De Nederlandse overheid heeft elke vorm van samenwerking met Kaspersky Lab Benelux geweigerd in de aanloop naar het besluit om antivirussoftware van de security-aanbieder bij rijksoverheden uit te faseren. De financiële gevolgen van het besluit zijn nog onduidelijk, maar de reputatieschade is groot. Dat stelt Harco Enting, algemeen directeur van Kaspersky Lab Benelux, in reactie op vragen van Telecompaper.
Op 14 mei maakte minister Grapperhaus van Veiligheid en Justitie bekend dat rijksoverheden het gebruik van antivirussoftware van het Russische Kaspersky Lab gaan uitfaseren. Volgens V&J is het gevaar te groot dat het Russische Kaspersky Labs gecompromitteerd wegens banden met de Russische overheid. Grapperhaus adviseert organisaties die vitale diensten leveren (zoals energie en communicatie) om dezelfde stappen te nemen.
Rusland is de afgelopen jaren meermaals beschuldigt van hackaanvallen op doelen in westerse landen. Daaronder grootschalige malware-aanvallen in 2017. De ook deze week aangekondigde verhuizing van een deel van de activiteiten van Kaspersky van Rusland naar Zwitserland doet aan de verplichte samenwerking tussen Kaspersky en de Russische overheid niets af, meent Grapperhaus. De Nederlandse overheid zou de beslissing zelfstandig genomen hebben, niet in reactie op vergelijkbare besluiten van de Amerikaanse en Britse overheden.
Overheid hield boot af
“Wij waren ervan op de hoogte dat de overheid bezig was met een inventarisatie onder overheidsorganisaties en bedrijven in de vitale infrastructuur,” vertelt Harco Enting. “Wij hebben diverse keren via mail en telefonisch contact opgenomen om onze hulp aan te bieden, inzicht te bieden in onze processen en onze source code etc. en een dialoog te starten. De overheid heeft echter de boot afgehouden totdat het onderzoek was afgerond en een beslissing was genomen. Wij werden over de beslissing 3 uur voor de bekendmaking geïnformeerd.”
Het is volgens de Kaspersky Lab Benelux-directeur nog lastig om de directe en indirecte gevolgen van het overheidsbesluit te bepalen. Het is nog maar net gebeurd en de komende tijd zal uit moeten wijzen wat de gevolgen zijn op onder meer financieel gebied. “Maar uiteraard is er sprake van grote reputatieschade omdat de onterechte indruk wordt gewekt dat Kaspersky Lab geen betrouwbare software producten levert, terwijl velerlei wereldwijde onderzoeken van onder meer marktanalist Gartner het tegendeel bewijzen. Wij zullen ook zeker omzetschade lijden. Hoeveel is nu nog moeilijk in te schatten. In de VS hebben we hier flink last van gehad. In de VK in mindere mate.”
'Besluit schaadt hele sector'
Bovendien schaadt het besluit volgens Enting de gehele cybersecurity sector. Zo stelt Grapperhaus dat het gevaar van hacken via Kaspersky’s software groot zou zijn omdat het diep in de ICT-systemen van overheidsdiensten zit. “Collega cybersecurity bedrijven leveren ook software die in de haarvaten van systemen doordringt en afkomstig is uit landen met andere wetgeving.”
De overheid stelde in een kamerbrief over haar besluit dat er altijd mogelijkheden zijn om op termijn het besluit te heroverwegen. Kaspersky Lab heeft de Nederlandse overheid in ieder geval aangeboden volledige openheid van zaken te geven. Dat betreft tot klantenbestanden, softwarebroncodes of andere relevante inzichten die kunnen helpen bij het zorgvuldig, snel en vooral betrouwbaar in kaart brengen van de inzet van Kaspersky Lab oplossingen binnen de vitale infrastructuur.
Enting; “Verder hebben we benadrukt dat we graag met elkaar in gesprek blijven, ook gezien de wereldwijde ontwikkelingen waarbij Kaspersky Lab in het kader van haar Global Transparency Initiative kernactiviteiten verhuist van Rusland naar Zwitserland. Het opslaan en verwerken van klantgegevens, software assemblage en opsporingsactiviteiten vinden vanaf eind 2018 niet langer in Rusland plaats, maar in Zwitserland.”
Overheid op langere termijn overtuigen
In Zurich bouwt Kaspersky Lab ook een Transparency Center waarbij organisaties volledige inzage krijgen in de broncodes van de software. Een externe onafhankelijke partij zal de gegevensopslag en -verwerking, de software-assemblage en de broncode monitoren. Kaspersky Lab stelt te garanderen dat door de verhuizing naar Zwitserland alle nieuwe software geverifieerd kan worden door deze onafhankelijke organisatie. Daarmee wordt inzichtelijk dat de software en de updates die klanten ontvangen, overeenkomen met de broncode die voor audit is verstrekt. Enting: “We hopen hiermee de overheid te kunnen overtuigen op de lange termijn.”
Kaspersky werkt in Nederland via kanaalpartners. Volgens Enting zijn er al direct vragen vanuit het kanaal gekomen over de gevolgen, zoals van partners met veel overheidscontracten. “We zijn direct proactief de dialoog gestart met onze partners om eventuele zorgen weg te nemen en vragen – die er uiteraard waren - te beantwoorden.”
Beperken schade bij klanten vitale sectoren
Verder bekijkt Kaspersky de mogelijkheden om verdere schade – zoals bij klanten in vitale sectoren – te beperken. “Kaspersky Lab realiseert zich terdege dat je als bedrijf voortdurend moet blijven investeren in vertrouwen en transparantie, stelt Enting. “Dat zal dus ook zeker nu gelden voor onze klanten in vitale sectoren. Allereerst zullen wij de dialoog met hen aangaan om zorgen weg te nemen en vragen te beantwoorden. Met ons Global Transparency Initiative en de verhuizing naar Zwitserland hopen we hen te overtuigen. Verder hebben we ook onze bug bounty rewards verhoogd naar maximaal 100.000 dollar per gevonden kwetsbaarheid in onze software.”
