Rijksoverheid neemt afscheid van Kaspersky antivirus software

Kaspersky antivirussoftware die in gebruik is bij instellingen van Rijksoverheid wordt uitgefaseerd. Dit meldt Minister Grapperhaus (Justitie en Veiligheid) aan de Tweede Kamer. Om de nationale veiligheid te waarborgen heeft het kabinet besloten het gebruik van Kaspersky antivirussoftware uit te faseren voor het Rijk en de vitale sector geadviseerd hetzelfde te doen. Kaspersky Lab Benelux is op de hoogte gesteld.

In een brief informeert de minister over de voorzorgsmaatregel die door het kabinet is genomen ten aanzien van het gebruik van antivirussoftware van Kaspersky Lab. “Met deze brief informeer ik uw Kamer over de voorzorgsmaatregel die door het kabinet is genomen ten aanzien van het gebruik van antivirussoftware van Kaspersky Lab. Het zorgelijke beeld op het terrein van digitale dreigingen heeft, met het oog op het waarborgen van de nationale veiligheid, geleid tot aangescherpte afwegingen ten aanzien van het gebruik van digitale producten en diensten. In dat kader heeft het kabinet bepaald dat, als voorzorgsmaatregel, Kaspersky antivirussoftware bij de Rijksoverheid zal worden uitgefaseerd.”

Defensie

Bedrijven en organisaties met vitale diensten en processen en bedrijven die vallen onder de Algemene Beveiligingseisen Defensie Opdrachten (ABDO) worden geadviseerd hetzelfde te doen, aldus de minister. “Aanleiding voor deze stap door het kabinet zijn zorgen ten aanzien van nationale veiligheidsrisico´s die het gebruik van Kaspersky antivirussoftware met zich mee kan brengen. Het kabinet wil deze risico’s waar mogelijk voorkomen. Antivirussoftware is verbonden met, en/of heeft rechten over netwerken en systemen en daarmee uitgebreide en diepgaande toegang tot ICT-systemen om computervirussen te bestrijden. Dergelijke software kan echter, vanwege de uitgebreide toegang die deze biedt, ook misbruikt worden om digitale spionage en sabotage mogelijk te maken.”

Infrastructuur

Kaspersky Lab is een Russisch bedrijf met haar hoofdkantoor in Rusland en valt daarmee onder Russische wetgeving, aldus Grapperhaus. “Deze wetgeving vereist dat bedrijven zoals Kaspersky de Russische inlichtingendiensten ondersteunen in de uitvoering van hun taken, indien deze diensten daarom vragen. De Nederlandse inlichtingen- en veiligheidsdiensten geven in hun jaarverslagen aan dat is geconstateerd dat de Russische Federatie al jarenlang zeer aanzienlijke capaciteiten in het digitale domein ontwikkelen. De Russische Federatie heeft een actief offensief cyberprogramma dat onder meer is gericht op Nederland en Nederlandse belangen. De software waar het hier om gaat in combinatie met de Russische wetgeving en offensieve cybercapaciteiten, maakt dat het kabinet heeft geconcludeerd dat het risico op digitale spionage en sabotage bij de Rijksoverheid, de Nederlandse vitale infrastructuur en ABDO-bedrijven via de antivirussoftware van Kaspersky aanwezig is.”

Software

Hoewel er geen concrete gevallen van misbruik in Nederland bekend zijn, kan dit niet worden uitgesloten zo schrijft Grapperhaus aan de Tweede Kamer. “Het kabinet wil een dergelijk risico waar mogelijk voorkomen en acht het bovengenoemde als de aangewezen voorzorgsmaatregel. Deze voorzorgsmaatregel ziet alleen op het gebruik van de antivirussoftware van Kaspersky binnen de Rijksoverheid, de vitale infrastructuur en ABDO-bedrijven, en dus niet op andere producten of diensten van dit bedrijf. Er is kennisgenomen van de aanpak en afwegingen van de Verenigde Staten en het Verenigd Koninkrijk die beiden hebben gewaarschuwd tegen het gebruik van Kaspersky antivirussoftware. Het kabinet heeft een eigenstandige inventarisatie en analyse uitgevoerd op basis waarvan een zorgvuldige afweging is gemaakt. De betrokken partijen binnen de Rijksoverheid, de vitale infrastructuur en ABDO-bedrijven worden respectievelijk door de NCTV en Defensie geïnformeerd. Zij worden gewezen op de afwegingen die het kabinet heeft doen besluiten om deze software niet langer te gebruiken en het advies om Kaspersky antivirussoftware uit te faseren.“

Kaspersky Lab is op de hoogte gebracht van deze maatregel van het kabinet. “Wanneer de omstandigheden die aanleiding geven tot deze stap veranderen, kan dat aanleiding zijn voor de Nederlandse overheid om een nieuwe afweging te maken ten aanzien van het gebruik van de antivirussoftware van Kaspersky Lab”, zo besluit Grapperhaus.

Update 15-5-2018: Kaspersky Lab Benelux meldt in een reactie:

Kaspersky Lab is zeer teleurgesteld over het besluit van de Nederlandse regering om het gebruik van onze cybersecurity software uit te faseren als voorzorgsmaatregel voor vrees dat onze software gebruikt zou worden voor spionagedoeleinden. Wij onderkennen als geen ander het belang van het waarborgen van de digitale veiligheid van Nederlandse burgers, overheidsinstanties en de vitale infrastructuur van ons land. Niet voor niks strijden wij al meer dan 20 jaar met succes tegen cyberspionage en cybercriminele activiteiten. Het lijkt erop, dat ons bedrijf slachtoffer is van geopolitieke ontwikkelingen. Wij zijn ontstemd en teleurgesteld omdat geen enkel aantoonbaar bewijs van verkeerd handelen publiekelijk is gepresenteerd door iemand of een organisatie om dergelijke beslissingen te rechtvaardigen. Kaspersky Lab heeft nog nooit een regering in de wereld geholpen met cyberspionage of kwaadwillende cyberactiviteiten en het is verontrustend dat een privé-onderneming als schuldig kan worden behandeld vanwege geopolitieke problemen.

 Tegelijkertijd realiseren we ons terdege dat vertrouwen essentieel is in de cybersecurity. Kaspersky Lab begrijpt tevens dat vertrouwen geen vanzelfsprekendheid is en je als bedrijf voortdurend moet blijven investeren in vertrouwen en transparantie. Als onderdeel van ons zogeheten wereldwijde Global Transparency Initiative dat in het najaar van 2017 is aangekondigd, hebben wij besloten onze kernactiviteiten te verhuizen van Rusland naar Zwitserland. Klantgegevens, software assemblage en dreigingsdetectie-activiteiten verhuizen vanaf eind dit jaar naar het Zwitserse Zurich. Daar wordt ook een Transparency Center geopend waarin organisaties de broncode kunnen inzien van cybersecurity producten en updates. Software assemblage wordt geverifieerd door een onafhankelijke organisatie. Daarmee wordt gewaarborgd dat software die klanten ontvangen, overeenkomt met de broncode die voor audit is verstrekt. Om te blijven bevestigen dat Kaspersky Lab producten slechts één belangrijk doel dienen: organisaties beschermen tegen cyberdreigingen.

Wij zijn ervan overtuigd dat de verplaatsing van onze kernactiviteiten naar Zwitserland de Nederlandse regering zal overreden hun besluitvorming te herzien. Kaspersky Lab staat open voor een dialoog om vragen te beantwoorden en bezwaren weg te nemen."- toe te schrijven aan Kaspersky Lab.