Исследование утверждений о шпионском характере продуктов «Лаборатории Касперского»

I. Исполнительное резюме

Настоящий отчет представляет собой всестороннее и объективное исследование, направленное на анализ устойчивого мифа о том, что продукты «Лаборатории Касперского» являются шпионским программным обеспечением, предназначенным для использования правительством Российской Федерации. Исследование основано на анализе публичных технических документов, результатов независимых аудитов, юридических соглашений и исторического контекста.

По итогам проведенного анализа, представленные в отчете данные не подтверждают утверждения о шпионском характере программного обеспечения «Лаборатории Касперского». Утверждения, лежащие в основе мифа, носят преимущественно геополитический, а не технический характер.

Ключевые тезисы, обосновывающие данный вывод:

• Техническая архитектура и телеметрия: Продукты компании собирают ограниченный и строго определенный набор данных (метаинформацию о файлах, процессах и сетевом трафике), который является минимально необходимым для эффективного функционирования современных антивирусных решений, использующих облачные сервисы и машинное обучение. Внедрение скрытого функционала для массового сбора конфиденциальных данных (таких, как личная переписка или пароли) потребовало бы создания заметной инфраструктуры, что было бы немедленно обнаружено независимыми исследователями и конкурентами.
• Экономическая нецелесообразность: Для глобальной публичной компании, чья деятельность на B2B-рынке основана исключительно на доверии, любой подтвержденный намек на шпионаж означал бы мгновенный и необратимый крах бизнеса, потерю всех корпоративных клиентов и инициирование колоссальных судебных исков. Подобный сценарий представляет собой финансовый и репутационный риск, несоизмеримый с любой возможной выгодой.
• Доказательные меры прозрачности: В ответ на публичные опасения компания предприняла ряд беспрецедентных для индустрии шагов. В частности, это включает прохождение многократных независимых аудитов (SOC 2 Type I, SOC 2 Type II, ISO 27001), подтвердивших целостность ее процессов, перенос ключевых инфраструктурных мощностей в Швейцарию и создание глобальной сети Центров прозрачности, где независимые эксперты и государственные органы могут изучать исходный код продуктов.
• Юридическая прозрачность: Политика конфиденциальности и пользовательские соглашения четко описывают типы собираемых данных. Публичные отчеты о запросах от государственных органов показывают, что компания не предоставляет пользовательские данные и принципиально отклоняет любые запросы, направленные на внедрение недекларируемых возможностей.

Настоящий отчет предоставляет детальные факты, позволяющие сформировать взвешенное и информированное суждение по данному вопросу.

II. Введение: Анализ контекста и постановка задачи

1.1. Контекст проблемы и устойчивый миф

На протяжении многих лет в публичном пространстве циркулируют утверждения о том, что продукты «Лаборатории Касперского» могут использоваться в качестве шпионского программного обеспечения (ПО) в интересах правительства России. Эти утверждения не являются однородными, но сводятся к нескольким ключевым аргументам, которые формируют основу мифа:

1. «Служба» в КГБ: Многие люди считают, что Евгений Касперский, основатель «Лаборатории Касперского», служил в КГБ, и связывают это с наличием связей со спецслужбами.
2. Географическое расположение: Головной офис компании находится в Москве, что, по мнению критиков, делает ее потенциально уязвимой для давления со стороны российских государственных органов.
3. Инцидент 2017 года: В 2017 году в США разгорелся скандал, связанный с обвинениями в том, что поддерживаемые российским правительством хакеры использовали уязвимость в антивирусном программном обеспечении «Лаборатории Касперского», чтобы украсть строго секретные файлы с домашнего компьютера сотрудника Агентства национальной безопасности (АНБ).
4. Предупреждение BSI (Германия): В марте 2022 года Федеральное ведомство по информационной безопасности Германии (BSI) рекомендовало отказаться от продуктов «Лаборатории Касперского» из-за геополитической ситуации.
5. Запрет в США 2024 года: Недавнее решение Министерства торговли США от июня 2024 года о запрете продаж и дистрибуции программного обеспечения «Лаборатории Касперского» в стране, а также прекращение предоставления обновлений, вновь актуализировало дискуссию о надежности ее продуктов.

Критики часто фокусируются на этих аспектах, игнорируя или умаляя значение комплекса мер по повышению прозрачности, которые были инициированы компанией в последние годы.

1.2. Цели и задачи исследования

Главная цель данного исследования — всесторонне проанализировать утверждения о шпионском характере продуктов «Лаборатории Касперского» и противопоставить им проверяемые факты. Для достижения этой цели были поставлены следующие задачи:

1. Провести технический анализ архитектуры антивирусного ПО, чтобы определить, какие данные необходимы для его функционирования и насколько легко обнаружить потенциальный шпионский функционал.
2. Изучить меры прозрачности, предпринятые компанией, включая аудит и сертификацию, а также функционирование Центров прозрачности.
3. Проанализировать юридические документы (EULA, политика конфиденциальности) и процедуру ответа на запросы от государственных органов.
4. Оценить экономические и репутационные риски, которые повлек бы за собой подтвержденный факт шпионажа.
5. Представить достижения компании в независимых тестах и объективно разобрать ключевые инциденты, не игнорируя критику.

