Insinuaties rond Kaspersky zijn er eigenlijk altijd geweest. De antivirussoftware van het ‘Russische’ bedrijf werd al in 2017 door een ris landen – waaronder Nederland – in de ban gedaan. Westerse veiligheidsdiensten waren bezorgd dat Kaspersky als vehikel kan worden gebruikt voor Russische cyberaanvallen of daartoe door de Russische inlichtingendiensten kon worden gedwongen. Maar geen van deze diensten heeft die vermoedens kunnen staven. Zijn de zorgen over het bedrijf terecht?

Kaspersky werd in 1997 opgericht in Rusland; het hoofdkantoor van het bedrijf is nog altijd in Moskou gevestigd. De grondlegger en naamgever van het bedrijf, Yevgeny (‘Eugene’) Kaspersky, studeerde cryptografie aan een academie die aan de Russische geheime dienst is gelieerd.

Wereldwijd bedient Kaspersky naar eigen zeggen thans meer dan 400 miljoen klanten

Voordat hij het bedrijf opzette, werkte Kaspersky bij het Russische ministerie van Defensie. In de jaren daarna onderhield hij volgens verschillende westerse media ‘warme banden’ met de Russische inlichtingendiensten, vanuit westers perspectief niet direct de beste achtergrond voor een cybersecurity-mogul. Toch lukte het hem een gerespecteerd en lucratief antivirusbedrijf op te bouwen. Wereldwijd bedient Kaspersky naar eigen zeggen thans meer dan 400 miljoen klanten. Het bedrijf werkte succesvol samen met tal van overheden en opsporingsdiensten, waaronder de Nederlandse politie en Europol.

Knullig incident veroorzaakt kettingreactie

In 2017 kwam de klad in de reputatie van het bedrijf. Eind van dat jaar onthulde The Wall Street Journal dat Russische hackers via de antivirussoftware van Kaspersky gevoelige documenten van de Amerikaanse National Security Agency (NSA) hadden gestolen. Experts noemden het ‘een van de belangrijkste incidenten op veiligheidsgebied van de afgelopen jaren’.

De aanleiding van de diefstal was echter ronduit knullig. Volgens de krant had een NSA-medewerker gevoelige documenten op zijn privé-computer opgeslagen, waarop hij ook een illegale, met malware geïnfecteerde versie van Microsoft Office had staan. Hackers drongen langs die weg zijn computer binnen. Vervolgens gebruikten ze zijn Kaspersky antivirussoftware – die om zijn werk te doen bij praktisch alle computerbestanden moet kunnen – om toegang te krijgen tot de gevoelige documenten, meldde The New York Times.

De NSA-medewerker overtrad meerdere veiligheidsprotocollen, maar in de internationale media ging de aandacht vooral uit naar Kaspersky. Werd hun software door de Russen gebruikt als gesofisticeerd spionagetool? Het Amerikaanse Department of Homeland Security vreesde van wel.

Kwaadwillenden zouden misbruik kunnen maken van de vergaande toegang die de software tot computersystemen verschaft, en zo de nationale veiligheid in gevaar brengen, meldde Homeland Security. Het ministerie sprak daarbij zijn zorg uit over de ‘banden’ tussen Kaspersky-officials en de Russische overheid, en over specifieke Russische wetgeving die het bedrijf kon dwingen mee te werken aan spionage door de geheime diensten. Alle federale overheidsinstanties moesten stoppen met Kaspersky’s antivirussoftware.

Hoewel technisch bewijs achterwege bleef, bracht de Amerikaanse boycot een kettingreactie teweeg. Drie maanden later waarschuwde het Britse National Cyber Security Centre (NCSC) voor de software en enkele weken later besloot de Litouwse regering die op computers met gevoelige informatie te verbieden.

In mei 2018 ging ook het Nederlandse kabinet over tot het weren van deze antivirussoftware uit de systemen van de Rijksoverheid, en adviseerde bedrijven in de vitale sector hetzelfde te doen. In een korte toelichting aan de Tweede Kamer noemde toenmalig minister van Justitie en Veiligheid, Ferd Grapperhaus, praktisch dezelfde overwegingen als de Amerikanen.

Uit de gratie

Het contrast met de situatie voor de boycots is groot. Er zijn altijd vraagtekens geweest over het verleden van Eugene Kaspersky op een ‘KGB-school’, maar desondanks genoten hij en zijn bedrijf een goede reputatie in cybersecurityland.

Zo was ‘antivirus-icoon’ Eugene Kaspersky in 2016 keynote speaker op de jaarlijkse, internationale ONE Conference in Den Haag over cybersecurity. Rond die tijd werkte het bedrijf nauw samen met het Nederlandse Team High Tech Crime, onder meer in de geruchtmakende Coinvault Ransomware-zaak.

