Het Delftse computer- en beveiligingsbedrijf Fox-IT verkoopt sinds 2010 haar producten in Rusland en is hier na de invoering van de internationale sancties tegen het land mee doorgegaan.
Fox-IT werkt in Rusland samen met verschillende partners die haar producten doorverkopen. Deze tussenhandelaren hebben nauwe banden met Russische staatsbedrijven in de energiesector en de financiële sector, maar ook met het Russische Ministerie van Defensie, defensiebedrijven en de Russische inlichtingendienst FSB. Het Delftse bedrijf heeft weinig zicht op de eindgebruiker en aan wie haar producten door tussenhandelaren worden aangeboden en doorverkocht.
Fox-IT onderkent tot 2015 te hebben geleverd aan Rusland, ook aan de Russische overheid. Ook na de invoering van de internationale sancties in 2014 gaat het Delftse bedrijf echter door met de verkoop van haar producten in Rusland. De oorlog in Oost-Oekraïne, de annexatie van de Krim, het neerhalen van vlucht MH17, het instellen van de internationale sancties tegen Rusland in 2014 en de overname door de Engelse NCC Group hebben geen invloed op de verkoopactiviteiten van Fox-IT in Rusland.
Met het verkrijgen van Russische certificering van de Fox DataDiode in 2015 vergroot het bedrijf zelfs haar toegang tot de Russische markt. Russische certificering maakt het product interessanter voor met name grote (overheids-) bedrijven en op de lucratieve markt van de veiligheidsindustrie (opsporings- en inlichtingenwerk en defensie). In de Verenigde Staten bestaan er grote twijfels over de betrokkenheid van defensie en de inlichtingendienst FSB bij die certificering.
Nederland en Rusland klant van Fox-IT
Computer- en beveiligingsbedrijf Fox-IT werd in 1999 opgericht. De Nederlandse overheid waaronder Defensie, opsporings- en inlichtingendiensten, werd al snel een belangrijke klant van het bedrijf. Fox-IT verzorgt bijvoorbeeld de beveiliging van Nederlandse staatsgeheimen.
Vanaf 2006 werd Fox-IT steeds meer internationaal actief. Zo schreef het Delftse bedrijf in december 2006 in haar nieuwsbrief dat het “een internationale sales force heeft opgericht waarmee we voornamelijk producten aan law enforcement organisaties zullen aanbieden. Denk hierbij aan de data diode, de tapanalyse software FoxReplay en onze cryptografische producten.” Het bedrijf breidde haar internationale sales force in de hierop volgende jaren uit.
Fox-IT is vanaf 2010 actief op de Russische markt. Het Delftse bedrijf richt zich in Rusland met name op de verkoop van de Fox DataDiode. Het product behoort sinds 2009 tot de dual-use goederen: goederen met een civiele toepassing, die ook een militaire toepassing kennen. De Fox DataDiode is een soort eenrichtingsverkeer firewall tussen een publiek en een privaat netwerk waarmee toegang tot vertrouwelijke informatie gereguleerd kan worden.
Volgens Fox-IT is de defensie-industrie een van de potentiële klanten voor de DataDiode. In een persbericht in 2010 schrijft het bedrijf: “Met zijn 1G en 10G Ruggedized DataDiodes richt Fox-IT zich op organisaties die de hoogst mogelijke security nodig hebben en onder extreme omstandigheden werken, zoals defensie, overheidsinstellingen en bedrijven in de nucleaire, energie-, olie- en gasindustrie en in andere kritische infrastructuuromgevingen.”
Snitegroup GmbH
Fox-IT begint in 2010 met de verkoop aan Rusland. Het Delftse bedrijf werkt hierbij samen met het Zwitserse bedrijf Snitegroup GmbH en het Russische bedrijf ZAO NPF Simet. De Rus Evgeny Gengrinovich speelt een sleutelrol. Vanaf 2010 promoot hij de Fox DataDiode, later presenteert hij zich als vertegenwoordiger van Fox-IT, en heeft hij een sleutelrol bij het aantrekken van andere tussenhandelaren. Op 1 februari 2011 ondertekenen Snitegroup GmbH en Fox-IT een Reseller Agreement. Hiermee kan het Zwitserse bedrijf producten en diensten van Fox-It doorverkopen.
In maart 2011 verschijnt Snitegroup als partner van Fox-IT voor Russia and CIS op de website van het Delftse bedrijf. Catherina Beretti heeft het Zwitserse bedrijf een jaar eerder, op 30 maart 2010, samen met de Rus Evgeny Gengrinovich ingeschreven bij het handelsregister in Zürich. Het bedrijf is gevestigd in het Zwitserse Schlieren.
Bij de Zwitserse Kamer van Koophandel staat het bedrijf ingeschreven als een onderneming die zich bezighoudt met de ontwikkeling en de verkoop van software in de CIS-landen (Gemenebest van Onafhankelijke Staten): “Entwicklung und der Vertrieb von Computer-Software insbesondere Im Bereich der GUS-Staaten.” De CIS-landen zijn Rusland, Wit-Rusland, Armenië, Kazachstan, Kirgizië, Tadzjikistan, Azerbeidzjan, Moldavië en Oezbekistan.
De Zwitserse mede-eigenaar Beretti schrijft dat zij slechts verantwoordelijk was voor de belastingen en administratie met betrekking tot de inschrijving. Het bedrijf ontwikkelde volgens haar geen enkele activiteiten in Zwitserland en de Europese Unie.
Beretti geeft aan dat Snitegroup producten en diensten van Fox-IT heeft afgenomen en die doorverkocht in de Russische Federatie: “Die Snitegroup hat im Rahmen dieses Reseller Agreements Waren und Dienstleistungen von der Fox-IT eingekauft und diese Waren auch in die Russische Föderation weiterverkauft.”
Het Zwitserse bedrijf presenteert zich op haar website als consultancy bedrijf voor bedrijfsontwikkeling, marketing en andere essentiële diensten. Volgens haar website heeft het bedrijf partners in zes landen, waaronder Israël en Rusland. De klanten van Snitegroup zijn energiebedrijven en financiële instellingen: “Among our customers you can find the market leaders in several industries such as Electric Power, Oil and Gas and finance.”
Evgeny Leonidovich Gengrinovich
De schakel voor de handel van Snitegroup met Rusland is mede-eigenaar en CEO Evgeny Gengrinovich. Hij is zijn gehele carrière werkzaam in de door de staat gecontroleerde energiesector in Rusland.
In de jaren negentig is hij vooral betrokken bij automatisering van de Russische energiedistributiebedrijven. Begin deze eeuw werkt hij niet alleen meer voor de uitvoerders in de energiesector, maar ook voor de Russische toezichthouders voor de regulering van de automatisering van energierekeningen en slimme meters. Vanaf 2006 promoot hij de slimme meters van het Zwitserse bedrijf Landis+Gyr.
In 2010 stapt hij over naar de private sector. Hij voert projecten uit voor staatsinstellingen waar hij in het verleden als ambtenaar actief was. Hij werkt als manager op het gebied van automatisering, informatiebeveiliging, en met name sales. Volgens zijn curriculum vitae van 23 mei 2017 voert hij vanaf 2010 projecten uit voor “MOEK” (Moscow United Electric Grid Company), Russian Railways, FGC UES (Federal Grid Company of Unified Energy System), Transneft, Tyumenenergo, Mosenergo, IDGC (Interregional Grid Company of Siberia) en SIBUR.
Gengrinovich zet niet alleen Snitegroup in Zwitserland op, maar is sinds 2010 ook adjunct-directeur van het Russische bedrijf ZOA NPF Simet.
ZAO NPF Simet
Simet is op 17 mei 2005 opgezet door de gebroeders Denis en Vadum Buryakov. Zij hebben honderden bedrijven op hun naam en zijn door de belastingdienst op een lijst van ‘mass directors’ gezet, individuen die bij veel bedrijven tegelijk directeur zijn. De belastingdienst verdenkt deze eigenaren van belastingontduiking, maar juridische procedures tegen de Buryakovs zijn niet ingesteld.
Als directrice van Simet staat vermeld Smirnova Lyudmila Petrovna. Volgens de gegevens van de Russische Kamer van Koophandel houdt het bedrijf zich bezig met onderzoek en productie van systeemintegratie en metrologie. Het bedrijf lijkt tot eind 2011 een voornamelijk slapend bestaan te leiden.
Fox-IT noemt op haar website vanaf 2011 Snitegroup als partner, terwijl het adres, telefoonnummer en e-mailadres van ZAO NPF Simet bij Snitegroup staat vermeld als Moscow office van het Zwitserse bedrijf: Proletarsky prospekt 1, 115522 Moscow, Russian Federation, emailadres info@simet.ru. Dit is hetzelfde adres dat Snitegroup op haar website als GmbH op de website als adres van Simet vermeldt.
Volgens mede-eigenaar van Snitegroup Beretti wilde het Zwitserse bedrijf met Simet gaan samenwerken op het gebied van scholing voor het gebruik van Fox-IT producten. “Diese Firma hat alle notwendigen Zertifikate um an Ausschreibungen innerhalb Russlands teilzunehmen. Mit dieser Frima wollte die Snitegroup zusammenarbeiten. Die Snitegroup hat geplant, dass Simet in Zukunft die Schulungen von den Fox-IT Produkten in Russland durchführt.”
