abonneren

Is Kaspersky wel veilig?

Securitybedrijf Kaspersky verhuist zijn datacentrum van Rusland naar Zürich. De verhuizing volgt na verschillende aantijgingen van Russische spionage. Kaspersky neemt meerdere maatregelen om consumenten, bedrijven en overheden te overtuigen betrouwbaar te zijn. De vraag is echter: is Kaspersky zelf nog wel veilig?

Dat Kaspersky’s beveiligingssoftware zelf goed weet te beveiligen staat buiten kijf. Jaar op jaar scoort de beveiligingssoftware voor Windows heel erg goed, in onze reviews, maar ook in tests van laboratoria van AV-Comparatives en AV-Test.

Paranoia?

Toch is Kaspersky vooral in 2018 negatief in het nieuws gekomen. Niet vanwege hun malwarebescherming, maar vanwege zogenaamde banden met de Russische overheid en geheime diensten. Er vallen natuurlijk nogal wat interessante gegevens bij Kaspersky te halen en achterdeurtjes in de software van Kaspersky zouden ontzettend waardevol kunnen zijn. Of het nu gefundeerd is, of paranoia, schadelijk voor Kaspersky is het zeker.

Veel westerse overheden, waaronder de Nederlandse, hebben aangekondigd niet langer Kaspersky beveiliging te willen gebruiken. De argumentatie waarom blijft echter vaag, Kaspersky zou vatbaar zijn voor Russische spionage. Maar dat zijn andere bedrijven ook. Waarom alleen Kaspersky uitgefaseerd wordt blijft de vraag. Dit heeft de relatie tussen Kaspersky en Nederland bekoeld, dat is bijvoorbeeld te zien in het Nomoreransom-initiatief. Via Nomoreransom.org wordt door de Nederlandse politie en securitybedrijven ransomware bestreden. Na de uitfasering heeft Kaspersky begrijpelijkerwijs besloten niet meer samen te werken aan Nomoreransom.

Schadelijk

De spionage-paranoia is natuurlijk vooral schadelijk voor Kaspersky zelf. Niet alleen omdat overheden kiezen voor concurrenten, maar in hun kielzog ook bedrijven en consumenten. Kaspersky heeft dus een enorme PR-uitdaging om het vertrouwen te herstellen, waar het bedrijf de mouwen voor opstroopt. Dat doet Kaspersky door de broncode te laten bestuderen door onafhankelijke partijen en het datacentrum te verplaatsen naar Zwitserland.

Waarom Zwitserland?

Kaspersky is niet het enige bedrijf dat kiest voor Zwitserland om zijn data zo veilig mogelijk op te slaan. De veilige maildienst Protonmail kiest voor Zwitserland, maar ook TrueCrypt bijvoorbeeld: jaren geleden werd de ontwikkeling van het open source beveiligingsprogramma uit het niets gestaakt, met een dubieuze (cryptische) melding op de TrueCrypt-site. Hardnekkige geruchten wijzen de Amerikaanse NSA aan, die de ontwikkelaars zouden hebben gemuilkorfd en een achterdeur in de software zouden hebben geplaatst, waarna de ontwikkelaars met de software stopten.

Een doorstart van TrueCrypt vond echter plaats in Zwitserland. Natuurlijk heeft Zwitserland een reputatie als het aankomt op neutraliteit, maar ook op de anonieme gegevensverwerking. Hier zijn vooral Zwitserse financiële dienstverleners bekend mee geworden. De mogelijkheid om gegevens anoniem te kunnen verwerken, maakt van het neutrale Zwitserland een modern data-toevluchtsoord.

Eugene Kaspersky
Oprichter Eugene Kaspersky tijdens de Kaspersky Transparency Summit in Zürich.

Kaspersky Zwitsers?

Door zijn datacentrum naar Zwitserland te verplaatsen laat Kaspersky zien er alles aan te doen gegevens niet alleen te beschermen tegen malware, maar ook tegen overheden. Vertrouwen staat immers aan de basis van ieder beveiligingsproduct. Helaas maakt Kaspersky de broncode van zijn security niet open source, zodat niet elke onafhankelijke ontwikkelaar de programmatuur kan controleren. Wel laat Kaspersky de broncode onderzoeken door een onafhankelijke partij en overheden die nog wel met Kaspersky blijven werken, om er zeker van te zijn dat er geen achterdeuren of fouten (zogenoemde exploits) in de software zitten. Hoewel Kaspersky claimt nooit iets af te hebben moeten staan aan overheden, stelt het bedrijf op deze manier geruchten geen vruchtbare bodem te geven. Alleen voedt zo’n verhuizing de geruchten dat er in het verleden wel gegevens zijn afgestaan? Kaspersky blijft een bedrijf van Russische afkomst, met het hoofdkantoor in Moskou, spionage-argwaan zal altijd blijven, waarmee de PR-afdeling zich nooit hoeft te vervelen.

Complexe beveiliging

Digitale beveiliging is veel complexer dan jaren geleden: politieke paranoia, misinformatie, onstilbare datahonger van techgiganten én geheime diensten en de opkomst van hackbare apparaten zoals domotica en mobiele apparaten. Hackers zijn niet alleen criminelen, maar ook professionele en staatsorganisaties. Denk aan de sleepwet, die bijvoorbeeld de AIVD ook hackbevoegdheid geeft. Is Kaspersky veilig? Net zo min als alle andere beveiligingsbedrijven. Kaspersky neemt in ieder geval zijn verantwoordelijkheid om misinformatie zo min mogelijk grond te geven. Daarmee is Kaspersky ook een voorbeeld voor zijn concurrentie. Wat maakt bijvoorbeeld Amerikaanse beveiligers McAfee en Norton veilig tegen de datahonger van de NSA en GCHQ? De lekken van Snowden gaven aan dat de datahonger ook uit andere hoeken komt. Bovendien hebben andere beveiligers net als Kaspersky kantoren in Rusland, waardoor ze zich aan dezelfde Russische wetgeving moeten houden.

Het beleid van Kaspersky lijkt al zijn vruchten af te werpen: begin november gaf de Belgische overheid aan geen reden te hebben Kaspersky niet te vertrouwen. Er is ook nog altijd geen reden om Kaspersky buiten te sluiten. Integendeel zou je bijna kunnen zeggen, dankzij de verhuizing naar Zwitserland. Zolang dat het geval is, kun je gerust voor Kaspersky kiezen om je pc te beveiligen.

Geschreven door: Joris Peterse op

Category: Blog

Tags: beveiliging, Security, Kaspersky, blog