Winkelmand

Geen producten in de winkelwagen.

Brenno de Winter: ‘Kaspersky weren is schadelijk voor onze veiligheid’

De overheid had in mei dit jaar geen legitieme reden om de antivirussoftware van Kaspersky Lab in de ban te doen. Dat het kabinet daar toch toe besloot moet worden heroverwogen, in het belang van iedereen.

Brenno de Winter onderzoek Kaspersky Lab
Foto: Getty

Tot die conclusie komt IT-security expert Brenno de Winter, na uitgebreid onderzoek en een WOB-verzoek, ingediend samen met KRO/NCRV en Kaspersky Lab. ‘De zogenoemde voorzorgsmaatregel van de overheid is schadelijk voor alle betrokken partijen’, concludeert De Winter in zijn onderzoeksrapport. ‘Dus voor zowel de Nederlandse overheid, voor het bedrijfsleven, voor burgers, als uiteraard voor het bedrijf Kaspersky Lab zelf.’

‘Te groot veiligheidsrisico’

In mei dit jaar besloot het kabinet niet langer antivirussoftware van het bedrijf af te nemen. Minister Grapperhaus vertelde erover in het programma Pauw. Die software was namelijk een ‘te groot veiligheidsrisico’, zo oordeelde het kabinet destijds.

‘Russische wetgeving verplicht bedrijven als Kaspersky Lab samen te werken met de Russische overheid. Ook heeft Rusland een actief offensief cyberprogramma dat onder meer gericht is op Nederland en vitale Nederlandse belangen’, aldus minister Grapperhaus. ‘De combinatie van deze factoren maakt dat het kabinet concludeert dat het risico op digitale spionage en sabotage bij de Rijksoverheid en de vitale sector aanwezig is.’

Conclusie gebaseerd op drijfzand

En dus werd de antivirussoftware van het bedrijf bij de overheid de deur gewezen. Maar die conclusie is gebaseerd op drijfzand, concludeert De Winter, na diep in de materie te zijn gedoken. Volgens hem is de overheid te snel overgegaan tot het besluit. Hij noemt de argumentatie ervoor zelfs ‘ongegrond’, en vindt dat de overheid niet alleen zichzelf, maar ook burgers en bedrijven tekort doet door niet langer een beroep te doen op de kennis en expertise van Kaspersky Lab voor een veiliger digitale samenleving.

‘Nederland heeft forse ambities op het gebied van innovatie en informatiebeveiliging’, zegt De Winter. ‘Dat legt de lat hoog om zware beslissingen zeer zorgvuldig en goed gemotiveerd te nemen.’ En dat is volgens hem hier absoluut niet gebeurd. Kijk maar eens naar het recent geopende Transparency Center van het bedrijf in Zurich. ‘Een effectieve manier om zowel op basis van feiten als emotie zorgen weg te nemen’, zegt De Winter daarover.

Het bedrijf loopt juist voorop

Het voornaamste argument dat het kabinet in mei aanhaalde om de software te weren, was ‘dat antivirussoftware diep in een systeem zit’. Dat is mogelijk, maar dat betekent natuurlijk nog niet automatisch dat uitgebreide toegang voor spionage en sabotage mogelijk is, concludeert De Winter nu.

Sterker nog, zegt hij: ‘Verplichte controlemaatregelen bij overheden en bedrijven en uitgebreide toetsing van de software maken alle risico’s beheersbaar. Kaspersky Lab bewijst voortdurend dat software en procedures – wat beveiliging betreft – in de haak zijn. Het loopt daarmee zelfs voor op veel andere leveranciers.’

De effecten strekken ver

De Winter geeft in zijn rapport meteen toe dat het vooral Kaspersky Lab zelf is dat last heeft van het kabinetsbesluit om geen antivirussoftware te mogen leveren aan de overheid. Maar de effecten gaan nog veel verder dan dat, zegt hij. Zo was een goede werkrelatie opgebouwd met de Nederlandse politie om cybercrime te bestrijden. Die samenwerking is nu stilgevallen.

Ten minste drie grote strafzaken worden daardoor getroffen. Eén zaak was net opgestart, een andere zaak betreft een langer lopend onderzoek en een derde was tijdelijk on hold gezet. Voor deze zaken geldt dat van de expertise van Kaspersky Lab nu geen gebruik meer kan worden gemaakt.

Vergelijkbare expertise elders vandaan halen kan wel, maar dat is hoe dan ook erg kostbaar. Daarbij is het natuurlijk maar de vraag ‘hoe aantrekkelijk het is voor bedrijven om diensten aan te bieden aan een relatief klein land als Nederland’, zeker na dit kabinetsbesluit. Je kunt er immers ook zo weer uitliggen, zo stelt De Winter.