Volgens Beretti is het nooit tot een overeenkomst tussen Snitegroup en Simet gekomen. Het is echter duidelijk dat Gengrinovich vanaf 2011 een sleutelrol vervult in de verkoop van producten van Fox-IT in Rusland, waarbij hij zich presenteert als vertegenwoordiger van zowel Snitegroup als Simet (en later ook van Fox-IT zelf).
Gengrinovich, de Fox DataDiode salesman
Vanaf 2010 probeert Evgeny Gengrinovich als directeur van Snitegroup en adjunct-directeur van Simet bij allerlei congressen en bijeenkomsten producten van Fox-IT aan te bieden aan Russische bedrijven. Het gaat met name om de Fox DataDiode: een soort eenrichtingsverkeer firewall tussen een publiek en een privaat netwerk waarmee toegang tot vertrouwelijke informatie gereguleerd kan worden.
Twee maanden na het ondertekenen van de reseller agreement tussen Snitegroup en Fox-IT maakt Gengrinovich op 11 april 2011 een PowerPoint Presentatie (bestandsnaam DiodeRussiaMar). In deze presentatie komen beelden voor van de Fox DataDiode. Ook de door Fox-IT gebruikte Dell-servers komen in beeld. Er wordt verwezen naar de EAL7+ en NAVO-certificaten van het product van Fox-IT.
De vermelding van deze certificaten is van belang om potentiële klanten te interesseren. Daarnaast eisen overheden voor sommige werkzaamheden apparatuur die over bepaalde certificering beschikt. Het beveiligingslabel van de EAL (Evaluation Assurance Level) is een internationaal erkende set van veiligheidsstandaarden die wordt gebruikt door overheden en andere organisaties om de veiligheid van technologieproducten vast te stellen.
Op 20 december 2011 is Gengrinovich een van de sprekers op het derde International Energy Forum “Innovation, Infrastructure, Security”. Het forum is georganiseerd door de Doema met steun van het Ministerie van Energie en Rosatom. Rosatom, ook bekend onder de namen Rosatom State Nuclear Energy Corporation, the State Atomic Energy Corporation Rosatom en Rosatom State Corporation is het Russische federaal agentschap voor kernenergie. Het houdt zich niet alleen bezig met kernenergie, maar ook met de Russische kernwapens.
Gengrinovich heeft voor de bijeenkomst drie PowerPoint presentaties voorbereid. Een presentatie (bestandsnaam SIMetTGC3v1.96506043) gaat over een project van Simet met de Zwitserse producent van slimme meters Landis+Gyr bij het door de Russische staat gecontroleerde energiebedrijf Mosenergo, een dochteronderneming van Gazprom.
De tweede presentatie gaat over een specifiek product van Landis+Gyr, Converge (bestandsnaam ConvergeSIMetv1.40459327). De derde presentatie (bestandsnaam SIMetBPL.46929715) gaat over zogenoemde Smart Grids (slimme energienetwerken).
Onder de presentaties staan de contactgegevens van Gengrinovich vermeld als Deputy General Director CJSC NPF Simet. In de tweede en derde presentatie wordt Snitegroup genoemd als partner van Simet, maar Gengrinovich laat onvermeld dat hij voor beide bedrijven werkzaam is.
Volgens de presentaties voor het Forum heeft Simet vele professional engineers in dienst en vestigingen in Moskou, Yaroslavl, Nizhny Novgorod, Novosibirsk en Krasnoyarsk. Ook wordt vermeld dat Simet partners heeft in Zwitserland, Duitsland, Slovenië, Rusland en Israël. In deze landen bevinden zich ook het hoofdkantoor en de partners van Snitegroup.
Een jaar later maakt Gengrinovich een presentatie (bestandsnaam SNITEGroupITSecASUTP) op 6 juni 2012 over de Fox DataDiode. In deze presentatie staan de logo’s van Fox-IT en Snitegroup GmbH naast elkaar. Veel teksten komen overeen met de presentatie van 11 april 2011 (bestandsnaam DiodeRussiaMar), waaronder de tekst over de EAL7+ en NAVO-certificaten van het product.
Gengrinovich maakt presentaties over de Fox DataDiode. Daarnaast prijzen Snitegroup en Simet het product ook op hun websites aan. Snitegroup presenteert het product vanaf september 2012 op haar website als “A Preferred Solution For High-Security Real-time Electronic Data Transfer Between Networks.”
Ook Simet prijst het product aan op haar website. Het bedrijf vermeldt Fox-IT sinds oktober 2012 als partner op haar website. Bij een foto van de Fox DataDiode staat: “Unidirectional, at the physical layer, connection of network segments.”
Simet en de Russische staat
De klanten van Snitegroup en Simet komen grotendeels overeen en zijn Russische staatsbedrijven of door de Russische overheid gecontroleerde bedrijven.
Op de websites van beide bedrijven worden de staatsbedrijven Gazprom en zijn dochteronderneming Mosenergo, Russian Railways, Rosseti en zijn dochteronderneming Moesk en Transneft als klant genoemd. Transneft wordt sinds 2007 geleid door voormalig KGB-officier en oud-collega van Poetin, Nikolay Tokarev. Tokarev werkte in 1996 en 1997 samen met Poetin in de Russische regering onder Jeltsin.
Vanwege hun nauwe banden met het Kremlin zijn meerdere klanten van Simet, en hun topmannen, op internationale sanctielijsten geplaatst. Transneft en Gazprom worden in 2014 op de sanctielijst van de Europese Unie geplaatst vanwege betrokkenheid bij de oorlog in Oost-Oekraïne. In 2018 worden Alexei Miller (Gazprom), Oleg Belozerov (Russian Railways), Oleg Budargin (Rosseti) en Nikolai Tokarev (Transneft) op de Amerikaanse sanctielijst geplaatst.
Het enige private bedrijf waar Simet voor werkt, is het petrochemische bedrijf SIBUR. Het bedrijf is nauw verbonden met het Kremlin. Tot in 2010 was SIBUR eigendom van staatsbedrijven Gazprom en Gazprombank die het bedrijf vervolgens ‘verkochten’ aan Leonid Mikhelson, Gennady Timchenko en Kirill Shamalov. Timchenko is miljardair en een van de judopartners van Vladimir Poetin. Shamalov behoort ook tot de inner circle van Poetin en werkte bij Gazprom, Gazprombank en Rosoboronexport. Rosoboronexport staat onder directe controle van Poetin en is het agentschap voor import en export van defensiemateriaal. In 2018 worden Shamalov en Timchenko op de Amerikaanse sanctielijst geplaatst.
Naast deze bedrijven in de energiesector heeft Simet ook relaties met het Russische Ministerie van Defensie en de defensie-industrie. Sinds 2011 is het bedrijf verwikkeld in een slepende klachtenprocedure tegen het energiebedrijf van het ministerie van Defensie, Oboronenergo. De klacht van Simet gaat over een aanbesteding voor het ontwerp en de bouw van energietussenstations in de regio Kamchatsky in het Oosten van Rusland. Bij de opdracht gaat het om de bouw van een elektriciteitsstation bij militaire eenheid 62695, het onderdeel van de Russische Pacifische Vloot waar ook nucleaire onderzeeboten zijn gestationeerd.
De banden van Simet met de Russische staat blijken niet alleen uit haar klantenkring, maar ook anderszins. In een bedrijfspresentatie van 24 januari 2013 schrijft het bedrijf dat het over allerlei licenties en certificaten beschikt waaronder de licentie van de Russische geheime dienst, de FSB om te werken met staatsgeheimen: “The FSB license to carry out work related to the use of information constituting a state secret.” Het werken met staatsgeheimen betekent dat Simet kan werken voor staatsbedrijven, bijvoorbeeld in de Russische veiligheidssector.
Gengrinovich en de Russische staat
Evgeny Gengrinovich heeft een sleutelrol bij de verkoop van de Fox DataDiode in Rusland. De klanten van Snitegroup en Simet zijn grotendeels dezelfde staatsbedrijven waarvoor hij volgens zijn curriculum vitae als ambtenaar heeft gewerkt. Gengrinovich heeft niet alleen goede contacten in de energiesector, maar heeft ook connecties met het Russische Ministerie van Defensie en de defensie-industrie.
In zijn curriculum vitae van 23 mei 2017 vermeldt Gengrinovich van 2010 tot 2014 certificeringswerk te hebben verricht voor de FSTEC en het Ministerie van Defensie: “in 2010-2014, work was carried out on the certification of a number of IT solutions at the FSTEC, as well as for use for the needs of the Ministry of Defense and Gazprom.”
De FSTEC (Federal Service for Technical and Export Control) valt onder het Ministerie van Defensie en is het Russisch agentschap dat verantwoordelijk is voor de beveiliging van staatsgeheimen. Het FSTEC heeft nauwe banden met de Russische inlichtingendienst en zal in 2015 de Russische certificering van de Fox DataDiode verrichten.
Daarnaast geeft Gengrinovich in zijn curriculum vitae aan opdrachten te hebben uitgevoerd voor het Ministerie van Defensie (“for use of the needs of the Ministry of Defence).
Dit werk voor defensie ligt in de lijn met zijn presentaties voor het “Innovation. Infrastructure, Security” forum van 20 december 2011, mede-georganiseerd door het Russische kernenergie-agentschap Rosatom dat ook verantwoordelijk is voor de Russische kernwapens. In de presentaties over de Fox DataDiode besteedt Gengrinovich aandacht aan het gebruik van diodes bij het Internationaal Atoomenergieagentschap (IAEA) met een verhandeling over de monitoring van kernenergiecentrales.
