The Cabinet decision on Kaspersky Lab

On 14 May 2018, the Dutch cabinet instructed the central government to stop using and phasing out Kaspersky Lab’s antivirus software. Organisations that fall under the General Security Requirements for Defence Assignments (ABDO) or that fall under vital services and processes are advised to do the same. The advice does not apply to other organizations. The Cabinet also makes it clear that it only concerns the antivirus software, not the other Kaspersky Lab products and services. The Cabinet has three reasons for making this decision:

  1. Antivirus software has extensive and in-depth access to a computer. Such access can be misused for espionage and sabotage.
  2. As a Russian company, Kaspersky Lab is required by Russian law to cooperate with the government if requested to do so by the Russian intelligence services.
  3. The Russian Federation has an offensive cyber program. The latter means that the country is actively engaged in espionage and sabotage with the use of computers.

In a letter to the Dutch Parliament, the Cabinet refers to a precautionary measure based on fear of espionage and sabotage. In this context, the Cabinet writes that it has made its own, more stringent assessment in the context of national security. In essence, the Cabinet’s fear is that the anti-virus software of Kaspersky Lab, a company that fights malware, will itself be used as a Trojan horse or malware.

The Netherlands does not have any examples showing that Kaspersky Lab’s antivirus software has been abused. No examples are known to other (European) countries or the European Commission either. If public broadcaster KRO-NCRV successfully invokes the Government Information (PublicAccess) Act (or Wet openbaarheid van bestuur (Wob) in the Netherlands and the Freedom of Information Act (FOIA) in the USA) during a journalistic investigation, further documents become available.

Analysis

Brenno de Winter of De Winter Information Solutions was asked by Kaspersky Lab to make a reconstruction of the cabinet’s precautionary measure and to analyse the three observations of the cabinet. In a time of digital operations it is logical and appropriate that the cabinet is alert to the dangers of espionage and sabotage. In terms of content and procedure, this report examines how the cabinet’s argumentation came about, to what extent Kaspersky Lab does indeed pose a threat on the basis of this argumentation, and what steps would be necessary to deal with such a threat.

Wijzigingen Wiv stap vooruit, maar onvoldoende

De voorgestelde aanpassingen op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) na de uitslag van het referendum zijn concreet en een verbeteringen. Toch haalt het niet de echte pijnpunten weg. Wat mij betreft een gemiste kans.

Restrictiever

Dat er nu restrictiever wordt gekeken naar welke landen de inlichtingendiensten gevoelige data over bijvoorbeeld Nederlandse burgers mogen uitleveren, is een goede stap. De vraag is hoe publiek dat debat wordt gevoerd. Leveren wij gegevens bijvoorbeeld aan de VS uit? Maar een van de grootste pijnpunten blijft overeind: men mag data naar andere landen sturen zonder dat dit gefilterd of onderzocht wordt. Het blijft vreemd dat dit nog altijd overeind blijft. Want waarom gegevens over Nederlandse burgers naar andere landen sturen zonder te weten of het nuttig is.

Het laatste punt blijft ongelukkig. Andere landen leveren namelijk niet zomaar informatie over eigen burgers uit. Wij lijken hiermee meer data uit te leveren dan andere landen ons aan informatie gunnen. Vergelijkbare wetten in andere landen zijn restrictiever. Ook blijft onduidelijk hoe wordt voorkomen dat gesleepte data niet wordt ingezet voor economische spionage. In Nederland is dat verboden, maar in het buitenland niet.

Fundamentele rechten

Verder is het goed dat fundamentele rechten nu op de radar komen bij het inzetten van ongericht (slepen) van gegevens. Het logisch gevolg daarvan is dat je ook gaat kijken hoe je zo’n bevoegdheid vervolgens gerichter gaat inzetten. Ook het niet automatisch drie jaar bewaren van gegevens is een logische stap, omdat een inbreuk op rechten van mensen zo kort mogelijk hoort te zijn. Maar dit zijn ook precies twee van de punten waar zeer waarschijnlijk het Europese Hof voor de Rechten van de Mens over zou zijn gevallen.

