In zijn rapport toont De Winter aan dat de argumentatie voor de kabinetsmaatregel ongegrond is. Hij vindt dat Nederland zich heeft bezondigd aan onbehoorlijk bestuur. Amerikaanse documenten waarin zonder enig bewijs wordt gesteld dat Kaspersky een verhoogd risico zou vormen, blijken bepalend voor de maatregel. De indruk bestaat dat Nederland deze slecht onderbouwde redenering klakkeloos heeft overgenomen. In Nederland is geen onderzoek gedaan naar de juistheid van deze documenten. Althans dat blijkt nergens uit. De Amerikanen hebben ook nooit kunnen aantonen dat Kaspersky iets fout heeft gedaan. In de civiele procedure tussen Kaspersky en de Amerikaanse overheid bevestigt de rechter dat ook in zijn vonnis. De Winter haalt ook de Belgische premier Charles Michel aan. Deze stelt dat zijn Centrum voor Cybersecurity geen objectieve technische informatie heeft en niet beschikt over onafhankelijke studies die aantonen dat de toepassingen van Kaspersky kwaadaardig zijn of een dreiging betekenen. Ook het expertisecentrum van de Duitse Bondsregering zegt geen aanwijzingen te hebben voor malafide praktijken of kwetsbaarheden in de software. De Winter merkt verder op dat in de zaak Kaspersky geen hoor en wederhoor heeft plaatsgevonden. 'Kaspersky is nooit in de gelegenheid gesteld te reageren', stelt De Winter.
Blind varen op de VS
Hij vindt het raar dat volledig is blind gevaren op de VS. 'De Europese situatie is echter niet de Amerikaanse', stelt hij. Zo kennen wij EU-wetgeving zoals de AVG, de Algemene Verordening Gegevensbescherming. In Nederland bepalen normenkaders hoe organisaties hun beveiliging inregelen. Voorbeeld is de Baseline Informatiebeveiliging Rijksdienst. 'De normenkaders zijn helemaal niet meegewogen'', aldus De Winter. Uit zijn gedetailleerde reconstructie ontstaat een beeld van selectieve beargumentering door de Nederlandse regering. Het is onduidelijk welke methodiek voor risicoanalyse is gehanteerd. Ook ontbreken vooraf gestelde beoordelingscriteria voor anti-virussoftware. Het kabinet stelt geen kennis te hebben van spionage of sabotage waar Kaspersky op enige wijze bij is betrokken. De drie argumenten die het kabinet aanvoert om de anti-virussoftware bij de rijksoverheid uit te faseren, zijn volgens De Winter onvoldoende van toepassing op Kaspersky.
Stoorzender
Dat deze software diep in een systeem zit, betekent niet automatisch dat er uitgebreide toegang is voor spionage of sabotage. Verplichte controlemaatregelen en uitgebreide toetsing van de software maken de risico's zeer beheersbaar, aldus De Winter. De Russische spionagewetgeving die bedrijven kan vragen om medewerking, is niet uniek. Iedere softwarefabrikant met vestigingen in Rusland kan dit met probleem te maken krijgen. Bovendien kennen veel landen waaronder de VS en Nederland zo'n wet. Het argument dat Rusland veel operaties van spionage en sabotage uitvoert, is volgens De Winter ook niet sterk. Veel landen bezondigen zich hier aan. Juist Kaspersky geldt als een effectieve stoorzender bij veel operaties. Het bedrijf heeft in het verleden zonder schroom Russische operaties blootgelegd. Kaspersky bestrijdt alle malware waar die ook vandaan komt. Tenslotte wijst De Winter op recente maatregelen van Kaspersky om de verwerking van gegevens voor Europese klanten en de software-assemblage over te hevelen naar Zwitserland.