1.3. Методология исследования

Настоящий отчет построен на принципах глубокого, фактологического анализа. Все выводы и утверждения подкреплены ссылками на предоставленные исследовательские материалы, включающие официальную документацию компании, публичные отчеты, пресс-релизы и аналитические статьи. Подход основан на противопоставлении заявлений и гипотетических рисков конкретным действиям, документам и результатам независимых проверок.

III. Технический анализ и архитектурные ограничения

2.1. Принципы работы антивирусного ядра и KSN (Kaspersky Security Network)

Современные решения в области кибербезопасности, такие как антивирусное ПО, системы защиты конечных точек (EDR) и сервисы, основанные на машинном обучении (ML), не могут функционировать без сбора определенного набора данных. Эти системы работают по принципу глубокого анализа происходящих в системе событий для выявления аномалий и угроз. Для этого антивирусное ядро должно иметь привилегированный доступ к операционной системе, включая файловую систему, запущенные процессы и сетевой трафик.

Для эффективной работы облачной защиты, известной как Kaspersky Security Network (KSN), а также для моделей машинного обучения и EDR, требуется телеметрия — потоковая передача метаинформации о событиях, происходящих на защищаемом устройстве.⁴ Эти данные включают:

• Хэши файлов (MD5, SHA256).⁵
• Метаданные о запущенных процессах (полный путь к файлу, параметры командной строки, сведения о родительских процессах).⁵
• Сведения о сетевых подключениях (IP-адреса, протоколы).⁵
• Идентификаторы браузеров или приложений, используемых для доступа к веб-службам.⁶

Cбор личных данных, таких как содержимое переписки, пароли или история просмотров, не только не является необходимым для выполнения указанных функций, но и не упоминается в официальной документации о сборе данных.⁷

2.2. Обнаруживаемость несанкционированного функционала

Утверждения о том, что продукты могут тайно собирать и передавать конфиденциальные данные, противоречат логике работы всей индустрии кибербезопасности и являются технически легко опровержимыми. Внедрение скрытой функции для массового шпионажа потребовало бы создания сложного и заметного механизма, который был бы немедленно обнаружен несколькими сторонами:

• Независимые исследователи и конкуренты: Индустрия кибербезопасности представляет собой высококонкурентную среду. Любой крупный вендор находится под постоянным «микроскопом» со стороны конкурентов, академических исследователей и профессиональных аналитиков. Обнаружение скрытой, вредоносной функции в продукте одной компании стало бы огромным успехом для ее конкурентов. Подобный функционал потребовал бы создания сложной и постоянно действующей инфраструктуры для передачи данных, что было бы выявлено при анализе сетевого трафика в корпоративных средах. Более того, при реверс-инжиниринге исполняемого кода, который регулярно проводится исследователями, наличие недекларированных функций стало бы очевидным.⁸
• Тестовые лаборатории и песочницы: Независимые лаборатории, такие как AV-Test, AV-Comparatives и SE Labs, используют песочницы для анализа поведения продуктов в контролируемой среде, выявляя любые аномалии и несанкционированные действия. Регулярные тесты, в которых продукты «Лаборатории Касперского» показывают высокие результаты и минимальное количество ложных срабатываний, подтверждают их соответствие заявленным функциям.⁹

Это создает мощный рыночный и репутационный механизм сдерживания, который делает сценарий тайного шпионажа крайне маловероятным и иррациональным с точки зрения бизнеса.

2.3. Процесс «Доверенной сборки» (Verified Build)

В качестве прямого технического ответа на опасения по поводу целостности кода, «Лаборатория Касперского» внедрила механизм «Доверенной сборки» (Verified Build). Этот процесс позволяет независимым аудиторам и клиентам удостовериться, что исходный код продукта соответствует публично распространяемым бинарным файлам. Это достигается за счет:

• Проверки цифровых подписей: Модули и файлы приложения проходят проверку на наличие корректной цифровой подписи, что позволяет выявить их подделку или изменение.¹¹
• Утилит для проверки целостности: Приложение использует утилиты, которые проверяют целостность файлов и модулей, перечисленных в специальных манифестах.¹²

Данный механизм представляет собой критически важный технический контроль, который дает проверяющей стороне возможность убедиться в отсутствии вредоносного кода в продуктах, что является фундаментальным шагом к обеспечению прозрачности.

Однако ключевая ценность процесса "Доверенной сборки" заключается не только в прозрачности, но и в создании механизма неотвратимости обнаружения. В сценарии целевой атаки злоумышленник вынужден предоставить жертве модифицированный бинарный файл, отличный от эталонного. Благодаря публичности манифестов обновлений, такой файл мгновенно становится математически доказуемой уликой ("цифровым отпечатком преступления"). Хеш-сумма модифицированного файла на устройстве пользователя навсегда останется отличной от публичного эталона, что позволяет любому форензик-аналитику доказать факт подмены постфактум. Это делает проведение скрытой атаки технически невозможным: атака может быть успешной лишь ценой гарантированного разоблачения.