Tot slot is het jammer dat het kabinet er niet voor gekozen heeft om het hacken van derden die volledig onschuldig zijn te schrappen. Juist Nederland zou beter moeten weten. In ons land is immers Diginotar gehackt met als doel verkeer van Iran naar vooral Google te kunnen tappen. In de nasleep ging het bedrijf failliet en had ons land ook forse schade. Los daarvan werd de hack gebruikt om dissidenten te hinderen.

Mene tekel

Samenvattend is dit een kleine stap in de goede richting. Het is niet te begrijpen dat nog altijd gegevens ongezien aan diverse andere landen worden verstrekt zonder dat bekend is dat dit iets oplevert of noodzakelijk is. Dat is ook ouderwets denken. Er zijn technische mogelijkheden om data veel slimmer en gerichter uit te wisselen. Dat die niet worden benut is een gemiste kans. Was de mensenrechtentoets ingezet, zouden we alleen gefilterde data uitwisselen en niet derden hacken dan was de wet echt een ander plaatje.

Erik de Jong: Economische Spionage hoe de Chinezen het doen Mo Fang

Hoe werkt economische spionage? Mó fáng is een Chinese groepering die zich richt op economische spionage. Erik de Jong van Fox-it legt aan Brenno de Winter hoe Mó fáng te werk gaat.
Doelgroep: management en security officers van bedrijven waar veel innovatieve kennis beschikbaar is.

Leerpunten:
· Economische spionage is een langlopende operatie;
· APT Advanced Persistent Threat;
· Breng je medewerkers op de hoogte van mogelijke economische spionage.

Uber belemmert innovatie met geheimzinnigheid datalek

Taxibedrijf Uber heeft een groot datalek met persoonsgegevens onder de pet gehouden. Het bedrijf betaalde zelfs de hackers om de zaak te sussen. Dat is niet alleen slecht voor de 57 miljoen klanten die het betreft, maar ook voor ambities voor zelfrijdende auto’s.

De hack vond vermoedelijk plaats in oktober 2016 en treft persoonsgegevens van 57 miljoen klanten over de hele wereld en persoonsgegevens van 600.000 chauffeurs in de Verenigde Staten. Bloomberg heeft een artikel geplaatst waar ook inhoudelijk uitleg is te vinden.

Geheimzinnigheid

Het bedrijf besloot honderdduizend dollar te betalen om bij de hackers te bedingen dat de zaak niet naar buiten zou komen. Die vorm van geheimzinnigheid is alleen al kwalijk, omdat in diverse landen – waaronder Nederland – dit soort beveiligingsincidenten een meldplicht kennen. In ieder geval bij de toezichthouder, maar in veel gevallen ook bij de klant: u en ik.

Met de geheimzinnigheid is niet alleen de wet overtreden, maar ook moreel verwerpelijk. Het miskent dat na een lek de chauffeur of de klant zelf een inschatting moet kunnen maken of ze risico lopen. Maar nog belangrijker: door een cultuur van wegmoffelen, wordt verdedigen tegen criminaliteit moeilijker. Anders gezegd: geheimzinnigheid is in het belang van kwaadwillende hackers die belang hebben dat we ons niet beter beveiligen.

Vanuit beveiligingsoogpunt wil je juist wel weten wat er gebeurd is en welk probleem is verholpen. Door lessen te trekken, kunnen we het een volgende keer beter doen. Voor fysieke veiligheid is lessen trekken de norm sinds de ondergang van de Titanic. Voor digitale veiligheid zou dat niet anders moeten zijn in onze informatiesamenleving.

Zelfrijdende auto

Bij een bedrijf als Uber mag je de lat zelfs hoger leggen. De onderneming werkt aan een zelfrijdende auto, die uiteindelijk de taxichauffeur moet vervangen. Dat is de software die moet helpen het aantal verkeersdoden fors naar beneden te krijgen. Auto’s zijn meer en meer afhankelijk van technologie. Daar is geen ruimte voor een mentaliteit waar je een ton betaalt om problemen onder het tapijt te schuiven.

