Kaspersky Lab: We kunnen natuurlijk niet zeggen: nóu, laat maar zitten zo!

Martijn van Lom

01-07-2019 | door: Dick Schievels
Deel dit artikel:

Kaspersky Lab: We kunnen natuurlijk niet zeggen: nóu, laat maar zitten zo!

Kaspersky Lab heeft een turbulent jaar achter de rug. Mei 2018 besloot Nederland Kaspersky’s antivirussoftware bij de Rijksoverheid uit te faseren zónder dat besluit van een inzichtelijke argumentatie te voorzien. Nu de Europese Commissie onlangs in een officiële verklaring liet weten geen bewijs gevonden te hebben voor onethisch gebruik van Kaspersky Lab-producten, lijkt het vertrouwen gerechtvaardigd dat onze overheid haar beslissing nog eens zorgvuldig heroverweegt.

Martijn van Lom hééft dat vertrouwen, zoals hij direct aan het begin van ons gesprek duidelijk maakt. Ook wat zijn eigen positie binnen Kaspersky betreft heeft hij een turbulente periode achter zich. In april 2018, net voor de betreffende kwestie begon te spelen, maakte hij de overstap van Managing Director Benelux naar Hoofd Marketing Europa. In november werd hij echter alweer tijdelijk teruggevraagd op zijn oude post, om vervolgens een paar maanden later (begin dit jaar) te worden benoemd tot General Manager Noord-Europa met, naast de Benelux, ook het Verenigd Koninkrijk, Ierland en de Scandinavische landen in zijn portefeuille.

Speelbal
Nu de eerste stofwolken rond zijn bedrijf zijn neergedaald, krijgt Van Lom eindelijk tijd om eens rustig terug te blikken op wat hem en zijn bedrijf allemaal is overkomen het afgelopen jaar. Hij schetst een situatie waarin Kaspersky Lab een speelbal lijkt te zijn geworden van een ondoorzichtig geopolitiek krachtenspel. “Ik ben tien jaar geleden begonnen bij Kaspersky en heb het bedrijf hier helpen op- en uitbouwen. Als er dan opeens vanuit het niets door de overheid zo’n besluit wordt genomen, dan raakt je dat echt. Want ineens gaat iemand een mening hebben over iets wat jij hebt opgebouwd, en ook nog zonder dat hij helder wil of kán maken wat daaraan ten grondslag ligt. Dat geeft je echt wel een drive om dat recht te zetten.”

Onafhankelijk onderzoek
Omdat de overheid, ook na diverse verzoeken om nadere uitleg, zich grotendeels hulde in stilzwijgen, verzocht Van Loms bedrijf Brenno de Winter (expert op gebied van informatiebeveiliging, privacy en ICT) een onafhankelijk onderzoek uit te voeren. “Om in ieder geval van onze kant er alles aan te doen zo goed mogelijk boven water te krijgen wat er nu precies aan de hand is”, aldus Van Lom. Een eerste versie van het daaruit voortgevloeide onderzoeksrapport verscheen in november 2018, waarna in april dit jaar een tweede en tevens definitieve versie van het rapport werd gepubliceerd.

Dat hier ook écht onafhankelijk onderzoek is verricht, mag blijken uit De Winters vooraf gestelde eis dat Kaspersky Lab zich committeert om: alle medewerking te verlenen, zich niet met de inhoud te bemoeien, geen druk uit te oefenen op het vlak van observaties, en op voorhand akkoord te zijn dat het rapport door De Winter openbaar wordt gemaakt ongeacht diens bevindingen. De Winter maakte voor zijn onderzoek gebruik van beschikbare documentatie, relevante openbare bronnen en verificatie van bevindingen bij experts. Daarnaast voerde hij een inspectie uit bij het Transparency Center van Kaspersky Lab in Zürich, Zwitserland, waar de broncode van de antivirussoftware door gebruikers kan worden bekeken.