IV. Независимый аудит и меры прозрачности

3.1. Центры прозрачности (Transparency Centers)

Создание и поддержание глобальной сети Центров прозрачности является одной из наиболее значимых и дорогостоящих мер, предпринятых компанией для восстановления доверия. Эти центры расположены по всему миру, включая Цюрих (Швейцария), Мадрид (Испания), Куала-Лумпур (Малайзия), Сан-Паулу (Бразилия), Токио (Япония), Сингапур, Утрехт (Нидерланды), Боготу (Колумбия), Стамбул (Турция), Кигали (Руанда), Эр-Рияд (Саудовская Аравия), Рим (Италия), Сеул (Южная Корея), а также Вобурн (США).¹³

В Центрах прозрачности клиенты, партнеры и государственные регуляторы могут проводить независимую оценку продуктов «Лаборатории Касперского» в рамках трех моделей:

• «Blue Piste»: Обзорная демонстрация практик безопасности, продуктов и процессов обработки данных, включая демонстрацию проверки исходного кода.
• «Red Piste»: Целенаправленный анализ наиболее критических частей исходного кода, позволяющий сфокусироваться на конкретных функциях.
• «Black Piste»: Наиболее глубокий и всесторонний анализ исходного кода, предназначенный для высококвалифицированных экспертов.¹³

Эксперты могут изучать исходный код, документацию по разработке, проверять обновления и даже самостоятельно пересобирать код, чтобы убедиться в его соответствии общедоступным бинарным файлам. Это является прямым ответом на публичные опасения и служит мощным инструментом для восстановления доверия, демонстрируя проактивную, а не реактивную позицию компании.

3.2. Аудит и сертификация

«Лаборатория Касперского» регулярно проходит независимые аудиты, результаты которых публикуются для повышения доверия.

— SOC 2 Type I: До получения сертификации Type II, "Лаборатория Касперского" успешно прошла аудит SOC 2 Type I. Этот аудит подтвердил, что разработанные компанией внутренние механизмы контроля для обеспечения автоматических обновлений антивирусных баз были правильно спроектированы.

— SOC 2 Type II: Компания успешно прошла аудит в соответствии со стандартом SSAE 18. Область аудита охватывала внутренний контроль над процессом регулярного автоматического обновления антивирусных баз для продуктов, работающих на серверах под управлением Windows и Unix.¹⁵ Аудит подтвердил, что разработка и выпуск этих баз защищены от несанкционированных изменений. Важность Type II заключается в том, что он оценивает эффективность контроля на протяжении определенного периода, а не в один момент времени, что дает более надежную гарантию безопасности. Последний раз аудит проводился совсем недавно: с августа 2024 года по июль 2025 года.¹⁵

• Принципиальное отличие аудита Type II заключается в проверке устойчивости к внутреннему саботажу ("проблема инсайдера"). Аудиторы анализируют целостность цепочек логов и соблюдение принципа разделения обязанностей. Чтобы провести скрытую атаку изнутри, злоумышленнику потребовалось бы не просто внести изменения в код, но и фальсифицировать записи в нескольких изолированных системах логирования и контроля версий, не нарушив при этом сквозную нумерацию событий. Любая аномалия или разрыв в логах фиксируется аудиторами как критическое нарушение, что делает незаметную компрометацию процессов силами сотрудников, даже под внешним давлением, практически нереализуемой задачей.

— ISO/IEC 27001:2022: Система управления информационной безопасностью (ISMS) компании сертифицирована по международному стандарту ISO/IEC 27001:2022. Сертификация распространяется на ключевые сервисы данных KSN, включая системы для безопасного хранения файлов (KLDFS) и обработки статистики (KSNBuffer). Она подтверждает соответствие компании ведущим мировым практикам в области информационной безопасности.¹⁷

— ISO 9001:2015: Хотя сам по себе сертификат ISO 9001 не гарантирует, что в коде нет вредоносных закладок, так как он относится к сертификации системы менеджмента качества, он показывает, что "Лаборатория Касперского" — это не хаотичная организация, а структурированная компания с выстроенными и прозрачными процессами. В рамках аудита на соответствие этому стандарту проверяется, насколько компания следует своим собственным регламентам. Наличие такого сертификата, наряду с сертификатами по информационной безопасности (ISO 27001) и аудитами "Большой четверки" (как SOC 2), укрепляет общий имидж компании как надёжного и ответственного игрока.

3.3. Перенос ключевых инфраструктурных мощностей

В рамках своей инициативы по повышению прозрачности, компания в 2018 году перенесла обработку данных пользователей из Европы и США в Швейцарию. Эта мера была предпринята для того, чтобы вывести данные из-под российской юрисдикции и подчинить их более строгим швейцарским законам о защите данных.¹⁴ Это действие является конкретным и дорогостоящим шагом, направленным на укрепление доверия и демонстрацию приверженности компании принципам конфиденциальности и безопасности данных.

