卡巴斯基实验室公司是一家总部位于俄罗斯的跨国公司，在 31 个国家设有办事处，为 200 多个国家和地区的用户提供服务，为全球超过 4 亿用户和 27 万家企业客户提供网络安全和反病毒产品和服务。

近日，美国商务部工业和安全局 (BIS) 宣布，卡巴斯基实验室公司为家庭计算机用户、小公司、大公司和政府提供 IT 安全解决方案，包括用于防御网络威胁的工具，例如恶意软件、垃圾邮件、黑客、分布式拒绝服务攻击、网络间谍工具和针对关键基础设施的网络武器。涉及此类产品和服务的信息和通信技术与服务 （Information and Communications Technology and Services，以下简称ICTS）交易（例如收集有价值的美国商业信息（包括知识产权）以及收集美国人的敏感数据供俄罗斯政府恶意使用的能力）对美国构成了不适当或不可接受的国家安全风险。

BIS经过长期彻底调查发现，由于俄罗斯政府的攻击性网络能力以及影响或指挥卡巴斯基实验室公司运营的能力，如果允许该公司继续在美国运营会存在会对国家安全构成了过度或不可接受的风险，包括：

• 受俄罗斯政府的管辖、控制或指示：卡巴斯基受俄罗斯政府管辖，必须遵守俄罗斯政府的信息请求，因此可能导致俄罗斯利用卡巴斯基反病毒软件访问电子设备上的敏感信息；
• 通过管理权限访问敏感的美国客户信息：卡巴斯基通过提供网络安全和反病毒软件，对客户信息拥有广泛的访问权和管理权。卡巴斯基员工可能会将美国客户数据传输到俄罗斯。根据俄罗斯法律，俄罗斯政府可以访问这些数据；
• 安装恶意软件和拒绝关键更新的能力或机会：卡巴斯基能够使用其产品在美国客户的计算机上安装恶意软件或有选择地拒绝更新，从而使美国公民和关键基础设施容易受到恶意软件和攻击；

• 卡巴斯基产品的第三方集成：卡巴斯基软件通过转售其软件、将其网络安全或防病毒软件集成到其他产品和服务中，或为转售或集成到其他商品或服务而许可卡巴斯基网络安全或反病毒软件等方式，从而集成到第三方产品和服务中。像这样的第三方交易会造成软件源代码未知的情况。这增加了卡巴斯基软件被无意中引入包含高度敏感的美国人数据的设备或网络的可能性。

BIS认为，除非全面禁止涉及卡巴斯基产品和服务的交易，否则无法通过缓解措施解决相关风险问题。因此BIS宣布禁止俄罗斯反病毒软件和网络安全公司的美国子公司卡巴斯基实验室公司直接或间接在美国或向美国公民提供反病毒软件和网络安全产品或服务。该禁令也适用于卡巴斯基实验室公司的附属公司、子公司和母公司（以下统称为“卡巴斯基”）。从此之后卡巴斯基将不再被允许在美国境内销售其软件或为已在使用的软件提供更新等活动。

BIS表示这是首次以最终裁定的形式，明确禁止某个特定国家的特定软件在美国使用，也是 BIS下属的信息和通信技术与服务办公室 (Office of Information and Communications Technology and Services，简称OICTS，负责调查美国的某些信息和通信技术或服务交易是否构成不当或不可接受的国家安全风险) 发布的第一项最终裁定。BIS也强烈建议使用卡巴斯基软件的个人和企业尽快转用新供应商，以防止个人或其他敏感数据因可能缺乏网络安全覆盖而暴露给恶意行为者。不过根据最终裁定，继续使用现有卡巴斯基产品和服务的个人和企业不会受到法律处罚。但是，BIS强调任何继续使用卡巴斯基产品和服务的个人或企业都将承担因此带来的所有网络安全和相关风险。

不过为了尽量减少对美国消费者和企业的干扰，并让他们有时间找到合适的替代方案，BIS的裁定也允许卡巴斯基继续在美国提供包括提供防病毒签名更新和代码库更新在内的一些业务至 2024 年 9 月 29 日东部夏令时间 (EDT) 凌晨 12:00。

除此之外，BIS还以“与俄罗斯军事和情报当局合作，支持俄罗斯政府的网络情报目标”为由，将AO Kaspersky Lab（俄罗斯）、OOO Kaspersky Group（俄罗斯）以及Kaspersky Labs Limited（英国））三家实体添加到实体名单中。

来源：合规小叨客