The Cabinet decision on Kaspersky Lab

On 14 May 2018, the Dutch cabinet instructed the central government to stop using and phasing out Kaspersky Lab’s antivirus software. Organisations that fall under the General Security Requirements for Defence Assignments (ABDO) or that fall under vital services and processes are advised to do the same. The advice does not apply to other organizations. The Cabinet also makes it clear that it only concerns the antivirus software, not the other Kaspersky Lab products and services. The Cabinet has three reasons for making this decision:

  1. Antivirus software has extensive and in-depth access to a computer. Such access can be misused for espionage and sabotage.
  2. As a Russian company, Kaspersky Lab is required by Russian law to cooperate with the government if requested to do so by the Russian intelligence services.
  3. The Russian Federation has an offensive cyber program. The latter means that the country is actively engaged in espionage and sabotage with the use of computers.

In a letter to the Dutch Parliament, the Cabinet refers to a precautionary measure based on fear of espionage and sabotage. In this context, the Cabinet writes that it has made its own, more stringent assessment in the context of national security. In essence, the Cabinet’s fear is that the anti-virus software of Kaspersky Lab, a company that fights malware, will itself be used as a Trojan horse or malware.

The Netherlands does not have any examples showing that Kaspersky Lab’s antivirus software has been abused. No examples are known to other (European) countries or the European Commission either. If public broadcaster KRO-NCRV successfully invokes the Government Information (PublicAccess) Act (or Wet openbaarheid van bestuur (Wob) in the Netherlands and the Freedom of Information Act (FOIA) in the USA) during a journalistic investigation, further documents become available.

Analysis

Brenno de Winter of De Winter Information Solutions was asked by Kaspersky Lab to make a reconstruction of the cabinet’s precautionary measure and to analyse the three observations of the cabinet. In a time of digital operations it is logical and appropriate that the cabinet is alert to the dangers of espionage and sabotage. In terms of content and procedure, this report examines how the cabinet’s argumentation came about, to what extent Kaspersky Lab does indeed pose a threat on the basis of this argumentation, and what steps would be necessary to deal with such a threat.

Het kabinetsbesluit over Kaspersky Lab – een reconstructie en analyse

Op 14 mei 2018 draagt het Nederlandse kabinet de Rijksoverheid op de antivirussoftware van Kaspersky Lab niet langer te gebruiken en uit te faseren. Organisaties die vallen onderAlgemene Beveiligingseisen Defensie Opdrachten (ABDO) of vallen onder vitale diensten en processen krijgen het advies hetzelfde te doen. Het advies geldt niet voor andere organisaties. Ook maakt het kabinet duidelijk dat het alleen gaat om de antivirussoftware,niet om de andere producten en diensten van Kaspersky Lab. Er zijn voor het kabinet drie redenen om deze keuze te maken:

  1. Antivirussoftware heeft uitgebreide en diepgaande toegang tot een computer. Zulke toegang kan misbruikt worden voor spionage en sabotage.
  2. Als Russisch bedrijf is Kaspersky Lab volgens Russische wetgeving verplicht om bij de overheid mee te werken als de Russische inlichtingendiensten hierom verzoeken.
  3. De Russische Federatie heeft een offensief cyberprogramma. Dat laatste betekent dat het land met behulp van computers actief spionage en sabotage pleegt.

Het kabinet spreekt in een brief aan de Tweede Kamer van een voorzorgsmaatregel met als reden te vrezen voor spionage en sabotage. Daarbij schrijft het kabinet een eigen,aangescherpte afweging in het kader van de nationale veiligheid te hebben gemaakt. Inessentie komt de vrees van het kabinet erop neer dat de antivirussoftware van KasperskyLab, een bedrijf dat malware bestrijdt, zelf wordt ingezet als Trojaans paard ofwel malware.

Nederland beschikt niet over voorbeelden waaruit blijkt dat er misbruik is gemaakt van de antivirussoftware van Kaspersky Lab. Ook bij andere (Europese) landen en de Europese Commissie zijn er geen voorbeelden bekend. Als KRO-NCRV bij een journalistiek onderzoek met succes een beroep doet op de Wet openbaarheid van bestuur (Wob) komen nadere documenten beschikbaar.