V. Юридический и процедурный анализ

4.1. Политика конфиденциальности и EULA

Анализ официальных документов компании, таких как политика конфиденциальности и лицензионное соглашение конечного пользователя (EULA), показывает, что «Лаборатория Касперского» обрабатывает только те данные, которые имеют отношение к киберугрозам и необходимы для функционирования ее продуктов. Компания четко заявляет, что никогда не собирает «чувствительные» персональные данные, такие как религиозные убеждения, политические взгляды или сведения о здоровье.⁷

Документы подчеркивают принципы минимизации и анонимизации данных. Например, компания удаляет детали учетных записей из передаваемых URL-адресов, получает хэш-суммы угроз вместо самих файлов и обфусцирует IP-адреса пользователей.⁷ Пользователям также предоставляется возможность выбрать, хотят ли они предоставлять данные, что соответствует принципу «opt-in».⁷

4.2. Процедура обработки запросов от государственных органов

В отчетах о запросах от правоохранительных и государственных органов «Лаборатория Касперского» заявляет о своей приверженности следующим ключевым принципам:

• Отсутствие прямого доступа: Компания никогда не предоставляет правоохранительным органам прямой или косвенный доступ к пользовательским данным или своей инфраструктуре. Все запросы обрабатываются исключительно сотрудниками компании.²⁴
• Юридическая проверка: Каждый входящий запрос проходит обязательную юридическую проверку на соответствие применимым законам и процедурам. Компания оставляет за собой право отклонить или оспорить неправомерные запросы.²⁴
• Отказ в недекларируемых возможностях: Компания принципиально отказывает в предоставлении ключей шифрования и не внедряет в свои продукты недекларируемые (скрытые) возможности.²⁵

Как частная компания, «Лаборатория Касперского» не имеет никаких связей с российским правительством, кроме того, «Лаборатория Касперского» не обязана предоставлять информацию властям в рамках российской Системы оперативных расследований (СОРМ) или других аналогичных законов, поскольку компания не предоставляет услуги связи. Это было подтверждено независимой правовой оценкой российского законодательства, связанной с обработкой данных, предоставленной третьей стороной; результаты находятся в свободном доступе в режиме онлайн и обеспечивают объективную и справедливую правовую оценку.

Сводная статистика запросов от правоохранительных органов (H1 2024)

Публикуемая отчетность является одним из самых сильных аргументов, опровергающих миф о шпионаже. В отчете за первую половину 2024 года представлена следующая статистика:

Источник: Отчет «Лаборатории Касперского» о запросах правоохранительных и государственных органов, H1 2024.²⁶

Данные, представленные в таблице, количественно опровергают центральный тезис о шпионаже: из 61 запроса, полученного в первой половине 2024 года, ни один не был запросом на пользовательские данные.²⁶ Это ключевой факт, который показывает, что даже российские власти запрашивают лишь неперсональную техническую экспертизу.

VI. Репутационные и экономические риски

5.1. Последствия для бизнеса

Для глобальной компании, работающей в сфере кибербезопасности, доверие является единственным и наиболее ценным капиталом. Большая часть ее доходов поступает от корпоративных клиентов и правительств, которые выбирают продукты на основе доказанной надежности. Любое подтверждение того, что компания занимается шпионажем, независимо от мотивов, приведет к мгновенному краху бизнеса. Последствия будут включать:

• Полную потерю клиентов: Корпоративные и государственные клиенты немедленно откажутся от услуг, опасаясь утечки своих конфиденциальных данных.
• Колоссальные судебные иски: Пострадавшие стороны инициируют многомиллиардные иски о возмещении ущерба.
• Репутационное банкротство: Бренд будет навсегда скомпрометирован, что сделает невозможным его восстановление на рынке.

Стоимость такого сценария неизмеримо превышает любую потенциальную выгоду от сотрудничества с разведкой, делая подобное действие не только незаконным, но и иррациональным с точки зрения бизнеса.²⁷

5.2. Исторические прецеденты

История IT-индустрии содержит множество примеров того, как потеря доверия, даже из-за неподтвержденных обвинений, наносила смертельный удар по бизнесу:

• NSO Group (Pegasus): После скандала, связанного со шпионским ПО Pegasus, компания NSO Group столкнулась с десятками судебных исков и финансовыми трудностями. Обвинения в содействии нарушениям прав человека привели к тому, что репутация компании была разрушена, а ее бизнес-модель оказалась под угрозой.²⁹
• Huawei: Обвинения в связях с китайским правительством и потенциальном использовании оборудования для шпионажа привели к тому, что США добавили Huawei в «черный список» и запретили американским компаниям торговать с ней без специальной лицензии. Это, по сути, привело к уходу Huawei с американского рынка телекоммуникационного оборудования и стало прямым примером того, как геополитические опасения могут нанести сокрушительный удар по бизнесу.³⁰

Эти прецеденты показывают, что в современном мире геополитические риски могут быть столь же разрушительны, как и подтвержденные технические нарушения.

