is Kaspersky te vertrouwen ?

Dit artikel schreeuwt om nuance, het is verder wél bijzonder informatief.

Ik mag hopelijk stellen over enige objectiviteit terzake te beschikken, waarmee ik ook stel dat dit geen pro Kasperksy of anti-'al de rest' pamflet betreft. Verderop enkele links naar relevant onderzoek naar AV(2014) wat hier zeker relevant is.

De meeste westerse burgers, organisaties, bedrijven, overheden en zelfs legers leunen op software geleverd door slechts een aanzienlijke handvol wereldspelers welke bijna zonder uitzondering uit één land afkomstig zijn. Een land waar deze bedrijven verplicht zijn onder een veel strenger beleid om informatie beschikbaar te maken zonder hierover enige bekendmaking te publiceren of klanten te informeren. Dit kan bijvoorbeeld ook inhouden dat data op grote schaal van de EU naar dat ene land in kwestie wordt gekopieerd. Maar er wordt gewerkt aan oplossingen, nog steeds.

Dat ene land is ook een agressieve inkoper en overnemer van cybersecurity start-ups, scale-ups en alles wat daar op volgt. Maar daar houdt het niet op. Dat ene land staat bekend om het uitdragen zoniet opdringen (afhankelijk van hoe je meet) van waarden, normen en vereisten rond het culturele, politieke, economische, bestuurlijke, militaire. 

Er is door de razendsnel toenemende grootschaligheid welk aanvang nam sinds de 'push to the cloud' ook een toenemende keuze armoede. De verticalisering van IT management maakte dat de nood aan kundige werknemers opdroogde omdat elke job gefactoriseerd werd tot een functie in een proces, wat nog steeds niet in verband wordt gebracht met het spook van 'talent shortage' Werknemers worden eerder verondersteld niet te kunnen dan zich te bekwamen.

Die wereldspelers kan je ondertussen steeds meer terugvinden als de enige spelers op de shortlists van leidinggevenden. 

Lichten we daar slechts één speler uit dan zien we dat deze consistent onveilige en ook al eens slecht ontworpen software aanleverde waar je ook al snel ook een firewall, antivirus, endpoint bij hen kon bekomen. Sinds de 'push to the cloud' kan je ook al je data, PII, code en netwerk verkeer bij hen kwijt.

Ze beloven dat ze 24/7 zullen waken over de veiligheid van de personen, de data, de communicatie en de software in hun cloud. 

Mooi, maar ze bevestigden wel gehacked te zijn door een clubje adolescenten. Ze voerden opnieuw zowel het onderzoek als de presentatie van het rapport. Een karakteristiek zet is om de controle over de informatiestroom te nemen door er een ander benaming aan toe te kennen, de zoekmachines tonen enkel nog wat door hun ecosysteem aan partners en andere getrouwen wordt gedeeld. Dat is de impact van slechts één van dat handvol wereldspelers. 

Cyberinsecurity is een business model waar de meute gedreven wordt met beloftes en geblaf. Er gebeuren evenwel weinig substantiële veranderingen. Een interessante vraag hier is of je een meer vrije, meer stabiele wereld verkrijgt door consistent onveilige software te handhaven met 'any means possible' of door consistent veilige software te handhaven met 'any means possible'. Het antwoord op het eerste deel van de vraag kennen we al ten dele.

De dominante cultuur van cyberinsecurity maakt dat er decennia lang bijzonder weinige moeite ging naar het ontwikkelen van software met veiligheid als premise. De gevolgen hiervan zullen nog minstens één decennium meespelen. Of dit heel relevant is voor de stabiliteit in de wereld kan ik niet met zekerheid zeggen. Er is behoorlijk wat hype rond zowel veiligheid als de relevantie van IT, het is mogelijk dat deze met de jaren opnieuw gerelativeerd kan worden.

Het is vandaag dan wel hipper om Kasperksy in een ander daglicht te zien. Tot niet zo lang geleden kon je daar eenvoudigweg geen twijfel over bekend maken. Kasperky genoot in alle lagen van de cybersecurity wereld het voordeel van de reputatie van hun product en Eugene Kasperksy in het bijzonder stond bekend als een uiterst integer man.

Als je een lijstje zou maken van de bedrijven waar oprichters, directie, leidinggevenden goede banden onderhouden met inlichtingendiensten dan wordt die snel langer dan je zou verwachten en komen alle wereldspelers er in terug. Je kan dat moraliseren door te stellen dat het bij Kasperksy wel 'de Russen' zijn. Je kan dat relativeren door te stellen dat het bij die wereldspelers wel 'niet de Russen' zijn. 

Inlichtingendiensten zijn geen doetjes en maken vaak deel uit van een zeer complexe en wellicht ook bijzonder harde wereld, ze zullen er wel zijn maar ik ken er geen persoonlijk van. De vraag is of moraliseren hier wel op de plaats is. Kasperksy werd bijvoorbeeld toch door de NSA gebruikt, dat doe je niet zomaar als NSA, die software onderging bijna zeker een uitgebreid evaluatie en test proces.

De onderzoeker Joxean Koret nam in 2014 verschillende anti-virus oplossingen (PDF) eens onder de loep. Hij kon enkel vaststellen dat de meeste AV eigenlijk onveilig waren en bijgevolg risico's introduceerden.

Hij schreef toen al dat een betrouwbare aanval voor Kasperksy AV en vele andere AV geschreven kon worden. Als de WSJ in 2017 melding maakt dat de NSA gehacked was dmv Kasperksy dan is dat niet veel meer dan oude gebakken lucht verkopen. Daar was publiekelijk over gesproken en het werd op enkele uitzonderingen na structureel weggelachen.

Ik hoop met het bovenstaande niet enkele verbazing of verwondering te veroorzaken maar ook het herdenken van de afhankelijkheid van de EU als soevereine entiteit te herdenken. We beschikken hier over top ontwikkelaars, top hackers en top ondernemers. Toch is het hele IT hebben en houden in handen van een handvol bedrijven welke onderhevig zijn aan de soms zeer modderige koers van een buitenlandse entiteit met prioriteiten welke niet noodzakelijk de onze zijn.

Een ander prioriteit is het terugkeren naar engineering als prioriteit eerder dan paperware beleid. Degelijke engineering heet tegenwoordig cybersecurity en gebeurt daarom bijna niet meer, bekwame engineers met een degelijk tijdsbudget kunnen het hackers bijzonder lastig maken. Daar verkoopt zich geen product of dienst mee maar het maakt wel een verschil waar je als organisatie zelf de hand in kan houden. Ondanks het zogeheten 'talent shortage' zijn er heel wat bekwame mensen beschikbaar op de markt, durf ze zien en zorg dat je gezien kan worden.

Zorg ervoor dat ze weten wie ze kunnen contacteren zonder via een of andere agency gerouteerd te worden. Dat kan later nog steeds.