Minister houdt Kaspersky-verbod bij Rijksoverheid in stand

Het verbod op het gebruik van Kaspersky Antivirus bij de Nederlandse Rijksoverheid blijft in stand. Minister Yeşilgöz schrijft dat er geen aanleiding is dat verbod te herzien. De minister maakt voor het eerst ook de dreigingsanalyse openbaar, nadat haar voorgangers dat lang tegenhielden.

Dilan Yeşilgöz van Justitie en Veiligheid schrijft in een brief aan de Tweede Kamer dat ze documenten openbaar maakt over de dreigingsanalyse van de antivirussoftware van Kaspersky. Het gaat om een onderzoek uit 2018. De overheid besloot toen dat de antivirussoftware niet meer mocht worden gebruikt, 'met het oog op het waarborgen van de nationale veiligheid'. De exacte reden dat dat werd besloten, bleef altijd onbekend. De overheid zei dat ze een risicoanalyse had gemaakt waarin het potentiële gevaar van Kaspersky stond beschreven, maar die werd nooit openbaar gemaakt.

KRO-NCRV-programma Pointer vroeg eerder al via een beroep op de Wet openbaarheid van bestuur om het rapport openbaar te maken, maar dat weigerde toenmalig minister Ferd Grapperhaus. In januari oordeelde de Afdeling bestuursrechtspraak van de Raad van State dat de overheid het rapport alsnog moest openbaren. Dat heeft Yeşilgöz nu gedaan.

In het rapport staat dat er geen concrete aanwijzingen zijn dat het gebruik van Kaspersky echt een risico oplevert voor Nederland. "Op dit moment is geen sluitend bewijs te vinden in open bronnen voor één of meerdere van de scenario's en kan er daarom geen uitsluitsel gegeven worden of Kaspersky op dit moment actief een dreiging vormt voor de Nationale Veiligheid", staat in het rapport. Wel staat daarin dat Kasperky 'waarschijnlijk door de Russische overheid gedwongen wordt om samen te werken, maar dat eigenlijk niet wil'. Daarnaast is het ook 'waarschijnlijk dat Kaspersky geïnfiltreerd en gecompromitteerd is of wordt door een andere overheid' dan de Russische. In het rapport staat daarnaast dat ook andere antivirussoftware met dezelfde risico's te maken heeft, maar 'wat het AV-bedrijf Kaspersky Labs onderscheidt van ieder ander AV- of cybersecuritybedrijf, is de wetgeving die in Rusland geldt voor bedrijven die met cryptografische producten werken'.

Door Tijs Hofmans

Nieuwscoördinator

03-03-2022 • 15:23

58

Reacties (58)

58
57
28
1
0
10
Wijzig sortering
Gevalletje "Better safe than sorry"
Yup en terecht ook als je het mij vraagt. Het is een te groot risico als het wel fout zou gaan.
Precies, en daar is mijns inziens niets mis mee. Maar zeg dat dan gewoon als overheid en doe niet zo schimmig over dat rapport. Dit is goed uit te leggen. Nu slaat de oud-minister echt een flater vind ik. Niet geloofwaardig.
Gebruik van antivirus, leert soms dat, verdachte of onbekende files naar een cloud worden gestuurd. En dat is een veiligheidsrisico.
Tja, die verdachte of onbekende files onbeheerd (en vaak onwetend) op de computer laten staan is ook geen beste optie. Better of two evils?
Het is verdacht voor de AV, kan gewoon normale files zijn die de gebruiker zelf heeft aangemaakt. Dus hoezo two evils dan? Volgens mij was er een tijdje terug een hele gedoe dat staatsgeheimen waren geupload naar de cloud door zo'n software. Weet even de juiste woorden niet om naar de bron te zoeken. Iemand die het nog weet?
https://www.theguardian.c...pirating-microsoft-office
Kaspersky Lab does not dispute that it discovered hacking tools on the computer of a user of one of its consumer antivirus products. But the timeline it lays out is one of multiple serious security errors on the part of the user, believed to be an NSA contractor.
De VS noemt de naam v/d NSA contractor en NSA spyware 'staatgeheimen'.
Tnx dat was hem ja. Maar dat was dan wel daadwerkelijk spyware, alleen had het liever dus niet geupload geworden.