VII. Признание и критика

6.1. Достижения и награды

Объективное исследование требует учета всех фактов, включая признание компании в профессиональном сообществе. Продукты «Лаборатории Каперского» регулярно участвуют в независимых тестах и демонстрируют высокие результаты.

• AV-Comparatives: В 2023 году компания была названа «Продуктом года».⁹ В 2024 году она получила награду «Top-Rated Product».³² Также были получены награды Gold за минимальное количество ложных срабатываний, Silver — за производительность и защиту от продвинутых угроз.³²
• AV-Test: В 2023-2024 годах продукты компании получили множество сертификатов и наград, включая «Best Protection» (за KESB, SOS и Kaspersky Plus) и «Best ATP» (за KESB).⁹
• SE Labs: Решения компании неоднократно получали высший рейтинг ААА и 100% «Total Accuracy Rating» в тестах 2023-2024 годов.⁹

Помимо наград, компания активно сотрудничает с международными организациями по борьбе с киберпреступностью, такими как INTERPOL, Europol³⁴ и группы реагирования на компьютерные инциденты (CERT), что свидетельствует о ее роли в глобальной экосистеме кибербезопасности.

6.2. Объективный разбор инцидентов

Для полноты картины важно нейтрально рассмотреть три ключевых инцидента, которые подорвали доверие к компании.

Инцидент 2017 года с АНБ: Существуют две версии событий.

• Версия обвинителей: По утверждениям американских СМИ, российские хакеры использовали антивирус для кражи классифицированных данных с компьютера субподрядчика АНБ.³⁵
• Версия компании: Продукт, работая по штатному алгоритму Kaspersky Security Network (KSN), обнаружил образец вредоносного ПО, связанный с хакерской группой Equation Group (предположительно АНБ), на компьютере пользователя, который установил пиратское ПО. Поскольку KSN был включен, образец был автоматически загружен на серверы для анализа. Когда стало известно о содержании файлов, руководством было принято решение об их удалении.⁸ Отсутствие публично представленных технических доказательств со стороны обвинителей укрепило позицию компании.

Предупреждение BSI (Германия): В марте 2022 года Федеральное ведомство по информационной безопасности (BSI) Германии выпустило предупреждение против использования продуктов «Лаборатории Касперского», обосновав его геополитическими опасениями. В заявлении BSI говорилось, что российский ИТ-производитель может «быть вынужден атаковать целевые системы против своей воли», не обвиняя компанию в конкретных технических нарушениях. Анализ комментариев немецких СМИ, таких как Frankfurter Allgemeine Zeitung, показывает, что решение BSI имело «меньше отношения к самим продуктам и больше к Кремлю». Этот случай подчеркивает различие между геополитическим риском, основанным на предположениях, и техническим риском, основанным на доказательствах.

Запрет в США в 2024 году: В июне 2024 года Министерство торговли США объявило о запрете продаж и обновлений продуктов «Лаборатории Касперского». Запрет был обоснован «неприемлемыми рисками для национальной безопасности».³⁶ Публичные технические доказательства, обосновывающие это решение, не были представлены. Компания отмечает, что предлагала независимую проверку, и рассматривает запрет как политически мотивированный, отмечая, что он был предпринят без учета ее проактивных мер по повышению прозрачности.²⁴

Ни один из инцидентов не сопровождался публичным представлением технических доказательств, свидетельствующих о том, что продукты компании выполняли функции шпионского ПО. Это указывает на то, что «миф» является скорее политической, а не технической проблемой.

VIII. Анализ устойчивых мифов и гипотетических сценариев

Этот раздел посвящен рассмотрению наиболее распространенных претензий, которые носят не технический, а повествовательный характер, а также моделированию гипотетических угроз для оценки их реалистичности.

7.1. Биография основателя и «связи с КГБ»

Частым контраргументом в дискуссии является утверждение о том, что «Евгений Касперский служил в КГБ». Данное утверждение некорректно смешивает биографию и оценку технологий.

1) Факты вместо ярлыков. Евгений Касперский окончил Высшую школу КГБ по специальности «криптография/математика» — на тот момент это был один из немногих профильных технических вузов в СССР. После выпуска он работал инженером-математиком в НИИ при Минобороны. Публично проверяемых данных о его службе в оперативных подразделениях КГБ нет. Смешивать обучение в ведомственном техническом вузе со службой в спецслужбах — методологическая ошибка.

2) Логика вместо ассоциаций. Даже если допустить гипотетическую госслужбу, вывод «продукт — шпионский» — это генетическая ошибка и аргумент к личности. Качество и добросовестность программного обеспечения оцениваются по проверяемым признакам: независимые аудиты и сертификации, центры прозрачности и перенос обработки пользовательских данных в Швейцарию, подписанные обновления, программы BugBounty и постоянный анализ поведения продуктов исследователями по всему миру. В отрасли кибербезопасности немало лидеров с прошлым в NSA, GCHQ или Минобороны, и сам по себе такой «бэкграунд» не превращает ПО в инструмент слежки.

