Het ministerie van Justitie en Veiligheid bekijkt of een ban op de antivirussoftware van Kaspersky van tafel kan. Het van oorsprong Russische bedrijf verhuisde eind 2020 alle data-opslag en -verwerking naar Zwitserland en biedt meer openheid over dataverwerking en bedrijfsvoering. De vraag is nu of die stappen voldoende zijn om de ban uit 2018 op te heffen.
Dat laat J&V-woordvoerder cybersecurity Miral Scheffer weten. Kaspersky meldde eind november 2020 dat het de verhuizing van de dataverwerking en -opslag van gegevens rond al zijn diensten naar Zwitserland zijn afgerond. Ook werd een programma opgetuigd voor een meer transparante bedrijfsvoering. Klanten kunnen in speciale centra de software tot in de broncode napluizen op achterdeurtjes.
Met de verhuizing wil Kaspersky laten zien dat vermeende banden met de Russische overheid ook fysiek niet aanwezig zijn. De ambtenaren van J&V kijken nu of die stappen voldoende zijn voor een mogelijke heroverweging van de overheidsban op de antivirussoftware.
Kaspersky is sinds mei 2018 niet meer welkom als leverancier van antivirussoftware bij de Nederlandse overheid. Het Nationaal Cyber Security Centrum (NCSC) onderbouwde de ban destijds door erop te wijzen dat de antivirussoftware diep in de systemen zit en bij misbruik een groot veiligheidsrisico kan vormen. ‘De Russische wetgeving verplicht bedrijven als Kaspersky samen te werken met de Russische overheid. Rusland heeft een actief offensief cyberprogramma, onder meer gericht op Nederland en Nederlandse belangen’, aldus het NCSC.
Uitgefaseerd
Ook Groot-Brittannië en de VS legden het gebruik van de antivirussoftware van Kaspersky aan banden. Overheden in Duitsland en België maken wel gebruik van antivirussoftware van het bedrijf.
Halverwege 2020 liet staatsecretaris Knops weten dat de antivirussoftware van Kaspersky binnen de overheid volledig is uitgefaseerd. Het ministerie van J&V wil niet bekendmaken door welke leveranciers die pakketten zijn vervangen. Ook Kaspersky, dat voor de distributie van zijn software met partners werkt, kon of wilde niet zeggen welke ministeries en departementen hun antivirussoftware gebruikten.
Wob-documenten
Computable zag wob-gegevens (wet openbaarheid bestuur) in van radioprogramma Reporter (KRO NCRV). Daaruit blijkt dat het ministerie van VWS en de Belastingdienst gebruikmaakten van antivirussoftware van Kaspersky.
Het radioprogramma, inmiddels onderdeel van datajournalistiek-platform Pointer, kreeg de informatie over welke ministeries en overheidsonderdelen antivirus van Kaspersky gebruiken eind december 2020 in de mailbox. Eerder werd het verzoek om die informatie te delen, dat al in 2018 werd gedaan, meerdere keren afgewezen.
Er loopt nog een ander wob-verzoek voor het openbaar maken van de risicoanalyse op basis waarvan de overheid Kasperksy in de ban deed. Mogelijk voerde de overheid de ban op Kaspersky namelijk in onder druk van Amerikaanse veiligheidsdiensten. De overheid zegt overigens dat het besluit om de software te bannen een ‘eigenstandige’ keuze is. Ook wil zij de stukken over de afwegingen rond de ban niet prijsgeven omdat dit inzicht zou geven in de samenwerking met inlichtingendiensten. Binnenkort moet de Hoge Raad uitspraak doen of de overheid alsnog die stukken moet delen. Die zaak is door de corona-pandemie vertraagd.
Kaspersky en de overheid
De ban geldt alleen voor antivirussoftware van Kaspersky. Het bedrijf levert wel andere securitydiensten aan de Nederlandse overheid – het gaat bijvoorbeeld om threat Intelligence – en geeft inzicht in cyberbedreigingen en doet aanbevelingen.
Dat gebeurt onder meer in een samenwerking via hetNo More Ransom-project, een publiek-privaat samenwerkingsverband om ransomeware de kop in te drukken en waar meerdere securitybedrijven, overheden en politie aan deelnemen.
Kort na de antivirusban in 2018 wilde Kaspersky uit dat samenwerkingsverband stappen, maar het bedrijf kwam daar op terug.
Ook hier weer sprake van de Rutte-doctrine? Knap graafwerk van Pointer