Mijn geheugen heeft me in de steek gelaten. Dat NSA de spyware staatsgeheimen heeft genoemd heeft dus gewerkt.
Prachtige, niet onderbouwde schreeuw om maar iets te roepen. Het versturen van bestanden naar een cloud omgeving om een krachtige analyse uit te voeren kan desgewenst worden uitgeschakeld. Dit doen Anti-malware vendoren voor omgeving waar extra gevoelige informatie wordt afgehandeld.

Het is dan weer beter voor de "groepsimmuniteit" dat niet iedereen dit uit zet omdat je dan een essentieel onderdeel van de analyse mist. En dan kunnen mensen weer gaan roepen dat "Anti-malware niet meer doet dan hashes vergelijken" en je met 1 byte aanpassen er langs kan komen.
De feature kan worden uitgezet, maar in de meeste tests blijkt dat moderne antivirus zwaar leunt op hun cloud-analyses. Denk aan het automatisch spawnen van containers om bestandstoegang te monitoren en zware AI-analyse die een klein laptopje niet snel genoeg kan doen.

Deze cloud-analyse is bijzonder geavanceerd maar is daarmee ook de achilleshiel van veel antivirusproducten. Als je de cloud-functies uitzet, denk ik dat het beter is om naar een vertrouwd alternatief over te stappen.
Dat gaat enkel op voor volledig nieuwe bestanden. Als jouw bestand al bij een andere gebruiker de cloud analyse in is gegaan is het niet meer nodig dat datzelfde bestand ook bij jou naar de cloud gaat. Vandaar mijn stuk over "groepsimmuniteit". Je kan vaak wel cloud resultaten binnen halen zonder zelf bestanden er naar toe te zenden.
Zelfs dat gedeelte gaat niet altijd offline, vaak wordt er alsnog een hash gestuurd die informatie over je systeem kan lekken. Dat is de reden dat de automatic sample submission ook niet iedere exe die je tegenkomt weer linea recta naar je antivirusboer stuurt, er is een mix van offline en online lookups on te kijken of zo'n sample "nieuw" is. Dit is natuurlijk minder ingrijpend dan de hele exe uploaden, maar ook daarmee geef je informatie prijs over je computer (en netwerk).

Niet ieder virus komt zo 1-2-3 in de offline-definities. Een SHA-256 en MD5-hash opsturen kan je megabytes per update en een enorme hoeveelheid rekenkracht schelen, dus voor de meeste mensen is dat ook overduidelijk de beste optie. Als je met gevoelige gegevens werkt, wil je misschien niet dat je antivirusbedrijf weet dat je KwetsbaarEnterpriseProduct 2006 gebruikt, want dat soort informatie kan tegen je gebruikt worden!

Zet je álle cloud-opties uit, dan raak je ook de extra samples kwijt en ben je afhankelijk van de handtekeningen die wel in de offline-updates worden verspreid. Dat zijn normaal natuurlijk de meest belangrijke, maar afhankelijk van je setup loop je wel altijd een uur of een dag tot een week achter op de rest van de wereld.

[Reactie gewijzigd door GertMenkel op 22 juli 2024 13:28]

Dat ligt er ook maar net aan met welke leverancier je in zee gaat en welke contracten worden afgesloten. Ze gebruiken echt geen huis-tuin-en-keuken AV pakketten, daar zijn aanbestedingen en contracten voor afgesloten. Als in die contracten wordt opgenomen dat er geen data verstuurd mag worden naar de leverancier, dan zullen ze dat ook niet doen als ze geen imagoschade en financiële schade willen lijden.
Dat geldt tegenwoordig voor zo ongeveer elk antivirus software: Ongekende en onbekende bestanden met een bepaalde signatuur worden naar de centrale gestuurd om daar nader te worden onderzocht.

Wel is het de vraag naar welke centrale en welke reputatie heeft die. Dat moet naar mijn idee voor elke antivirus en andere beveiligings software worden nagezien.

Voor antivirus software gaat het er niet alleen om dat mijn bestanden die kant op worden gestuurd, maar ook dat de bestanden die worden gekeurd ook netjes worden afgekeurd als dat nodig is en niet gecontroleerd tocht als 'veilig' worden beschouwd.
Gebruik van een webbrowser leert dat er ook bestanden van internet gedownload kunnen worden naar je computer zonder inspraak. Zou maar oppassen.
Gebruik van een webbrowser leert dat er ook bestanden van internet gedownload kunnen worden naar je computer zonder inspraak. Zou maar oppassen.
En vergeet ook niet dat andere gevaar: dat persoonsgegevens (IP adres) zonder voorafgaande toestemming naar de google fonts server gestuurd worden :+ 8)7
Onderzoek uit 2018. Kaspersky heeft de laatste jaren toch het nodige gedaan om wat aan het (onverdiende?) imago te doen. Zoals het verhuizen van Europese data naar Zwitserland.