Het IAEA komt opnieuw aan bod in een artikel van 10 maart 2015 over de voordelen van DataDiodes op zijn blog, egengrinovich livejournal. Hij schrijft net als in de presentaties dat de instelling DataDiodes gebruikt: “The International Atomic Energy Agency (IAEA) uses them to monitor the operational situation at nuclear power plants.”
In hetzelfde artikel stelt Gengrinovich dat defensie- en energiebedrijven de DataDiode hebben aangeschaft: “The list of implementations of DataDiodes is quite wide: from defense to large energy companies.” Gengrinovich noemt geen namen van defensiebedrijven of andere bedrijven waaraan de Fox DataDiode is verkocht. Met een uitzondering: RusHydro.
Fox DataDiode naar PJSC RusHydro
Een van de eerste Russische bedrijven die volgens Gengrinovich de DataDiode in gebruik neemt, is RusHydro. Hij schrijft in het artikel van 10 maart 2015 op zijn blog, evgenovich livejournal: “In Russia, one of the first companies to apply this solution was the holding company RusHydro.” In het artikel noemt hij Fox-IT niet bij naam.
In zijn curriculum vitae van 23 mei 2017 verwijst hij naar een project bij RusHydro en zegt hij betrokken te zijn geweest bij de installatie van informatiebeveiliging op computernetwerken: “In 2010-2012, a project was implemented to ensure the information security of the technological segments of local computer networks for hydroelectric power plants belonging to JSC RusHydro (8 stations).” Vanaf 2010 was Gengrinovich actief voor Snitegroup en Simet bij de verkoop van de Fox DataDiode.
Het staatsbedrijf RusHydro is een van de grootste waterkrachtbedrijven in de wereld. In 2004 is het bedrijf ontstaan uit de herinrichting van de Russische energiebedrijven.
RusHydro is nauw verweven met de Russische staat. Dat het Kremlin bepaalt hoe het bedrijf wordt gerund blijkt niet alleen uit de ledenlijst van de raad van bestuur van RusHydro, maar ook uit de wijze waarop leidinggevenden worden benoemd of verwijderd uit de top van het bedrijf.
De raad van bestuur van RusHydro bestaat vooral uit mannen die werkzaam waren of zijn in door de Russische staat gecontroleerde bedrijven in de energiesector zoals Rosatom, Transneft, Inter Rao, Rosseti, Rosneft en de door het Kremlin gecontroleerde financiële wereld zoals VTB Bank en Vnesheconombank VEB.
Op 23 november 2009 wordt Evgeny Dod naar voren geschoven als CEO van RusHydro door toenmalig vicepremier van Rusland en vertrouweling van Poetin, Igor Sechin. Sechin is de olieman van Rusland en wordt door diverse media zoals de Financial Times omschreven als de tweede man van Rusland. Zijn macht dankt hij aan zijn positie als CEO bij het Russische oliebedrijf Rosneft. Ook een andere man uit de directe cirkel van Poetin, Boris Kovalchuk, maakt deel uit van de raad van bestuur van RusHydro.
In 2011 wordt een hoge functionaris van de Russische inlichtingendienst FSB aangesteld in het bestuur van RusHydro. Op 10 april 2011 schrijft The Moscow Times dat Poetin de plaatsvervangend minister van energie, Sergei Shmatko, heeft ontslagen uit het bestuur van het bedrijf. Hij wordt vervangen door Sergei Shishin, senior vicepresident van de Russische staatsbank VTB Bank en tevens generaal bij de FSB (en voorloper KGB) waar hij verantwoordelijk is voor de contra-inlichtingenafdeling. In 2012 steekt Poetin 50 biljoen roebel (ruim een miljard euro) in het bedrijf.
De banden tussen het Kremlin en RusHydro zijn reden waarom topmannen van het bedrijf in 2018, waaronder CEO Nikolay Shulginov, op de Amerikaanse sanctielijst van hoge functionarissen van staatsbedrijven zijn geplaatst.
De export van Fox-IT het zicht op de eindgebruikers
Snitegroup, Simet en Gengrinovich proberen vanaf 2010 Fox-IT producten, met name de Fox Datadiode, in Rusland te verkopen. Deze tussenhandelaren hebben nauwe banden met Russische staatsbedrijven in de energiesector en de financiële sector, maar ook met het Russische Ministerie van Defensie, de defensie-industrie en de Russische inlichtingendienst FSB.
Het is de vraag of het Delftse bedrijf weet aan welke partijen haar producten in Rusland te koop worden aangeboden en doorverkocht. Fox-IT onderkent aan Rusland te hebben geleverd. Toenmalig directeur en medeoprichter Ronald Prins verklaart in een interview met Bits & Chips op 17 november 2015 dat het bedrijf de Fox DataDiode in Rusland heeft verkocht.
MT/Sprout vermeldt in een interview met Prins op 15 april 2014 dat het bedrijf ook aan de Russische overheid heeft geleverd: “Het Delftse bedrijf (verwachte omzet 2013: € 21 mln) biedt online beveiligingsoplossingen aan ‘s werelds meest bekende instituten. Denk niet alleen aan de NASA, NAVO of de Nederlandse, Russische en Indiase overheid, maar ook aan multinationals als T-Mobile en GlobalSign en koepelorganisaties als de NVB en NOC/NSF.”
Uit eerder onderzoek van Buro Jansen & Janssen naar de export van Fox-IT blijkt dat het bedrijf vaak niet weet wie de eindgebruikers van haar producten zijn en voor welke doeleinden deze gebruikt worden.
Die export van dual-use goederen (goederen met een civiele toepassing, die ook een militaire toepassing kunnen hebben, en waartoe ook IT-technologie en software kunnen behoren) naar landen buiten de Europese Unie is vergunningsplichtig. Bedrijven dienen een exportvergunning aan te vragen bij de Afdeling Exportcontrole en Strategische Goederen – deze valt sinds 2013 onder het Ministerie van Buitenlandse Zaken, daarvoor onder het Ministerie van Economische Zaken.
In 2009 verkreeg Fox-IT voor de DataDiode een EAL-6 certificering, waarmee het product in ieder geval vergunningsplichtig werd. In 2010 werd een EAL-7 certificering verkregen. Het beveiligingslabel van de EAL (Evaluation Assurance Level) wordt door Gengrinovich, Snitegroup, Simet en andere tussenhandelaren gebruikt om potentiële Russische klanten in de Fox DataDiode te interesseren.
Uit het onderzoek van Buro Jansen & Janssen ‘Fox-IT en het Nederlandse exportbeleid voor dual-use goederen’ van januari 2020 blijkt dat Fox-IT in 2011, 2012 en 2013 jaarlijks een globale exportvergunning verkreeg. Hiermee kon het bedrijf exporteren naar landen in de gehele wereld – met uitzondering van zogenaamde ‘moeilijke landen’ (zoals Noord-Korea en Iran). Fox-IT kon met deze globale exportvergunningen ook naar Rusland exporteren. De exportvergunning van 2011 was voor de Fox Datadiode, maar in de vergunningen van 2012 en 2013 werd geen specifiek product meer genoemd. Het ging om ‘apparatuur voor informatiebeveiliging’, waaronder ook andere producten zoals Redfox en Skytale kunnen vallen. Tot op heden heeft het ministerie van Buitenlandse Zaken niet bekend gemaakt of en hoeveel, exportvergunningen Fox-IT sinds 2013 heeft aangevraagd en gekregen.
Het exportbeleid voor dual-use goederen beoogt ongewenst eindgebruik te voorkomen. Het Handboek Strategische Goederen en Diensten stelt: ‘Het Nederlands dual-use exportcontrolesysteem is gebaseerd op risicoanalyses. De nadruk ligt bij de controle vooraf. Het gaat er om met behulp van risicoanalyses en, waar nodig, het verkrijgen van extra waarborgen, de risico’s van ongewenst gebruik of doorgeleiding naar een onwenselijke bestemming tot een minimum te beperken.’ Uit het onderzoek ‘Fox-IT en het Nederlandse exportbeleid voor dual-use goederen’ blijkt dat er in de praktijk nauwelijks sprake is van een risicoanalyse. Fox-IT verstrekt de Afdeling Exportcontrole nauwelijks informatie over de eindgebruikers van de te exporteren producten.
Uit het onderzoek blijkt dat Fox-IT vaak niet weet wie de eindgebruikers zijn van de producten die onder globale exportvergunning worden geëxporteerd. Wanneer bedrijven een exportvergunning aanvragen voor een product dat cryptografie bevat dienen zij een zogenaamd cryptoformulier in te vullen. Hoewel de DataDiode cryptografie bevat vulde Fox-IT bij het aanvragen van exportvergunningen geen cryptoformulier in waardoor het bedrijf minder informatie hoefde te verschaffen over de eindgebruiker. In het formulier wordt namelijk gevraagd tot welke van de vier categorieën (financiële instelling, overheidsinstelling, bedrijf, particulier) de eindgebruiker behoort.