De digitale veiligheidsindustrie reageerde in eerste instantie verbaasd op de Amerikaanse boycot

Samen met de Nederlandse politie, Europol en antivirusbedrijf McAfee was Kaspersky in 2016 bovendien het succesvolle No More Ransom project begonnen, dat hulp biedt aan slachtoffers van ransomware en adviezen geeft om zo’n gijzeling te voorkomen. Datzelfde jaar hielp Kaspersky de Amerikaanse NSA zelfs bij het vangen van een mol die jarenlang staatsgeheime informatie aan de Russen had doorgespeeld.

De digitale veiligheidsindustrie reageerde in eerste instantie verbaasd op de Amerikaanse boycot, die in Europa dan ook niet direct gevolg kreeg. In reactie op de hack van de NSA-medewerker noemde de toenmalige Duitse minister van Binnenlandse Zaken de Duitse samenwerking met Kaspersky ‘positief’. De Duitse inlichtingendienst Bundesamt für Sicherheit in der Informationstechnik (BSI) wees op de ‘betrouwbare samenwerking’ met het bedrijf. En in april 2018, een maand voor het Nederlandse verbod, stelde de Eurocommissaris Digitale economie nog dat er ‘geen aanwijzingen’ waren dat het gebruik van Kaspersky’s software gevaarlijk is.

Zelfs de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) leek in 2018 niet overtuigd van de noodzaak Kaspersky ‘uit te faseren’. In zijn boek Het is oorlog maar niemand die het ziet (2019) schrijft Volkskrant-journalist Huib Modderkolk dat bronnen hem vertelden dat de AIVD destijds geen ’belastende inlichtingen’ over Kaspersky aan de minister kon verstrekken. Een ingevoerde bron meldt Follow the Money dat de AIVD niettemin achter het besluit stond.

Een woordvoerder van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) liet deze week weten dat het besluit binnen een omslag in het denken van de Nederlandse inlichtingendiensten past. ‘Er was een ontwikkeling gaande waarbij naast digitale spionage ook digitale sabotage een steeds grotere dreiging werd en statelijke actoren een langetermijnplanning hanteren. Het risico bestond dat de Russische geheime diensten de toegang van Kaspersky’s antivirussoftware tot vitale infrastructuur op een dag als troefkaart inzet voor digitale sabotage.’

‘Veel bombarie’

Het besluit van het kabinet kwam voor ons uit de lucht vallen, zegt Jornt van der Wiel, die bij Kaspersky’s Global Research and Analysis Team werkt. ‘We hoorden dat de NCTV in kaart wilde brengen welke organisaties binnen de Rijksoverheid onze software gebruikten, maar wisten niet waarom. We hebben meteen aangeboden om mee te werken en zelfs inzage te geven in onze software. Maar op dat voorstel is de NCTV nooit ingegaan. Vervolgens werd wel met veel bombarie aangekondigd dat de Rijksoverheid onze software niet meer mocht gebruiken.’ 

‘Een heroverweging van het genomen besluit zou rechtvaardig en in ieders belang zijn’

Het bedrijf liet het er niet bij zitten en schakelde beveiligingsexpert en voormalig onderzoeksjournalist Brenno de Winter in om onafhankelijk onderzoek te doen naar de motivatie van het besluit. De Winter concludeerde destijds dat ‘een heroverweging van het genomen besluit rechtvaardig en in ieders belang zou zijn’.

Dat besluit was gebaseerd op een dreigingsanalyse van de NCTV, die overigens pas na een Wob-verzoek van Pointer openbaar werd. Daarin loopt de NCTV een aantal scenario’s door waarbij Kaspersky, bewust of onbewust, door de Russische overheid kan worden gebruikt voor cyberaanvallen, spionage of sabotage in Nederland. De NCTV merkt daarbij op dat er voor geen van die scenario’s ‘sluitend bewijs te vinden is’ en er ‘geen uitsluitsel gegeven kan worden of Kaspersky op dit moment actief een dreiging vormt voor de Nationale Veiligheid’.

Grapperhaus wijst er in zijn motivatie echter op hij het tegendeel daarvan evenmin kan uitsluiten: ‘Het kabinet wil een dergelijk risico waar mogelijk voorkomen en acht het bovengenoemde als de aangewezen voorzorgsmaatregel.’

‘Matig onderbouwd’

De dreigingsanalyse was ‘matig onderbouwd’, zegt Brenno de Winter tegen Follow the Money. ‘De NCTV baseerde zich op een half dossier uit de VS en verder alleen op wat mediaberichten – “open bronnen”.’

‘Het klopt dat Kaspersky “uitgebreide en diepgaande toegang tot ICT-systemen” heeft,’ vervolgt hij. ‘Maar dat geldt voor alle antivirussoftware. Als de NCTV bang is voor antivirusprogramma’s, zegt dat meer over de mate waarin de instanties binnen de Rijksoverheid en de vitale sectoren hun veiligheid op orde hebben, dan over hoe gevaarlijk de software van Kaspersky is.’ 