- https://www.kaspersky.com/transparency-center

Als privégebruiker blijf ik vooralsnog KIS gebruiken.
Waarom verhuizen naar Zwitserland? Zet het dan binnen de EU neer of doe het echt goed en ga naar IJsland.
Omdat daar ook het gros van de poet staat geparkeerd? :+ /s
Omdat de eu ook niet te vertrouwen is. Zwitserland is het neutraalste land dat men in Europa kan vinden.
Hoi!

Hier een reactie van iemand die bij Kaspersky werkt en die bij beide rechtszaken aanwezig was. Allereerst is het mooi dat de dreigingsanalyse is gepubliceerd. Dit zodat wij, maar ook anderen, hier een mening over kunnen vormen. Nu is het tenminste duidelijk waarom we een bedreiging *zouden* zijn.

Ik heb het document zelf een tweetal keer gelezen, maar een grondige analyse vergt nog wat tijd. Wel kan ik b.v. zeggen dat het uploaden van bestanden alleen plaats vindt indien de gebruiker hier mee akkoord gaat. Stel, iemand zet de KSN uit dan krijgen wij de bestanden niet te zien. Ook is het zo dat in een zakelijke omgeving de endpoints niet verbonden zijn met de KSN, maar slecht het "SecurityCenter" zoals wij dat noemen. Het is zelfs mogelijk om te zien welke bestanden er naar de KSN worden geupload via het security center. En zo kan ik nog wel een tijdje doorgaan.

Sorry dat ik op dit moment niet een uitgebreidere en sterkere reactie kan geven, maar daarvoor moet eerst het document grondig geanalyseerd worden.
No offense,
maar aangezien het bedrijf waar voor jij werkt, het onderwerp van gesprek is,
weet ik niet of jij helemaal onafhankelijk bent...

Ook niet omdat ik/we niet weten in welke hoedanigheid je hier Kaspersky vertegenwoordigt
(en of je uberhaupt bij Kaspersky werkt. Wellicht ben je aan het trollen..)
Als je twijfelt of ik bij Kaspersky werk, zoek maar op Jornt v.d. Wiel Kaspersky dan kom je genoeg tegen. Of stuur me een PM met je e-mail, dan kan ik je vanaf mijn kaspersky e-mail adres een mail sturen.

Onafhankelijk tja nee natuurlijk niet. Daarom kan je het beste zelf de dreigingsanalyse lezen, mijn commentaar en dan zelf je conclusie trekken.
Daarnaast is het ook 'waarschijnlijk dat Kaspersky geïnfiltreerd en gecompromitteerd is of wordt door een andere overheid' dan de Russische.
Welke andere overheid wordt hier bedoeld?
Hier een paar redenen op een rijtje om op te letten met Kaspersky:

1) Kaspersky heeft diverse banden met de Russische FSB, waaronder dat de Kasperskies mensen van de FSB zijn. 2) Kaspersky geeft aan dat alle data in handen van de Russische overheid zou moeten zijn. 3) Kaspersky is dan ook verboden om te gebruiken binnen bepaalde overheids organisaties. 4) Kaspersky heeft in het verleden dubieuze technieken gebruikt, waarmee gebruikers bespioneerd kunnen worden. 5) Volgens Anonymous (@LiteMods) host Kaspersky Russische progaganda websites. 6) Vanwege de oorlog wordt of is de export op bepaalde Russische technologie verboden. 7) Vanwege de oorlog zijn er santies op een aantal Russische oligarchen. De Kasperskies behoren tot de welvarenste oligarchen van Rusland. 8 ) Diverse organisaties kiezen er om om ethische redenen zich los te koppelen Rusland op het gebied van sport, evenementen, economie, financieel, toerisme etc.

