Kaspersky Lab: telkens weer die beschuldigingen van spionage

Computerbeveiliging

Kaspersky Lab is groot in internetbeveiliging. Maar geruchten over banden met de Russische staat blijven het achtervolgen. Vanwaar die angst? En waar blijven de harde bewijzen?

Kaspersky-medewerkers achter hun bureaus en in de bedrijfssportschool op het hoofdkantoor in Moskou. Foto’s Alexander Zemlianichenko Jr./Bloomberg

Op de doos van de eerste uitgave van het antivirusprogramma van softwarebedrijf Kaspersky Lab prijkte Michelangelo’s David. Het was 1997, het internet was in opkomst en er was dringend behoefte aan software om computers mee te beveiligen. De keuze voor David als mascotte was geen toeval, vertelde oprichter Jevgeni Kaspersky vorig jaar in een blog. „Kaspersky Lab was een klein en jong bedrijf dat vanuit het niets de handschoen opnam tegen de gevestigde internationale veiligheidsmarkt. Door de jaren zijn de dozen veranderd, maar wat niet is veranderd is onze David-heid.”

De Russische ondernemer Kaspersky mag zich dan graag identificeren met de bijbelse underdog – met 400 miljoen gebruikers in 37 landen wist hij zijn bedrijf uit te bouwen tot een echte Goliath.

Als er een grote cyberaanval is, zoals de recente wereldwijde aanvallen met gijzelingssoftware, staan medewerkers van Kaspersky Lab steevast vooraan bij onderzoek en opsporing. Het was Kaspersky Lab dat het virus dat onlangs onder meer containerterminals in Rotterdam platlegde, als één van de eersten identificeerde.

Met een mondiaal marktaandeel van zo’n 4 procent staat Kaspersky volgens onderzoeksbureau OPSWAT in de top-tien van grootste internetbeveiligingsbedrijven. Het heeft een jaaromzet van zo’n 600 miljoen euro en 3.700 medewerkers in dienst. Ook in Nederland is het een speler van formaat, al ontbreken exacte cijfers. „We beveiligen in Nederland bijvoorbeeld systemen in ziekenhuizen, de transportsector en de agrarische sector”, vertelt Benelux-directeur Martijn van Lom. Het bedrijf werkt ook samen met het Team High Tech Crime van de Nationale Politie. Het levert volgens Van Lom diensten aan Europol, Interpol en Europese opsporingsdiensten en overheden.

Ondanks het succes, broeit er iets rond het bedrijf. Waar de naam Kaspersky valt, worden steeds vaker vraagtekens geplaatst bij de banden van het bedrijf in thuisland Rusland, onder meer met de Russische regering.

Wantrouwen

De combinatie Rusland en cybercrime roept nou eenmaal achterdocht op, en dat merkt Kaspersky. Zeker in de VS, waar sinds de verkiezingen het wantrouwen tegen alles wat Russisch is tot een hoogtepunt is gestegen. In Washington klinkt sinds een tijdje zelfs de roep om overheden te verbieden nog gebruik te maken van diensten van het bedrijf.

Waar komt die angst vandaan? En is er bewijs?

Al vele jaren gaan in hackerskringen geruchten over warme banden tussen Kaspersky en de Russische overheid. In 2015 publiceerde persbureau Bloomberg een controversieel artikel waarin Kaspersky wordt gelinkt aan de Russische veiligheidsdiensten. Volgens een uitgelekt e-mailgesprek van Kaspersky heeft het bedrijf de afgelopen jaren Russische managers aangetrokken die nauwe banden onderhouden met de Russische inlichtingendiensten GROe en FSB. Ook zouden zij actief betrokken zijn bij strafrechtelijke onderzoeken van de geheime dienst. Daarbij zouden gebruikersdata van de wereldwijde clientèle van Kaspersky-software worden gebruikt.

Ook Jevgeni Kaspersky zelf zou op goede voet staan met de Russische diensten: „Als hij niet op reis is, mist hij zelden een banja [sauna-avond] met een groep van vijf tot tien mensen, onder wie normaal gesproken ook Russische veiligheidsmensen”, zo schreef Bloomberg indertijd.

In 2017 volgde een tweede artikel van Bloomberg waaruit zou blijken dat Kaspersky producten voor de FSB ontwikkelde en dat Kaspersky-medewerkers agenten vergezelden tijdens invallen.

Kaspersky zelf reageerde met een harde ontkenning. „De ziekte om Kremlin- complottheorieën te verspreiden heeft journalisten van Bloomberg bereikt”, schreef hij op zijn blog. „Het is lang geleden dat ik een artikel las dat vanaf de eerste alinea zó inaccuraat was. Een groot deel van dit materiaal is gewoon vals. Speculaties, aannames en oneerlijke conclusies, gebaseerd op verkeerde feiten.”