3) Экономика и стимулы. Глобальная частная компания с миллиардной выручкой и сотнями тысяч бизнес-клиентов не станет иррационально рисковать репутацией и рынком из‑за скрытых операций, которые с высокой вероятностью будут обнаружены и мгновенно уничтожат бизнес.

Репутационные, юридические и финансовые издержки несоизмеримо выше любых гипотетических выгод. Биография основателя не отменяет фундаментальные ограничения корпоративного управления, внешнего надзора и рыночных стимулов.

7.2. Гипотетический сценарий: Целевая слежка за гражданином РФ

Для верификации утверждений о рисках использования продуктов компании внутри России необходимо провести моделирование угрозы, рассмотрев сценарий, при котором государственные структуры пытаются использовать антивирусное ПО для слежки за конкретным лицом, представляющим оперативный интерес. Данный анализ проводится по принципам «холодной» оценки рисков, принятым в сфере информационной безопасности.

Краткий вердикт: реализация подобного сценария технически возможна, но сопряжена с экстремальной сложностью исполнения и является абсолютно иррациональной с точки зрения соотношения затрат, рисков и результата.

Ниже приведен детальный разбор барьеров.

1. Технический барьер: Сложность реализации и скрытности.

Вопреки распространенному мифу, у разработчика отсутствует «красная кнопка» для выгрузки данных пользователей. Организация целевой атаки через легитимное ПО требует преодоления многоуровневой системы защиты:

• Проблема целостности кода («Verified Build»): Как уже упоминалось в разделе о технических мерах прозрачности, компания применяет процесс «Доверенной сборки». Это означает, что клиенты и независимые аудиторы могут сверять хеш-суммы публично распространяемых файлов с исходным кодом. Попытка принудить разработчика внедрить уникальный «шпионский модуль» даже для одного пользователя приведет к изменению контрольных сумм, что будет выявлено при проверке.
• Сложность доставки (Targeting): Антивирусные базы обновляются у миллионов пользователей одновременно. Чтобы атаковать конкретного человека, необходимо подменить канал обновлений исключительно для его IP-адреса или уникального идентификатора устройства (Device ID). Это требует перенастройки критической инфраструктуры серверов обновлений. В условиях, когда компания проходит регулярные аудиты SOC 2 (включая проверку процессов обновлений), любые изменения конфигураций серверов оставляют неизменяемые цифровые следы (логи), которые будут зафиксированы внутренними службами безопасности и администраторами.
• Риск обнаружения: Индустрия кибербезопасности — это высококонкурентная среда. Файлы «Лаборатории Касперского» постоянно сканируются конкурентами (через агрегаторы типа VirusTotal) и независимыми исследователями. Появление на устройстве пользователя уникального модуля, выполняющего аномальные действия (например, поиск документов .docx и их отправку на сторонний сервер), будет немедленно обнаружено. Инцидент будет классифицирован мировым сообществом как атака через цепочку поставок (Supply Chain Attack), что невозможно скрыть.

2. Логический барьер: Принцип рациональности и «Бритва Оккама».

Даже если допустить возможность давления на компанию, вступает в силу принцип рациональности: зачем использовать сложный, дорогой и рискованный инструмент, если доступны более простые легитимные методы?

• Наличие СОРМ: Рассмотрение вектора атаки через антивирусное ПО игнорирует наличие у государства более простых и легальных инструментов контроля. Весь интернет-трафик российских пользователей уже проходит через оборудование СОРМ, установленное у провайдеров (ISP), что обеспечивает государству необходимый уровень наблюдаемости без участия сторонних вендоров. Организация сложнейшей атаки на уровне приложения (Supply Chain Attack) со взломом международной компании для получения тех же данных, которые доступны через провайдера или посредством физического доступа к устройству, является оперативно избыточной и иррациональной. Спецслужбы, как прагматичные структуры, выбирают пути с наименьшим сопротивлением и рисками, а не сценарии с гарантированными международными скандалами.
• Физический доступ: Если объект интереса находится в юрисдикции РФ, правоохранительные органы имеют законные основания для проведения обыска и изъятия техники. Это обеспечивает доступ к 100% информации (включая удаленные файлы) без необходимости разработки сложнейших схем компрометации антивирусного ПО.
• Социальная инженерия и целевой фишинг (Spear Phishing): Мировая статистика киберинцидентов показывает, что подавляющее большинство успешных взломов начинается не с эксплуатации уязвимостей «нулевого дня» (Zero-Day) или компрометации цепочек поставок, а с человеческого фактора. Для получения доступа к устройству конкретного лица спецслужбам гораздо эффективнее и дешевле использовать методы целевого фишинга (отправка зараженного документа или ссылки под видом легитимного сообщения), чем пытаться внедрить бэкдор в антивирусное ядро. Этот метод не требует участия вендора, не оставляет следов в коде легитимного ПО и не несет рисков для национальной критической инфраструктуры, что делает его предпочтительным инструментом для оперативной работы.

3) Стратегический барьер: Экономический и оборонный ущерб.