[Reactie gewijzigd door Cyb op 22 juli 2024 13:28]

2) Kaspersky geeft aan dat alle data in handen van de Russische overheid zou moeten zijn.
Knap dat de Russische overheid die data kan hebben, aangezien Kaspersky alle data in Zwitserland bewaart.
https://www.kaspersky.com/transparency-center

[Reactie gewijzigd door TheVivaldi op 22 juli 2024 13:28]

Ik zeg niet dat de Russische overheid die data heeft. Ik zeg dat Kaspersky (Eugene en/of Natalya) vinden dat alle persoonlijke data in handen van de Russische overheid zou moeten zijn.
Dat data ergens in een datacenter in Zwitserland wordt bewaard, betekent uiteraard niet dat Rusland er dan niet bij zou kunnen.
Dat data ergens in een datacenter in Zwitserland wordt bewaard, betekent uiteraard niet dat Rusland er dan niet bij zou kunnen.
Dat betekent het wel, want dan zal een Zwiterse rechter eerst toestemming moeten geven en dat doen ze daar niet zomaar. Of Rusland moet de servers hacken, maar dan hebben ze helemaal de poppen aan het dansen door apparaten in een neutraal land te hacken.
Nee, het ligt anders: als Zwitserland bekend maakt dat 'n land iets gehackt heeft dan zijn ze hun neutrale status kwijt. De neutraliteit handhaven betekent voor ict absolute veiligheid en privacy. Einde verdienmodel!
Dat zeg ik: dan zijn de poppen aan het dansen.
Rusland heeft geen toestemming gevraagd om Oekraine binnen te vallen. Jij denkt dat ze toestemming aan Zwitserland gaan vragen als ze via Kaspersky Rusland toegang tot die data willen hebben?
Lees ook mijn laatste zin.
Mijn punt is dat ze niet hoeven te hacken. Ze vragen het gewoon aan Kaspersky Rusland, waar ze goede banden mee hebben, en waar tevens Kaspersky nota bene zelf vindt dat de Russische overheid het zou moeten hebben.

[Reactie gewijzigd door Cyb op 22 juli 2024 13:28]

Maar Kaspersky heeft helemaal geen toegang tot die data, dus hoe zie je dat dan precies voor je?
Jij denkt dat Kaspersky geen toegang meer heeft tot de data op zijn eigen servers? Dat wat services naar een datacenter in Zwitserland zijn verhuist, betekent niet dat niemand buiten Zwitserland meer toegang tot die data/servers heeft.
Of ze lopen gewoon een kantoor binnen in Rusland, vragen om login gegevens met het dreigement anders je familie iets aan te doen.
Dat de data is Zwitserland staat bekend niet dat er vanuit Rusland geen toegang is.
dat ook andere antivirussoftware met dezelfde risico's te maken heeft
Dus Kaspersky heeft een hoger risico vanwege de Russische naam ...

De wetgeving van elk land zorgt ervoor dat geen enkel product veilig is. Misschien 2 producten van verschillende landen die elkaar in de gaten houden. ( het zal wel teveel gevraagd zijn dat onze IT security een eigen virus beveiliging ontwikkeld)

Rest een voorstel voor open source, zodat een deskundige overheidsdient zelf kan checken of er dreiging vanuit gaat.
"Dus Kaspersky heeft een hoger risico vanwege de Russische naam ..."

Nee, Kaspersky heeft een hoger risico omdat het bedrijf, vanwege de aard van de Russische dictatuur en wet, niet geacht kan worden genoegzaam onafhankelijk te kunnen opereren.

Datzelfde geldt overigens ook voor bedrijven als Huawei. We gaar er hier in het Westen van uit dat zulke bedrijven niet per se zelf kwaadwillend zijn, maar nu eenmaal gedwongen onder invloed staan van overheden die ons wel kwaadgezind zijn.
In dat opzicht hoe kunnen we de USA dan ook vertrouwen die na Snowden een bewezen track record hebben van infiltratie in hardware.

Sterker nog je kan je ook ze vraag stellen moeten bedrijven in de USA volgens de wet meewerken of zijn er medewerkers die het als een patriottische daad zien achterdeurtjes voor de overheid in te bouwen.

