Minister Grapperhaus informeerde de Kamer middels deze brief over de uitfasering van de antivirussoftware van Kaspersky Lab.
In de brief wordt, kort samengevat, het volgende betoogd:
- Er zijn zorgen ten aanzien van nationale veiligheidsrisico’s.
- Het kabinet wil deze risico’s voorkomen.
- Antivirussoftware heeft diepgaande toegang tot ICT systemen.
- Russische wetgeving vereist dat bedrijven zoals Kaspersky de Russische inlichtingendiensten ondersteunen.
- De Russische Federatie heeft een actief offensief
cyberprogramma dat onder meer is gericht op Nederland en Nederlandse belangen.
Tot op zekere hoogte kan ik instemmen met de genoemde argumenten. Maar het verbaast me (of misschien eigenlijk ook wel niet) dat op basis van deze argumenten alleen de Russische Kaspersky software wordt verbannen. Naast Rusland zijn er ook andere landen die actief zijn in Nederland. Daarnaast hebben besturingssystemen als Windows ook diepgaande toegang tot ICT systemen.
Het is verstandig dat de Nederlandse overheid veiligheidsrisico’s zoveel mogelijk wil beperken. Maar eigenlijk is er maar één manier om te weten wat software precies doet: het inspecteren van de source code.
Mij lijkt het dan ook dat het een veel betere maatregel zou zijn als de overheid alle proprietary, closed source software zou uitfaseren door deze te vervangen door vrije- opensourcesoftware (Engels: Free and Open Source Software, FOSS).
Vrije software biedt de gebruiker vier fundamentele vrijheden:
- Vrijheid om de software te gebruiken voor elk doel;
- Vrijheid om de software te bestuderen en te veranderen, daarom is de broncode van vrije software vrij beschikbaar;
- Vrijheid om de software aan iemand anders te geven zodat je iemand kunt helpen;
- Vrijheid om de software te veranderen en deze veranderde software te distribueren, zodat iedereen hiervan profiteert.
De vrijheid om de broncode van de software te bestuderen is hier essentieel. Juist deze vrijheid maakt het mogelijk om zich er van te vergewissen dat de software geen ongewenste dingen doet.
Bovendien biedt het gebruik van FOSS de Nederlandse burger en overheid veel andere voordelen.
Ik adviseer de Nederlandse overheid om gebruik te maken van vrije- opensourcesoftware om de in de brief genoemde risico’s te minimaliseren, en niet slechts een enkel pakket van een specifieke leverancier uit te faseren.
Update: Ik werd er door iemand op Twitter op gewezen dat Kaspersky heeft aangeboden de source code te laten inspecteren door de Amerikaanse overheid. De code laten inspecteren is natuurlijk heel iets anders als de code onder een vrije licentie beschikbaar maken, maar het is wel een tegemoetkoming aan de vraag naar transparantie. Het zou helemaal mooi en krachtig zijn als Kaspersky zijn virusscanner als vrije software beschikbaar zou maken. Dat zou alle kritiek moeten doen verstommen.