Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 14 mei 2018
Met deze brief informeer ik uw Kamer over de voorzorgsmaatregel die door het kabinet
is genomen ten aanzien van het gebruik van antivirussoftware van Kaspersky Lab. Het
zorgelijke beeld op het terrein van digitale dreigingen heeft, met het oog op het
waarborgen van de nationale veiligheid, geleid tot aangescherpte afwegingen ten aanzien
van het gebruik van digitale producten en diensten. In dat kader heeft het kabinet
bepaald dat, als voorzorgsmaatregel, Kaspersky antivirussoftware bij de rijksoverheid
zal worden uitgefaseerd. Bedrijven en organisaties met vitale diensten en processen
en bedrijven die vallen onder de Algemene Beveiligingseisen Defensie Opdrachten (ABDO)
worden geadviseerd hetzelfde te doen. Aanleiding voor deze stap door het kabinet zijn
zorgen ten aanzien van nationale veiligheidsrisico´s die het gebruik van Kaspersky
antivirussoftware met zich mee kan brengen. Het kabinet wil deze risico’s waar mogelijk
voorkomen.
Antivirussoftware is verbonden met, en/of heeft rechten over netwerken en systemen
en daarmee uitgebreide en diepgaande toegang tot ICT-systemen om computervirussen
te bestrijden. Dergelijke software kan echter, vanwege de uitgebreide toegang die
deze biedt, ook misbruikt worden om digitale spionage en sabotage mogelijk te maken.
Kaspersky Lab is een Russisch bedrijf met haar hoofdkantoor in Rusland en valt daarmee
onder Russische wetgeving. Deze wetgeving vereist dat bedrijven zoals Kaspersky de
Russische inlichtingendiensten ondersteunen in de uitvoering van hun taken, indien
deze diensten daarom vragen. De Nederlandse inlichtingen- en veiligheidsdiensten geven
in hun jaarverslagen aan dat is geconstateerd dat de Russische Federatie al jarenlang
zeer aanzienlijke capaciteiten in het digitale domein ontwikkelen. De Russische Federatie
heeft een actief offensief cyberprogramma dat onder meer is gericht op Nederland en
Nederlandse belangen.
De software waar het hier om gaat in combinatie met de Russische wetgeving en offensieve
cybercapaciteiten, maakt dat het kabinet heeft geconcludeerd dat het risico op digitale
spionage en sabotage bij de rijksoverheid, de Nederlandse vitale infrastructuur en
ABDO-bedrijven via de antivirussoftware van Kaspersky aanwezig is.
Hoewel er geen concrete gevallen van misbruik in Nederland bekend zijn, kan dit niet
worden uitgesloten. Het kabinet wil een dergelijk risico waar mogelijk voorkomen en
acht het bovengenoemde als de aangewezen voorzorgsmaatregel. Deze voorzorgsmaatregel
ziet alleen op het gebruik van de antivirussoftware van Kaspersky binnen de rijksoverheid,
de vitale infrastructuur en ABDO-bedrijven, en dus niet op andere producten of diensten
van dit bedrijf.
Er is kennisgenomen van de aanpak en afwegingen van de Verenigde Staten en het Verenigd
Koninkrijk die beiden hebben gewaarschuwd tegen het gebruik van Kaspersky antivirussoftware.
Het kabinet heeft een eigenstandige inventarisatie en analyse uitgevoerd op basis
waarvan een zorgvuldige afweging is gemaakt.
De betrokken partijen binnen de rijksoverheid, de vitale infrastructuur en ABDO-bedrijven
worden respectievelijk door de NCTV en Defensie geïnformeerd. Zij worden gewezen op
de afwegingen die het kabinet heeft doen besluiten om deze software niet langer te
gebruiken en het advies om Kaspersky antivirussoftware uit te faseren.
Kaspersky Lab is op de hoogte gebracht van deze maatregel van het kabinet. Wanneer
de omstandigheden die aanleiding geven tot deze stap veranderen, kan dat aanleiding
zijn voor de Nederlandse overheid om een nieuwe afweging te maken ten aanzien van
het gebruik van de antivirussoftware van Kaspersky Lab.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus