Kaspersky Lab ziet overheid, KPN en daarmee bedrijfsleven vertrekken

Slecht nieuws voor Kaspersky Lab in Nederland. Nadat de Verenigde Staten en het Verenigd Koninkrijk eerder al besloten om te stoppen met het gebruik van Kaspersky-software, volgt de Nederlandse overheid nu ook. Direct na het bekendmaken van dat besluit volgt ook KPN, een van de grootste IT-dienstverleners in Nederland. Daarmee lijken de problemen voor het Russische bedrijf pas echt te beginnen. 

De reden om te stoppen met het gebruik van Kaspersky-software is gebaseerd op het vermoeden dat er een link is tussen de Russische geheime dienst en Kaspersky Lab. Het bedrijf zou mogelijk via zijn software in staat zijn om data te verzamelen voor de Federale Veiligheidsdienst (FSB), opvolger van de KGB.

Nederland is het derde land dat bekendmaakt te gaan stoppen met het gebruik van software van Kaspersky Lab. Daarnaast adviseert het bedrijven in vitale sectoren, waaronder telecommunicatie, om te stoppen met het gebruik van de software. KPN gaat dat advies opvolgen, maar is momenteel nog druk bezig om alle gevolgen in kaart te brengen.

KPN stelt momenteel in gesprek te zijn met het Nationaal Cyber Security Centrum over dit advies. In de brief waarin minister Grapperhaus (Veiligheid en Justitie) het besluit bekendmaakt aan de Tweede Kamer, wordt geen vermelding gemaakt van bewijs dat Kaspersky Lab samenwerkt met de FSB. Grapperhaus schrijft alleen dat dit mogelijk zou kunnen zijn en dit vanuit een Nederlands perspectief voorkomen moet worden.

Antivirussoftware is verbonden met, en/of heeft rechten over netwerken en systemen en daarmee uitgebreide en diepgaande toegang tot ICT-systemen om computervirussen te bestrijden. Dergelijke software kan echter, vanwege de uitgebreide toegang die deze biedt, ook misbruikt worden om digitale spionage en sabotage mogelijk te maken. Kaspersky Lab is een Russisch bedrijf met haar hoofdkantoor in Rusland en valt daarmee onder Russische wetgeving. Deze wetgeving vereist dat bedrijven zoals Kaspersky de Russische inlichtingendiensten ondersteunen in de uitvoering van hun taken, indien deze diensten daarom vragen.”

Wel laat de Minister in zijn brief weten: Er is kennisgenomen van de aanpak en afwegingen van de Verenigde Staten en het Verenigd Koninkrijk die beiden hebben gewaarschuwd tegen het gebruik van Kaspersky antivirussoftware. Het kabinet heeft een eigenstandige inventarisatie en analyse uitgevoerd op basis waarvan een zorgvuldige afweging is gemaakt.”

Deze inventarisatie en analyse is niet openbaargemaakt en waarschijnlijk uitgevoerd door de geheime diensten in Nederland, mogelijk op basis van informatie van partners uit het buitenland. Of zij wel bewijzen hebben of alleen vermoedens is niet duidelijk. Daarnaast is er ook nog het verhaal van de inlichtingendiensten uit Israël. Die beweerde vorig jaar dat ze real-time Russische overheidshackers aan het werk hebben gezien, waarbij er gebruik zou zijn gemaakt van een zoektool gebaseerd op Kaspersky-technologie. Ook zijn er nog allerlei beschuldigingen geweest, maar echt hard bewijs ontbreekt nog steeds.

Voor Kaspersky is de schade in Nederland enorm groot

Het vertrek van de Nederlandse overheid als klant van Kaspersky is tot daaraan toe, maar nu ook een bedrijf als KPN op advies van de overheid gaat stoppen met de software, worden de gevolgen ineens veel groter. KPN is in Nederland niet alleen een telecomprovider maar ook één van de grootste IT-dienstverleners.

Dat betekent dat alle partijen die op hun beurt weer klant zijn bij KPN waarschijnlijk ook alternatieven aangeboden gaan krijgen voor de Kaspersky-software. Ook zullen veel andere bedrijven de stap van de overheid en KPN mogelijk als voorbeeld zien om te gaan wisselen van beveiligingsoplossing.

Het is niet dat er geen alternatieven zijn, in de beveiligingsmarkt is de keuze aan beveiligingssoftware nog steeds enorm. De markt is verdeeld tussen een twintigtal partijen, bedrijven zullen nu mogelijk hun toevlucht zoeken naar Amerikaanse of Europese dienstverleners. Meest bekende Amerikaanse beveiligingsbedrijven zijn nog altijd Symantec (Norton) en McAfee, in Europa timmeren Avast (Tsjechisch), Bitdefender (Roemenië), G DATA (Duitsland), ESET (Slowakije) en Panda (Spaans) al jaren aan de weg. Trend Micro is in de zakelijke markt ook een opkomend merk. Hoewel dit merk is opgericht in de Verenigde Staten, zit het wereldwijde hoofdkantoor in Japan.

Kasperky Lab voelt zich slachtoffer

Kaspersky laat in een reactie weten teleurgesteld te zijn in het besluit van de Nederlandse overheid en hoopt ze nog op andere gedachten te brengen. “Wij onderkennen als geen ander het belang van het waarborgen van de digitale veiligheid van Nederlandse burgers, overheidsinstanties en de vitale infrastructuur van ons land”, verklaart Kaspersky. Het bedrijf noemt het verontrustend dat een privéonderneming als schuldig kan worden behandeld vanwege geopolitieke problemen.

Kaspersky maakte gisteren bekend zijn kernactiviteiten in Rusland te gaan verhuizen naar Zwitserland, zodat het bedrijf nog transparanter kan zijn. De klantgegevens, software assemblage en dreigingsdetectie-activiteiten worden straks vanuit Zwitserland gedaan.

Kaspersky opent daar tevens een Transparency Center waarin organisaties de broncode kunnen inzien van cybersecurity-producten en -updates. Een onafhankelijke organisatie zal software assemblage verifiëren, om te waarborgen dat software die klanten ontvangen overeenkomt met de broncode die voor audit is verstrekt. Zo wil het bedrijf blijven bevestigen dat zijn producten slechts één belangrijk doel dienen: het beschermen van organisaties tegen cyberbedreigingen.

De minister heeft aan het FD laten weten dat hoewel Kaspersky een deel van de activiteiten naar Rusland verplaatst, het hoofdkantoor in Rusland blijft en de Russische wetgeving van kracht is. Om die reden zal de minister zijn beslissing niet gaan herzien.

Mocht Kaspersky er over enkele maanden alsnog in slagen om de mening van de minister te veranderen, is de schade natuurlijk al aangericht. De imagoschade die het bedrijf met deze beslissing heeft opgelopen is niet te overzien. Dit is een grote marketing- en pr-ramp, die niet zomaar is te herstellen. Het vertrouwen in Kaspersky heeft hoe dan ook een deuk opgelopen. Of Kaspersky Lab nog juridische mogelijkheden heeft om het besluit of het advies van de overheid aan te vechten is niet duidelijk. Hier heeft het bedrijf zelf ook nog geen uitspraken over gedaan.