Раскрытие факта шпионажа через продукты компании приведет к катастрофическим последствиям, несоизмеримым с ценностью данных одного человека:

— Крах бизнеса.

Любой подтвержденный намек на шпионаж означает мгновенную потерю репутации, клиентов и колоссальные судебные иски, что равносильно банкротству глобальной компании.

— Дилемма "двойного назначения" и угроза национальной безопасности РФ.

Это наиболее весомый сдерживающий фактор. Продукты "Лаборатории Касперского" де-факто являются стандартом защиты для критической информационной инфраструктуры (КИИ) самой Российской Федерации, включая банковский сектор, энергетику, государственные корпорации и предприятия ВПК.

Любая попытка внедрения бэкдора ("закладки") создает экзистенциальную угрозу для самого государства:

1. ​Технический риск: Бэкдор, созданный для спецслужб, неизбежно станет известен другим акторам (иностранным разведкам, киберпреступникам) после его обнаружения в рамках Verified Build. Это автоматически превращает все защищенные объекты КИИ России в уязвимые мишени.
2. ​Риск «ослепления»: В случае обнаружения шпионского функционала, глобальные сертификационные центры (Microsoft, Apple) отзовут цифровые подписи вендора. Это приведет к параличу систем защиты на стратегических предприятиях внутри России.

​Государству стратегически невыгодно компрометировать инструмент, обеспечивающий его собственную цифровую обороноспособность. "Ломать" собственный щит ради точечной слежки — это сценарий, противоречащий доктрине национальной безопасности.

4) Функциональные ограничения.

Антивирусное ПО собирает строго определенную телеметрию (хеши, пути к файлам, метаданные процессов), необходимую для детектирования угроз. Оно архитектурно не предназначено для функций трояна (RAT), таких как создание скриншотов переписки в мессенджерах или запись с микрофона. Превращение антивируса в шпионское ПО потребовало бы полной переписки кода ядра, что невозможно сделать незаметно внутри крупной корпорации.

Вывод по сценарию: Использование антивируса для целевой слежки за гражданином РФ технически возможно лишь в теории, но на практике представляет собой «стрельбу из золотой пушки по воробьям» с достаточно высоким риском, что орудие разорвет в руках стреляющего. Учитывая наличие у государства прямых административных рычагов (доступ к провайдерам, физическое изъятие, социальная инженерия), использование для этих целей глобального IT-вендора, обеспечивающего безопасность собственной КИИ страны, является крайне рискованным, нецелесообразным и иррациональным.

IX. Общий вывод

На основе всестороннего анализа, проведенного в настоящем отчете, можно сделать однозначный вывод: утверждения о том, что продукты «Лаборатории Касперского» являются шпионским программным обеспечением для правительства России, не находят подтверждения в представленных данных. Обвинения в значительной степени основаны на геополитических опасениях, а не на конкретных технических фактах.

Основные аргументы, вытекающие из исследования:

1. Техническая и экономическая нецелесообразность: Функционирование антивирусного ПО требует глубокого доступа к системе и сбора телеметрии, но этот процесс строго ограничен метаданными. Любые попытки внедрить скрытый шпионский функционал были бы неизбежно обнаружены в высококонкурентной и профессиональной среде. С точки зрения бизнеса, подобное действие привело бы к мгновенному краху и несоизмеримым потерям.
2. Проактивные меры прозрачности: Компания предприняла беспрецедентные шаги, такие как перенос обработки данных в Швейцарию, создание глобальной сети Центров прозрачности и прохождение независимых аудитов (SOC 2 Type II, ISO 27001), чтобы доказать целостность своих продуктов и процессов.
3. Доказательства юридической прозрачности: Официальная политика компании, а также публичные отчеты о запросах от властей, демонстрируют, что она не предоставляет доступ к пользовательским данным и принципиально отказывается от сотрудничества в вопросах, которые могут скомпрометировать ее продукты.
4. Различие между техническим и геополитическим риском: Ключевые скандалы и запреты, с которыми столкнулась компания, были вызваны не доказанными техническими уязвимостями или фактами шпионажа, а ростом геополитической напряженности и опасениями, основанными на гипотетических сценариях.

В условиях растущего недоверия и политизации технологий ответственность лежит как на компаниях, которые должны быть максимально прозрачны, так и на правительствах, которые должны основывать свои решения на проверяемых фактах, а не на предположениях. Настоящий отчет предоставил все необходимые данные для формирования информированного и взвешенного вывода.