Ook in het onderzoek van Buro Jansen & Janssen ‘Fox-IT in het Midden-Oosten’ van april 2019 blijkt dat Fox-IT weinig zicht heeft op de eindgebruikers van haar producten. Het Delftse bedrijf werkte in de regio vanaf 2007 samen met het Duitse bedrijf AGT, Advanced German Technology. In de partnerovereenkomst en reseller agreement met AGT waren geen voorwaarden opgenomen met betrekking tot welke landen en klanten AGT de producten van Fox-IT kon doorverkopen. Fox-IT had dan ook weinig zicht op waar haar producten terechtkwamen en voor welke doeleinden deze gebruikt werden.
Fox-IT en de Russische tussenhandel
Ook bij de handel in Rusland ontbreekt het zicht op de eindgebruiker. Fox-IT maakt in Rusland gebruik van verschillende partnerbedrijven die haar producten als tussenhandelaar proberen door te verkopen.
Het Delftse bedrijf noemt op haar website vanaf 2011 Snitegroup als partner, en later ook OSIsoft (vanaf 2014) en Axoft (vanaf 2015).
Daarnaast bieden ook andere Russische bedrijven de Fox Datadiode aan, zonder dat zij door Fox-IT als partner of wederverkoper worden opgevoerd. Het gaat onder meer om ARinteg (vanaf 2012), RTSoft (vanaf 2013) en de International IT Distribution Group (vanaf 2011). Het is opvallend dat deze bedrijven door Fox-IT op haar website niet worden genoemd als partner. Het is dan ook de vraag of het Delftse bedrijf weet dat haar producten door deze bedrijven in Rusland te koop worden aangeboden.
De relatie tussen het Zwitserse Snitegroup en het Russische International IT Distribution Group (ITD Group) geeft aan hoe het zicht op de eindgebruiker van door Fox-IT geëxporteerde dual-use goederen wordt ontnomen.
Fox-IT en Snitegroup ondertekenden op 1 februari 2011 een reseller overeenkomst zodat Snitegroup de producten van Fox-IT in Rusland kan verkopen. Vier maanden later in mei 2011 ondertekent Snitegroup een geheimhoudingsverklaring (NDA) met de ITD Group, een Russisch distributiebedrijf van hardware en software. Hiermee kan de ITD Group producten van Fox-IT doorverkopen, zonder dat het Snitegroup hoeft te informeren aan wie het doorverkoopt en voor welke doeleinden het product wordt gebruikt.
Caterina Beretti, de Zwitserse mede-eigenaar van Snitegroup, geeft aan dat na de ondertekening van de NDA meteen handel wordt gedreven met het Russische bedrijf. “Mit der Firma International IT Distribution Group hat die Snitegroup im Mai 2011 ein Non-Disclosure Agreement unterzeichnet. Es wurden auch in 2011 Geschäfte zwischen der International IT Distribution Group und der Snitegroup GmbH abgewickelt.” Beretti kan vanwege de geheimhoudingsverklaring geen nadere details geven: „Uber die Art der Geschafte kann ich aufgrund des Non-Disclosure Agreements keine weiteren Auskunfte geben.”
Gengrinovich is, net als bij de samenwerking van Snitegroup met Simet, ook de verbindende factor met de ITD Group. ITD Group neemt de inhoud van zijn Snitegroup presentatie van 6 juni 2012 over de Fox DataDiode volledig over, waarbij alleen de contactgegevens van Snitegroup worden vervangen door de website van het bedrijf: iitdgroup.ru.
Op 1 februari 2014 publiceert de ITD Group op haar website een artikel over Fox-IT en de DataDiode, waarin het schrijft: “Fox-IT solutions are already being used by government agencies, defense organizations, law enforcement agencies, life support facilities, banks and large commercial organizations around the world.” Het artikel besteedt speciale aandacht aan de DataDiode. “In particular, one of the key solutions offered by the company is Fox DataDiode.” Bij het artikel zit een pdf over het product (bestandsnaam Crypto-_Fox_DataDiode_for_protecting_secrets-RU). Het is de vertaling van een pdf die ook te vinden is op de website van de NAVO.
Volgens de ITD Group wordt de Fox DataDiode gebruikt door overheidinstanties en organisaties op het gebied van defensie en law enforcement, maar het specificeert niet of het hierbij op Rusland doelt. Wel vermeldt de ITD Group op haar website dat het Russische overheidsorganisaties en banken onder haar klanten heeft: “Leading Russian banks, state organizations, utility, telecom, insurance and transportation companies entrust their security to our company.”
Fox-IT heeft de ITD Group nooit als partner of reseller op haar website genoemd. Het Delftse bedrijf heeft echter wel contacten met het bedrijf. Van 1 tot en met 4 oktober 2013 woont Fox-IT de jaarlijkse VIP conferentie van ITD Group in Tel Aviv (Israël) bij, “Trends in the Development of Information Security of Modern Business.” De beurs wordt bezocht door verschillende bedrijven: “There will be a great opportunity to try the latest products and ask questions to representatives of vendors – Skybox, PineApp, Intellinx, Checkmarx, WhiteBox, Fox-IT and CyberArk.” Het is niet bekend of Gengrinovich ook op deze beurs aanwezig was, al woont hij deels in Israël.
In juni 2015 stapt Gengrinovich zelfs deels over naar de ITD Group. Hij gaat, naast zijn werk voor Snitegroup, werken als adviseur van de algemeen directeur op het terrein van informatiebeveiliging en de productontwikkeling op dat gebied. In zijn curriculum vitae vermeldt hij: “Since June 2015, he has been working in the company AITIDI Group as Advisor to the General Director responsible for the development of the business in the direction of Protection of critical information infrastructure, as well as the development of the company’s product line in this area.”
Over de buitenlandse partners van de ITD Group schrijft Gengrinovich: “The work is carried out in constant interaction with potential Customers, Partners and experts, including foreign ones (Israel, Netherlands, Switzerland, Bulgaria).” Deze landen komen (met uitzondering van Bulgarije) overeen met de internationale connecties van Snitegroup en Simet.
De oorlog in Oost-Oekraïne; verkoop Fox-IT gaat door
In 2014 leiden de annexatie van de Krim, de oorlog in Oost Oekraïne en het neerhalen van de MH17 tot het invoeren van sancties tegen Rusland door de Verenigde Staten en de Europese Unie.
Deze ontwikkelingen hebben geen invloed op de verkoopactiviteiten van Fox-IT in Rusland. Hoewel Ronald Prins in een interview met Bits & Chips van 17 november 2015 zegt dat verkoop van de DataDiode aan Rusland niet meer mag, “we verkochten hem ook aan Rusland – dat mag nu niet meer – …”, spreekt bedrijf zich op haar bedrijfskanalen niet uit over mogelijke consequenties van de internationale sancties voor haar activiteiten in Rusland, bijvoorbeeld een scherpere controle op de eindgebruikers van de door het bedrijf geëxporteerde producten.
Fox-IT doet evenmin aan herbezinning op de samenwerking met haar Russische partners: Snitegroup, Simet en Gengrinovich gaan door met hun verkoopactiviteiten.
In mei 2014 gaat de website foxitcis.com live. Gengrinovich is eigenaar van het domein en contactpersoon. Het Fox-IT logo staat naast dat van Snitegroup op de voorpagina. De website is gericht op de verkoop van Fox-IT producten in de GOS-landen, waaronder Rusland: “Fox-IT (Netherlands), together with partner SNITEGroup GmbH (Switzerland), present information security products for the CIS countries.” Het blijft echter niet bij een website alleen. Gengrinovich gaat zich presenteren als vertegenwoordiger van Fox-IT.
Op 28 mei 2014 houdt Gengrinovich een presentatie tijdens de OSIsoft Regional Conference in het Milan Hotel in Moskou. OSIsoft is een Amerikaans bedrijf in applicatiesoftware, met ook een vestiging in Rusland. De presentatie gaat over technische oplossingen voor informatiebeveiliging (Information security of technological segments of a data transmission network). De Rus wordt door OSIsoftRussia op haar Youtube kanaal gepresenteerd als vertegenwoordiger van het Delftse bedrijf Fox-IT: “Evgeny Gengrinovich, company “Fox-IT””.
In februari en maart 2015 publiceert Gengrinovich twee artikelen in het Journal ‘Automation in Industry’. Beide artikelen gaan over DataDiodes en de beveiliging van vitale infrastructuur en openbare netwerken. Het artikel ‘Information Security of Critical Infrastructure’ omschrijft Gengrinovich als technisch adviseur van Fox-IT: “Technical advisor Fox-IT.”
Russische FSTEC-certificering
Voor de handel van Fox-IT met Rusland is certificering van haar producten van belang. Hiermee vergroot het Delftse bedrijf haar kansen op de Russische markt. De Russische certificering maakt het product interessanter voor met name grote (overheids-) bedrijven. En ook op de lucratieve markt van de veiligheidsindustrie (opsporings- en inlichtingenwerk en defensie).
Het Russische certificeringsproces voor de Fox DataDiode is in 2013 begonnen. In de technische factsheet van 1 november 2013 schrijft Fox-IT bij de Russische Federatie: “ФСТЭК (FSTEC) certification in process.”
FSTEC (Federal Service for Technical and Export Control) is het Russisch agentschap dat is belast met contraspionage en de beveiliging van staatsgeheimen. Naar aanleiding van een aantal bepalingen van FSTEC in februari 2013 en maart 2014 (Orders Nr. 17, 21, 31 van respectievelijk 11 en 18 februari 2013 en 13 maart 2014) zijn richtlijnen en controlemechanismen opgesteld voor toelating van buitenlandse apparatuur op de Russische markt.
