Innovatie & Strategie

Security
Grapperhaus

Kaspersky wacht op reactie minister Grapperhaus

Kamercommissie schuift repliek op Nederlandse Kaspersky-ban door naar Justitie-minister.

Ferd Grapperhaus © Rijksoverheid
25 april 2019

Kamercommissie schuift repliek op Nederlandse Kaspersky-ban door naar Justitie-minister.

Minister Ferd Grapperhaus van Justitie en Veiligheid lijkt op het matje te worden geroepen door de vaste Kamercommissie voor Justitie en Veiligheid. Dat orgaan van de Tweede Kamer heeft de bewindsman namelijk om een reactie gevraagd op de uitgebreide toelichting die Kaspersky Lab in maart heeft gegeven. De door Grapperhaus aangehaalde argumenten om de uit Rusland afkomstige securityleverancier in de ban te doen, worden daarin stuk voor stuk weerlegd.

De repliek van Kaspersky Lab, geschreven door algemeen directeur Martijn van Lom, is door de Kamercommissie behandeld in een procedurevergadering eerder deze maand. “In die vergadering heeft de commissie besloten de minister van Justitie en Veiligheid een reactie te vragen op uw e-mail”, antwoordt de griffier van deze commissie. AG Connect heeft deze antwoordbrief ingezien.

Basis voor ban

De Kamercommissie doet de toezegging dat het de reactie van de minister ook aan Kaspersky Lab zal verstrekken. Ook zal de commissie dan laten weten of er nog nadere stappen worden gezet “en zo ja, welke”. Inzet is wat Kaspersky Lab betreft terugdraaien van de overheidsban op securitysoftware van deze leverancier.

Op last van minister Grapperhaus is het Nederlandse overheidsorganisaties niet meer toegestaan om Kaspersky’s beveiligingssoftware te gebruiken. Vrees voor Russische cyberspionage en sabotage spelen daarbij een rol. Grapperhaus heeft toen al aangegeven dat daar geen bewijs voor is, maar dat “het niet valt uit te sluiten”.

Offensief cyberprogramma

Onderbouwing voor dat onbewezen gevaar is door de Justitie-minister gegeven door drie punten te noemen. Allereerst stelde Grapperhaus dat antivirussoftware “uitgebreide en diepgaande toegang heeft tot ICT-systemen”. Ten tweede gaf hij aan dat Kaspersky Lab een Russich bedrijf is en dus onder Russische wetgeving verplicht zou kunnen worden tot ondersteuning van het werk van inlichtingendiensten. En ten derde wees de minister erop dat de Russische Federatie een actief offensief cyberprogramma heeft.

Laatstgenoemde is volgens de Nederlandse inlichtingen- en veiligheidsdiensten al jaren in de maak en mede gericht op Nederland en Nederlandse belangen. De ontwikkeling van deze “zeer aanzienlijke capaciteiten in het digitale domein” is door de aangehaalde diensten genoemd in hun jaarverslagen.

Weerleggen en nuanceren

Europees directeur Van Lom, die voorheen de Benelux-vestiging van Kaspersky Lab leidde, stipt de drie punten stuk voor stuk aan. Hij richt zich tot het Nederlandse Cyber Security Centre (NCSC) wat valt onder het ministerie van Justitie. De stelling dat antivirus diep reikt in ICT-systemen wordt door de Kaspersky-manager weersproken door erop te wijzen dat “een AV-installatie slechts op één systeem draait”.

Eventuele compromittering zou dan alleen die ene machine raken, argumenteert Van Lom. Voor het hacken van een netwerk, of delen daarvan, moet elke machine individueel gecompromitteerd worden, legt de Europees directeur uit.

Hierbij somt hij ook technische maatregelen op die Kaspersky Lab heeft genomen om de eigen software én gebruikers te beschermen. Daar horen ook opties bij die gebruikers hebben om bijvoorbeeld geen telemetrie te delen met de cloudomgeving van de leverancier. Langs die weg is in het verleden eigen malware van de Amerikaanse inlichtingendienst NSA tegen de lamp gelopen.

Telco’s, ISP’s en communicatie

Ook de Nederlandse redenering dat Kaspersky Lab een Russisch bedrijf is en dus verplicht zou zijn om samen te werken met de inlichtingendienst FSB kan rekenen op onderbouwd verzet. De door Grapperhaus gebande securityleverancier haalt de Zweedse professor Kaj Hobér aan, die onafhankelijk expert is op het gebied van internationale arbitrage en Russische wetgeving.

