Liever een raket in de tuin dan een Rus in de (keuken) computer?

Cybersecurity-expert Mary-Jo de Leeuw over gebruik Kaspersky antivirussoftware

Op 14 mei jongstleden meldde minister Grapperhaus (Justitie en Veiligheid) aan de Tweede Kamer, dat het kabinet heeft besloten te stoppen met het gebruik van Kaspersky antivirussoftware. Maar waar zijn de feiten die een grootschalige boycot als deze rechtvaardigen? Cybersecurity-expert Mary-Jo de Leeuw laat voor ChannelConnect haar licht schijnen over deze stap.

 

Het was een opmerkelijk bericht dat op 14 mei bekend werd gemaakt. Advocaat en jurist Ferdinand Grapperhaus, tegenwoordig namens het CDA minister van Justitie en Veiligheid in het kabinet-Rutte III, liet weten dat het kabinet heeft besloten te stoppen met het gebruik van Kaspersky antivirussoftware. Bedrijven en organisaties die vallen onder de kritieke vitale infrastructuur zoals energiemaatschappijen en waterbedrijven, worden daarnaast dringend geadviseerd om deze software niet langer te gebruiken. De minister liet weten dat het een “voorzorgsmaatregel betreft om de nationale veiligheid te waarborgen”. Het moge duidelijk zijn: exit voor Kaspersky in Nederland. Maar waar zijn de feiten die deze boycot rechtvaardigden?

Op 5 oktober 2017 verscheen een artikel in de Amerikaanse media: de Wall Street Journal maakte bekend dat een Russische hacker, in 2015 gevoelige informatie had gestolen van de Amerikaanse National Security Agency (NSA). Deze informatie had hij verkregen door gebruik te maken van een (bekend) achterdeurtje in de software van Kaspersky. Deze onthulling zou de opmars zijn voor nog meer verwijten over vermeende spionage-praktijken. Daarnaast nemen de beschuldigingen over inmenging in het bedrijf door de Russische overheid, vanaf die dag een hoge vlucht. Wat volgt laat zich het beste omschrijven als een moderne heksenjacht. Maar dan een heksenjacht zonder een vrouw op een bezemsteel maar een getalenteerde man op een computer in dit geval. Dit is het verhaal van Eugene Kaspersky.

De Nederlandse overheid trekt de stekker uit een bedrijf op basis van aannames en koffiedikkijken

Een doorn in het Grapperhaus-oog Kaspersky is een niet-beursgenoteerd bedrijf dat in 1997 is opgericht in Rusland. Het bedrijf ontwikkelt digitale beveiligingsoplossingen zowel voor het bedrijfsleven als voor consumenten. Het bedrijf maakte al gauw furore met zijn antivisussoftware en veroverde daarmee in korte tijd de hele wereld. Het is dan ook niet verwonderlijk dat overheidsinstanties in binnen- en buitenland de weg vinden naar dit alom geprezen en prijswinnende bedrijf. Wie had ooit gedacht dat beveiligingsexpertise en diepgaande kennis van online dreigingen, Kaspersky op een dag fataal zouden kunnen worden…

Verboden toegang voor onbevoegden

Kaspersky is, als Russisch bedrijf wiens hoofdkantoor is gevestigd in Rusland, wettelijk verplicht om mee te werken aan ‘activiteiten’ van Russische veiligheidsdiensten. Wat die ‘activiteiten’ zijn? Daar zijn de meningen over verdeeld, aldus de zoekresultaten van diverse zoekmachines zoals DuckDuckgo. Desalniettemin was daar ineens de Kamerbrief ‘Voorzorgsmaatregel ten aanzien van gebruik Kaspersky antivirussoftware’. Minister Grapperhaus gaf in die brief aan dat de Russische “antivirussoftware diep in de systemen zit” waardoor “misbruik een groot veiligheidsrisico kan vormen”. Want, zo wordt geredeneerd: “misbruik kan niet worden uitgesloten”. Grapperhaus gaat er volledig aan voorbij dat antivirussoftware er JUIST op is ontwikkeld om diep in de systemen te dringen om te doen waarvoor het wordt aangeschaft: indringers buitensluiten!

Vakkundig de nek omgedraaid

Over welke ‘feiten’ die een grootschalige boycot als deze rechtvaardigt, hebben we het? Ferme ambtelijke taal over ‘nationale veiligheid die in gevaar is’ en ‘het treffen van voorzorgsmaatregelen’ vragen immers om ferme bewijzen. Desondanks komt de minister niet verder dan “dat er geen concrete gevallen van misbruik in Nederland bekend zijn”. En ondanks dat er geen onderzoek is dat bijvoorbeeld heeft aangetoond dat Rusland misbruik maakt van de positie van Kaspersky én dat er geen achterdeurtjes zijn gevonden in de geïnstalleerde antivirussoftware op de desbetreffende systemen, besluit Rutte III om Kaspersky vakkundig de nek om te draaien. De Nederlandse overheid trekt dus de stekker uit een bedrijf op basis van aannames, koffiedikkijken, adviezen die niet met de buitenwereld worden gedeeld en doet daar verder geen mededelingen over anders dan dat het een “voorzorgsmaatregel betreft om de nationale veiligheid te waarborgen”.

Grapperhaus gaat er volledig aan voorbij dat antivirussoftware er JUIST op is ontwikkeld om diep in de systemen te dringen

Wereldwijde boycot

Inmiddels heeft Kaspersky wereldkundig gemaakt het hoofdkantoor te verhuizen naar Zürich in Zwitserland in de hoop zo de tsunami aan negativiteit achter zich te kunnen laten. Maar of dat genoeg is om de wereldwijde boyot, die inmiddels zijn intrede ook in Nederland heeft gedaan, het hoofd te bieden, moet in de toekomst blijken. Anno 2018 lijkt de bekende kreet van weleer terug te zijn van weggeweest: “Liever een raket in mijn tuin, dan een Rus in mijn keuken!” Of in dit geval: in een computer.

Mary-Jo de Leeuw is als cybersecurityexpert verbonden aan Revnext waar zij associate partner is. Daarnaast is zij onder andere voorzitter Algemeen Bestuur van de Cyberwerkplaats. Zij houdt zich daarnaast onder andere met het platform Internet of Toys bezig met standaardisatie en keurmerken van connected toys, vraagstukken op het snijvlak van wet- en regelgeving en privacy-issues. Mary-Jo of ‘Mario’ naar het gelijknamige computerspel, is van jongs af aan gefascineerd door de wereld van nullen en enen.

[Dit artikel is eerder gepubliceerd in het magazine ChannelConnect 4 2018]

Lees het artikel hier in PDF