De oorlog in Oost-Oekraïne, het neerhalen van de MH17 en de internationale sancties vormen voor het Delftse bedrijf geen aanleiding om de certificeringsprocedure stop te zetten. Om potentiële klanten op de hoogte te houden van de vorderingen van de procedure past Fox-IT de technische folder van de DataDiode vanaf 2013 regelmatig aan. Bijvoorbeeld op 17 juni 2014 enkele weken voor het neerhalen van de MH17 en in 2015.
Fox-IT heeft de certificeringsprocedure niet zelf in gang gezet. De procedure is opgestart door ARinteg, het bedrijf dat sinds 1 april 2012 de Fox DataDiode aanbiedt. Van alle Russische tussenhandelaren die producten van Fox-IT aanbieden is ARinteg het enige bedrijf dat in 2013 over een FSTEC-licentie beschikt (sinds 3 februari 2010).
ARinteg heeft de certificeringsprocedure opgestart, maar op de achtergrond speelt Evgeny Gengrinovich een rol. In zijn curriculum vitae schrijft hij dat hij van 2010 tot en met 2014 werk heeft uitgevoerd in het kader van de certificering bij FSTEC: “in 2010-2014, work was carried out on the certification of a number of IT solutions at the FSTEC.” De belangrijkste ‘IT solutions’ waar Gengrinovich zich in die jaren mee bezighoudt is de Fox DataDiode.
De FSTEC-certificering wordt succesvol afgerond. Op 3 november 2015 schrijft ARinteg op haar website: “According to the results of tests on the complex, a certificate of conformity No. 3446 was issued.” Op de website van FSTEC staat bij Fox DataDiode de certificering van 27 augustus 2015 tot en met 27 augustus 2018.
Ter verduidelijking geeft ARinteg aan dat sinds 2013 het gebruik van DataDiodes in Rusland is geregeld door de FSTEC: “Since 2013, the use of unidirectional data transmission systems in the Russian Federation has been regulated by orders of the FSTEC (Orders 17, 21 and 31).” Fox-IT vermeldt de verkregen certificering in de technische folder van de DataDiode.
Op 4 maart 2015 schreef Fox-IT in de technische folder nog dat de DataDiode beschikt over NAVO-certificaten (“NATO up to and including NATO SECRET, Green Scheme”) en Nederlandse certificaten (“The Netherlands up to and including Staatsgeheim GEHEIM, by NL-NCSA/NBV (Nationaal Bureau voor Verbindingsbeveiliging)”). Eind augustus 2015 is daar dus na een tweejarige procedure de Russische certificering aan toegevoegd. Het Delftse bedrijf schrijft over de procedure: “This extended certification scope is a result of the Russian government policy on IT security certifications.”
JSC NPO Echelon; inlichtingendienst operatie?
Handel met Rusland is voor Fox-IT onmogelijk zonder bemoeienis van de Russische inlichtingendienst FSB. De FSTEC, dat verantwoordelijk is voor de certificering, valt onder het Ministerie van Defensie en werkt samen met de FSB. Mede door de toegenomen spanningen tussen Rusland en het Westen krijgt certificering van IT-technologie vanaf 2013 een steeds belangrijker inlichtingencomponent. Rusland wil niet dat buitenlandse apparatuur wordt gebruikt voor spionagedoeleinden, maar wil tegelijkertijd inzicht in de nieuwste buitenlandse technologie verwerven. De Verenigde Staten en de Europese Unie maken vanzelfsprekend eenzelfde afweging.
De FSTEC-certificering is hiermee gepolitiseerd. Volgens verschillende Amerikaanse technologiebedrijven kunnen de Russen tijdens het certificeringsproces kwetsbaarheden in producten ontdekken, die vervolgens bij hackpogingen kunnen worden gebruikt: “Those inspections also provide the Russians an opportunity to find vulnerabilities in the products’ source code – instructions that control the basic operations of computer equipment – current and former U.S. officials and security experts said” (Reuters 23 juni 2017).
Waar Amerikaanse bedrijven bezwaren signaleren bij de certificeringsprocedure doet Fox-IT dit niet. Het bedrijf vermeldt in de technische folder wel dat het Russische Ministerie van Defensie betrokken is bij de certificering van de DataDiode: “Russian Federation certificate of the Ministry of Defense of Russia for compliance with Level 2 NDV and RDV control *), by CNII EISU (CNII EISU). Certificate on code review and software testing against Russian Ministry of Defense requirements to undeclared features (level 2) and functional requirements correspondingly.” Het Delftse bedrijf heeft, in tegenstelling tot Amerikaanse bedrijven, verder geen kanttekeningen.
Een van de Amerikaanse bedrijven, het gerenommeerde cybersecurity bedrijf Symantec, besloot om niet meer mee te werken aan het verzoek van de Russische overheid om de broncode van haar producten in te zien. Voor Symantec een besluit met gevolgen, want door deze weigering worden producten van het bedrijf niet meer toegelaten op de Russische markt. Symantec zegt in 2017 tegen Reuters dat het een van de laboratoria die de tests doen niet onafhankelijk genoeg vindt van de Russische Staat: “Symantec said one of the labs inspecting its products was not independent enough from the Russian government” (Reuters 23 juni 2017).
Symantec doelt op JSC NPO Echelon, een van de Russische bedrijven die de certificering voor de FSTEC uitvoert. Symantec twijfelt aan de onafhankelijkheid van dat bedrijf: “The lab “didn’t meet our bar” for independence.”
De naam van het bedrijf, Echelon, is een Russische knipoog naar het wereldwijde afluisterprogramma van de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland (de zogenaamde Five Eyes) ook genaamd Echelon. Symantec’s weigering heeft alles te maken met de centrale rol die de Russische inlichtingendienst FSB speelt bij de certificering. Echelon zou vooral in naam onafhankelijk zijn, maar in werkelijkheid sterk gelieerd zijn aan het Russische leger en de FSB.
De betrokkenheid van de Russische inlichtingendienst is voor Symantec reden om haar producten niet te laten certificeren. Fox-IT heeft dergelijke bezwaren niet en heeft zich nooit uitgelaten over de mogelijke risico’s van FSTEC-certificering. Hoewel het bedrijf Echelon ook de DataDiode heeft onderzocht, mogelijk ook op kwetsbaarheden die gebruikt kunnen worden bij hackaanvallen.
Fox-IT laat zich niet uit over dit risico. Het vermeldt in de technische folders: “The scope of the Russian security certifications however also include the software that is provided with the device and runs on the proxy servers.”
Het is Fox-IT bekend dat bij het certificeringsproces zowel de hardware als de software uitgebreid wordt doorgelicht: “As a result, these certifications do not only warrant the enforced one-way network connection of the Fox DataDiode hardware, but do also warrant the absence of undeclared features (e.g. backdoors and spyware) in the Fox DataDiode software.”
Enigszins cryptisch voegt Fox-IT hier nog aan toe dat de Fox DataDiode software bij niet nader genoemde Russische ‘trusted sources’ kan worden verkregen en dat Fox-IT een Russische standaardvalidatie kan verzorgen: “The certified Fox DataDiode software can be collected from trusted Russian sources. GOST fingerprints are available upon request.”
Het handelsbelang weegt voor het Delftse bedrijf zwaarder dan de risico’s van de FSTEC-certificering. De certificering van de DataDiode biedt voor Fox-IT nieuwe kansen op de Russische markt. Dit blijkt uit de verkoopactiviteiten van de Russische tussenhandelaar ARinteg.
ARinteg: Levering aan staatsbanken
Het in Moskou gevestigde bedrijf ARinteg houdt zich bezig met systeemintegratie en informatiebeveiliging. Het biedt de Fox DataDiode al sinds 2012 aan, hoewel het bedrijf door Fox-IT nooit als partner, distributeur of reseller is genoemd.
ARinteg heeft nauwe banden met de Russische overheid. Dit blijkt niet alleen uit haar rol bij de certificering van de DataDiode, maar ook uit haar klantenkring. Veel van ARinteg’s klanten behoren tot de door de Russische staat gecontroleerde financiële wereld, zoals de Russische ontwikkelingsbank Vnesheconombank VEB, Promsvyazbank en dochteronderneming Sviaz-Bank, Bank Trust en Project Finance Bank.
Potentiële interesse in een DataDiode bij haar staatsklanten was er al voor het verkrijgen van de certificering. De Vnesheconombank VEB schreef al in 2013 een tender uit voor een DataDiode. Het is niet bekend of ARinteg het product aan de bank heeft verkocht. Wel heeft ARinteg bij de Vnesheconombank VEB een project uitgevoerd dat duidt op de toepassing van een DataDiode. Het bedrijf vermeldt op haar website: “Implement centralized management of the anti-virus and other malicious code protection system.”
Niet alleen de Vnesheconombank VEB heeft interesse in een DataDiode. Na de certificering van de Fox DataDiode in augustus 2015 zegt ARinteg commercieel directeur Dmitry Slobodenyuk in het National Banking Journal van 7 december 2015 dat het voor het bedrijf belangrijk was om eenrichtingsverkeer voor de uitwisseling van informatie in het assortiment te hebben.
Een van de grootste banken van Rusland wil deze namelijk in gebruik nemen. “Also significant for us was the commissioning of a software and hardware complex for one-way information transfer in one of the largest banks in the Russian Federation.” Slobodenyuk bedoelt de Fox DataDiode. Hij verwijst namelijk naar de certificering door FSTEC: “We have certified this solution at FSTEC and are piloting it in several large companies.”