Bloomberg baseert zijn beschuldigingen op uitgelekte geluidsopnames van Kaspersky en e-mails tussen hem en collega’s, maar volgens Kaspersky zijn die uit hun verband gerukt.

„Het zou kunnen dat ik soms een saunagebouw bezoek waar tegelijk ook medewerkers van de inlichtingendienst zijn, maar ik ken ze niet”, volgens een verklaring van Kaspersky. Hij noemt alle suggesties dat er in de banja geheime zaken worden besproken met geheime diensten misleidend. „We hebben met geen enkele overheid onoorbare banden”.

In een interview met NRC gaf Jevgeni Kaspersky wel toe dat zijn bedrijf regelmatig samenwerkt met de FSB, maar niet op een verkeerde manier. „We zijn een cyberbedrijf, dus moeten we wel samenwerken met de cyberpolitie en cyberautoriteiten. Dat doen we wereldwijd: in Europa, Azië, Amerika, overal. Ook in Rusland. Maar in het nieuws staat: ‘Kaspersky heeft nauwe banden met de FSB.’ Ja, dat klopt wel, maar als klant, en niet anders.”

Lees ook het NRC-interview met Jevgeni Kaspersky:
‘Russen zijn de beste hackers van de wereld’

Stiekem doorspelen

Kaspersky zelf ontkent misstanden, maar zijn samenwerking met de FSB en GROe roept wel degelijk vragen op. Want wat gebeurt er met de gegevens die Kaspersky verzamelt in de systemen die het beveiligt? Hoe weten we zeker dat die niet stiekem doorgespeeld worden aan Russische pottenkijkers – misschien zelfs zonder medeweten van Kaspersky zelf? En: zitten er achterdeurtjes in de software die bepaalde (Russische) virussen expres doorlaten?

„Leugens!” schrijft Kaspersky over die aantijgingen in zijn blog. Volgens hem worden gegevens van klanten alleen geanonimiseerd doorgegeven aan centrale systemen van het bedrijf, omdat dat helpt bij de analyse van dreigingen. Hij ontkent met klem dat er achterdeurtjes in de software zitten of dat zijn bedrijf gevoelige data doorspeelt aan Russische diensten. „Het risico op privacyschending is nul.”

Een woordvoerder van Kaspersky zegt dat hij herhaaldelijk heeft aangeboden om officiële verklaringen af te leggen, vragen te beantwoorden en mee te werken aan nadere onderzoeken om bezwaren uit te sluiten. „We hebben zelfs onze broncode aangeboden voor onderzoek. Hier is nooit positief op gereageerd.”

Harde bewijzen voor misstanden ontbreken inderdaad, ondanks de vele onderzoeken, verdachtmakingen en beschuldigingen. In mei maakte de Amerikaanse geheime dienst NSA in een hoorzitting van de Senaat bekend een onderzoek te zijn gestart naar Kaspersky-software en de relatie van het bedrijf met de Russische overheid. Een maand later bezochten FBI-agenten medewerkers van het bedrijf en verklaarden Amerikaanse senatoren een verbod te willen instellen op gebruik van Kaspersky-producten door het Amerikaanse leger.

Het voelt alsof we een pion zijn in een geopolitiek spel waar we zelf geen invloed op hebben

Martijn Van Lom, general manager Benelux Kaspersky

Er is veel rook, maar vuur lijkt telkens te ontbreken.

„Ik begrijp de angst in de VS wel hoor, gezien het politieke klimaat”, zegt general manager Benelux Martijn Van Lom van Kaspersky. „Maar het is het domste wat we als securitybedrijf zouden kunnen doen. Onze business valt of staat met betrouwbaarheid. Als er een ingebouwde achterdeur gevonden zou worden, dan betekent dat de doodsteek voor je bedrijf.” Volgens Van Lom wordt beveiligingssoftware vaak uitgebreid getest op lekken voordat een grote organisatie er gebruik van gaat maken. Hoe meer Kaspersky onder een vergrootglas ligt, hoe onwaarschijnlijker het is dat er onontdekte achterdeurtjes meekomen met de software. „Het blijven speculaties die door angst zijn gedreven. Het voelt alsof we een pion zijn in een geopolitiek spel waar we zelf geen invloed op hebben”, zegt Van Lom.

Oleg Demidov, cyberexpert bij de onafhankelijke Russische denktank PIR-center, ziet in de verhalen rond Kaspersky’s FSB-connecties eveneens een politiek verhaal. „Het zijn geruchten die rondgaan in de IT-sector en worden verspreid op conferenties en hackathons.”