Gevaar voorkomen

Het besluit zorgt volgens de IT-security analist voor meer gevaar. Zo verwijst het National Cyber Security Center (NCSC) al in 2014 nadrukkelijk naar de kwetsbaarheid van ons land voor spionage via een gerichte, geavanceerde en aanhoudende aanvallen, bekend als een zogeheten Advanced Persistent Threat.

En laat zo’n APT nu net een specialiteit zijn van Kaspersky Lab, aldus De Winter. ‘Precies dit soort tijdkritische informatie, kennis en ondersteuning is belangrijk bij incidenten, in de strijd tegen spionage en sabotage en voor het veiligstellen van kennis die nodig is voor onze digitale ambities.’

Of kijk naar de beruchte NotPetya-malware. ‘Bij de uitbraak van die malware was het onder andere Kaspersky Lab, die snel en accuraat informatie kon aanleveren. Dit incident, dat een containerterminal in de Rotterdamse haven verstoorde, had een enorm effect. Los van de verstoring van het bedrijfsleven betreft de schade op basis van conservatieve schattingen van alleen NotPetya al meer dan een miljard dollar.’

Ook de samenwerking om ransomware tegen te gaan, is na het kabinetsbesluit lastiger geworden, schrijft De Winter. ‘Nu de werkrelatie tussen de overheid en Kaspersky Lab tot stilstand is gekomen, betekent dit dat slachtoffers van digitale aanvallen een kleinere kans hebben om hun bestanden terug te krijgen.’

Een voorzorgsmaatregel met verstrekkende gevolgen

Het kabinet noemde zijn besluit van mei een ‘voorzorgsmaatregel’. Er was immers geen incident aan vooraf gegaan. Maar toch is sinds die tijd een beeld ontstaan van: ‘waar rook is, is vuur’, schrijft De Winter. Zelfs leveranciers en partners van Kaspersky Lab worden daardoor getroffen.

Niet zo gek dus dat het bedrijf daar last van heeft. ‘Voor een bedrijf dat zich richt op bescherming tegen malware, spionage en sabotage is juist de beschuldiging dat het voor dat soort doelen wordt ingezet schadelijk – ook al is daarvan geen voorbeeld bekend.’

Dat had best anders gekund

En dat had dus ook allemaal best anders gekund, concludeert De Winter. Als het kabinet bijvoorbeeld wederhoor had toegepast. Of met meer nuance had gecommuniceerd. Kaspersky Lab heeft de overheid ook aangeboden toegang te krijgen tot hun softwarebroncodes. Alles om maar aan te tonen dat het niets kwaads in de zin heeft.

Uit de reconstructie van De Winter ontstaat naar zijn zeggen ‘een beeld van selectieve beargumentering’. Zo is onduidelijk welke methodiek voor risicoanalyse is gehanteerd. Ook ontbreken vooraf gestelde beoordelingscriteria voor antivirussoftware. ‘En soms zijn zelfs feiten incorrect weergegeven.’

De Russische wetgeving is volgens de IT-analist ook helemaal niet zo bijzonder. Ook de VS en Nederland kennen bijvoorbeeld spionagewetgeving die bedrijven om medewerking kan vragen. Maar laat Kaspersky Lab nou geen Russisch bedrijf zijn, maar juist onder een Britse holding functioneren. Door de verwerking van gegevens voor Europese klanten en de software-assemblage te verplaatsen naar Zwitserland, wordt het bovendien lastiger voor de Russische Federatie om software van Kaspersky Lab te misbruiken, als ze dat al zouden willen.

Daar komt nog eens bovenop dat het bedrijf zich volgens De Winter laat kwalificeren als ‘een effectieve stoorzender’. Bij veel operaties legt het bedrijf ongeacht de afkomst van de aanval en zonder schroom Russische operaties bloot. ‘Het bedrijf hanteert een “malware is malware”-beleid, ongeacht de afkomst.’

Ongegrond besluit

Kortom, concludeert hij: ‘ik zou de overheid adviseren hun besluit tot uitfasering van de antivirussoftware te laten heroverwegen. Dit besluit van mei 2018 komt de veiligheid van ons land niet ten goede. Bovendien zijn aangedragen argumenten ongegrond.’

Sterker nog, waarschuwt De Winter, ook andere bedrijven mogen volgens hem best een beetje bang worden van de ‘voorzorgsmaatregel’ van het kabinet. ‘Het besluit rechtvaardigt de vrees dat ook zij zonder enige wederhoor volledig worden uitgesloten en dat er publiekelijk voor het bedrijf wordt gewaarschuwd.’

Een situatie die we met z’n allen niet zouden moeten willen, benadrukt hij nog maar eens. Ook in het belang van het hele bedrijfsleven. Maar of de waarschuwing effect heeft? Dat zal de tijd leren als verschillende politici dit onderzoeksrapport van Brenno de Winter hebben beoordeeld.