Ostrzeżenie KNF przed oprogramowaniem z Rosji

Komisja Nadzoru Finansowego

Komisja Nadzoru Finansowego wydała ostrzeżenie dotyczące oprogramowania z Rosji i Białorusi. Dotyczy to nie tylko programu antywirusowego Kaspersky, ale też mniejszych narzędzi pochodzących z tych państw.

Urząd Komisji Nadzoru Finansowego wystosował pismo sektorowe, w którym zaleca nadzorowanym instytucjom przeanalizowanie ryzyka z korzystania z oprogramowania komputerowego pochodzącego z Federacji Rosyjskiej lub Białorusi. Są to nie tylko cyberzagrożenia, ale też zagrożenia biznesowe w tym wizerunkowe.

– Urząd wskazuje na możliwe zagrożenia w związku z nasilaniem się działań mających znamiona cyberwojny – zauważa w swoim komentarzu Maciej Cieśla, Head of Cybersecurity HackerU Polska.

KNF wymienia przykłady elementów, które mogą  na używanie produktów z Rosji czy Białorusi. Są to m.in.:
-problemy z zapewnieniem oczekiwanych aktualizacji,
– brak wsparcia technicznego produktów lub ich istotne ograniczenie,
– zaburzenia łańcucha dostaw (w tym ataki na łańcuch dostaw),
– wycieki danych (w tym danych wrażliwych klientów) występujące w wyniku ataków hakerskich,
– ryzyko wizerunkowe wynikające z użytkowania produktu i braku odpowiedniej ochrony bezpieczeństwa firmy i klientów,
– wykorzystanie produktów do działań o charakterze przestępczym.

– Pisma sektorowe Komisji nie są formalnie wiążące. Jestem jednak przekonany, że jeśli w którejś z nadzorowanych instytucji doszłoby teraz do incydentu w związku z wykorzystywaniem takiego oprogramowania, ocena tego zdarzenia byłaby zupełnie inna, niż jeszcze przed opublikowaniem tego pisma – komentuje  Tomasz Klecor, prawnik, partner w kancelarii Legal Geek.

Ekspert zwraca też uwagę na możliwy brak wiedzy użytkowników na temat kraju pochodzenia ich oprogramowania. Tym bardziej, że to nie tylko Kaspersky, ale też wiele małych narzędzi, które często nie są nawet nazywane oprogramowaniem. Są to narzędzia do edycji zdjęć, alternatywne notatniki czy wtyczki i rozszerzenia do przeglądarek internetowych.

KNF informuje także, że nabyte jako produkty teleinformatyczne nabyte jako komercyjne  wymagają szczególnego nadzoru.

– Oznacza to jednocześnie, że instytucje nadzorowane wcale nie muszą natychmiast rezygnować z tego typu oprogramowania, ale powinny ocenić, czy dodatkowe działania monitorujące i sprawdzające pozwalają na utrzymanie opłacalności korzystania z tych produktów – mówi Maciej Cieśla.

Źródło: dobreprogramy.pl