Volgens De Winter noemt de NCTV Kaspersky voorts ten onrechte een ‘Russisch’ bedrijf en gaat de organisatie niet in op de vraag wat Kaspersky anders maakt dan andere bedrijven met een vestiging in Rusland. Kaspersky valt volgens De Winter bovendien niet onder de ‘dwingende Russische wetgeving’, waarnaar Grapperhaus en het Amerikaanse Homeland Security verwezen.

Dat de NCTV Kaspersky bij wijze van ‘wederhoor’ pas enkele uren voor het bekendmaken van het besluit informeerde, is ’echt pijnlijk’, vindt De Winter. Het rapport dat hij schreef over het bedrijf werd volgens hem genegeerd. ‘De procedure zat ontzettend slecht in elkaar.’ 

Jornt van der Wiel van Kaspersky voegt toe: ‘De NCTV doet op basis van open bronnen suggesties en aannames, zonder te controleren of wat er over ons is geschreven klopt. Daarop wordt dan, zonder ons te raadplegen, een ban gebaseerd. Het is te bizar voor woorden.’

Pistool op het hoofd

Eén dag na het kabinetsbesluit van 2018 kondigde Kaspersky aan om de data over malware die hun software aantreft op de computers van klanten, voortaan in Zwitserland te zullen verwerken. Volgens het persbericht stond die verhuizing al langer gepland. Sinds november 2018 wordt de data van alle Europese klanten in Zwitserland opgeslagen, een jaar later gold dit ook voor klanten uit de VS en Canada. 

Kaspersky-medewerker Van der Wiel: ‘Onze servers staan in Zwitserland, zodat de Russische overheid, of welke overheid dan ook, er niet zonder onze toestemming bij kan. De servers zijn eigendom van ons Britse moederbedrijf. Vanaf die servers wordt alleen data die nodig is voor research and development met het hoofdkantoor gedeeld. Die data zijn geanonimiseerd en niet te herleiden tot individuele gebruikers of computers.’

Dat hoofdkantoor is echter precies waar het wringt bij Kaspersky: het staat in Moskou, op een half uurtje rijden van het hoofdkantoor van de FSB en op nog geen kwartier van dat van de GROe, de Russische militaire inlichtingendienst.

Daarom is Bart Jacobs, hoogleraar security, privacy and identity aan de Radboud Universiteit, er ondanks de Zwitserse servers niet gerust op. ‘Dat hoofdkantoor in Moskou maakt het bedrijf vatbaar voor druk vanuit de Russische inlichtingendiensten,’ zegt hij tegen Follow the Money. ‘Ook in westerse landen moeten bedrijven meewerken als de overheid inzage eist in bepaalde gegevens. Daarnaast is bekend dat zowel de Israëlische als de Amerikaanse overheid software inzet waarmee gespioneerd wordt. Maar we vinden het in de regel minder erg om door hen te worden bespioneerd dan door Russen of Chinezen.’

Van der Wiel betwist dat de standplaats van het hoofdkantoor de Russen in staat stelt klanten van het bedrijf te bespioneren: ‘Net als in elk ander land hebben wij in Rusland de verplichting om mee te werken aan onderzoeken van de politie. Maar er is voor ons geen inspanningsverplichting om data te verzamelen bij derden.’ Hij vervolgt: ‘Wat mensen vergeten, is dat als bekend zou worden dat wij mee zouden werken aan dat soort verzoeken, dat het einde van het bedrijf betekent. Dat gaan we toch niet doen?’

Jacobs heeft zijn bedenkingen: ‘Een FSB-agent kan een Kaspersky-medewerker met een pistool op het hoofd dwingen hem toegang te geven. Desnoods door hem of haar naar Zwitserland te laten rijden om daar gegevens op te halen. Dat geldt natuurlijk ook voor buitenlandse bedrijven met een regionaal kantoor in Moskou, zoals Microsoft. Maar voor zo’n bedrijf is het veel makkelijker om het Russische regiokantoor op te heffen.’

‘Zo’n bedrijf heeft de morele plicht om duidelijk te maken aan welke overheid ze gehoorzamen’

Jacobs zou het overtuigender vinden als Kaspersky het hoofdkantoor verplaatst, bijvoorbeeld naar Zwitserland. ‘Zo’n bedrijf heeft de morele plicht om duidelijk te maken aan welke overheid ze gehoorzamen. Zeker nu kan een hoofdkantoor in Moskou echt niet meer.’

Desgevraagd laat een woordvoerder van de NCTV aan Follow the Money weten dat Kaspersky’s vertrek uit Rusland aanleiding kan zijn om het advies te heroverwegen. Maar: ‘De vraag is of een verhuizing alleen voldoende is.’