ARinteg heeft de Fox DataDiode verkocht aan een Russische bank, een van de grootste banken van Rusland, maar het maakt niet bekend om welke bank het gaat. De grootste banken van Rusland zijn in 2014 de staatsbanken Sberbank, VTB Bank en Gazprombank. Daarna volgen nog een dochteronderneming van VTB Bank, VTB24, de Otkritie FC Bank en Alfa Bank.
ARinteg noemt op haar website in 2014 verschillende banken als klant: de staatsbanken Vnesheconombank VEB, Promsvyazbank, Sviaz-Bank, Bank Trust en RPFB Project Finance Bank en de private bank Alfa Bank.
ARinteg’s commercieel directeur Dmitry Slobodenyuk specificeert niet aan welke bank en welke bedrijven de Fox DataDiode is geleverd. De kans dat dual-use producten van Fox-IT bij de Russische defensie is terechtgekomen is echter reëel. ARinteg heeft namelijk naast veel klanten in de door de Russische staat gecontroleerde financiële sector, ook klanten in de defensie-industrie.
Een van die klanten is het defensiebedrijf VPK NPO Mashinostroyeniya, dat zich sinds het eind van de Koude Oorlog niet alleen meer op militaire productie richt, maar onder andere raketten voor de Russische marine produceert. Het is een van de eerste bedrijven die door de Amerikaanse overheid na de inval op de Krim op 16 juli 2014 op de sanctielijst is geplaatst.
Russische banken en de defensie-industrie
De nauwe banden tussen de Russische financiële sector en het Kremlin leiden na de Russische bezetting van de Krim in 2014 tot internationale sancties tegen meerdere Russische banken, waaronder een aantal banken die klant is van ARinteg.
De eerste banken die in 2014 op sanctielijsten van de Verenigde Staten en de Europese Unie komen te staan zijn de drie grote staatsbanken Sberbank, VTB bank en Gazprombank. Later dat jaar worden de Vnesheconombank VEB en Alfa Bank, beiden klant van ARinteg, op de sanctielijst geplaatst.
Niet alleen de banken zelf worden op de sanctielijsten geplaatst. In 2018 wordt ook een aantal topmannen van banken op de Amerikaanse sanctielijst geplaatst waaronder Sergey Gorkov van de Vnesheconombank VEB, maar ook de topmannen van Sberbank (German Gref), VTB bank (Andrey Kostin) en Gazprom bank (Andrey Akimov).
Van de banken die klant zijn van ARinteg springt met name de Alfa Bank in het oog. Bij de Alfa Bank heeft Arinteg de antivirusbeveiliging gemoderniseerd. Het vermeldt hierover op haar website bij de projectbeschrijving: “Modernization of the anti-virus protection system to bring it in line with the level of modern threats.”
Hoewel Alfa Bank een private bank is, is zij sterk verweven met de door het Kremlin gecontroleerde Russische defensie-industrie. De Russische krant Novayagazeta schrijft hierover: “For years before 2018, Alfa Bank provided substantial loans to subsidiaries of Uralvagonzavod (produces up to 40% of Russian military equipment) and other affiliate entities of the Ministry of Defense and Chemezov’s Rostechnology.”
Ook heeft de bank directe connecties met de Russische kernenergiesector. Volgens de New York Post. “Alfa Bank provided financing throughout the 2000s to Atomstroyexport, the state-owned Russian nuclear vendor that installed the reactors at Bushehr, Iran.”
Naast deze financiële banden met het Russische regime heeft Alfa Bank ook contacten met de Russische inlichtingenwereld, met name de buitenlandse inlichtingendienst SVR. Novayagazeta en The Moscow Times melden: “Alfa bank representatives also have a long track record of cooperation with Mikhail Fradkov, head of SVR in 2007-2016, and Vladislav Surkov, Putin’s key advisor on propaganda.”
Na de invoering van de sancties is het voor de Alfa Bank, net als voor andere Russische banken die de defensie-industrie financieren, moeilijk om internationale kredieten te verkrijgen. De Alfa Bank zou zich sinds 2017 niet meer met defensie bezighouden. De rol van financier van de Russische defensie-industrie wordt overgenomen door een andere klant van ARinteg: de Promsvyazbank.
Begin 2018 wordt de Promsvyazbank met steun van de Russische overheid opgetuigd om met name de defensiesector te ondersteunen: “Russia’s Promsvyazbank (PSB), bailed out by the central bank last month, will be recapitalised and transferred to the government and will service the defence sector, the finance ministry said on Friday.” (Reuters 19 januari 2018)
Fox-IT in Engelse handen: Verkoop in Rusland gaat door
Op 3 november 2015 verkrijgt ARinteg de Russische certificering voor de Fox DataDiode. Tweeëntwintig dagen later wordt het Delftse bedrijf overgenomen door de Britse NCC Group uit Manchester. In de media wordt de overname gepresenteerd als een mogelijkheid voor Fox-IT om internationaal te groeien.
De internationale sancties tegen Rusland vormen voor het Delftse bedrijf geen reden om haar handel met Rusland te heroverwegen. De certificering van de DataDiode vergroot zelfs de toegang tot de Russische markt en maakt het product interessanter voor met name grote (overheids-) bedrijven en op de lucratieve markt van de veiligheidsindustrie (opsporings- en inlichtingenwerk en defensie).
Fox-IT blijft dan ook actief op de Russische markt. Dit blijkt onder meer uit de LinkedIn-pagina van Joy Meijneke. Zij is van april 2017 als International Inside Sales Representative verantwoordelijk voor de verkoop van de DataDiode en andere producten in Rusland en de samenwerking met Russische partners.
Zij vat haar werkzaamheden alsvolgt samen: “Managing opportunities for Fox-IT’s High Assurance products (DataDiode, SINA, SkyTale) in collaboration with field representatives. Responsible for inside sales, renewal business, development and employment of partners, and monitoring (partner and end-user) opportunities in the following countries: the Americas, Russia, Asia, Australia and New Zealand.”
Meijneke geeft aan te hebben samengewerkt met vertegenwoordigers in de regio. Het zal hierbij zijn gegaan om onder andere Snitegroup, waarmee Fox-It al sinds 2011 samenwerkt. Snitegroup blijft partner van Fox-IT tot 2019, wanneer het bedrijf wordt uitgeschreven uit het Zwitserse handelsregister.
Volgens mede-eigenaar Caterina Beretti heeft Snitegroup na het instellen van de sancties tegen Rusland geen producten van Fox-IT meer verkocht: “Nach Inkrafttreten der Sanktionen gegen Russland wurden keine Waren mehr von der Fox-IT nach Russland verkauft.”
Wel zou Snitegroup in Rusland een onderhoudscontract hebben verkocht. Volgens Beretti werden de sanctieregels hiermee niet overtreden, omdat er al een relatie was met de ontvangende partij: “Im September 2014 wurde ein Drei-Jahres-Maintenancevertrag der Fox-IT nach Russland verkauft. Da der Endempfänger der Fox-IT bekannt ist, und ein schriftliches Angebot der Fox-IT vorliegt, geht die Snitegroup davon aus, dass Europäische Sanktionen durch diesen Wartungsvertrag durch die Schweizer Firma Snitegroup nicht verletzt wurden.”
Fox-IT werkt na 2014 in Rusland echter niet meer alleen samen met Snitegroup. Het Delftse bedrijf breidt haar Russische netwerk van partnerbedrijven en tussenhandelaren na de invoering van de internationale sancties uit.
In 2014 gaat Fox-IT een samenwerking aan met OSIsoft, een Amerikaans bedrijf in applicatiesoftware, met ook een vestiging in Rusland. OSIsoft wordt technology partner van Fox-IT.
Vanaf oktober 2015 wordt Axoft partner, distribiteur en reseller van Fox-IT in Rusland. De banden tussen beide bedrijven bestonden al langer: al in november 2014 verscheen een artikel over de Fox DataDiode in het bedrijfsmagazine Axoft Times. Het bedrijf zal tot juni 2017 als partner op de website van Fox-IT vermeld blijven.
Het in Moskou gevestigde softwarebedrijf is volgens haar website “the leading IT service distributor in Russia and CIS”. Axoft is distributeur van meer dan 50 fabrikanten. Axoft heeft een opvallende band met NPO Echelon, het bedrijf dat de FSTEC-certificering van de DataDiode uitvoerde en nauwe banden onderhoudt met de Russische inlichtingendienst FSB. Sinds 2015 is Axoft de enige distributeur van producten van Echelon in Rusland en de andere GOS-landen, en biedt ook technische bijstand en aanvullende diensten.
Naast de door Fox-IT op haar website genoemde partners blijven ook andere bedrijven de DataDiode in Rusland aanbieden, zonder dat zij door het Delftse bedrijf als partner genoemd worden. Het gaat hierbij ondermeer om RTSoft, ITD Group en ARinteg.
De ITD Group houdt zich sinds 2011 bezig met de verkoop van de DataDiode in Rusland. De klanten van ITD Group zijn volgens de website van het bedrijf staatsorganisaties en banken: “Leading Russian banks, state organizations, utility, telecom, insurance and transportation companies entrust their security to our company.”
