14 mei 2018 maakte het kabinet bekend dat de rijksoverheid het gebruik van antivirussoftware van Kaspersky gaat uitfaseren. Het gaat om een voorzorgsmaatregel met het oog op de nationale veiligheid, staat in een brief aan de Tweede Kamer. Waar komt die verregaande maatregel vandaan? Hoe kwam dat besluit tot stand? En wat zijn de gevolgen voor het Russische bedrijf? Een analyse.
Algemeen directeur van Kasperky Lab Benelux, Harco Enting, wordt 14 mei 2018 uitgenodigd voor een gesprek met de nationaal coördinator terrorismebestrijding en veiligheid, Dick Schoof. Die vertelt hem dat het Rijk uit voorzorg stopt met het gebruik van antivirussoftware van Kaspersky. Enkele uren na dat gesprek gaat er een brief naar de Tweede Kamer waarin minister Grapperhaus (Justitie en Veiligheid) de Kamer informeert.
Manager Kaspersky Lab Benelux Enting, die in april 2018 overstapte van Microsoft naar Kaspersky, vertelt later in die week aan Computable dat ‘Kaspersky voor zijn aantreden door een betrokken ambtenaar informeel op de hoogte gesteld is gesteld van het onderzoek. ‘Ér is meermaals aangegeven dat we in gesprek wilden gaan om zaken toe te lichten. Daar kwam geen reactie op.’
Waarom doet het rijk de antivirussoftware van Kaspersky in de ban?
Volgens de Kamerbief gaat het om een voorzorgsmaatregel. Er zijn geen concrete incidenten bekend, maar het kabinet concludeert dat er een risico is op digitale spionage en sabotage bij de rijksoverheid en vitale sectoren door een combinatie van factoren. Het stelt dat: antivirussoftware diep in systemen zit en misbruik een groot veiligheidsrisico kan vormen. Russische wetgeving verplicht bedrijven als Kaspersky om samen te werken met de Russische overheid en wijst erop dat Rusland een cyber-aanvalsprogramma uitvoert dat onder meer gericht is op Nederland en vitale Nederlandse belangen. Het rijk adviseert ook bedrijven in zogenoemde vitale sectoren (bijvoorbeeld banken en energiebedrijven) om het gebruik van antivirussoftware van Kaspersky te staken. Dat advies geldt ook voor bedrijven en organisaties die vallen onder de abdo-norm (algemene beveiligingseisen defensie opdrachten).
Volgens Kaspersky is er geen Russische wetgeving die hen verplicht om gegevens af te staan aan de Russische overheid en gelden dat soort regels alleen voor telecombedrijven en internetserviceproviders (sp’s), maar zeker niet voor softwarebedrijven. Volgens de Nederlandse rijksoverheid moeten ook bedrijven als Kaspersky data afstaan aan de Russische overheid.
Een publiek-private samenwerking rondom de bestrijding van cybercrime, waarin ook Kaspersky deelneemt blijft, overigens gewoon intact.
Wat zijn de reacties in de ict-branche?
Verschillende lezers reageren verbaasd op het bericht dat het Rijk Kaspersky in de ban doet. De vraag die de verbazing het beste samenvat: hoe zit het dan met Chinese partijen en Amerikaanse leveranciers waar de overheid ook zaken mee doet? Voor hen zou ook uit voorzorg bepaald kunnen worden dat het verstandig is om die samenwerking te beëindigen met het oog op de nationale veiligheid. Een woordvoerster van Justitie en Veiligheid reageert dat het Nationaal Cyber Security Centrum (NCSC) constant leveranciers monitort en adviseert om in te grijpen als daar een aanleiding voor is.
Waarom wordt gekozen voor uitfaseren?
Critici vinden het ook opvallend dat de antivirussoftware van Kaspersky wordt uitgefaseerd en het gebruik dus niet direct wordt gestaakt. Een woordvoerster van het ministerie van Justitie en Veiligheid legt uit dat de rijksoverheid zich aan aanbestedingsregels moet houden. Daardoor kan niet direct een nieuwe antivirussoftwareleverancier worden ingeschakeld, maar moet de opdracht eerst worden aanbesteed volgens Europese normen. Om in die tussentijd toch antivirussoftware te kunnen gebruiken worden bestaande contracten uitgediend.
Het Rijk wil uit veiligheidsoverwegingen niet aangeven hoeveel contracten er momenteel lopen met Kaspersky. In een interview met BNR stelde Kaspersky-directeur Enting aanvankelijk dat er helemaal geen contracten met de rijksoverheid zijn. Maar, volgens de woordvoerster van Justitie en Veiligheid zijn bij organisaties die gelinkt zijn aan het Rijk wel degelijk contracten. ‘Anders hadden we deze maatregelen natuurlijk niet hoeven te nemen.’ Ze wil uit veiligheidsoverwegingen niet zeggen om welke onderdelen van de rijksoverheid het gaat.
