The Cabinet decision on Kaspersky Lab

On 14 May 2018, the Dutch cabinet instructed the central government to stop using and phasing out Kaspersky Lab’s antivirus software. Organisations that fall under the General Security Requirements for Defence Assignments (ABDO) or that fall under vital services and processes are advised to do the same. The advice does not apply to other organizations. The Cabinet also makes it clear that it only concerns the antivirus software, not the other Kaspersky Lab products and services. The Cabinet has three reasons for making this decision:

  1. Antivirus software has extensive and in-depth access to a computer. Such access can be misused for espionage and sabotage.
  2. As a Russian company, Kaspersky Lab is required by Russian law to cooperate with the government if requested to do so by the Russian intelligence services.
  3. The Russian Federation has an offensive cyber program. The latter means that the country is actively engaged in espionage and sabotage with the use of computers.

In a letter to the Dutch Parliament, the Cabinet refers to a precautionary measure based on fear of espionage and sabotage. In this context, the Cabinet writes that it has made its own, more stringent assessment in the context of national security. In essence, the Cabinet’s fear is that the anti-virus software of Kaspersky Lab, a company that fights malware, will itself be used as a Trojan horse or malware.

The Netherlands does not have any examples showing that Kaspersky Lab’s antivirus software has been abused. No examples are known to other (European) countries or the European Commission either. If public broadcaster KRO-NCRV successfully invokes the Government Information (PublicAccess) Act (or Wet openbaarheid van bestuur (Wob) in the Netherlands and the Freedom of Information Act (FOIA) in the USA) during a journalistic investigation, further documents become available.

Analysis

Brenno de Winter of De Winter Information Solutions was asked by Kaspersky Lab to make a reconstruction of the cabinet’s precautionary measure and to analyse the three observations of the cabinet. In a time of digital operations it is logical and appropriate that the cabinet is alert to the dangers of espionage and sabotage. In terms of content and procedure, this report examines how the cabinet’s argumentation came about, to what extent Kaspersky Lab does indeed pose a threat on the basis of this argumentation, and what steps would be necessary to deal with such a threat.

Het kabinetsbesluit over Kaspersky Lab – een reconstructie en analyse

Op 14 mei 2018 draagt het Nederlandse kabinet de Rijksoverheid op de antivirussoftware van Kaspersky Lab niet langer te gebruiken en uit te faseren. Organisaties die vallen onderAlgemene Beveiligingseisen Defensie Opdrachten (ABDO) of vallen onder vitale diensten en processen krijgen het advies hetzelfde te doen. Het advies geldt niet voor andere organisaties. Ook maakt het kabinet duidelijk dat het alleen gaat om de antivirussoftware,niet om de andere producten en diensten van Kaspersky Lab. Er zijn voor het kabinet drie redenen om deze keuze te maken:

  1. Antivirussoftware heeft uitgebreide en diepgaande toegang tot een computer. Zulke toegang kan misbruikt worden voor spionage en sabotage.
  2. Als Russisch bedrijf is Kaspersky Lab volgens Russische wetgeving verplicht om bij de overheid mee te werken als de Russische inlichtingendiensten hierom verzoeken.
  3. De Russische Federatie heeft een offensief cyberprogramma. Dat laatste betekent dat het land met behulp van computers actief spionage en sabotage pleegt.

Het kabinet spreekt in een brief aan de Tweede Kamer van een voorzorgsmaatregel met als reden te vrezen voor spionage en sabotage. Daarbij schrijft het kabinet een eigen,aangescherpte afweging in het kader van de nationale veiligheid te hebben gemaakt. Inessentie komt de vrees van het kabinet erop neer dat de antivirussoftware van KasperskyLab, een bedrijf dat malware bestrijdt, zelf wordt ingezet als Trojaans paard ofwel malware.

Nederland beschikt niet over voorbeelden waaruit blijkt dat er misbruik is gemaakt van de antivirussoftware van Kaspersky Lab. Ook bij andere (Europese) landen en de Europese Commissie zijn er geen voorbeelden bekend. Als KRO-NCRV bij een journalistiek onderzoek met succes een beroep doet op de Wet openbaarheid van bestuur (Wob) komen nadere documenten beschikbaar.

Analyse

Brenno de Winter van De Winter Information Solutions is door Kaspersky Lab gevraagd een reconstructie te maken van de voorzorgsmaatregel van het kabinet en de drie observaties van het kabinet te analyseren. In een tijd van digitale operaties is het logisch en goed dat het kabinet alert is op de gevaren van spionage en sabotage. Dit rapport onderzoekt inhoudelijk en procedureel hoe de argumentatie vanuit het kabinet tot stand is gekomen, in hoeverre Kaspersky Lab op basis van deze argumentatie inderdaad een dreiging vormt en welke stappen noodzakelijk zouden zijn een dergelijke dreiging het hoofd te bieden.