Terwijl buurlanden waarschuwen voor Russische antivirussoftware, begint België aan advies

Terwijl alle buurlanden waarschuwen voor de antivirussoftware van het Russische Kaspersky, aarzelt ons land. ‘Het risico is sinds de oorlog enkel toegenomen’, zegt cyberexpert Bart Preneel.

N-VA heeft de antivirussoftware van de 500 laptops van de partij vervangen. De reden: het Kaspersky-programma is van Russische makelij.

“We weten niet of er datalekken zijn, maar gezien de waarschuwingen uit andere landen, is het niet meer dan logisch om die licenties stop te zetten, ook al komt dat met een stevige kostprijs”, zegt Kamerlid Michaël Freilich.

ANSSI, het Franse agentschap voor cyberveiligheid waarschuwde begin maart voor de potentiële risico’s van Kaspersky-software. Een week later volgde de Duitse tegenhanger.

Sommige landen gaan verder. Italiaanse overheidsdiensten zetten alle contracten met Kaspersky stop. In Nederland is er al een Kaspersky-verbod voor overheidsdiensten sinds 2018 “met het oog op het waarborgen van de nationale veiligheid”.

Kaspersky reageert telkens met een statement waarin staat dat de ongerustheid gebaseerd is op geopolitiek, eerder dan op technische bekommernissen. Min of meer zeggen de waarschuwende landen hetzelfde.

De Nederlandse minister van Justitie heeft onlangs de dreigingsanalyse uit 2018 bekendgemaakt. Daarin staat dat er geen concrete bewijzen zijn dat Kaspersky “actief een dreiging vormt voor de nationale veiligheid”. Toch acht de overheid het verbod nodig, omdat Kaspersky “waarschijnlijk door de Russische overheid gedwongen wordt om samen te werken”.

Zo zou Russische wetgeving Kaspersky kunnen verplichten om bepaalde informatie te delen, tegen de wil van het bedrijf.

“Ook China en de VS hebben dergelijke wetgeving en dat is objectief gezien een risico”, zegt beveiligingsexpert en KU Leuven-professor Bart Preneel. “Sinds de oorlog in Oekraïne is dat risico enkel groter. Poetin heeft zijn controle over bedrijven aangescherpt, en wie die software heeft, moet er rekening mee houden. Ik zou het elke overheidsdienst afraden.”

Russische sauna

De bezorgdheid is zo groot omdat antivirussoftware ver doordringt in besturingssystemen. Het neemt de volledige controle over, kan uw camera overnemen, kan bepaalde malware toelaten en is geconnecteerd met de cloud. “Je moet dat bedrijf kunnen vertrouwen”, zegt Preneel.

Exact hetzelfde zei oprichter Eugene Kaspersky in 2017 over zijn eigen bedrijf. Toen kwam aan het licht dat zijn bedrijf belangrijke gegevens in handen had van de Amerikaanse inlichtingendienst NSA. Dat datalek was de aanleiding voor het Nederlandse verbod, uit voorzorg.

Om het vertrouwen te herstellen verplaatste Kaspersky de holding naar het Verenigd Koninkrijk en de servers naar Zwitserland. “Maar alle onderzoek en ontwikkeling zit nog in Moskou”, zegt de Vlaamse cyberexpert Eddy Willems.

Hij werkt nu voor een Duitse concurrent van Kaspersky, maar kent de oprichter persoonlijk. Tussen 2008 en 2010 maakte Willems deel uit van het expertenteam van Kaspersky.

“Eugene heeft me eens uitgenodigd in de banja, een Russische sauna”, zegt Willems. “Er zijn verhalen dat hij in de banja oude KGB-vrienden zou spreken, maar dat is quatsch.”

Eugene Kaspersky begon als cryptograaf bij de KGB en leerde zijn eerste vrouw kennen op een vakantieverblijf van de KGB, in 1987. Tien jaar later startten de twee Kaspersky Lab.

“Ik vertrouw Eugene, zijn bedrijf en hun product, maar ik vertrouw Poetin niet”, zegt Willems. “Poetin kan elk moment eisen dat ze een achterpoortje in de software installeren, zodat zijn diensten toegang krijgen.”

Wat doet België?

Terwijl andere landen in maart waarschuwingen uitstuurden, of verboden invoerden, begon bij ons het Centrum voor Cybersecurity (CCB) aan een advies. Drie maanden later ligt het voor bij de veiligheids- en inlichtingendiensten. Cijfers over het aantal Kaspersky-licenties zijn er niet. Elke overheidsdienst is vrij, al zijn er bij de federale overheid wel overlegplatformen waarin het centrum kan sensibiliseren.

Willems heeft weet van verschillende politiediensten die Kaspersky gebruiken. Vakblad Computable deed enkele jaren terug een onderzoek waaruit bleek dat Kaspersky de op een na grootste speler was binnen de Belgische overheid.

“Onbegrijpelijk dat ons land zo nonchalant omgaat met cyberveiligheid en geen waarschuwing stuurt naar ondernemingen en de eigen diensten”, zegt Kamerlid Freilich. Samen met Theo Francken zet hij deze maand een resolutie op de agenda die vraagt dat de overheid een lijst opstelt van hoogrisicoleveranciers.

Voor hen is het probleem breder dan Kaspersky, gezien de recente berichten over Chinese technologie, zoals de HikVision-camera’s in onze gemeenten en Huawei-routers bij defensie. N-VA haalt de mosterd voor die lijst bij de Secure Equipment Act van Amerikaans president Biden, die apparatuur van Chinese bedrijven uitsluit in het telecomnetwerk in de VS. Sinds 25 maart is voor het eerst een niet-Chinees bedrijf aan die lijst toegevoegd: Kaspersky Lab.

Minister van Justitie Vincent Van Quickenborne (Open Vld) zei eerder dat hij vreest dat zo’n lijst neerkomt op verdoken protectionisme. De federale regering werkt aan een screeningsmechanisme dat nagaat of buitenlandse investeringen in strategische sectoren geen veiligheidsrisico betekenen. “Een soortgelijk initiatief zal worden opgestart om de veiligheidsrisico’s te evalueren bij overheidsopdrachten, dus ook IT”, zegt de woordvoerder van premier De Croo (Open Vld).