Schrijnend
Uit De Winters reconstructie en analyse van het kabinetsbesluit om de Kaspersky-antivirussoftware te weren bij de Rijksoverheid – op 14 mei 2018 in de betrokken bekendmakingsbrief aan de Tweede Kamer aangeduid als ‘voorzorgsmaatregel’ – blijkt allereerst overtuigend dat de Nederlandse regering diverse steken heeft laten vallen. Zowel bij de beargumentering van, als de communicatie óver de betreffende maatregel. Maar de volgens Van Lom misschien wel meest in het oog springende en tegelijk meest schrijnende conclusie in De Winters onderzoeksrapport is de constatering dat het genomen kabinetsbesluit niet alleen voor Kaspersky Lab maar ook voor de Nederlandse maatschappij zélf schadelijk is.

Van Lom legt uit: “Wij zijn een partij die in het verleden ter bestrijding van malware-incidenten altijd de samenwerking heeft gezocht met overheidsinstanties, zoals bijvoorbeeld de Nederlandse politie. En mét succes, zoals iedereen met kennis van zaken in het verleden heeft kunnen constateren. Daarin hebben we altijd héél veel tijd geïnvesteerd. En dat zijn geen uren die je factureert, dat is om je land veiliger te maken. Dat valt nu allemaal abrupt weg. Dat is allemaal stil komen te liggen.” De Winters constatering illustreert in zijn ogen dan ook hoe een goed bedoelde, maar slecht doordachte maatregel ter bescherming van de Nederlandse burger tegen malware, in de praktijk precies het omgekeerde bewerkstelligt. “Terwijl de politie op dit vlak eigenlijk alleen maar effectief kan zijn op basis van dit soort publiek-private partnerships. Daar draait bij hen alles om. Partijen zoals wij zien dingen, melden dat, en zij kunnen ermee door.”

Toekomstperspectief
Van Lom ziet, ondanks Kaspersky’s reputatieschade die de omstreden maatregel onmiskenbaar heeft veroorzaakt, de toekomst positief tegemoet. “De betreffende maatregel is een jaar geleden genomen en gebaseerd op drie observaties. Alle drie uitgangspunten hebben wij ondertussen weerlegd. Ons is bevestigd dat als de omstandigheden veranderen, dat aanleiding kan zijn voor de Nederlandse overheid om een nieuwe afweging te maken. En in die fase van veranderingen zitten we nu.”

Zijn bedrijf heeft volgens hem met name interessante nieuwe informatie aangedragen betreffende de vraag of een bedrijf als Kaspersky Lab wel of niet wettelijk verplicht kan worden mee te werken met de Russische inlichtingendiensten. “De Zweedse hoogleraar Kaj Hobér van het ‘Institute for Russian and Eurasian Studies’ heeft dat voor ons uitgezocht en geeft aan dat de interpretatie op dat vlak door de Nederlandse overheid echt verkeerd is geweest. Hetgeen ook is verwerkt in de onlangs verschenen definitieve versie van De Winters onderzoeksrapport.”

Juridische stappen?

“We kunnen natuurlijk niet zeggen: nóu, laat maar zitten zo!”, zegt Van Lom tot slot. “We zitten niet stil en zijn, naast de correspondentie met de overheid, ook met de Vaste Kamercommissie van Justitie en Veiligheid in gesprek.” Hij verwacht op korte termijn terugkoppeling op de door zijn bedrijf aangedragen extra informatie. “Het is nu wel duidelijk geworden dat de kaders ontbreken voor dit soort specifieke situaties”, stelt hij vast. “Dat merk je op het moment dat je eigenlijk niet goed weet waar je tegen moet vechten. Daarom sturen we nu aan op een raamwerk. Niet alleen voor ons, maar ook voor andere partijen, want dit kan natuurlijk ieder bedrijf overkomen. En het blijft in deze context ook opmerkelijk dat landen als België, Duitsland en Frankrijk, en ook de Europese Commissie, tot de conclusie komen dat er wat hen betreft met Kaspersky niets onrustbarends aan de hand is.”

Rest tot slot de vraag of Kaspersky eventueel ook nog juridische stappen overweegt. Van Lom: “Die mogelijkheid hebben we altijd nog. We zijn nu echter in gesprek. En als je in gesprek bent, dan schort je dat soort plannen even op.”

Auteur: Dick Schievels

Terug naar nieuws overzicht
Security