Analyse

Brenno de Winter van De Winter Information Solutions is door Kaspersky Lab gevraagd een reconstructie te maken van de voorzorgsmaatregel van het kabinet en de drie observaties van het kabinet te analyseren. In een tijd van digitale operaties is het logisch en goed dat het kabinet alert is op de gevaren van spionage en sabotage. Dit rapport onderzoekt inhoudelijk en procedureel hoe de argumentatie vanuit het kabinet tot stand is gekomen, in hoeverre Kaspersky Lab op basis van deze argumentatie inderdaad een dreiging vormt en welke stappen noodzakelijk zouden zijn een dergelijke dreiging het hoofd te bieden.

Erik de Jong: Economische Spionage hoe de Chinezen het doen Mo Fang

Hoe werkt economische spionage? Mó fáng is een Chinese groepering die zich richt op economische spionage. Erik de Jong van Fox-it legt aan Brenno de Winter hoe Mó fáng te werk gaat.
Doelgroep: management en security officers van bedrijven waar veel innovatieve kennis beschikbaar is.

Leerpunten:
· Economische spionage is een langlopende operatie;
· APT Advanced Persistent Threat;
· Breng je medewerkers op de hoogte van mogelijke economische spionage.

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.

Europees Hof van Justitie maakt cloud tastbaarder

Dinsdagochtend heeft het Europees Hof van Justitie besloten dat privacygaranties in een besluit van de Europese Commissie tussen de Verenigde Staten en Europa onvoldoende zijn. Dat betekent dat bedrijven moeten gaan nadenken waar data in de cloud precies staat.

Inzet van de zaak is de Safe Harbor Agreement tussen Europa en de Verenigde Staten. Dit besluit is noodzakelijk, omdat de bescherming van de persoonlijke levenssfeer in Europa beter is geregeld dan in de VS. Omdat je niet zomaar persoonsgegevens in een rechtsgebied mag bewaren dat niet voldoet aan onze standaarden moest er iets worden geregeld.

Facebook

Of de huidige Safe Harbor regels onze rechten wel voldoende waarborgt, was lang onduidelijk. Tot de onthullingen van Snowden kwamen en heel duidelijk werd dat onze gegevens massaal worden geanalyseerd door Amerikaanse inlichtingendienst NSA. Daarbij werd meer en meer duidelijk dat dit niet te verklaren is vanuit nationale veiligheid en dat er duidelijk ook economisch werd gespioneerd. Dat betekent dat persoonsgegevens zijn misbruikt. Volgens de VS is dat niet zo, maar onder ede durfde niemand dat bij de Ierse rechter te verklaren.

De Oostenrijker Max Schrems voerde een aantal zaken en sleepte rond de NSA-spionage uiteindelijk Facebook voor de rechter, omdat dat dat bedrijf onze gegevens op Amerikaanse servers verwerkt. Omdat het Europese hoofdkantoor van dit bedrijf in Ierland staat, moest daar worden geprocedeerd. Daar is het inmiddels bij het Hooggerechtshof die vragen aan het Europese Hof van Justitie stelde.

Ongeldig

Uiteindelijk kwamen die met het oordeel dat de beschermende maatregelen van de Safe Harbor Agreement onvoldoende zijn en daarmee wordt niet langer aan Europese regels voldaan. Kort gezegd: je mag data van Europese burgers niet zomaar in de Verenigde Staten opslaan. Daar wordt namelijk niet aan de bescherming voldaan die wij gewend zijn.

Dat betekent niet dat er niets in de VS mag worden opgeslagen, maar dat daarover afspraken moeten zijn gemaakt. Amerikaanse bedrijven zelf met de toezichthouder (in ons geval het CBP) afspraken en vastleggen in Binding Corporate Rules (BCR), zodat er meer zekerheid is dat aan onze wetgeving wordt voldaan. Dat Facebook, Google en andere bedrijven dit gaan doen, is wel duidelijk.

Zelf nadenken

Maar voor Nederlandse bedrijven betekent dit dat er meer moet worden nagedacht wat er met persoonsgegevens gebeurt. Je kunt niet langer zeggen ‘het staat in de cloud’, maar moet meer van die cloud weten. Na 1 januari 2016 kan de toezichthouders forse boetes opleggen wie zich niet aan de wetgeving houdt. Daarbij kun je niet zomaar de schuld in de schoenen schuiven van de cloudleverancier.

De uitspraak betekent dus dat de bedrijven zelf verantwoordelijkheid moeten nemen wat ze met onze gegevens doen. Afspraken tussen toezichthouders en cloudaanbieders zul je moeten checken. Want bijna religieus naar de hemel wijzen zeggen ‘jouw data is nu daar’ is sinds vandaag echt onvoldoende.