We willen graag weten wat antivirusbedrijven doen als ze malware van overheidsorganisaties detecteren, of wat hun reactie is op een verzoek om malware niet te detecteren. Daarom hebben we met een internationale coalitie van digitale burgerrechtenorganisaties en academische experts een brief gestuurd. Vandaag is de deadline voor de reactie van de bedrijven.

Tot nu toe heeft slechts 30% van de bedrijven gereageerd. Alleen ESET, F-Secure, Kaspersky, Panda en Trend Micro hebben gehoor gegeven aan onze oproep. Wat in hun reacties opviel was de sterke en geprikkelde toon. De bedrijven bevestigen staatsmalware ontdekt te hebben, maar geven aan geen verzoeken te hebben ontvangen van overheden om malware niet te detecteren. En als dat in de toekomst gebeurt, dan zullen ze er niet aan meewerken. Voor deze bedrijven geldt: elke malware is slecht, ongeacht de afkomst. Dat is een antwoord waar we iets mee kunnen.

Dat betekent namelijk dat het slechts een kwestie van tijd is tot overheidsspyware ontdekt zal worden, zoals dat in het verleden ook gebeurd is met FinFisher en R2D2. Goed nieuws, want zo blijkt voor de overheid dat het onacceptabele gebruik van deze malware ook nog eens een beperkte effectiviteit kent. Weer een reden voor de overheid dus om deze malware niet te gebruiken.

Driekwart van de door ons benaderde bedrijven heeft nog niet gereageerd. Waarom niet? We zijn benieuwd en gaan, samen met onze internationale vrienden, opnieuw contact met antivirusaanbieders opnemen. Je hoort van ons!

Update:
Ook Avast, Avira, BitDefender, Norman Shark en Microsoft hebben gereageerd.