Innovatie & Strategie

Security
Kaspersky-bescherming

‘Kaspersky-ban Nederland ongefundeerd’

Uitgebreide ontleding van overheidsbesluit haalt ban op Kaspersky-antivirus onderuit.

© Kaspersky
15 november 2018

Uitgebreide ontleding van overheidsbesluit haalt ban op Kaspersky-antivirus onderuit.

Het Nederlandse overheidsbesluit om securitysoftware van Kaspersky Lab in de ban te doen, is onderzocht en ondermaats bevonden. De Russische leverancier heeft de Nederlandse security-expert Brenno de Winter eigen onderzoek laten uitvoeren. “Het besluit rond Kaspersky Lab is voor alle partijen schadelijk.”

De analyse is mede gebaseerd op overheidsdocumenten die middels Wob-verzoeken (Wet openbaarheid bestuur) van de KRO-NCRV zijn verkregen. Eerder is al duidelijk geworden dat Nederland geen voorbeelden kent waaruit blijkt dat de antivirussoftware van Kaspersky Lab is misbruikt. Justitie-minister Ferd Grapperhaus heeft dit toegegeven, maar daaraan toegevoegd dat “dit niet kan worden uitgesloten”.

Drie redenen

Het onderzoek door De Winter Information Solutions heeft de risico-inschatting van het kabinet onder de loep genomen. Een van de conclusies is dat het ontbreekt aan eigen evaluatie en onderbouwing. Verder worden de door de Nederlands overheid genoemde drie redenen voor de ban stuk voor stuk ontleedt en op fouten ‘betrapt’.

Zo staat de door het kabinet aangevoerde diepgaande computertoegang van antivirussoftware niet automatisch gelijk aan toegang voor spionage en sabotage, aldus het vandaag geopenbaarde rapport. “Verplichte controlemaatregelen bij overheden en bedrijven en de uitgebreide toetsing van de software en allerhande procedures van Kaspersky Lab maken de risico’s zeer beheersbaar”, schrijft De Winter.

Ook China, VS en Nederland

De tweede reden voor de Nederlandse overheidsban is Russische wetgeving die Russische bedrijven zou verplichten om mee te werken met de overheid als inlichtingendiensten daar om vragen. Naast het formele feit dat Kaspersky Lab een Britse holding is, met hoofdkantoor in Rusland, geldt deze verplichting voor medewerking voor elke firma met vestigingen in dat land.

“Iedere softwaremaker op systeemniveau (antivirus- en besturingssystemen) met vestigingen in de Russische Federatie heeft dit probleem. Overigens zijn er meer landen, zoals bijvoorbeeld China, de Verenigde Staten en Nederland waar spionagewetgeving bedrijven kan vragen om medewerking. De wetgeving is daarmee niet heel uniek.”

Cyberoffensief

De derde opgevoerde reden van het kabinet tégen Kaspersky Lab is het feit dat de Russische Federatie een offensief cyberprogramma heeft. Het land zet computers actief in om spionage en sabotage te plegen. Terwijl dit niet onjuist is, geldt ook dit voor diverse andere landen. Daarnaast is er nog de kritieke vraag of hierin deze securityleverancier wordt ‘meegenomen’ door cyberaanvallers in statelijke dienst.

“Uit jaarverslagen van inlichtingendiensten blijkt dat veel landen hiermee bezig zijn. Juist Kaspersky Lab laat zich kwalificeren als een effectieve stoorzender bij veel operaties door ongeacht de afkomst van de aanval en zonder schroom Russische operaties bloot te leggen. Het bedrijf hanteert een ‘malware is malware’-beleid ongeacht de afkomst”, merkt De Winter op in zijn rapportage.

Dit tegenargument voor de Nederlandse ban komt neer op een kwestie van vertrouwen. De Tweede Kamer heeft van het kabinet in een brief de uitleg gekregen dat er met betrekking tot Kaspersky Lab vrees is voor spionage en sabotage, van overheidscomputers. Daarbij is ook vermeld dat het kabinet een eigen, aangescherpte afweging in het kader van de nationale veiligheid heeft gemaakt.

Amerikaans voorbeeld

Dit wordt onderuit gehaald door het vandaag geopenbaarde rapport. De definitieve versie daarvan is gistermiddag aangeboden aan het cybersecurity-orgaan van de Nederlandse overheid: het NCSC (Nationaal Cyber Security Centrum). Al met al lijkt het in mei dit jaar genomen Nederlandse besluit om securitysoftware van Kaspersky Lab in de ban te doen, voort te komen uit het soortgelijke besluit van de Amerikaanse overheid.

De VS-ban is in september 2017 tot stand gekomen. Daar zit acht maanden en twee dagen tussen, merkt De Winter op in zijn rapportage. “Gaat het hier om zorgvuldige of ambtelijke trage besluitvorming? Dit is een relevant vraagstuk voor het kabinet als het slagvaardig wil omgaan met de ernstige dreiging van spionage en sabotage.”

Schadelijk voor allen

De Nederlandse security-expert, die jaren terug al naam heeft gemaakt met zijn analyse van de OV-chipkaart, merkt nog op dat de Nederlandse overheidsban op Kaspersky-antivirus schadelijk is voor alle partijen. Na dit kabinetsbesluit heeft CEO Eugene Kaspersky namelijk de samenwerking van zijn bedrijf met politie en Justitie in Nederland stilgelegd. “De (gratis) geboden hoogwaardige expertise rond malwarehulp bij drie strafzaken is komen stil te liggen”, vermeldt De Winter in het rapport. “Met schaarste aan goede kennis is dat kwalijk.”

De afgelopen jaren heeft Kaspersky Lab bij grote malware-incidenten en ransomware-uitbraken hulp geboden. Dit omvat snelle levering van informatie over malware maar ook over waarschijnlijke daders erachter. Daarnaast bood Kaspersky Lab in samenwerking met politie én met concurrenten gratis tools om gegijzelde data te ontsleutelen.

Onafhankelijk onderzoek

De kritische keuring door De Winter is in opdracht van Kaspersky Lab uitgevoerd. De Nederlandse security-onderzoeker heeft van begin af aan bedongen dat die firma alle medewerking verleent, zich niet met de inhoud van het rapport bemoeit, en op voorhand akkoord gaat dat het rapport openbaar wordt ongeacht de bevindingen. Dat gebeurt vandaag dus.

Ook is van meet af aan de eis neergelegd en gehonoreerd dat de securityleverancier geen druk uitoefent op de inhoud en observaties. Hierbij is bijvoorbeeld het nieuw opgerichte Transparancy Center van Kaspersky Lab in Zürich (Zwitserland) bezocht en geïnspecteerd. In dat deze maand geopende centrum is de broncode van de antivirussoftware beschikbaar.

Broncode-audit

Het Transparancy Center is één van de concrete stappen die de leverancier zet in reactie op de Nederlandse ban én Europese pressie vanuit het Europese Parlement. “Het kunnen toetsen van de broncode maakt risico’s beheersbaar”, legt De Winter uit. Overigens is de broncode-inzage geen theoretische mogelijkheid of symbolisch gebaar: “Kaspersky Lab laat zelf een audit door een Big Four-bedrijf uitvoeren.”

Update:

Link toegevoegd naar het vandaag (donderdag 15 november 2018) online gepubliceerde rapport.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.