Het kabinet gaat het gebruik van producten en diensten van security-aanbieder Kaspersky Labs voor de Rijksoverheid uitfaseren. Volgens minister Grapperhaus van Veiligheid & Justitie is het gevaar te groot dat het Russische Kaspersky Labs gecompromitteerd wegens banden met de Russische overheid.
Kaspersky schrijft in een eerste statement zeer teleurgesteld te zijn over het besluit van het kabinet. De security-aanbieder vermoedt dat het slachtoffer is geworden van de verstoorde relatie tussen Rusland en Nederland. De onderneming stelt 'ontstemd en teleurgesteld' te zijn over de handelswijze van de Nederlandse overheid, vooral wegens het ontbreken van enig aantoonbaar bewijs van 'verkeerd handelen'. Kaspersky geeft verder aan dat het nog nooit een regering heeft geholpen met cyperspionage of kwaadwillende cyberactiviteiten.
Grapperhaus heeft de Tweede Kamer maandag 14 mei over de maatregel geïnformeerd. Daarmee volgt Nederland vergelijkbare stappen die eerder door de Amerikaanse en Britse overheid zijn gezet. Grapperhaus adviseert ook bedrijven uit vitale sectoren zoals energievoorziening en telecom om Kaspersky antivirussoftware niet langer te gebruiken.
Groot veiligheidsrisico
De voorzorgsmaatregel wordt genomen omdat antivirussoftware diep in systemen zit en misbruik een groot veiligheidsrisico kan vormen. Russische wetgeving verplicht bedrijven als Kaspersky samen te werken met de Russische overheid. Ook heeft Rusland een actief offensieve cyberprogramma dat onder meer gericht is op Nederland en vitale Nederlandse belangen, aldus een persbericht van V&J.
Bewijs is er dus niet, maar de combinatie van deze factoren maakt dat het kabinet heeft geconcludeerd dat het risico op digitale spionage en sabotage bij de Rijksoverheid en de vitale sector aanwezig is. Kaspersky heeft nog niet gereageerd op het besluit van de Nederlandse overheid. De onderneming is al jaren actief in Nederland, waar onder meer het Benelux hoofdkantoor staat.
Verhuizing deel kernactiviteiten naar Zwitserland
Kaspersky Lab heeft nog niet gereageerd op vragen van Telecompaper. Wel stelt de onderneming in een persbericht dat het zijn kernactiviteiten verhuisd van Rusland naar Zwitserland. Officieel is dit onderdeel van het Global Transparency Initiative en heeft het niets te maken met het losweken van eventuele banden met de Russische overheid of inlichtingendiensten.
Het gaat bij de verhuizing om opslag en verwerking van klantgegevens en software-assemblage, inclusief updates voor dreigingsdetectie. Om volledige transparantie en integriteit te garanderen, laat Kaspersky Lab de te verhuizen activiteiten controleren door een onafhankelijke partij die ook gevestigd is in Zwitserland.
Waarborgen betrouwbaarheid, integriteit
Met het in oktober 2017 aangekondigde Global Transparency Initiative stelt Kaspersky Lab de integriteit en betrouwbaarheid van zijn producten te willen waarborgen. De nu aangekondigde maatregelen bevestigen verder dat het bedrijf wil samenwerken met anderen om de toenemende versplintering in de bedrijfstak tegen te gaan en het afnemende vertrouwen te herstellen. De maatregelen omvatten de verhuizing van gegevensopslag en -verwerking voor een aantal regio's, de verplaatsing van software-assemblage en de opening van het eerste Transparency Center.
Kaspersky Lab bouwt een datacenter in Zürich dat eind 2019 beschikbaar komt. Daar worden alle gegevens opgeslagen van klanten uit Europa, Noord-Amerika, Singapore, Australië, Japan en Zuid-Korea. Deze informatie delen gebruikers vrijwillig via het Kaspersky Security Network (KSN), een geavanceerd cloudsysteem dat data met betrekking tot cyberdreigingen automatisch verwerkt.
Kaspersky Lab gaat verder zijn ‘software build conveyer’ naar Zürich verhuizen. Dit is een set programmeertools om vanuit broncode kant-en-klare software te assembleren. Nog vóór het einde van 2018 worden producten en databases met dreigingsdetectieregels (AV-databases) in Zwitserland geassembleerd en van een digitale handtekening voorzien. Vervolgens wordt de software naar klanten over de hele wereld verspreid.
Toezicht door onafhankelijke organisatie
Met deze verhuizing wil Kaspersky garanderen dat alle nieuwe software geverifieerd kan worden door een onafhankelijke organisatie. Daarmee moet inzichtelijk worden dat de software en de updates die klanten ontvangen, overeenkomen met de broncode die voor audit is verstrekt. Een externe onafhankelijke partij zal de gegevensopslag en -verwerking, de software-assemblage en de broncode monitoren. Zij krijgen de gelegenheid technische softwarereviews uit te voeren.