Onze samenleving is zeer afhankelijk van technologie en door de snelheid van ontwikkeling ook kwetsbaar voor allerhande vormen van misbruik en ellende door softwarefouten. Dat zou de ICT-industrie zich meer mogen aantrekken, want uiteindelijk gaat digitale veiligheid ook over onze fysieke veiligheid.

Wachten op onze eigen Titanic

Na een groot veiligheidsincident volgt steevast een publiek rapport en worden er lessen getrokken die vaak uitmonden in duidelijke regels. Dit doen we nog niet na een groot incident in de informatiebeveiliging. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert.

Als een bedrijf bij een presentatie wil laten zien dat zij een goede partner is voor informatiebeveiliging, dan begint het verhaal doorgaans met statistieken: hoeveel records er elke minuut worden gelekt, wat een gemiddeld incident kost, hoeveel incidenten er zijn, wat de maatschappelijke schade is, hoeveel meldingen er van datalekken zijn gedaan en ga zo maar door. Cijfertjes, cijfertjes en nog meer cijfertjes met als onderliggende boodschap: het is allemaal heel erg gesteld met beveiliging. Deze zorgelijkheid is als sneeuw voor de zon verdwenen, wanneer een hack in het nieuws komt. Dan nemen we het incident voor kennisgeving aan.

Scheepsrampen

Dat verschijnsel is niet nieuw en valt te vergelijken met veiligheidsincidenten. In 1120 liep het Engelse White Ship aan de grond: 300 mensen verloren hun leven. Kamikazes – oorspronkelijke betekenis: ‘goddelijke wind’ – redden Japan tot twee keer aan toe van een Mongoolse invasie. In deze hevige stormen vergingen in 1274 en 1281 diverse Mongolische schepen met meer dan 100.000 doden als gevolg, in 1694 kwamen 498 mensen om het leven toen HMS Sussex in een storm verging, in 1647 liep het Nederlandse schip de Prinses Amelia aan de grond met 86 doden als gevolg en in 1703 kwamen meer dan 1.500 mensen om het leven toen dertien Engelse schepen in het kanaal vergingen. Mensen zagen het probleem wel, waren erdoor getroffen, maar fundamenteel veranderde er niets.

In de ICT meten we niet in omgekomen mensen, maar in records die gelekt zijn. Inmiddels komen met enige regelmaat aantallen van miljoenen inloggegevens of honderden miljoenen creditcardnummers langs, met Yahoo! als voorlopig dieptepunt met 500 miljoen records. Soms kost een datalek daadwerkelijk mensenlevens, maar ook dat blijft een nieuwsfeit. Er is zelfs een lijst met de top-10 van OWASP met meest prominente oorzaken voor hacks. De oorzaken van de hacks wisselen eens in de drie jaar van positie, maar worden niet aangepakt, uitgebannen of fors verminderd. Dat is op zijn minst merkwaardig, aangezien een aantal zaken uit deze lijst zeer simpel te voorkomen zijn.

Bindende regelgeving

In de zeevaart volgde een breed gedragen besef dat er iets fundamenteel moest veranderen toen de stoomschepen kwamen. Het aantal incidenten groeide en in 1889 volgde een conferentie in Washington waar vooral werd gesproken over verkeersregels op zee. Er kwamen regels, maar onder andere de Britten deden niet mee. De grote angst bij het bedrijfsleven was dat commerciële vrijheid in het geding zou komen als er regels aan de zeevaart zouden worden opgelegd. Verschillende landen maakten eigen regelgeving, soms in samenwerking met andere landen, soms geheel zelfstandig. Er werd geen algemene lijn gevolgd, er was geen uniformiteit en veel kon zelf worden geregeld. Deze besluiteloosheid komt abrupt ten einde als de Titanic in 1912 na vijf dagen varen op haar eerste tocht zinkt na een botsing op een ijsberg.

