Kaspersky-software verboden in de VS

Het Amerikaanse ministerie van Handel, Bureau voor Industrie en Veiligheid (BIS), kondigde donderdag een "eerste in zijn soort" verbod aan dat het Amerikaanse filiaal van Kaspersky Lab verbiedt om direct of indirect beveiligingssoftware in het land aan te bieden.

Het verbod geldt eveneens voor dochterondernemingen, gelieerde bedrijven en het moederbedrijf van het cybersecuritybedrijf, aldus het ministerie. De maatregel is genomen omdat de activiteiten van Kaspersky in de VS een risico vormen voor de nationale veiligheid. Het nieuws van het verbod werd voor het eerst gemeld door Reuters.

"De voortdurende activiteiten van het bedrijf in de Verenigde Staten vormden een risico voor de nationale veiligheid—vanwege de offensieve cybercapaciteiten van de Russische regering en haar vermogen om de activiteiten van Kaspersky te beïnvloeden of aan te sturen—dat niet kon worden weggenomen met maatregelen anders dan een totaalverbod," aldus het BIS.

Verder stelt het ministerie dat Kaspersky onder jurisdictie en controle van de Russische regering valt en dat zijn software het Kremlin toegang biedt tot gevoelige informatie van Amerikaanse klanten, evenals de mogelijkheid biedt tot het installeren van schadelijke software of het achterhouden van kritieke updates.

"Manipulatie van Kaspersky-software, ook in de kritieke infrastructuur van de VS, kan aanzienlijke risico’s opleveren voor gegevensdiefstal, spionage en systeemstoringen," benadrukte het ministerie. "Het vormt ook een risico voor de economische veiligheid en volksgezondheid van het land, wat kan leiden tot letsel of verlies van levens."

Als onderdeel van het verbod mag Kaspersky vanaf 20 juli geen software meer verkopen aan Amerikaanse consumenten en bedrijven. Het bedrijf mag echter nog tot 29 september software en antivirus-updates leveren aan bestaande klanten.

Het ministerie roept bestaande particuliere en zakelijke klanten op om binnen een periode van 100 dagen alternatieven te zoeken, zodat er geen beveiligingshiaten ontstaan. Wel wordt opgemerkt dat klanten de producten kunnen blijven gebruiken als ze dat willen.

"Rusland heeft herhaaldelijk aangetoond dat het de capaciteit en intentie heeft om Russische bedrijven, zoals Kaspersky Lab, te gebruiken voor het verzamelen en bewapenen van gevoelige Amerikaanse informatie. We zullen elk middel inzetten om de nationale veiligheid van de VS en het Amerikaanse volk te beschermen," zei minister van Handel Gina Raimondo.

Daar houdt het niet bij op. Kaspersky is ook toegevoegd aan de Entity List vanwege "samenwerking met Russische militaire en inlichtingendiensten ter ondersteuning van de cyberinlichtingen-doelstellingen van de Russische regering."

Het in Moskou gevestigde bedrijf, dat meer dan 400 miljoen klanten en 240.000 zakelijke klanten bedient in 200 landen—waaronder Piaggio, Volkswagen Group Retail Spanje en het Olympisch Comité van Qatar—staat al langere tijd onder druk van de Amerikaanse overheid vanwege banden met Rusland.

In september 2017 werden Kaspersky-producten al verbannen uit federale netwerken vanwege nationale veiligheidsrisico’s. Kort daarna meldde de Wall Street Journal dat Russische overheidshackers Amerikaanse geheime hacktools hadden gestolen van een computer van een NSA-contractant waarop Kaspersky-software draaide.

Enkele dagen later meldde de New York Times dat Israëlische functionarissen de VS op de hoogte hadden gesteld van de spionage-operatie nadat zij in 2015 het netwerk van Kaspersky hadden gehackt. Het bedrijf verklaarde toen dat het de code al in 2014 ontdekte toen zijn antivirussoftware een kwaadaardig 7-Zip-bestand markeerde op een Amerikaanse computer.

Volgens het bedrijf werd de tool, later toegeschreven aan de Equation Group, verwijderd en zagen geen derde partijen de code na een intern onderzoek. Equation Group is de naam die Kaspersky heeft gegeven aan een hackersgroep die vermoedelijk banden heeft met de Tailored Access Operations (TAO) cyberwarfare-eenheid van de NSA.

Bijna vijf jaar later werd Kaspersky toegevoegd aan de lijst van de Federal Communications Commission (FCC) van bedrijven die een "onaanvaardbaar risico voor de nationale veiligheid" van het land vormen. Duitsland en Canada hebben de afgelopen jaren vergelijkbare maatregelen genomen.

Kaspersky reageerde op de recente stap van de Amerikaanse overheid door te stellen dat het ministerie van Handel zijn beslissing baseerde op de huidige geopolitieke situatie en theoretische zorgen. Volgens het bedrijf worden daarbij "ten onrechte" de transparantie-maatregelen genegeerd die het bedrijf heeft genomen om integriteit en betrouwbaarheid aan te tonen.

"Het belangrijkste effect van deze maatregelen zal ten goede komen aan cybercriminaliteit," aldus Kaspersky. "Internationale samenwerking tussen cybersecurity-experts is essentieel in de strijd tegen malware, en deze maatregel zal die inspanningen beperken."