美國宣布全面禁售卡巴斯基產品

美國商務部（Department of Commerce，DoC）旗下的工業及安全局（Bureau of Industry and Security，BIS）周四（6/20）宣布了一項最終裁決（Final Determination），自今年7月20日起，將禁止卡巴斯基（Kaspersky）於美國銷售網路安全產品/服務及防毒軟體，自9月29日起禁止提供相關產品的更新，原因是擔心總部位於俄羅斯的卡巴斯基，會因美、俄之間的緊張關係，危害美國的國家安全。

1997年成立於俄羅斯的卡巴斯基為一全球知名的資安業者，主要開發及銷售防毒、網路安全、密碼管理、端點安全與其它資安服務，它在全球31個國家設有辦公室，服務全球逾200個國家的27萬家組織及逾4億名用戶。

不過，美國於2017年7月便限制政府採購卡巴斯基產品，9月要求政府機關全面移除卡巴斯基產品，更在2022年將卡巴斯基列入國家安全威脅名單，現在則全面擴大至美國一般個人用戶及組織。

BIS說，它們已確定卡巴斯基對美國國家安全構成不可接受的風險，因為該公司受到俄羅斯政府的管轄、控制與指示，必須遵守俄羅斯政府利用其軟體存取敏感資訊的請求；卡巴斯基員工可能會將美國客戶資料傳送到俄羅斯，那麼俄羅斯政府便有權存取；此外，卡巴斯基也具備了於用戶裝置上安裝惡意軟體或是阻擋裝置關鍵更新的能力；第三方產品若是整合了卡巴斯基的技術，也可能危害美國民眾的裝置或網路。

受到影響的卡巴斯基產品超過80項，從防毒軟體、網路安全產品、VPN服務、雲端服務、端點安全產品、電子郵件安全服務到行動裝置與IoT的安全服務全被禁售。

為了讓美國既有的卡巴斯基用戶有時間尋找替代方案，BIS允許卡巴斯基在9月29日之前還可更新用戶的病毒碼與程式碼。此外，儘管美國並不會處罰繼續使用現有卡巴斯基產品的個人與企業，但提醒任何繼續使用相關產品的個人或組織都將承擔隨後的網路安全與風險。

值得注意的是，此一裁決並未涵蓋卡巴斯基所提供的威脅情報產品/服務、安全培訓產品/服務，或是卡巴斯基的顧問與諮詢服務，美國組織仍能與卡巴斯基交流並進行上述屬於教育性質的交易。

卡巴斯基也在同一天發表了聲明，指出美國商務部的決定是基於當前的地緣政治氣候及理論上的考量，而非是對卡巴斯基產品和服務完整性的評估。除了強調該裁決並不會影響卡巴斯基在美國推廣及銷售網路威脅情報或培訓服務的能力之外，也說會採用一切合法手段來維持其現有的營運及關係。