O Departamento de Comércio dos Estados Unidos anunciou uma determinação final que proíbe a Kaspersky de vender ou fornecer software antivírus e produtos ou serviços de cibersegurança para clientes nos EUA ou pessoas dos EUA.1 A medida também alcança afiliadas, subsidiárias e controladoras da empresa.
A decisão é tratada pelo Bureau of Industry and Security como a primeira determinação final desse tipo dentro da autoridade de segurança de tecnologia da informação e comunicação. O governo afirma que a operação contínua da Kaspersky no país apresenta risco à segurança nacional que não pode ser resolvido por mitigação menor que uma proibição total.1
O caso chama atenção porque atinge uma categoria de software com privilégios elevados. Antivírus e ferramentas de segurança precisam ler arquivos, monitorar processos, receber atualizações frequentes e operar com acesso profundo ao sistema. Quando a confiança no fornecedor é questionada, o risco não está apenas no aplicativo, mas em toda a cadeia de atualização, telemetria e administração.
Segurança também é relação de confiança
O Departamento de Comércio cita preocupações ligadas à jurisdição russa, à possibilidade de influência ou direção do governo russo, ao acesso a dados sensíveis de clientes e à capacidade de instalar software ou reter atualizações.1 Essas alegações mostram como segurança de endpoint depende de confiança institucional, não só de qualidade técnica.
Para empresas, a medida transforma uma discussão geopolítica em plano operacional. Quem usa Kaspersky precisa identificar endpoints, servidores, consoles de administração, integrações com SIEM, políticas de EDR, contratos, dependências de terceiros e cronograma de substituição. A troca de antivírus não pode ser feita de forma improvisada, porque falhas de transição criam janelas sem cobertura.
O governo permite certas operações, como atualizações de assinatura e código, até 29 de setembro de 2024, para reduzir interrupções enquanto consumidores e empresas migram para alternativas.1 Esse prazo é uma janela de execução, não uma autorização para adiar inventário.
Supply chain chega ao endpoint
O banimento reforça que risco de supply chain não se limita a bibliotecas open source, pacotes npm ou imagens de container. Softwares comerciais instalados em massa, especialmente os que rodam com privilégios administrativos, também são parte crítica da cadeia. A avaliação precisa considerar origem, governança, obrigação legal, telemetria, atualização e capacidade de intervenção remota.
Em ambientes regulados, a substituição deve incluir análise de dados históricos, retenção de logs, continuidade de alertas, compatibilidade com políticas existentes e treinamento de equipes. Também é necessário avaliar produtos que embutem tecnologia Kaspersky por revenda, licenciamento ou integração, porque a proibição menciona transações envolvendo produtos e serviços relacionados.
Para usuários domésticos, a orientação oficial é migrar para outro fornecedor com rapidez. Para empresas, a disciplina precisa ser maior: piloto controlado, desinstalação limpa, instalação do novo agente, verificação de cobertura, atualização de documentação e validação por amostragem.
O caso Kaspersky mostra que ferramentas defensivas podem se tornar vetor de risco quando confiança, jurisdição e privilégios entram em conflito. A decisão dos EUA coloca o tema no centro da gestão de fornecedores de segurança: não basta perguntar se o produto detecta ameaças; é preciso perguntar que acesso ele tem, quem pode influenciá-lo e como a organização sairia dele sob pressão.
- Bureau of Industry and Security, "Commerce Department Prohibits Russian Kaspersky Software for U.S. Customers", 20 jun. 2024. ↩