Ook Demidov wijst erop dat er geen enkel hard bewijs is dat Kaspersky informatie doorspeelt aan het Kremlin. Wel wijst hij erop dat Rusland sinds de sancties een ‘eigen-leveranciers-eerst’ beleid voert, waardoor concurrenten als Microsoft in Rusland in het nauw komen en Russische bedrijven meer opdrachten binnenhalen – ook van de overheid. Volgens hem wordt de discussie politiek uitgebuit in Washington. Demidov: „Dat is een effectief, maar giftig middel.”

Cyberaanvallen

Waar of niet, de beschuldigingen rondom Kaspersky laten zien hoe overheden in een steeds protectionistischer (en digitaal onveiliger) wereld worstelen met internationale software. Bij steeds meer cyberaanvallen duiken aanwijzingen op dat overheden een rol spelen. Zo zijn er bewijzen voor hacks door groepen gelieerd aan overheden van onder meer Rusland, de Verenigde Staten, China en Iran. Banden met overheden liggen voor technologiebedrijven altijd gevoelig.

Studenten, activisten, criminelen: Poetins cybersoldaten hebben vele gezichten. Lees ook: Wie zijn de Russische cybersoldaten?

In welke systemen Kaspersky in Nederland precies zit, is moeilijk vast te stellen. Bedrijven houden samenwerking vaak geheim. Bovendien levert Kaspersky beveiligingssoftware die standaard wordt geïnstalleerd op populaire netwerkapparatuur. Op servers en routers van grote leveranciers als Juniper, BlueCode en Check Point draait stilletjes Kaspersky-software. Dat gebeurt vaak onder licentie, en is dus niet altijd gemakkelijk als zodanig te herkennen. Lang niet elke klant van Kaspersky Lab weet dat hij klant is.

Leveranciers van IT-veiligheidsdiensten aan overheden worden in Nederland ook niet apart getoetst op banden met andere overheden. Wel is de zogeheten ARBIT-2016 van toepassing: de algemene rijksvoorwaarden bij IT-overeenkomsten. Daarin staan vereisten rondom zaken als geheimhouding, de verwerking van persoonsgegevens en beveiligingsprocedures. Het ministerie van Binnenlandse Zaken, dat gaat over de IT-inkoop, wil geen verdere details geven over de screening van leveranciers, omdat dat te veel zou prijsgeven over de beveiliging van cruciale overheidssystemen. Of de AIVD onderzoek doet naar Kaspersky wil de inlichtingendienst niet zeggen, omdat die nooit ingaat op eventueel lopende zaken.

„Het is een zeer lastige discussie,” zegt cybersecurity-onderzoeker Sico van der Meer van Instituut Clingendael. „Ja, er zijn zorgen over Kaspersky. Maar ook Amerikaanse softwareleveranciers hebben soms banden met geheime diensten. We weten dat de Amerikaanse overheid bij veel Amerikaanse bedrijven kan meekijken. Er zijn ook Israëlische cybersecuritybedrijven die zijn voortgekomen uit het leger.” Banden met de overheid zijn bepaald niet exclusief voorbehouden aan Russische bedrijven.

Eén manier om zeker te zijn dat softwareleveranciers totaal onafhankelijk zijn van buitenlandse inlichtingendiensten, is zorgen dat overheden alleen nog maar Nederlandse leveranciers mogen gebruiken. Maar het is zeer de vraag hoe wenselijk, en realistisch, dat is. De Nederlandse marktleider Fox-IT, is immers sinds de overname door het Britse NCC in 2016 immers ook niet ‘echt’ Nederlands meer.

„Voor goede beveiliging zijn nou eenmaal buitenlandse leveranciers nodig”, aldus Van der Meer van Clingendael. „Je zou natuurlijk alleen software uit bevriende landen kunnen gebruiken. Maar ook dan is niet gezegd dat het waterdicht is.”

Kaspersky blijft intussen natuurlijk graag zaken doen met overheden en bedrijven in Nederland. Sterker: de marketingmachine van het bedrijf draait sinds kort overuren om een nieuw product aan de man te brengen: Kaspersky OS.

Dat is een beveiligingssyteem dat speciaal bedoeld is om industriële systemen te beveiligen. „Kaspersky OS is zeer geschikt om kritieke infrastructuur te beschermen”, vertelt Van Lom. „Van energiecentrales tot de bediening van belangrijke transportsystemen.” Hij mag niet precies vertellen waar, maar Kaspersky OS wordt al op verschillende plekken in Nederland gebruikt, zegt hij trots.