Oorlog in Oekraïne

De verhouding tussen Nederland en Rusland staat al sinds het neerhalen van MH17 in 2014 onder druk, maar sinds de Russische invasie van Oekraïne nemen steeds meer westerse overheden publiek stelling tegen Russische bedrijven. Dat merkt ook Kaspersky.

Neem het summiere advies van de Duitse inlichtingendienst BSI op 15 maart 2022 aan klanten van Kaspersky, in het bijzonder bedoeld voor organisaties die deel uitmaken van de kritieke infrastructuur. Gezien de oorlog in Oekraïne zou er een ‘aanzienlijk risico’ zijn, zo schrijft de BSI, dat een Russisch technologiebedrijf bewust of onbewust door de Russen wordt gebruikt. Diezelfde dienst sprak in 2018 nog van een ‘betrouwbare samenwerking’ met het bedrijf. Na de Duitsers kwamen ook de Italianen, de Fransen en het Amerikaanse telecom-agentschap FEC met een negatief advies over Kaspersky.

Het is niet onverstandig nu het zekere voor het onzekere te nemen en bedrijven uit bepaalde landen uit te sluiten

De Russische agressie in Oekraïne maakt de positie van Kaspersky nog complexer, beaamt Brenno de Winter: ‘De kaarten liggen sindsdien anders. Als je het mij nu vraagt, denk ik ook dat het hoofdkantoor in Moskou reden tot zorg is. Je kunt nooit vaststellen het hoofdkantoor geen toegang heeft tot de servers in Zwitserland. En stel dat ik dat nu zou controleren en alles blijkt in orde, dan kan dat een dag later anders zijn.’

‘Theoretische risico’s uitsluiten’ 

Kaspersky wordt zo steeds meer de dupe van de slechte relatie tussen Rusland en het Westen. Logisch, zegt cybersecurity-expert Matthijs Koot: ‘Voor organisaties die in de vitale sector of met staatsgeheime informatie werken, is het niet onverstandig nu het zekere voor het onzekere te nemen en bedrijven uit bepaalde landen uit te sluiten. Ook zonder concreet bewijs. Stel dat er iets fout gaat via de software van Kaspersky en je hebt niets gedaan, dan heb je ook gefaald. Ook theoretische risico’s moet je nu uitsluiten.’

De woordvoerder van de NCTV onderschrijft dat. ‘Het hoeft maar één keer mis te gaan. Als de antivirussoftware van Kaspersky in de systemen van de Rijksoverheid of vitale sectoren zit en er wordt misbruik van gemaakt door de Russische Federatie, zijn de gevolgen mogelijk niet te overzien. Daarom wilden we die maatregel uit voorzorg nemen.’

Koot vindt overigens wel dat het contrast met de manier waarop Kaspersky een paar jaar geleden werd behandeld, heel groot is: ‘Maar dat komt niet zozeer door Kaspersky, maar door Poetin. De kwaliteit van hun producten heeft nooit ter discussie gestaan. Je zou kunnen zeggen dat Kaspersky het kind van de rekening is.’

Twijfels

Het ‘uitfaseren’ van Kaspersky heeft echter ook nadelen. Neem het internationale No More Ransom-project dat Kaspersky (onbetaald) opzette met onder meer Europol. Nadat het Europees Parlement in 2018 een motie aannam om het bedrijf te boycotten, trok Kaspersky zich uit de samenwerking terug. En vanwege de Nederlandse ban schortte het bedrijf de samenwerking met de Nederlandse politie op.

‘Het is goed je te realiseren dat het Westen zo een belangrijke partner met veel kennis kwijtraakt’

Ook dat is te begrijpen, zegt veiligheidsexpert Koot: ‘Het is goed je te realiseren dat het Westen op deze manier een belangrijke partner met veel kennis kwijtraakt. Dat gaat ten koste van de algehele digitale veiligheid. Daarbij bestaat de kans dat dergelijke boycots juist cyberaanvallen uit Rusland triggeren.’ Eind maart meldde The Wall Street Journal dat zulke overwegingen ertoe hebben geleid dat de Amerikaanse regering verdeeld is over de wenselijkheid om Kaspersky sancties op te leggen.

De uitstekende reputatie van het bedrijf is niet opgewassen tegen de geopolitieke consequenties van Poetins beleid. De technisch directeur van het Britse NCSC vatte het dilemma inzake het gebruik van Kaspersky’s software vorige maand goed samen: ‘We hebben geen bewijs dat de Russische staat van plan is Russische commerciële producten of diensten te gebruiken om de Britse belangen te schaden. Maar de afwezigheid van bewijs is geen bewijs van afwezigheid.’

Zolang Kaspersky er niet in slaagt alle twijfels weg te nemen, zal het Westen het zekere voor het onzekere nemen.