Kaspersky opent transparantiecentrum in Utrecht

Kaspersky voert sinds 2017 zijn Global Transparency Initiative uit, waarbij het zijn data toen al heeft verhuisd uit Rusland en naar Zwitserland. In dat neutrale land is begin 2018 het eerste transparantiecentrum geopend. Verder is het bedrijf formeel als holdingmaatschappij gevestigd in Groot-Brittannië. Desondanks zien overheden en toezichthouders in verschillende landen potentieel gevaar in de securityproducten van Kaspersky. Zo hebben de regeringen van de Verenigde Staten en van Nederland deze leverancier in de ban gedaan.

Drie niveaus

Naast Nederland (Utrecht) krijgt deze maand ook Italië (Rome) een nieuw 'transparency centre' van Kaspersky. Het securitybedrijf hanteert in die centra drie niveaus voor de mate van inzichtelijkheid die het buitenstaanders biedt. Dit zijn de zogeheten 'blue piste', 'red piste' en 'black piste', waarbij laatstgenoemde het verst gaat; de meeste transparantie biedt.

Het nieuwe centrum in Utrecht heeft alleen het blauwe niveau en biedt klanten dan inzage in de best practices die Kaspersky hanteert voor zijn engineering en zijn omgang met informatie en data. Daarbij zijn ook auditrapporten van externe controleurs toegankelijk: de SOC 2 van de AICPA (American Institute of Certified 
Public Accountants) en de ISO/IEC 27001 uitgevoerd door TÜV Austria. Eerstgenoemde is uitgevoerd door één van de 'Big Four' van accountingfirma's, waarvan Kaspersky de naam niet mag onthullen. Deze top vier bestaat uit Deloitte, Ernst & Young (EY), KPMG en PricewaterhouseCoopers (PwC).

Broncode inkijken

Het rode niveau van Kaspersky's transparantiecentrie geeft bovenop het blauwe niveau de mogelijkheid tot inzage van broncode; voor "de meest kritieke onderdelen". Dit betreft dan componenten zoals de kerneldriver en netwerk-parsers, vertelt security-onderzoeker Jornt van der Wiel aan AG Connect. Het gaat hier om onderdelen van de securitysoftware die de meeste impact hebben als er kwetsbaarheden of zelfs backdoors in zouden zitten. De mogelijkheid van heimelijke toegang (backdoors) is waar overheden en toezichthouders in de VS, Nederland en Duitsland bezorgd om zijn. Het zwarte niveau voor de transparantiecentra van Kaspersky gaat nog een stap verder en geeft meer inkijk in de broncode.

Op de vraag van AG Connect of het transparantiewerk van de afgelopen vijf jaar vruchten succes heeft gehad, komt een politiek reactie van Kaspersky's manager voor public affairs Arnaud Dechoux. De "ongefundeerde beschuldigingen" en daarop gebaseerde besluiten tot 'blacklisten' zijn vooralsnog niet ongedaan gemaakt. "We hebben geen excuses gehoord", antwoordt hij ook.

Open uitnodiging

Maar Dechoux benadrukt wel dat er veel positieve reacties zijn op het transparantie-initiatief en ook diverse bezoeken aan de verschillende centra daarvoor. Zo'n bezoek behelst een stevige, technische keuring die meerdere dagen kost. Momenteel bieden de centra in Zwitserland (Zürich) en Spanje (Madrid) alledrie de niveaus. Het zwarte niveau wordt relatief weinig gevraagd door klanten, die daarvoor immers flinke ICT-kennis te berde moeten brengen. Wereldwijd zijn er tot op heden meer dan dertig bezoeken geweest en ongeveer 10% daarvan was voor de 'black piste', vertelt Dechoux.

Hij benadrukt dan ook dat het transparantie-initiatief meer is dan slechts woorden. Hij antwoordt instemmend op vragen van AG Conenct of Kaspersky ook actief praat met - of zelfs lobbyt bij - de Nederlandse overheid. "We hebben ze recent nog uitgenodigd, om Utrecht te bezoeken." Het nieuwe, negende centrum in Utrecht is gister officieel geopend. Nu gaan de uitnodigingen de deur uit, waarbij op nummer één de Nederlandse overheid staat, antwoordt Tim de Groot, algemeen directeur Benelux en Nordics bij Kaspersky. Het gaat daarbij niet om een politieke uitnodiging aan de opvolger van Justitieminister Grapperhaus, die de omstreden Nederlandse ban heeft ingesteld, maar om een overheidsvertegenwoordiger met technische expertise.