspersky’yi Yasaklıyor: BIS’in Nihai Kararının Bağlamı ve Sonuçları
BIS’in kararı, kapsamlı bir soruşturmanın Kaspersky’nin ABD’deki operasyonlarının aşırı veya kabul edilemez bir ulusal güvenlik riski oluşturduğunun ortaya çıkmasının ardından geldi. Vurgulanan temel endişeler şunlardır:
- Rusya Hükümetinin Yargı Yetkisi ve Denetimi: Kaspersky, istihbarat teşkilatlarıyla işbirliğini gerektiren Rus yasalarına tabidir. Bu yasal çerçeve, Rus hükümetine Kaspersky yazılımı tarafından yönetilen verilere potansiyel erişim olanağı sağlıyor. Bu nedenle Kaspersky, ABD ulusal güvenliğini tehlikeye atabilecek bilgi taleplerine uymasını gerektiren Rus yasalarına tabidir.
- Hassas Bilgilere Erişim: Kaspersky’nin yazılımı, müşteri sistemleri üzerinde kapsamlı yönetici ayrıcalıklarına sahiptir ve bu da veri kullanımı için fırsatlar yaratır.
- Kötü Amaçlı Faaliyet Potansiyeli: Kaspersky teorik olarak kötü amaçlı yazılım getirebilir veya önemli güvenlik güncellemelerini engelleyerek ABD siber güvenliğini tehlikeye atabilir.
- Üçüncü Taraf Entegrasyonları: Kaspersky ürünlerinin üçüncü taraf hizmetlerine entegre edilmesi, kaynak kodu gizlenebileceğinden ve kritik ABD sistemlerindeki güvenlik açığını artıracağından riski daha da karmaşık hale getirir.
Geçiş Dönemi ve Öneriler
Kullanıcılar bu süre zarfında Kaspersky ürünlerini kullanmaya devam etmeleri halinde yasal cezalarla karşılaşmayacak ancak ilgili tüm siber güvenlik risklerini üstlenecekler. Bu ek süre, kesintilerin en aza indirilmesi ve güvenli alternatiflere sorunsuz bir geçişin sağlanması açısından çok önemlidir.
Ticaret Bakanlığı, DHS ve DOJ ile birlikte, kullanıcıları alternatif siber güvenlik çözümlerine geçiş konusunda bilgilendirmek ve yardımcı olmak için aktif olarak çalışıyor.
“Bugün gerçekleştirilen eylemler ulusal güvenliğimiz açısından hayati önem taşıyor ve birçok Amerikalının kişisel bilgilerini ve mahremiyetini daha iyi koruyacak. Ülkemizin en hayati sistemlerini ve varlıklarını korumak için Ticaret Bakanlığı, eyalet ve yerel yetkililer ve kritik altyapı operatörleriyle birlikte çalışmaya devam edeceğiz” dedi İç Güvenlik Bakanı Alejandro N. Mayorkas.
Tarihsel Arkaplan: Trump’tan Biden’a
Kaspersky aleyhindeki kararlılık, ABD’nin bilgi ve iletişim teknolojisi altyapısını korumaya yönelik daha geniş stratejisinin bir parçası. Bu politikanın kökleri, Ticaret Departmanına yabancı ICTS işlemlerinin oluşturduğu riskleri değerlendirme ve bunlara karşı harekete geçme yetkisi veren “Bilgi ve İletişim Teknolojisi ve Hizmet Tedarik Zincirinin Güvenliğinin Sağlanması” başlıklı 13873 sayılı Yönetici Kararnamesine kadar uzanabilir.
Kaspersky’nin incelenmesi, Rusya’nın siber yetenekleri ve potansiyel casusluk faaliyetlerine ilişkin endişelerin arttığı Trump yönetimi sırasında başladı. Trump dönemi direktifleri ve yasama eylemleri, yabancı siber müdahalenin oluşturduğu tehdit konusunda iki partili bir fikir birliğini yansıtarak daha sıkı kontroller için zemin hazırladı.
Biden yönetiminde yaklaşım daha kapsamlı ve koordineli bir çalışmaya dönüştü. BIS bünyesinde OICTS’nin kurulması ve Nihai Kararın yayınlanması, ABD hükümetinin dijital altyapısını koruma çabalarında önemli bir artışı temsil ediyor. Biden yönetiminin “tüm hükümet” stratejisine vurgu yapması, ulusal savunmada siber güvenliğin kritik öneminin altını çiziyor.
ABD hükümeti bu kararlılığın uygulanması konusunda koordineli bir yaklaşım benimsemiştir. Ticaret Bakanı Gina Raimondo, bu eylemin düşmanlara açık bir mesaj olduğunu belirterek, ulusal güvenliğe ve yeniliğe olan bağlılığı vurguladı.
“Rusya, hassas ABD bilgilerini toplamak ve silah haline getirmek için Kaspersky Lab gibi Rus şirketlerini sömürme yeteneğine ve niyetine sahip olduğunu defalarca gösterdi. Biz de ABD ulusal güvenliğini ve Amerikan halkını korumak için elimizdeki her aracı kullanmaya devam edeceğiz.” . Ticaret Bakanlığı’nın ICTS yetkilerini ilk kez kullandığımız bugünkü eylem, Ticaret Bakanlığı’nın ulusal savunmamızı desteklemedeki rolünü gösteriyor ve düşmanlarımıza, teknolojilerini kullandıklarında ABD ve vatandaşları için risk oluşturduğunda harekete geçmekte tereddüt etmeyeceğimizi gösteriyor.” dedi. Raimondo.
ABD Siber Güvenlik Politikasının Geleceği
Kaspersky ve ilgili kuruluşların Varlık Listesine dahil edilmesi, ABD hükümetinin proaktif duruşunu vurguluyor. 2018 İhracat Kontrol Reformu Yasası kapsamında tutulan bu liste, ABD ulusal güvenlik çıkarlarına aykırı faaliyetlerde bulunan kuruluşları tanımlamaktadır. Bu listeye yapılan eklemeler, eylemlerin somut, spesifik risk kanıtlarına dayanmasını sağlayan sıkı kurumlar arası incelemeyi içermektedir.
Sanayi ve Güvenlik Müsteşarı Alan Estevez, “Bugünkü eylemle Amerikan siber ekosistemi düne göre daha emniyetli ve emniyetli” dedi. “ABD’li bireyleri ve işletmeleri Rusya’dan veya kullanıcılarını koruması gereken teknolojiyi silah haline getirmeye çalışan diğer kötü niyetli aktörlerden korumakta tereddüt etmeyeceğiz.”
Eylül ayının son tarihi yaklaşırken hem işletmelerin hem de bireylerin bilgi sahibi olması ve dijital ortamlarını güvence altına almak için gerekli adımları atması gerekiyor. ABD hükümetinin Kaspersky’e karşı kararlı eylemi, sürekli gelişen siber güvenlik ortamında dikkatli olmanın ve proaktif önlemlerin kritik önemini vurguluyor.