'Haagse ban op Kaspersky is schadelijk'

15 november 2018

De kabinetsmaatregel om anti-virussoftware van Kaspersky bij de rijksoverheid uit te faseren is voor alle betrokken partijen schadelijk. De Nederlandse overheid, burgers, bedrijven en uiteraard Kaspersky zelf hebben er last van. Dit constateert onderzoeker Brenno de Winter. Ten minste drie grote strafzaken rond malware lopen aanzienlijke vertraging op, omdat van de expertise van Kaspersky geen gebruik meer kan worden gemaakt. Met de Nederlandse politie was een goede werkrelatie opgebouwd. Deze is nu verstoord. Dit stelt onderzoeker Brenno de Winter, gespecialiseerd in it-beveiligings- en privacy, in een rapport. In opdracht van Kaspersky maakte hij een reconstructie en analyse van het kabinetsbesluit. Volgens De Winter doet de overheid zichzelf te kort door niet langer een beroep te doen op de kennis en expertise van Kaspersky voor een veiliger digitale samenleving. Vooral bij ransomware-aanvallen werd tot voor kort intensief samengewerkt. Kaspersky hielp sleutels voor het ontcijferen van versleutelde bestanden te achterhalen. Slachtoffers konden zo weer bij hun bestanden komen zonder losgeld te betalen.  Over een breed front werkte Kaspersky samen met de Nederlandse overheid. Dat is niet zo verwonderlijk want het bedrijf met hoofdkantoor te Moskou blinkt volgens adviesbureau Gartner uit in malware-detectie. Ook wordt Kaspersky regelmatig gevraagd om hulp bij geavanceerde aanvallen op computersystemen. 

In zijn rapport toont De Winter aan dat de argumentatie voor de kabinetsmaatregel ongegrond is. Hij vindt dat Nederland zich heeft bezondigd aan onbehoorlijk bestuur. Amerikaanse documenten waarin zonder enig bewijs wordt gesteld dat Kaspersky een verhoogd risico zou vormen, blijken bepalend voor de maatregel. De indruk bestaat dat Nederland deze slecht onderbouwde redenering klakkeloos heeft overgenomen. In Nederland is geen onderzoek gedaan naar de juistheid van deze documenten. Althans dat blijkt nergens uit. De Amerikanen hebben ook nooit kunnen aantonen dat Kaspersky iets fout heeft gedaan. In de civiele procedure tussen Kaspersky en de Amerikaanse overheid bevestigt de rechter dat ook in zijn vonnis. De Winter haalt ook de Belgische premier Charles Michel aan. Deze stelt dat zijn Centrum voor Cybersecurity geen objectieve technische informatie heeft en niet beschikt over onafhankelijke studies die aantonen dat de toepassingen van Kaspersky kwaadaardig zijn of een dreiging betekenen.  Ook het expertisecentrum van de Duitse Bondsregering zegt geen aanwijzingen te hebben voor malafide praktijken of kwetsbaarheden in de software. De Winter merkt verder op dat in de zaak Kaspersky geen hoor en wederhoor heeft plaatsgevonden. 'Kaspersky is nooit in de gelegenheid gesteld te reageren', stelt De Winter. 

Blind varen op de VS

Hij vindt het raar dat volledig is blind gevaren op de VS. 'De Europese situatie is echter niet de Amerikaanse', stelt hij. Zo kennen wij EU-wetgeving zoals de AVG, de Algemene Verordening Gegevensbescherming. In Nederland bepalen normenkaders hoe organisaties hun beveiliging inregelen. Voorbeeld is de Baseline Informatiebeveiliging Rijksdienst. 'De normenkaders zijn helemaal niet meegewogen'', aldus De Winter. Uit zijn gedetailleerde reconstructie ontstaat een beeld van selectieve beargumentering door de Nederlandse regering. Het is onduidelijk welke methodiek voor risicoanalyse is gehanteerd. Ook ontbreken vooraf gestelde beoordelingscriteria voor anti-virussoftware.  Het kabinet stelt geen kennis te hebben van spionage of sabotage waar Kaspersky op enige wijze bij is betrokken. De drie argumenten die het kabinet aanvoert om de anti-virussoftware bij de rijksoverheid uit te faseren, zijn volgens De Winter onvoldoende van toepassing op Kaspersky.

Stoorzender

Dat deze software diep in een systeem zit, betekent niet automatisch dat er uitgebreide toegang is voor spionage of sabotage. Verplichte controlemaatregelen en uitgebreide toetsing van de software maken de risico's zeer beheersbaar, aldus De Winter. De Russische spionagewetgeving die bedrijven kan vragen om medewerking, is niet uniek. Iedere softwarefabrikant met vestigingen in Rusland kan dit met probleem te maken krijgen. Bovendien kennen veel landen waaronder de VS en Nederland zo'n wet. Het argument dat Rusland veel operaties van spionage en sabotage uitvoert, is volgens De Winter ook niet sterk. Veel landen bezondigen zich hier aan. Juist Kaspersky geldt als een effectieve stoorzender bij veel operaties. Het bedrijf heeft in het verleden zonder schroom Russische operaties blootgelegd. Kaspersky bestrijdt alle malware waar die ook vandaan komt. Tenslotte wijst De Winter op recente maatregelen van Kaspersky om de verwerking van gegevens voor Europese klanten en de software-assemblage over te hevelen naar Zwitserland.

Het rapport is raadpleegbaar op: https://dewinter.com

ttps://www.computable.nl/artikel/nieuws/security/6514416/250449/haagse-ban-op-kaspersky-is-schadelijk.html