Hoe komt het dat Kaspersky in de verdachte hoek zit?
Kasperky heeft het idee dat het slachtoffer is geworden van geopolitieke spanningen tussen Westerse landen en Rusland. Het bedrijf heeft al vaker te maken met verdachtmakingen van banden met de Russische overheid. Ook omdat de oprichter, Eugene Kaspersky, is opgeleid door de Russische inlichtingendienst KGB.
Eerder deden Verenigde Staten en Groot-Brittannië de antivirussoftware in de ban. Binnen de Europese Commissie zijn vragen gesteld over het gebruik van de antivirussoftware van Kaspersky, maar de commissie is van mening dat het gebruik van deze software geen gevaar vormt omdat het maar bij een beperkt aantal instellingen wordt gebruikt en plaatsvindt binnen een gecontroleerde omgeving.
Het Federale Bureau voor Informatiebeveiliging (BSI) in Duitsland wees eind 2017 een verzoek tot een waarschuwing voor het gebruik van Kaspersky-producten af, omdat het geen aanwijzingen heeft kunnen vinden voor malafide praktijken of softwarekwetsbaarheden.
Kaspersky verhuist kernactiviteiten naar Zwitserland
Kaspersky Lab kondigde 15 mei 2018 aan zijn kernactiviteiten van Rusland naar Zwitserland te verhuizen. Het gaat om opslag en verwerking van klantgegevens en software-assemblage, inclusief updates voor dreigingsdetectie. Kaspersky zet die stap om, zoals het zelf zegt: ‘volledige transparantie en integriteit te garanderen’. In Zürich wordt een centrum gebouwd waar klanten de softwarecode van Kaspersky-producten kunnen laten controleren door een externe audit-partij.
Die aankondiging was een dag nadat de Nederlandse rijksoverheid bekendmaakte de antivirussoftware uit voorzorg in de ban te doen. Volgens Kaspersky stond die bekendmaking al langer op de planning en is het puur toeval dat die aankondiging een dag na de Kamerbrief was. Opvallend is dat in het Nederlandse persbericht geen woord wordt gewijd aan de bekendmaking van de Nederlandse rijksoverheid om te stoppen met de antivirussoftware.
Wat zijn de gevolgen van de ban voor Kaspersky?
Kaspersky heeft op het vlak van antivirussofware in Nederland vooral klanten in het mkb en in de consumentenmarkt. Toch verwacht Benelux-directeur Enting dat de ban het bedrijf wel degelijk schade zal opleveren. ‘We hebben het nog niet gekwantificeerd.’
Kaspersky heeft naar aanleiding van de Kamerbrief een aantal vragen gesteld. Het bedrijf wacht die antwoorden af en bepaalt dan welke stappen het neemt. Ook juridische stappen behoren tot de mogelijkheden.
Dit is niet meer dan een politieke heksenjacht op alles wat mogelijk Russisch zou kunnen zijn. De NAVO wil zo graag een vijand hebben en de VS wil maar wat graag meehelpen deze tot op de tanden bewapend te houden.
Het doet me denken aan de Amerikaanse overheid die niet wil dat Chineze routers gebruikt worden… en daarna krijg je waarschuwing na waarschuwing over de belabberde veiligheid van de Amerikaanse Cisco routers. Feit is dat de Amerikaanse overheid een wet heeft die ze veelvuldig gebruiken om Amerikaanse bedrijven in het geheim bevelen om gegevens van anderen af te dragen. Daarom willen ze geen Russische software, want ze kunnen hen niets bevelen. Dit besluit om Kaspersky uit te faseren riekt naar paniekvoetbal, of toch meer naar slaafsheid aan de Amerikanen?
@Marcus,
Ik neem aan dat jij ook weet dat de Cisco spullen die door de Amerikaanse overheid gebruikt worden een andere supply chain hebben dan de CIsco spullen die wij “mogen” gebruiken? En dat ook de software images anders zijn?
In het algemeen hebben wij in Europa weinig problemen met het gebruik van allerlei technologie van buiten Europa en zijn we buitengewoon naïef te denken dat buitenlandse mogendheden die technologie niet in (kunnen) zetten voor bijvoorbeeld spionage.
Het is inmiddels vrij normaal dat inlichtingendiensten zendingen van computerapparatuur naar andere landen in dien zij dat nodig achten te onderscheppen en aanpassen om zo makkelijker toegang te krijgen als deze apparatuur in gebruik wordt genomen. Alleen de andere landen houden hier rekening mee wat het tot een soort kat en muis spel maakt.