De kabinetsmaatregel om anti-virussoftware van Kaspersky bij de rijksoverheid uit te faseren is voor alle betrokken partijen schadelijk. De Nederlandse overheid, burgers, bedrijven en uiteraard Kaspersky zelf hebben er last van. Dit constateert onderzoeker Brenno de Winter.
Ten minste drie grote strafzaken rond malware lopen aanzienlijke vertraging op, omdat van de expertise van Kaspersky geen gebruik meer kan worden gemaakt. Met de Nederlandse politie was een goede werkrelatie opgebouwd. Deze is nu verstoord.
Dit stelt onderzoeker Brenno de Winter, gespecialiseerd in it-beveiligings- en privacy, in een rapport. In opdracht van Kaspersky maakte hij een reconstructie en analyse van het kabinetsbesluit.
Volgens De Winter doet de overheid zichzelf te kort door niet langer een beroep te doen op de kennis en expertise van Kaspersky voor een veiliger digitale samenleving. Vooral bij ransomware-aanvallen werd tot voor kort intensief samengewerkt. Kaspersky hielp sleutels voor het ontcijferen van versleutelde bestanden te achterhalen. Slachtoffers konden zo weer bij hun bestanden komen zonder losgeld te betalen.
Over een breed front werkte Kaspersky samen met de Nederlandse overheid. Dat is niet zo verwonderlijk want het bedrijf met hoofdkantoor te Moskou blinkt volgens adviesbureau Gartner uit in malware-detectie. Ook wordt Kaspersky regelmatig gevraagd om hulp bij geavanceerde aanvallen op computersystemen.
Argumenten kloppen niet
In zijn rapport toont De Winter aan dat de argumentatie voor de kabinetsmaatregel ongegrond is. Hij vindt dat Nederland zich heeft bezondigd aan onbehoorlijk bestuur. Amerikaanse documenten waarin zonder enig bewijs wordt gesteld dat Kaspersky een verhoogd risico zou vormen, blijken bepalend voor de maatregel.
De indruk bestaat dat Nederland deze slecht onderbouwde redenering klakkeloos heeft overgenomen. In Nederland is geen onderzoek gedaan naar de juistheid van deze documenten. Althans dat blijkt nergens uit. De Amerikanen hebben ook nooit kunnen aantonen dat Kaspersky iets fout heeft gedaan. In de civiele procedure tussen Kaspersky en de Amerikaanse overheid bevestigt de rechter dat ook in zijn vonnis.
De Winter haalt ook de Belgische premier Charles Michel aan. Deze stelt dat zijn Centrum voor Cybersecurity geen objectieve technische informatie heeft en niet beschikt over onafhankelijke studies die aantonen dat de toepassingen van Kaspersky kwaadaardig zijn of een dreiging betekenen. Ook het expertisecentrum van de Duitse Bondsregering zegt geen aanwijzingen te hebben voor malafide praktijken of kwetsbaarheden in de software.
De Winter merkt verder op dat in de zaak Kaspersky geen hoor en wederhoor heeft plaatsgevonden. ‘Kaspersky is nooit in de gelegenheid gesteld te reageren’, stelt De Winter.
Blind varen op de VS
Hij vindt het raar dat volledig is blind gevaren op de VS. ‘De Europese situatie is echter niet de Amerikaanse’, stelt hij. Zo kennen wij EU-wetgeving zoals de AVG, de Algemene Verordening Gegevensbescherming. In Nederland bepalen normenkaders hoe organisaties hun beveiliging inregelen. Voorbeeld is de Baseline Informatiebeveiliging Rijksdienst. ‘De normenkaders zijn helemaal niet meegewogen”, aldus De Winter.
Uit zijn gedetailleerde reconstructie ontstaat een beeld van selectieve beargumentering door de Nederlandse regering. Het is onduidelijk welke methodiek voor risicoanalyse is gehanteerd. Ook ontbreken vooraf gestelde beoordelingscriteria voor anti-virussoftware. Het kabinet stelt geen kennis te hebben van spionage of sabotage waar Kaspersky op enige wijze bij is betrokken. De drie argumenten die het kabinet aanvoert om de anti-virussoftware bij de rijksoverheid uit te faseren, zijn volgens De Winter onvoldoende van toepassing op Kaspersky.
Stoorzender
Dat deze software diep in een systeem zit, betekent niet automatisch dat er uitgebreide toegang is voor spionage of sabotage. Verplichte controlemaatregelen en uitgebreide toetsing van de software maken de risico’s zeer beheersbaar, aldus De Winter. De Russische spionagewetgeving die bedrijven kan vragen om medewerking, is niet uniek. Iedere softwarefabrikant met vestigingen in Rusland kan dit met probleem te maken krijgen. Bovendien kennen veel landen waaronder de VS en Nederland zo’n wet.
Het argument dat Rusland veel operaties van spionage en sabotage uitvoert, is volgens De Winter ook niet sterk. Veel landen bezondigen zich hier aan. Juist Kaspersky geldt als een effectieve stoorzender bij veel operaties. Het bedrijf heeft in het verleden zonder schroom Russische operaties blootgelegd. Kaspersky bestrijdt alle malware waar die ook vandaan komt.
Tenslotte wijst De Winter op recente maatregelen van Kaspersky om de verwerking van gegevens voor Europese klanten en de software-assemblage over te hevelen naar Zwitserland.
Eén gelukte aanval door de Russen en de ramp is niet te overzien. De link tussen Kaspersky en de Russische overheid is met de verhuizing naar Zwitserland niet opgelost.
Echt transparant is vestiging in Europa, Frankrijk of Engeland en dan door deze overheden laten toetsen en controleren. Nee dat willen de Russen (lees de overheid) niet. Wij zijn in Nederland enorm naïef! Investeer het geld liever in onze eigen mensen die beveiligingssoftware kunnen maken.
Interessante gedachte: Als ‘de Russen’ nou gaan zeggen (en misschien zelfs wél kunnen aantonen) dat McAfee software niet betrouwbaar is. Bannen we die dan ook ?
Ooit nagedacht over een ‘alterior motif’ van de Amerikanen voor de beweringen mbt Kasperski ?
Zo lang we zelf niet kunnen zorgen voor een betrouwbare infrastructuur lijkt het me verstandig om zowel Russische als Amerikaanse als Israelische als Irakese als Chinese als Duitse etc etc tools… te gebruiken om zo veel mogelijk ‘unwanteds’ buiten de deur te houden. Sterker nog, ook als we (denken) het zelf wél kunnen kan het geen kwaad om ook de tools van ‘anderen’ te blijven gebruiken.
Het wordt eens tijd dat wij onze eigen koers gaan bepalen en ons niet de les laten lezen door de Amerikanen. Is de koers die nu door de huidige president van de Verenigde Staten wordt uitgestippeld de koers die wij Europa ons willen laten opdringen? Om inzicht te hebben in de ware facetten van security, fakenews, deep-fake manipulatie, AR is competentie nodig en dat is wat we missen bij onze overheid. Zeker als we zien dat onze regering zonder blikken of blozen een dringend advies van de VS naleeft op het gebruik van Kasperski bij onze overheid zonder daar wezenlijke argumenten voor aan te dragen. Mag ik meneer Grapperhous even tippen over de Amerikaans Patriot act die het toestaat iedere bondgenoot af te luisteren. Is dat dan niet een gevaar voor ONZE staatsveiligheid? Dus U wordt afgeluisterd en door diegene die U afluistert laat U zich de les voorschrijven dat iemand anders U kan afluisteren. Dus … ikke nie begrijp…
Een leuke commercial over dit item: https://youtu.be/VnTcUME5JFw