Источники:

1. Kaspersky Scan Engine https://content.kaspersky-labs.com/fm/site-editor/53/5388886ff3e57f1181c2f8191aef4810/source/ksendatasheet2024.pdf
2. Application architecture - Kaspersky Support https://support.kaspersky.com/ksv/6.0/en-US/56684.htm
3. Kaspersky Scan Engine | OEM Technology Solutions https://www.kaspersky.com/scan-engine
4. Configuring telemetry - Kaspersky Support https://support.kaspersky.com/KESWIN/12.6/en-US/236497.htm
5. EDR telemetry exclusions - Kaspersky Support https://support.kaspersky.com/KESWIN/12.6/en-US/270557.htm
6. Data provision under the End User License Agreement - Kaspersky support https://support.kaspersky.com/help/KRS/3.0/en-US/DataProvisionEULA.htm
7. Principles for the processing of user data by Kaspersky security ... https://www.kaspersky.com/about/data-protection
8. NSA contractor leaked US hacking tools by mistake, Kaspersky says - The Guardian https://www.theguardian.com/technology/2017/oct/26/kaspersky-russia-nsa-contractor-leaked-us-hacking-tools-by-mistake-pirating-microsoft-office
9. Kaspersky solutions win record number of awards in independent tests https://usa.kaspersky.com/blog/how-to-choose-best-cybersecurity-product/29897/
10. Most tested, most awarded: Kaspersky takes 97% of TOP3 places in independent industry tests https://www.kaspersky.com/about/press-releases/most-tested-most-awarded-kaspersky-takes-97-of-top3-places-in-independent-industry-tests
11. About the Integrity Check task - Kaspersky Support https://support.kaspersky.com/keswin/11/en-us/134119.htm
12. Verifying the integrity of Kaspersky Endpoint Agent for Linux components https://support.kaspersky.com/kata/5.0/en-US/226360.htm
13. Kaspersky Transparency Center | Kaspersky https://www.kaspersky.com/transparency-center-offices
14. Kaspersky expands its network of Transparency Centers opening three new facilities https://www.kaspersky.com/about/press-releases/kaspersky-expands-its-network-of-transparency-centers-opening-three-new-facilities
15. Kaspersky receives SOC 2 audit https://www.kaspersky.com/about/compliance-soc2
16. SOC 2 Type 2 Compliance: Who Needs This Report & Why? - Secureframe https://secureframe.com/blog/soc-2-type-ii
17. Information Security Management Compliance: ISO/IEC 27001:2013 - Kaspersky https://www.kaspersky.com/about/iso-27001
18. We have sent the following response to the BSI after they have published a warning: We consider the BSI recommendation to be unj https://media.kasperskydaily.com/wp-content/uploads/sites/96/2022/03/17122117/Kaspersky_Response_to_BSI_P.pdf
19. German government issues warning about Kaspersky products - CyberScoop https://cyberscoop.com/kaspersky-warning-germany-bsi/
20. German Federal Office warns against Kaspersky - Save https://news.save.ch/en/deutsches-bundesamt-warnt-vor-kaspersky/
21. BSI warns against Kaspersky - SpaceNet AG https://www.space.net/en/latest-news/article/bsi-warnt-vor-kaspersky/
22. Your Trustworthy Partner - Kaspersky https://go.kaspersky.com/trust-documents.html
23. Web Privacy Policy - Kaspersky https://www.kaspersky.com/web-privacy-policy
24. Frequently Asked Questions on Kaspersky business, solutions and services https://support.kaspersky.com/faq/2024-hotline
25. Law Enforcement and Government Requests Report - Kaspersky Labs https://content.kaspersky-labs.com/se/media/en/reports/kaspersky-law-enforcement-requests-report-h2-2023.pdf
26. Law Enforcement and Government Requests Report - Kaspersky Labs https://content.kaspersky-labs.com/se/media/en/reports/kaspersky-law-enforcement-requests-report-h1-2024.pdf
27. 5 Companies That Were Forced to Shut Down Due to Breaches - N2W Software https://n2ws.com/blog/5-companies-shut-down-data-breaches
28. The Anatomy Of Trust Restoration: How Companies Recover From A Scandal | Crowe Global https://www.crowe.com/global/insights/the-anatomy-of-trust-restoration-how-companies-recover-from-a-scandal
29. Legal barriers complicate justice for spyware victims | CyberScoop https://cyberscoop.com/spyware-court-cases-nso-group-meta-whatsapp-apple/
30. U.S. Restrictions on Huawei Technologies: National Security, Foreign Policy, and Economic Interests | Congress.gov https://www.congress.gov/crs-product/R47012
31. Criticism of Huawei - Wikipedia https://en.wikipedia.org/wiki/Criticism_of_Huawei
32. Summary Report 2024 - AV-Comparatives https://www.av-comparatives.org/tests/summary-report-2024/
33. Kaspersky - AV-TEST https://www.av-test.org/en/av-test/marketing/kaspersky/
34. Kaspersky Expands Partnership with INTERPOL, Europol https://www.infosecurity-magazine.com/news/kaspersky-expands-partnership-with/
35. Kaspersky and the Russian government - Wikipedia https://en.wikipedia.org/wiki/Kaspersky_and_the_Russian_government
36. Using Kaspersky Antivirus Software? It is Now Banned in the U.S. - Rural Spotlight https://ruralhealthinfocenter.health.mo.gov/using-kaspersky-antivirus-software-it-is-now-banned-in-the-u-s/
37. The Kaspersky Software Ban—What You Need to Know to Stay Safe ... https://www.mcafee.com/blogs/security-news/the-kaspersky-software-ban-what-you-need-to-know-to-stay-safe-online/