Hobér heeft op verzoek van Kaspersky Lab duiding gegeven over de kwestie van Russische wetgeving. Deze geldt enerzijds voor elk bedrijf dat actief is in Rusland, en is anderzijds helemaal niet zo breed als Grapperhaus stelt in zijn onderbouwing voor de Kaspersky-ban. Zo is de FSB weliswaar bevoegd om bepaalde informatie te ontvangen, maar zijn bedrijven niet verplicht om dat te verstrekken.

Verder slaat volgens Hobér Russische wetgeving voor opvraging van informatie op telecombedrijven en internetproviders, wat Kaspersky niet is. Eenzelfde mismatch qua bedrijfstak geldt voor assistentie bij operationele onderzoeksactiviteiten van de FSB: die is van toepassing op leveranciers van communicatiediensten. “Bovendien stelt de wet op operationele onderzoeksbevoegdheid dat de FSB alleen recht heeft om samen te werken met personen die hiermee hebben ingestemd”, schrijft Van Lom.

Zwitserse neutraliteit

In reactie op zorgen over Russische overheidsinvloeden heeft Kaspersky Lab diverse organisatorische veranderingen doorgevoerd. “Om zelfs de theoretische mogelijkheid van onwettige toegang tot gebruikersdata te elimineren, is Kaspersky Lab begonnen met het verhuizen van gegevensopslag en -verwerking voor Europese klanten naar Zwitserland, buiten de Russische jurisdictie, waardoor dergelijke acties zelfs in theorie onmogelijk zijn.”

Wat tot slot de cyberoffensieve acties en programma’s van inlichtingendiensten in Rusland betreft, somt het beschuldigde bedrijf een reeks security-onthullingen op die het heeft gedaan waarbij ook Russische cyberoperaties zijn geraakt. Het blootleggen van geavanceerde malwarecampagnes met codenamen als RedOctober, CloudAtlas, CosmicDuke en Carbanak wordt gepresenteerd als bewijs. Securitydreigingen moeten ‘Zwitsers’ worden aangepakt, aldus Kaspersky Lab: neutraal ten aanzien van oorsprong en doelwit.

Inzichtelijkheid

Verder opereert Kaspersky Lab zelf internationaal, met zowel zijn onderzoekscentra als ook zijn inkomsten. “De meerderheid van onze activiteiten (meer dan 80 procent) vindt buiten Rusland plaats. Dit onderstreept dat ongeoorloofde operaties onze bedrijfsresultaten enorm zouden schaden. Daarmee zouden we onze activiteiten in groot gevaar brengen.”

De Nederlandse ban lijkt ingegeven door Amerikaanse en Britse vogelvrijverklaringen. Daar tegenover staan echter weer vertrouwensverklaringen - of in ieder geval verklaringen dat er geen grond is voor een ban - van overheidscentra voor security in landen als België, Duitsland en Frankrijk.

Inmiddels heeft ook de Europese Commissie gesteld dat het niet in het bezit is van enig bewijs voor onethisch gebruik van Kaspersky-producten. Deze verklaring is gegeven in reactie op vragen van een Europees Parlementslid van Vlaams Belang. De EC spreekt daarmee het Europees Parlement tegen, wat in juni vorig jaar een resolutie heeft aangenomen om op te roepen tot een EU-brede ban op Kaspersky Lab.

Justitie aan zet

In de Nederlandse brief van juni vorig jaar waarin de Kaspersky-ban is aangekondigd, heeft het NCSC gesteld dat heroverweging mogelijk is in het geval van veranderde omstandigheden. “Wij zijn van mening dat de omstandigheden inmiddels zijn veranderd”, aldus Van Lom.

Hij stipt daarbij ook het vers opgerichte Transparency Center nog aan. Daar kunnen gebruikers inzage krijgen in software, broncode, documentatie, aanpak en meer informatie van Kaspersky Lab. Die toegang is al benut door de Nederlandse security-expert Brenno de Winter voor zijn onafhankelijke onderzoek (op verzoek van het bedrijf) naar deze kwestie. Hoofdconclusie was dat de Nederlandse ban ongefundeerd is. Het is nu aan minister Grapperhaus om te reageren.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.