ARinteg, het bedrijf dat de FSTEC-certificering van de DataDiode verzorgde, heeft met name veel klanten in de financiële sector, maar ook in de defensie-industrie. Het heeft de Fox DataDiode in ieder geval in 2015 aan een of meerdere Russische banken verkocht.
De verkoopinspanningen van Fox-IT en haar tussenhandelaren blijken succes te hebben. Volgens journalist Andrey Biryukov is de Fox Datadiode op grote schaal verkocht in Rusland. Biryukov schrijft in het januari/februari 2018 nummer van het technologiemagazine ‘System Administrator’ (samag.ru): “Another foreigner who was widely used in Russian enterprises in the past is Fox DataDiode from the Dutch company Fox IT.”
Levering in 2019
Met de Russische certificering van de DataDiode in 2015 heeft Fox-IT haar kansen op de Russische markt vergroot. Tegelijkertijd heeft de Fox DataDiode echter ook een NAVO-certificering. De vraag is of dat NAVO–certificaat vanwege de toegenomen spanningen tussen Rusland en het Westen de verkoop in Rusland niet gaat tegenwerken.
Andrey Biryukov vat dit in zijn artikel in System Administrator in 2018 alsvolgt samen: “The fact is that although this solution has a valid FSTEC certificate, however, Fox DataDiode also has a NATO Secret certificate.”
Volgens Biryukov zou Fox-IT de DataDiode in 2018 niet meer leveren in Rusland: “And besides, at present, the company has presented a ban on the supply of this solution in Russia.”
Het is echter onduidelijk waar hij dit op baseert. Fox-IT heeft in haar bedrijfskanalen nooit aangekondigd te stoppen met de export naar Rusland. Snitegroup en Simet worden nog tot 2019 als partners op de website van het Delftse bedrijf genoemd.
En Fox-IT producten vinden ook na 2018 nog hun weg naar Rusland. Dit wordt duidelijk bij een levering van de DataDiode in 2019.
Op 25 maart 2019 arriveert er een pakket in Sint-Petersburg. Het is geïmporteerd door het bedrijf Voortman Stil Mashineri, de Russische vestiging van het Nederlandse Voortman Steel Machinery – een producent van staalbewerkingsmachines. De administratieve afhandeling van de transactie is gedaan door EMG (Emerging Markets Group), een Russisch servicebedrijf dat voor Westerse bedrijven werkt.
Volgens de Russische douane is een Amerikaanse server product Dell geëxporteerd: “The Fox DataDiode Ruggedized 1G” van het bedrijf Fox-IT, Olof Palmestraat 6, 2616 LM Delft, Nederland.” Fox-IT gebruikt Dell servers en bouwt die om tot DataDiodes.
Voortman heeft de DataDiode begin 2019 van Fox-IT gekocht en deze aan haar zusterbedrijf in Rusland opgestuurd. De Russische douane vermeldt: “The Fox DataDiode Ruggedized 1G is categorized under Export Control Classification Number (ECCN) 5A003 of the list of dual-use goods and technologies of the Wassenaar Arrangement (WA-LIST) 5A003b.” Ook wordt vermeld dat het Delftse bedrijf over relevante exportvergunningen beschikt: “Fox-IT holds the necessary export licenses to be able to internationally provide the Fox DataDiode Ruggedized 1G to a very wide range of customers.”
Het blijkt betrekkelijk eenvoudig om een Fox DataDiode naar Rusland te exporteren zonder tussenkomst van tussenhandelaren. Hoewel het hier om een dochteronderneming van Voortman gaan, is het product zonder problemen door de douaneformaliteiten gekomen.
Opvallend is de passage over de exportvergunning in de Russische douanepapieren. Hierin wordt verwezen naar een exportvergunning voor de levering, maar de tekst die gebruikt wordt, “Fox-IT holds the necessary export licenses to be able to internationally provide the Fox DataDiode Ruggedized 1G to a very wide range of customers,” is identiek aan de tekst uit de technische folder van de Fox DataDiode van maart 2015. Export van dual-use goederen, zoals de DataDiode, naar Rusland is vergunningsplichtig. De douanepapieren bevatten echter geen specifieke verwijzing naar een exportvergunning die door het Ministerie van Buitenlandse Zaken is afgegeven.
Ook staat in de Russische douanepapieren vermeld dat het om een server van de Amerikaanse firma Dell gaat, als onderdeel van de Fox DataDiode. De Amerikaanse sancties tegen Rusland (en andere landen waarvoor exportrestricties gelden) zijn strikter dan de Europese. Ze gelden ook voor Amerikaanse onderdelen die niet-Amerikaanse firma’s, zoals Fox-IT, gebruiken in hun product.
Fox-IT, Gengrinovich en de Russische inlichtingendiensten
Handel met Rusland is voor Fox-IT onmogelijk zonder betrokkenheid van de Russische inlichtingendienst FSB. Veel van haar tussenhandelaren en potentiële klanten alsmede de FSTEC, dat de certificering van de DataDiode verzorgt, hebben banden met de Russische staat en/of de inlichtingendienst.
De rol van de Russische inlichtingendienst wordt zichtbaar in de persoon van Evgeny Gengrinovich. Hij speelt een belangrijke rol bij de handel van Fox-IT met Rusland. Vanaf 2011 promoot hij de Fox DataDiode namens het Zwitserse Snitegroup en het Russische Simet, later presenteert hij zich als vertegenwoordiger van Fox-IT en heeft hij een sleutelrol bij het aantrekken van andere tussenhandelaren in ieder geval de Russische ITD Group.
Het is de vraag in hoeverre het Delftse bedrijf zich heeft verdiept in de positie van haar tussenhandelaar. Gengrinovich heeft niet alleen goede connecties met Russische staatsbedrijven, maar ook met de Russische inlichtingendienst FSB. Zijn bedrijf Simet had een licentie om te werken met staatsgeheimen en hij deed certificeringswerk voor de FSTEC en het Ministerie van Defensie.
In september 2017 worden zijn connecties met de Russische inlichtingendienst (wederom) duidelijk. Gengrinovich stapt over naar een bedrijf dat nauw verbonden is met de FSB. Hij verlaat de ITD Group en wordt adviseur van de algemeen directeur van Infotecs.
Infotecs (Information Technologies and Communication Systems) is een private onderneming die nauw verbonden is met de Russische inlichtingendienst FSB. Infotecs en haar dochteronderneming Advanced Monitoring, de onderzoekstak van het bedrijf, zijn actief op het terrein van informatiebeveiliging.
Infotecs is echter niet alleen een informatiebeveiliger. Het maakt ook deel uit van de TK 26: de Technical Committee for Standardization “Cryptographic Information Security”, van de FSB. Het andere bedrijf dat zitting heeft in deze commissie is Kvant Scientific Research Institute. Kvant ontwikkelt afluister- en surveillancetechnologie voor de Russische inlichtingendiensten en staat sinds augustus 2010 onder directe controle van de FSB. Voormalig directeur van Kvant, Georgy Babakin, werkte vijftien jaar voor de FSB.
Infotecs, Advanced Monitoring en Kvant kwamen in 2015 in het nieuws naar aanleiding van de Hacking Team documenten. Deze gehackte documenten geven inzicht in de verkoop en klanten van het Italiaans bedrijf Hacking Team dat software verkoopt aan politie en veiligheidsdiensten, waarmee versleuteld digitaal dataverkeer kan worden ontcijferd en afgeluisterd.
Uit deze documenten bleek dat Hacking Team haar digitale wapens via Infotecs, Advanced Monitoring en Kvant verkocht aan de FSB. Tussen 2012 en 2014 betaalde de FSB het Italiaanse bedrijf via Kvant en Infotecs 450.000 euro voor het digitale wapen Remote Control System. De directeur van Advanced Monitoring Aleksey Kachalin die in contact stond met Hacking Team verhuisde in 2017 naar de grootse staatsbank van Rusland, Sberbank.
In 2018 kondigde de Verenigde Staten sancties af tegen Infotecs en Kvant. De bedrijven worden ervan beschuldigd de Russische inlichtingendiensten in staat te stellen digitale aanvallen uit te voeren in de Verenigde Staten. De Europese Unie heeft de sancties tegen Infotecs en Kvant nog niet overgenomen.
De Amerikaanse sancties tegen Infotecs werpen een vreemd licht op de handel van Fox-IT met Rusland. In 2018 is het bedrijf waarvan Gengrinovich directeur was (Snitegroup) nog altijd partner van Fox-IT, maar wordt zijn werkgever (Infotecs) op de Amerikaanse sanctielijst geplaatst vanwege banden met de Russische inlichtingendienst.
Dit is symbolisch voor de ambivalente houding van het Delftse bedrijf ten opzichte van de Russische inlichtingdienst. Handel met Rusland is voor Fox-IT onmogelijk zonder betrokkenheid van de Russische inlichtingendienst FSB. Maar tegelijkertijd waarschuwt het bedrijf regelmatig voor de bedreiging die de FSB vormt voor de Nederlandse nationale veiligheid.
Waarom handelt Fox-IT met Rusland?
Fox-IT heeft goede connecties met de Nederlandse overheid en de Nederlandse inlichtingendienst AIVD. Nederlandse defensie, opsporings- en inlichtingendiensten vormen een belangrijke klant en het Delftse bedrijf verzorgt de beveiliging van Nederlandse staatsgeheimen. Het Delftse bedrijf lobbyde zelfs openlijk voor de invoering van de Wet op de Inlichtingen- en Veiligheidsdiensten (WIV 2017) tijdens het referendum in 2018.
