Kaspersky is gestart met de grote verhuizingsoperatie naar Zwitserland in een ultieme poging het vertrouwen terug te winnen. Belangrijke infrastructuur wordt uit Rusland overgeheveld. Als eerste stap is in het veilige en neutrale Zürich een Transparency Center gevestigd.
Vandaag worden hiertoe twee nieuwe datacenters geopend. Voortaan worden alle schadelijke en verdachte bestanden van haar Europese softwaregebruikers daar verwerkt. In Rusland vindt voor deze klanten geen dataverwerking meer plaats. In een volgende fase verplaatst Kaspersky ook de software-assemblage naar Zürich. Het voornemen bestaat ook in andere werelddelen Transparency Centers te openen. Overigens blijven onderzoek en ontwikkeling wel in Rusland; verhuizing is te duur – een Russische ontwikkelaar is vijf keer goedkoper dan een Zwitserse – en niet praktisch: in Rusland zijn makkelijker ontwikkelaars te vinden dan in Zwitserland.
De Russische fabrikant van anti-virussoftware kondigde vanochtend op een bijeenkomst in Zürich waar Computable bij was, nog meer stappen aan om haar belofte van volledige transparantie waar te maken. Zo kan elke klant inzicht krijgen in de broncodes van de software. Ook geautoriseerde partners en centrale toezichthouders mogen controles doen. Overheidsinstanties die nog met Kaspersky zaken doen, krijgen alle relevante informatie over hun beveiliging inclusief uitgebreide technische documentatie.
SSAE 18-standaard
Onafhankelijke experts krijgen van Kaspersky alle ruimte om in Zwitserland audits te doen. Een grote accountantsorganisatie, die behoort tot de ‘Big Four’, wordt ingeschakeld om de engineeringpraktijken van Kaspersky tegen het licht te houden. Centraal bij deze onafhankelijke audits staan de activiteiten rond het maken en verspreiden van databases met dreigingsdetectieregels.
Kaspersky wil zijn interne processen laten voldoen aan de strengste integriteits- en beveiligingseisen die de security-industrie kent. De externe accountantsorganisatie gaat werken volgens de SSAE 18-standaard. Onder de loep genomen worden frequente automatische updates van anti-virusrecords, gecreëerd door Kaspersky voor de producten die werken met Windows en Unix servers.
Volgens Eugène Kaspersky, ceo van het gelijknamige bedrijf, is transparantie zo langzamerhand de nieuwe norm voor cybersecurity-branche. Hij zei aan de frontlinie van deze ontwikkeling te staan. ‘Daar zijn we trots op’, aldus de topman.
Gekozen is voor een veilig, onafhankelijk land met een strenge wetgeving voor de bescherming van data. Zwitserland kent ook strikte regels voor verzoeken tot dataverwerking afkomstig van autoriteiten. Het land geldt ook als een toplocatie voor beveiligde internetservers.
Tij keren
Topman Kaspersky liet vanochtend weten geen middel onbeproefd te laten om het vertrouwen terug te winnen. Hij probeert zo het tij te keren. In diverse Westerse landen mogen overheden de beveiligingsproducten niet meer gebruiken omdat de onderneming banden zou hebben met Russische geheime diensten. Dit laatste is overigens nooit bewezen.
In het algemeen is het vertrouwen in anti-virussoftware en andere beveiligingsproducten tanende. Als Russisch bedrijf heeft Kaspersky daar het meeste last van. Behalve aan consumenten en bedrijven levert Ruslands meest succesvolle softwarefabrikant ook aan overheden. Vooral op die laatste markt heeft men het moeilijk. Op de consumenten- en zakelijke markt is de impact gering. Adviesbureau Gartner noemt Kaspersky een goede kandidaat als oplossing voor elke organisatie die niet beperkt is in haar handelen door de Amerikaanse overheidsmaatregelen.
Geen harde bewijzen
Overigens lopen de reacties van overheden sterk uiteen. België gaat gewoon door met Kaspersky. Maar de Nederlandse rijksoverheid neemt geleidelijk aan afscheid van Kaspersky’s anti-virussoftware. Den Haag heeft drie motieven om Kaspersky uit te faseren, zo bleek onlangs uit documenten die KRO-NCRV na een WOB-verzoek in handen kreeg.
Eerste reden is dat deze software diep in de systemen zit en bij misbruik een groot veiligheidsrisico vormt. Een ander beletsel vormt de Russische wetgeving die Kaspersky verplicht samen te werken met de overheid. Nederland behoort ook tot de landen waarop Russische staatshackers zich richten, aldus Den Haag. Overigens zijn geen concrete gevallen van misbruik bekend. Minister Bijleveld (Defensie) beaamde onlangs tijdens een uitzending van WNL wel dat Nederland in een cyberoorlog met Rusland is verwikkeld, zwakte later haar uitspraken af maar kwam daar gisteravond in een uitzending van Nieuwsuur weer op terug.
Sinds kort is het Amerikaanse overheidsinstellingen verboden om Kaspersky-producten te gebruiken. En dat terwijl de regering in Washington nooit enig bewijs heeft kunnen leveren dat Kaspersky zich onrechtmatig gedraagt. Amerikaanse media hebben Kaspersky er meermalen van beschuldigd banden te onderhouden met Russische inlichtingendiensten. In deze berichten werden doorgaans uitsluitend anonieme bronnen genoemd. Hard bewijs bleef achterwege.
Spionage?
Wel is het een feit dat ceo Eugene Kaspersky 31 jaar geleden afstudeerde aan een universitaire instelling die is gelieerd aan de KGB.
Volgens Anton Shingarev, vice president public affairs, hebben Westerse geheime diensten er alle belang bij om Kaspersky zwart te maken. ‘Onze anti-virussoftware wordt als een hinderpaal gezien voor spionage-acties.’ Het gebruik van deze software is wijd verspreid. In vrijwel elk vergelijkend onderzoek behoort Kaspersky tot de besten. Technisch staat het bedrijf al jaren aan de top.
De angst dat Kaspersky een pion is van het Kremlin, uit zich in twee belangrijke beschuldigingen. Hoewel niet aangetoond, zou Kaspersky een geheime backdoor kunnen plaatsen waardoor Russische inlichtingendiensten naar binnen kunnen dringen. Het bedrijf ontkent dat.
Een andere theoretische mogelijkheid is dat spionnen onrechtmatige toegang tot gegevens wordt verschaft. Volgens anonieme bronnen in Amerikaanse veiligheidskringen zou Kaspersky dat hebben gedaan. Kaspersky ontkent dat eveneens. Het bedrijf stelt nooit een overheidsdienst te hebben geholpen met spionage. Volgens de gelijknamige ceo zou dat het stomste zijn dat een securitybedrijf kan doen. Alles draait om vertrouwen. Zodra dat weg is, kan een bedrijf wel inpakken.
