Het Delftse computer- en beveiligingsbedrijf Fox-IT verkoopt sinds 2010 haar producten in Rusland en is hier na de invoering van de internationale sancties tegen het land in 2014 mee doorgegaan. De Nederlandse overheid is een belangrijke klant van Fox-IT. Het bedrijf verzorgt onder andere de beveiliging van staatsgeheimen.
De Rus Evgeny Gengrinovich speelt een sleutelrol in de handel van Fox-IT met Rusland. Hij werkte in het verleden voor verschillende Russische staatsbedrijven. Vanaf 2011 promoot hij de Fox DataDiode namens het Zwitserse Snitegroup GmbH en het Russische ZAO NPF Simet. Later presenteert hij zich als vertegenwoordiger van Fox-IT en heeft hij een sleutelrol bij het aantrekken van andere tussenhandelaren.
De tussenhandelaren van Fox-IT hebben nauwe banden met Russische staatsbedrijven in de energiesector en de financiële sector, maar ook met het Russische Ministerie van Defensie, defensiebedrijven en de Russische inlichtingendienst FSB. Het Delftse bedrijf heeft in het algemeen weinig zicht op de eindgebruikers aan wie haar producten door tussenhandelaren worden aangeboden en doorverkocht.
Gengrinovich heeft zelf ook banden met defensie en de FSB. Zo deed hij van 2010 tot 2014 certificeringswerk voor de FSTEC (Federal Service for Technical and Export Control) en het Ministerie van Defensie. In september 2017 treedt hij als adviseur in dienst van het Russische informatiebeveiligingsbedrijf Infotecs. In 2018 wordt dit bedrijf op de Amerikaanse sanctielijst geplaatst vanwege haar banden met de Russische inlichtingendienst FSB.
Na de invoering van de internationale sancties in 2014 gaat Fox-IT door met de verkoop van haar producten in Rusland. De oorlog in Oost-Oekraïne, de annexatie van de Krim, het neerhalen van vlucht MH17 en het instellen van de internationale sancties tegen Rusland hebben geen invloed op de verkoopactiviteiten.
Verkoop in Rusland na de sancties
In 2015 verkrijgt Fox-IT zelfs de Russische certificering voor de Fox DataDiode. Het vergroot daarmee haar toegang tot de Russische markt. De FSTEC, dat verantwoordelijk is voor de Russische certificering van de DataDiode, valt onder het Ministerie van Defensie en werkt samen met de FSB.
Over de FSTEC-certificering en het keuringsbedrijf Echelon, dat ook de DataDiode onderzocht, bestaan al sinds 2013 twijfels. In 2017 beoordeelt het gerenommeerde Amerikaanse cybersecurity bedrijf Symantec het certificeringsproces als onvoldoende onafhankelijk van de Russische Staat en ziet het zelfs af van samenwerking met de FSTEC en Echelon.
In 2015 is de Fox DataDiode door ARinteg, een Moskous bedrijf in informatiebeveiliging, te koop aangeboden aan onder andere Russische banken. Volgens commercieel directeur Dmitry Slobodenyuk van ARInteg heeft het bedrijf de Datadiode na de invoering van de internationale sancties in 2014 in ieder geval verkocht aan een van de grootste banken van Rusland.
Veel Russische banken en hun topmannen zijn op de Amerikaanse en Europese sanctielijsten geplaatst vanwege hun banden met de Russische defensie-industrie. Het betreft veelal klanten van ARinteg, zoals de staatsbank Vnesheconombank VEB en de Alfa Bank, een bank die nauw verweven is met de Russische defensie-industrie.
Fox-IT zelf onderkent tot 2015 te hebben geleverd aan Rusland, ook aan de Russische overheid. Het Delftse bedrijf maakt echter niet bekend aan welke overheidsinstanties het heeft geleverd. Het gaat echter in ieder geval om een levering van de Fox DataDiode aan het staatbedrijf RusHydro. Vanwege de nauwe banden van dit bedrijf met het Kremlin worden verschillende topmannen van RusHydro in 2018 op de Amerikaanse sanctielijst geplaatst.
Exportvergunningen
De Fox DataDiode is een soort eenrichtingsverkeer firewall tussen een publiek en een privaat netwerk waarmee toegang tot vertrouwelijke informatie gereguleerd kan worden. Het behoort sinds 2009 tot de dual-use goederen: goederen met een civiele toepassing, die ook een militaire toepassing kennen, waarvoor een exportvergunning vereist is. Volgens Fox-IT zijn overheidsinstellingen in de hele wereld, waaronder de defensie-industrie, belangrijke potentiële klanten voor de Fox DataDiode.
In 2011 beschikte Fox-IT over een globale exportvergunning specifiek voor de Fox Datadiode, waarmee het kon exporteren naar Rusland. In 2012 en 2013 verkreeg het een exportvergunning voor ‘apparatuur voor informatiebeveiliging’ waaronder naast de DataDiode ook andere Fox-IT producten zoals Redfox en Skytale kunnen vallen. Tot op heden heeft het Ministerie van Buitenlandse Zaken niet bekend gemaakt of, en hoeveel, exportvergunningen Fox-IT sinds 2013 heeft aangevraagd en gekregen. De export van dual-use goederen zonder exportvergunning naar landen buiten de Europese Unie, waaronder Rusland, is in beginsel strafbaar.
Fox-IT reageert niet op vragen van Buro Jansen & Janssen
Op 7, 13, 19 en 20 mei 2021 heeft Buro Jansen & Janssen Fox-IT om commentaar verzocht op de bevindingen van dit onderzoek. Het Delftse bedrijf heeft tot op heden niet gereageerd. Evgeny Gengrinovich reageert ook niet op vragen van Buro Jansen & Janssen.
– Fox-IT in Rusland (onderzoek)
– Fox-IT en de Nederlandse overheid
– Documenten bij het onderzoek naar Fox-IT
– Observant #77 / juni 2021 Fox-IT in Rusland (pdf)
– Onderzoek: Fox-IT in Rusland (pdf)