Wie kun je dan nog vertrouwen ?
Omdat er in de VS een onafhankelijke rechtsgang is die de rechten van individuen en bedrijven waarborgd. Ik weet ook wel dat de NSA afluistert, etc, etc. Alleen in het Westen kun je verhaal halen. In Rusland of China eindig je in een kamp. Vraag maar aan de Hong-Kongers wat er gebeurt met je als je een andere mening hebt dan Xi.
Dat is in grote lijnen gelukkig zo, maar geldt dan wel voor binnen de VS grenzen. Als het niet uitkomt doen ze het buiten de landsgrenzen ik kan je het boek Guantánamo Diary aanraden. De VS, net als veel westerse partner landen laten vaak het smerige werk opknappen door bevriende regimes, of zoals in het geval van Mohamedou Ould Slahi gewoon buiten de jurisdische grenzen, maar toch relateif lekker dicht bij. En overigens staat bovenstaande 'incident' niet op zichzelf.
Ik denk niet dat je verhaal kunt halen als een inlichtingendienst, informatie uit bijvoorbeeld Google ophaalt. Er is volgens mij geen inzicht wanneer en bij wie dit gebeurt. De USA denken het recht te hebben bij alle Amerikaanse bedrijven alle informatie op te vragen. Het enige verschil is dat het belang van USA en ons belang dichter bij elkaar liggen.
Nou... ook in de VS vindt er toetsing door een rechter plaats wanneer een dienst een opvraging doet.
die kan je ook niet vertrouwen. daarom kiest ons bedrijf voor zoveel mogelijk opensource en van EU bodem.
De eigenlijke vraag is: Wie wil je vertrouwen?
Helemaal niemand als je de ander moet geloven. ;-)
Datzelfde geldt overigens ook voor bedrijven als Huawei. We gaar er hier in het Westen van uit dat zulke bedrijven niet per se zelf kwaadwillend zijn, maar nu eenmaal gedwongen onder invloed staan van overheden die ons wel kwaadgezind zijn.
Het is ook lastig dat we niet eens zijn over wat "goed" en "kwaad" nou precies betekent. Daarvoor hoef je niet eens de grens over. Neem nou alle beveiligingscamera's die overal hangen. Sommige mensen vinden dat een forse aanslag op hun privacy. Anderen voelen zich juist veiliger door die camera's. Is een bedrijf dat dergelijke camera's maakt dan goedwillend of kwaadwillend?

Niet iedereen hoeft gedwongen te worden om mee te werken met de overheid, de meesten zien de overheid, of in ieder geval hun eigen overheid, uiteindelijk als een goede organisatie waar ze het grofweg mee eens zijn. Neem weer die camera's, er zijn mensen die hun camera aanmelden bij de politie om beelden te delen. Dat vinden ze zelf een goed idee.
Daarvoor hebben we Transparency Centers waar mensen de broncode kunnen inzien.
Dat klinkt natuurlijk heel mooi maar kijk eens naar open source projecten, daar komen soms bug uit na jaren die soms als actief misbruikt kunnen worden. Een bug is niet een bewuste achterdeur maar kan wel als achterdeur gebruikt worden.

Vertel jij mij nu maar eens hoe kun je het verschil zien tussen een bug en een achterdeur in software ?
Je kan dus zo veel broncode in zien als je wil als je een hele slimme coder hebt zou die een achterdeur als een bug kunnen maskeren.
Open Source is een voorwaarde voor software zonder achterdeurtjes; geen garantie.
Zoals het hebben van wielen een voorwaarde is voor een auto om te kunnen rijden. Maar als je die banden hebt, is er nog geen garantie dat die auto kan rijden.
Ik draai hier met meerdere pc's Kaspersky, en ook mijn kennissenkring draait bijna iedereen Kaspersky. Prima securityproduct ondanks wat de overheid/msm je 'verteld'.
Het enige wat je beter kan overwegen om uit te schakelen is KSN (Kaspersky Security Network), dit is de cloud-based scanservice. In de settings en bij de setup kun je dit uitschakelen.
Ik gebruik ook al jaren Kaspersky producten. Heb veel meer vertrouwen in hun dan in de rest. Snowden heeft mij ook hiervan overtuigd.
Europese instellingen waren tien jaar geleden reeds op de hoogte van de veiligheidsrisico's die met Kaspersky producten samengaan. Misschien is het wel waar dat deze producten niet meteen gevaarlijk zijn voor eindgebruikers. Russische inlichtingendiensten zijn tenslotte niet geinteresseerd in wat er op een doorsnee PC of Server gebeurt, maar daar houdt het vertrouwen waar menigeen in dit forum zich over uitspreekt dan ook op.

[Reactie gewijzigd door blackbaby op 22 juli 2024 13:28]

Op dit item kan niet meer gereageerd worden.