Fox-IT waarschuwt net als de AIVD al vele jaren voor Russische hackers, al dan niet in relatie tot de Russische staat of de georganiseerde criminaliteit. In 2005 is medeoprichter en voormalig directeur Ronald Prins te gast bij TROS-radio en Computable om te praten over de banden tussen hackers en de Russische maffia. In het achtste nummer van haar nieuwsbrief Fox Nieuws, gebruikt het bedrijf Russische hackers zelfs als een reden om zichzelf aan te prijzen: “Fox-IT kan hier vanzelfsprekend bij van dienst zijn.”
In 2008 schuift Prins regelmatig aan bij de media bij gesprekken over de Russische en Chinese spionageactiviteiten in Nederland. Of de spionage vanuit Rusland door de staat worden uitgevoerd is volgens Prins niet zomaar vast te stellen, maar de staat is blijkbaar volgens Prins wel een van de mogelijke actoren.
Begin 2012 schrijft het Delftse bedrijf over de Russische inlichtingendienst FSB. Op 20 maart 2012 publiceert Fox-IT een artikel op haar website over de arrestatie van acht hackers door de FSB. “Russian authorities have arrested eight men accused of creating and distributing the Carberp banking Trojan in Russia and the Netherlands.” Fox-IT schrijft dat het bedrijf als eerste het gebruik van malware door deze groep had geconstateerd.
In 2015 wordt de relatie tussen de Russische inlichtingendienst met Russische hackers nogmaals bevestigd. Samen met de Amerikaanse FBI en het bedrijf Crowdstrike presenteert Fox-IT tijdens de Black Hat conferentie in Las Vegas een onderzoek naar de malware GameOver Zeus dat een product zou zijn van de groeiende samenwerking tussen de Russische inlichtingendienst en cybercriminelen.
De waarschuwingen voor de Russische inlichtingendienst vallen moeilijk te rijmen met de verkoopactiviteiten van het bedrijf in Rusland. Zeker daar met de Russische certificering van de Fox DataDiode kwetsbaarheden van het product in handen kunnen vallen van de Russische inlichtingendiensten en gebruikt kunnen worden voor hackaanvallen. Voor het Amerikaanse bedrijf Symantec vormt dit risico aanleiding om niet aan de certificering van haar producten mee te werken. Fox-IT heeft dergelijke bezwaren echter niet.
Fox-IT gaat door met de verkoop in Rusland, ook na de invoering van de internationale sancties in 2014. Terwijl het bedrijf vaak geen zicht heeft op de eindgebruiker van de naar Rusland geëxporteerde producten en niet weet aan wie haar producten worden doorverkocht en voor welke doeleinden deze worden gebruikt. Het risico op ongewenst eindgebruik is aanzienlijk, aangezien Fox-IT verkoopt via tussenhandelaren die nauwe banden hebben met Russische staatsbedrijven, ook met het ministerie van Defensie, defensiebedrijven en de Russische inlichtingendienst FSB.
Ook de mensenrechtensituatie in Rusland vormt voor Fox-IT geen reden tot herbezinning op de verkoop in Rusland. Toen Fox-IT zich in 2010 op de Russische markt begaf was er al sprake van repressie van politieke oppositie, mensenrechtenactivisten en journalisten. Dit werd in 2006 bijvoorbeeld al duidelijk met de moord op de journalist Anna Politkovskaya en de kritische voormalige medewerker van de inlichtingendienst Alexander Litvinenko in Londen en in 2009 de advocaat Sergei Magnitsky die in een Russische cel overleed aan zijn verwondingen door overheidsfunctionarissen.
De mensenrechtensituatie is in de loop der jaren verslechterd, ook ten aanzien van de internetvrijheid. Vanaf 2014 staat Rusland op de lijst van Enemies of the Internet van Reporters without Borders, een overzicht van landen die die internetvrijheid ernstig beperken, bijvoorbeeld door internettoegang te blokkeren of internetverkeer te monitoren. Van 2010 tot en met 2013 was het land al door Reporters without Borders in het voorportaal van de lijst gezet onder andere in verband met wetgeving waarbij individuen op een internet zwarte lijst werden geplaatst (Internet blacklist law). De lijsten waren onderdeel van maatregelen om de protesten tegen het regime van 2011 tot en met 2013 de kop in te drukken.
De keuze van Fox-IT om zich, ondanks de verslechterende mensenrechtensituatie, op de Russische markt te begeven en in Rusland actief te blijven, staat echter niet op zichzelf. Het Delftse bedrijf raakte al eerder in opspraak vanwege het Midden-Oosten. Tijdens de Arabische lente rond 2011 probeerde het bedrijf haar producten te verkopen aan overheidsinstanties en inlichtingendiensten in landen met een dubieuze reputatie op het gebied van de mensenrechten zoals Syrië, Egypte, Saoedi-Arabië en de Verenigde Arabische Emiraten.
Nader onderzoek naar Fox-IT noodzakelijk
Medeoprichter en toenmalig directeur Ronald Prins onderkent in 2015 dat Fox-IT de DataDiode naar Rusland heeft geëxporteerd, ook naar de Russische overheid. “Die diode is best wel een succesnummer, die gaat de hele wereld rond. We verkochten hem ook aan Rusland – dat mag nu niet meer – en aan India en Amerika. Allemaal buiten Europa; daar dwingt de overheid dit soort oplossingen ook wel af voor kritieke infrastructuur,” zegt hij op 17 november 2015 in een interview met Bits & Chips.
Prins impliceert in 2015 dat Fox-IT de DataDiode na de invoering van de internationale sancties niet meer in Rusland heeft verkocht. Uit dit onderzoek van Buro Jansen & Janssen blijkt echter dat Fox-IT na de invoering van de internationale sancties in 2014 doorging met de verkoop in Rusland. Het bedrijf breidde haar netwerk van tussenhandelaren uit. Met de certificering van de Datadiode vergrootte het bedrijf haar toegang tot de Russische markt, met name overheidsbedrijven en de markt van de veiligheidsindustrie.
Het Nederlandse exportbeleid voor dual-use goederen beoogt ongewenst eindgebruik te voorkomen. Van bedrijven wordt verwacht dat zij informatie verschaffen over de eindgebruiker van geëxporteerde producten. De afgelopen jaren is de controle op ongewenst eindgebruik strenger geworden. Het Openbaar Ministerie stelt vaker vervolging in tegen bedrijven die de regels niet naleven en onvoldoende nagaan naar welke eindgebruikers hun producten worden geëxporteerd en voor welke doeleinden deze worden ingezet.
Het risico op ongewenst eindgebruik is reëel. Fox-IT werkt in Rusland samen met verschillende partners die haar producten doorverkopen, maar het bedrijf heeft weinig zicht op de eindgebruiker en aan wie haar producten door tussenhandelaren worden aangeboden en doorverkocht. Deze tussenhandelaren hebben nauwe banden met Russische staatsbedrijven in de energiesector en de financiële sector, maar ook met het Russische Ministerie van Defensie, defensiebedrijven en de Russische inlichtingendienst FSB.
Van 2011 t/m 2013 verkreeg Fox-IT jaarlijks een globale exportvergunning, waarmee het ook naar Rusland kon exporteren.
Het is niet bekend of Fox-IT na 2013 een globale exportvergunning, of een specifieke vergunning voor Rusland, heeft aangevraagd of verkregen. Het Ministerie van Buitenlandse Zaken heeft naar aanleiding van diverse WOB-verzoeken van Buro Jansen en Janssen geen documenten openbaar gemaakt. De export van dual-use goederen zoals de Fox DataDiode zonder exportvergunning naar landen buiten de Europese Unie, waaronder Rusland, is in beginsel strafbaar.
Na de invoering van de Europese sancties tegen Rusland in 2014 blijft export van dual-use goederen zoals de Fox DataDiode naar Rusland met een exportvergunning mogelijk. Export naar militaire eindgebruikers is echter verboden. Hieronder vallen niet alleen het Ministerie van Defensie en het leger, maar ook inlichtingendiensten, het Ministerie van Binnenlandse Zaken en andere organisaties die belast zijn met de binnenlandse veiligheid, politie en wetshandhaving. Met de in 2015 verkregen Russische certificering werd de Fox DataDiode juist interessanter voor dergelijke organisaties.
De Fox DataDiode is in 2015 in ieder geval geleverd aan Russische banken. Veel Russische banken zijn op de Amerikaanse en Europese sanctielijsten geplaatst vanwege hun banden met de Russische defensie-industrie.
Nader onderzoek naar mogelijk strafbaar handelen van Fox-IT in Rusland is dan ook op zijn plaats.
Fox-IT reageert niet op vragen van Buro Jansen & Janssen
Op 7, 13, 19 en 20 mei 2021 heeft Buro Jansen & Janssen Fox-IT om commentaar verzocht op de bevindingen van dit onderzoek. Het Delftse bedrijf heeft tot op heden niet gereageerd. Evgeny Gengrinovich reageert ook niet op vragen van Buro Jansen & Janssen.
– Fox-IT in Rusland (samenvatting)
– Fox-IT en de Nederlandse overheid
– Documenten bij het onderzoek naar Fox-IT
– Observant #77 / juni 2021 Fox-IT in Rusland (pdf)
– Onderzoek: Fox-IT in Rusland (pdf)