Cyberbeveiligingsbedrijf Kaspersky neemt ons op rondleiding door zijn transparency center in Zürich. Het is het negende center van het bedrijf dat zich hierop, maar heeft door enkele coronajaren nog maar enkele bezoekers over de vloer gehad. Toch vindt het bedrijf het belangrijk om de centers open te houden: “We ondervinden veel geopolitieke tegenslag”, vertelt Yuliya Shlychkova, hoofd Global Public Affairs bij Kaspersky.
Kaspersky vond het tijd om zijn jaarlijkse summit opnieuw te laten doorgaan. “Nu de situatie met corona het opnieuw toelaat”, klonk het officieel bij het bedrijf, al zal de precaire situatie rondom het bedrijf er ook voor iets tussen zitten.
De bussen staan nog voor de eerste zonnestralen tussen de bergen kunnen doorschieten klaar om een groepje van ongeveer twintig journalisten op rondleiding te sturen naar het transparency center. Voor die gelegenheid ontvingen we eerder in de maand een uitnodiging voor een korte reis naar Zürich in Zwitserland. Onze tocht leidt ons naar de rand van het centrum, waar we tussen de industriegebouwen mogen uitstappen.
Kleine interesse
Het transparency center in Zürich is één van de negen centrums dat Kaspersky bouwde. Ondanks de opening die al in 2018 plaatsvond, brachten nog maar 57 bedrijven en overheidsmedewerkers een bezoek aan het gebouw. Daar zit natuurlijk een periode van beperkt bezoek tussen, als gevolg van de coronamaatregelen.
De ontvangst in een transparency center is niet met cava of toast, als bezoeker onderga je namelijk een veiligheidscheck voordat de toegang je wordt verleend. Wij krijgen enkel een bezoekerspas na ID-controle. Daar waren de PR-medewerkers goed van op de hoogte, dus werden we om de oren geslingerd met de vraag of we zeker onze identiteitskaart op zak hadden. Geen enkele journalist bleef achter om de bus te bewaken en we maakten onze tocht door het transparency center. De lift stond voor ons klaar en een gangetje bracht ons naar het lokaaltje van Kaspersky.
Transparant en uniek
“In ons transparency center ontvangen we partners, klanten of overheidsmedewerkers”, vertelt Yuliya Shlychkova, hoofd Global Public Affairs bij Kaspersky. Voornamelijk die laatste categorie blijkt Kaspersky hopen te mogen ontvangen. “We bouwden ons centrum om zorgen weg te nemen bij overheidsinstellingen over ons bedrijf. We ondervinden veel geopolitieke problemen om makkelijk te kunnen opereren.”
We kijken niet verbaasd op over die uitspraak. Kaspersky is een van oorsprong Russisch bedrijf en wordt daarom door veel democratische overheden in dezelfde schuif gestopt als het Chinese Huawei. “Er is geen garantie dat Russische spionage niet mogelijk is via de producten”, luidt de redenering. De Russische invasie in Oekraïne maakte de zaken er verder al helemaal niet beter op. Bedrijven besloten hun handel in Rusland dicht te gooien, nog voordat daar een officiële verplichting toe was en bedrijven die opereren in Europa maar een hoofdzetel hebben in Rusland, zitten nog steeds op de pijnbank.
Transparency centers zijn geen standaard onder cyberbeveiligingsbedrijven. Heel wat partijen besparen zich de moeite die het aan veiligheidsprotocollen met zich meeneemt. Alle ruimtes moeten bewaakt worden via camera of beveiliging en het gebouw mag niet zomaar te betreden zijn. Kaspersky zal zich niet enkel op digitaal vlak met de beveiliging moeten bezighouden, maar heeft nu ook een fysieke locatie die afgeschermd moet zijn voor mensen met kwaadaardige bedoelingen.
Desillusie
Wat we ons doorgaans voorstellen van een center zijn verschillende hallen waarin we allerlei geschiedenis of informatie kunnen vinden. Het center dat we nu bezoeken is in die optiek wel erg compact. We nemen plaats aan een tafel waar acht comfortabele stoelen met brede armleuningen rondstaan. Vooraan installeren twee Kaspersky-werknemers hun PowerPoint-presentaties. Rondom die presentaties en twee Dell-monitors blijkt het hele center te draaien.
“Hier in ons center krijgen bezoekers de kans om de source code van alle on-prem toestellen te bekijken. De andere activiteiten waarmee we transparant willen zijn in onze manier van werken, kunnen we enkel vertellen. We werken namelijk nog met derde partijen om beoordelingen over onze producten te maken, we hebben een bug bounty program, we brengen regelmatig rapporten uit over onze activiteiten en leiden overheidsmedewerkers of andere bezoekers op om source code-reviews uit te kunnen voeren”, horen we van Shlychkova. Zij draagt de presentatie voor over het ‘transparency initiative‘ die alle bezoekers in het transparency center te horen krijgen.
Opereert vanuit Rusland
Daarna neemt Igor Kumagin, cyberbeveiligingsexpert bij Kaspersky, het woord. Hij toont hoe een source code er eigenlijk uitziet. Normaal start na de presentatie namelijk de source code review voor de bezoekers, maar met slechts twee daarvoor bestemde computers zal dat niet mogelijk zijn vandaag.
Ons oog valt op de documentatie in het Russisch en daarna pas in het Engels die voor iedere code voorzien wordt. “Het oorspronkelijke team van ontwikkelaars is nog steeds gevestigd in Rusland”, verklaart Kumagin. “Ieder onderdeel van de code wordt wel aan een review onderworpen voordat het live gaat”, snelt Shlychkova hem te hulp. “Deze reviews beperken zich niet tot Rusland, maar vinden via ons internationaal team plaats.”
De oorspronkelijke roots van het bedrijf zijn door de politieke spanningen geen verleden tijd geworden bij Kaspersky. Dat zien we ook op LinkedIn, waar 2.412 werknemers zeggen in Rusland te wonen. In totaal zijn er 3.807 werknemers van het bedrijf bekend op de socialemediasite.
Onvoldoende daadkracht
Kaspersky probeert met een transparency center geruststelling te bieden aan democratische landen en zijn klantenbestand. Als Russisch bedrijf in Europa heeft het bedrijf het maar moeilijk om dat vertrouwen ook werkelijk voor zich te winnen. Een transparency center blijkt onvoldoende daadkracht te hebben om in dat opzicht te slagen. Dat zien we bijvoorbeeld in ons eigen land, waar het bedrijf een centrum opende in Utrecht. Dat veranderde niets aan het verbod op Kaspersky-software van de Nederlandse overheid.
Lees ook: Kaspersky Lab ziet overheid, KPN en daarmee bedrijfsleven vertrekken
Het bedrijf probeert de rug recht te houden, maar kan zelf maar een klein publiek naar zijn transparency center lokken. Publicaties uitlokken om een groter publiek met zijn initiatief te bereiken, zien we beter als een laatste poging om het publiek te overtuigen van de oprechtheid van het bedrijf.