Doordat er geen bindende regelgeving bestond, kon de reder van dit onheilsschip er om esthetische redenen voor kiezen het aantal reddingssloepen te halveren. Een installatie voor morsecode is wel aan boord, al is ook dat niet verplicht. Met als gevolg dat niet alle schepen in de buurt over een dergelijke installatie beschikken, en er geen uitluisterplicht bestaat bij de schepen die het wel hebben. Lang niet ieder schip in de buurt komt de Titanic dan ook te hulp. De desastreuze gevolgen zijn bekend: 1522 doden. Kennelijk maakte dat monsterlijke aantal zoveel indruk, dat er in 1914 voor het eerst een internationaal verdrag kwam (Safety of Life at Sea), waarin minimale eisen vast kwamen te liggen, zoals een plaats in een sloep voor iedereen, gebruik van radio, radiowacht, onderzoek naar rampen en het in kaart brengen van ijsbergen. Veiligheidsregels die de norm werden en met enige regelmaat worden herzien en aangescherpt.

Zinkend schip

In de ict-industrie leven we overduidelijk in de periode tussen de eerste Internationale Maritieme Conferentie van Washington in 1889 en de ondergang van de Titanic. We zien en onderkennen de problemen, willen we er best wel iets aan doen, maar komen niet tot harde minimale eisen die wereldwijd geaccepteerd worden. Er bestaat dan weliswaar enige regelgeving, maar vaak is onduidelijk wat er nu wel of niet aan beveiliging moet worden gedaan om daaraan te voldoen. Het bedrijfsleven klaagt via brancheverenigingen dat privacywetgeving en vooral hun databescherming direct marketing en big data hinderen. Meer regels, zoals de Europese privacy verordening, zijn dan ook schadelijk voor de commercie. Wat nog altijd minder indruk lijkt te maken, is dat gehackte computers van bedrijven een zinkend schip kunnen maken. Slechte beveiliging en internationale heldere afspraken en werkwijzen zijn dus net zo funest voor het bedrijfsleven en raken het imago van hele industrieën.

Geen beveiligingseisen

Helaas valt er in dit kader weinig positiefs over de politiek te melden. Er komen wel ‘cybercrimeverdragen’, maar die gaan vooral over opsporing van binnendringers en de straffen die zij tegemoet zien. Nergens rept men over verantwoordelijkheden van organisaties die andermans gegevens beheren, een minimale norm waar ze aan zouden moeten voldoen, zelfs niet over consequenties of sancties bij uitlokking. Nog altijd ontbreekt het aan een minimale set aan beveiligingseisen, waarvan we als gezamenlijke industrie zeggen: als je dat niet geregeld hebt, word je op zijn minst aangemerkt als nalatig. Ook voor de makers van de boten – de softwareontwikkelaars – gelden niet eens minimale beveiligingseisen. Er bestaat geen lijst met zaken die minimaal geregeld moeten zijn om het leeuwendeel van de aanvallen te voorkomen. Voor de hand liggende punten, die door autoriteiten snel controleerbaar zijn. In de zeevaart worden de eisen na andere incidenten uitgebreid met maatregelen die de veiligheid verder kunnen vergroten. Dat daarenboven nog meer specifieke eisen voor een toepassing of een risicoprofiel kunnen gelden, spreekt voor zich.

Te weinig sloepen

En dus blijven wij, vooral om esthetische redenen, varen met boten met te weinig sloepen. We blijven doodleuk weigeren cryptografie in te zetten, ‘omdat het de verwerking zo vertraagt’. We negeren de update-adviezen ‘omdat het de operatie mogelijk verstoort’. We blijven werken met zwakke toegangsbeveiliging ‘omdat inloggen anders zo’n gedoe is’. En we hebben nog steeds geen harde eisen voor een continue radiowacht; iemand dus die blijft kijken of er een beveiligingsincident optreedt. Niet zo gek dat meer dan 80 procent van de hacks pas na weken of maanden wordt ontdekt.

Om veilig over de digitale oceanen te kunnen varen met anderen, is studie nodig. De rampen die er al zijn geweest moeten goed worden onderzocht. Wij zien de ernst van de situatie wel in, maar passen deze logica als samenleving en als industrie niet breed toe. Nog niet. Kennelijk moet daarvoor eerst onze eigen ramp zich nog voltrekken, onze eigen Titanic.

Deze column verscheen eerder op IT Beheer Magazine