A kiberbiztonsági alapjai címmel ajánlott számítógépes képzést még februárban több munkavállalójának az Országos Széchényi Könyvtár (OSZK) a belső levelezési rendszerén keresztül. Az erre felhívó üzenet egy olyan email címről érkezett, amelynek jelölése az orosz Kaspersky Lab szoftvercég nevére utal. A Kaspersky ASAP megjelölésű – feltehetően egy email bot által küldött – üzenetben az OSZK munkavállalói tájékoztatást kaptak arról, hogy az adminisztrátor felvette őket az intézmény által szervezett oktatási programban részt vevő hallgatók listájára. A tanulást egy olyan hivatkozásra kattintva lehetett elkezdeni, amelynek domain neve szintén a Kaspersky Labra utalt.
A Kaspersky ASAP (Automated Security Awareness Platform) nem egy hagyományos oktatási program, hanem az orosz hátterű multinacionális vállalat úgynevezett automatizált biztonságtudatossági platformja, azaz egy szoftver, amely cégek munkavállalóinak kínál világszerte információtudatosságra és a „biztonságos viselkedéssel” kapcsolatos készségekre felkészítő tudáscsomagot. A témakörök és tudásszintek szerint tagolt képzési anyag a vállalat leírása szerint cseh, szlovák, magyar és román nyelven is elérhető. Amint az a cég tájékoztatójából kiderül, a platform egy olyan online eszköz, amelynek segítségével a munkavállalók a gyakorlatban is jól alkalmazható kiberhigiéniai tudásra tehetnek szert. A Kaspersky szerint a kiberbiztonsági képzésének elvégzésével jelentősen csökkenthető az emberekhez köthető incidensek száma, különös tekintettel az adathalász támadásokra.
Az 1997-ben alapított, orosz hátterű Kaspersky Lab egy orosz hátterű multinacionális vállalat, amely 2005 és2010 között kezdett terjeszkedni külföldön, és éves bevétele 2020-ra elérte a 704 millió dollárt. A vállalatot már 2010-es évek közepén az a vád érte, hogy kapcsolatban áll a KGB utódszervezetével, az orosz Szövetségi Biztonsági Szolgálattal. Noha a cég ezt határozottan tagadta, az Egyesült Államok belbiztonsági minisztériuma 2017 szeptemberében az összes Kaspersky-termékeket kitiltotta a kormányzati hivatalokból. 2018 júniusában az Európai Parlament is határozatba foglalta, hogy a kormányzati irányítás, illetve felügyelet alá tartozó költségvetési szervek és a száz százalékos állami tulajdonban lévő gazdasági társaságok esetében szükségesnek látják a potenciálisan veszélyes programok és eszközök – így a Kaspersky Lab termékeinek – kiszűrését és elhárítását. 2018 augusztusában a magyar kormány erre hivatkozva szintén kormányhatározatot fogadott el, amely az új állami informatikai rendszerek üzembe helyezésének vonatkozásában egyetértését fejezte ki az EP határozatával. Lényegében tehát az állami intézményeknek és cégeknek megtiltották a Kaspersky termékeinek használatát.
Szintén 2018-ban történt, hogy Magyarországon egy kormányrendelettel központosították a kormányzati informatika közbeszerzéseket. Ennek értelmében számos, a kormány irányítása vagy felügyelete alá tartozó szervezet, illetve gazdasági társaság a Digitális Kormányzati Ügynökség Zrt. (DKÜ) keretmegállapodásán keresztül intézheti informatikai beszerzéseit.
A DKÜ közbeszerzési platformot, a Digitális Közbeszerzési Rendszert (DKR) átböngészve azt találtuk, hogy az ügynökség több olyan céggel is kapcsolatban áll közbeszerzéseken keresztül, melyet a Kaspersky vállalat magyarországi képviselete hivatalos partnereként tüntet fel honlapján. A DKI nyilvános termékkatalógusában számos olyan terméket, termékcsomagot találtunk, mely legalább nevében utal a Karpersky vállalatra. Ezek közül a legdrágább csomag több mint 26 millió forintba kerül, a legolcsóbb ajánlat pedig alig több mint ötezer forint.
Mivel kíváncsiak voltunk az OSZK munkavállalóinak kínált kiberbiztonsági képzés részleteire, levélben fordultunk a könyvtár főigazgatójához és az Emberi Erőforrások Minisztériumhoz, ám kérdéseinkre közel két hét alatt sem kaptunk választ. Az OSZK főigazgatói titkárságán egy hét elteltével telefonon arról tájékoztatták lapunkat, hogy bár a kérdéseinket megkapták, a főigazgató engedélye nélkül levelünkre nem válaszolhatnak.
Az ügyben telefonon is megkerestük Rózsa Dávidot, az OSZK főigazgatóját, aki korábban sem hivatali email címén, sem az intézmény sajtóosztályán keresztül nem válaszolt kérdéseinkre. Rózsa miután meghallotta, hogy honnan keressük, azt mondta, a sajtóosztályukkal tudjuk felvenni a kapcsolatot, majd bontotta a vonalat – ezzel a kör bezárult.
A polgári titkoszsolgálatok technikai szolgáltató szerve, a Nemzetbiztonsági Szakszolgálat alá tartozó Nemzeti Kibervédelmi Intézet (NKI) egy hónappal Ukrajna orosz inváziójának kezdete után közleményt adott ki. Ebben visszautalva az Európai Parlament korábbi határozatára és a 2018-as magyar kormányrendeletre azt írta, hogy nem javasolják a Kaspersky Lab termékeinek használatát. A közleményben megismétlik, hogy az orosz tulajdonban lévő Kaspersky cég tevékenysége nem független az orosz kormánytól, és már korábban is együttműködhetett azzal.
Levélben kerestük az NKI-t, hogy megkérdezzük, ajánlanák-e ügyfeleiknek a Kaspersky ASAP képzési platform használatát. Válaszukban azt írták:
Tekintettel arra, hogy a korábban hivatkozott (1370/2018. (VIII. 13.) kormányhatározat kifejezetten tiltja a Kaspersky Lab termékeinek használatát, a kormányzati ügyfeleink számára és más felhasználók számára sem ajánljuk.
