In mei stelt het kabinet te stoppen met antivirussoftware van Kaspersky Lab in gevoelige omgevingen. Het is een ‘voorzorgsmaatregel’ tegen spionage en sabotage. Aan de Tweede Kamer schrijft minister Grapperhaus geen gevallen van misbruik te kennen. Het gaat om een theoretische dreiging. Hoe misbruik zou werken in de praktijk, blijft onduidelijk. Argumenten zijn zo breed verwoord dat ze ook van toepassing kunnen zijn op diverse antivirusleveranciers of leveranciers van besturingssystemen als Microsoft, Google en Apple.

Onderzoek

Nederland volgt daarmee onder andere de Verenigde Staten en het Verenigd Koninkrijk. Kaspersky Lab verplaatst de assemblage van de software naar Zwitserland, stelt de broncode open voor onderzoek en laat audits uitvoeren op bedrijfsprocessen. Andere leveranciers bieden deze waarborgen niet. De zakelijke software heeft een waarborg dat er nooit informatie naar het bedrijf vloeit. Dat je nu iedere vrees kunt onderzoeken en bevestigen of weerleggen, maakt volgens Grapperhaus niet uit.

Op verzoek van Kaspersky Lab doe ik uitgebreid onderzoek naar de gang van zaken rond het Nederlandse besluit. Nergens blijkt uit dat Nederland iets zelf heeft afgewogen of heeft uitgezocht of ons land anders in elkaar steekt dan de VS. Dat is vreemd, want wij kennen juist voor gevoelige omgevingen verplichte beveiliging in lagen. Door bijvoorbeeld netwerken te segmenteren is een opdracht voor spionage veel lastiger, het gebruik van document managementsysteem beperkt de rechten van machines en actief monitoren van netwerken beperkt aanvallen als het toch misgaat.

Angst

Misschien gaat het niet om feiten in dit debat, maar om een heel basale emotie: angst. Dat gevoel leidt namelijk tot heel basale reacties. Met dank als termen als ‘cyber’ lijken de meest simpele zaken opeens heel eng en vertroebelt het zicht. De vier Russen die in april voor de OPCW proberen in te breken via wifi zijn het teken van een ‘cyberoorlog’. Dat op 200 meter afstand de Chinese ambassade zit waar je in alle rust het draadloze netwerk van de OPCW, Europol, Eurojust en het Catshuis kunt kraken, vergeten we dan.

Bij de angst voor Chinese inmenging bij C2000 vergeten politici dat het hier vooral om vluchtige gegevens gaat (‘brandweerwagen 17 ter plaatse’) en het netwerk niet voor iedereen toegankelijk hoort te zijn. In de vrees voor de spionage via Huawei vergeten we dat ook Nederlandse chips in de apparaten gaan. En in beide gevallen vertellen de politici – net als bij Kaspersky Lab – niet hoe zij de aanvallen voor zich zien. Zelfs als er een scenario is dan is de realiteit dat wel heel veel technologie uit China komt. We moeten dus niet op een land beleid maken, maar op een problematiek. De centrale vraag is: welke waarborgen moeten we hebben om ons te wapenen tegen spionage? Dat gaat over veel meer dan het bang zijn voor vier Russen of het aan de kant zetten van een strijder tegen virussen.