Ook zonder smoking gun is twijfel over Huawei terecht

Volgens een artikel in de Volkskrant zou Huawei mogelijk betrokken zijn bij spionage op een Nederlandse telecomprovider. Het gepresenteerde bewijs en de interpretatie ervan zijn in mijn ogen mager. Er is overigens wel reden om aan Huawei te twijfelen.

Huawei zou betrokken zijn bij de hack op een in Nederland opererende telecomprovider. Via een achterdeur zijn klantgegevens gestolen en dat is volgens de definitie computervredebreuk of simpel gezegd: hacking. De AIVD zou onderzoek doen. De krant baseert zich op inlichtingenbronnen. Over het journalistieke proces is niets bekend gemaakt.

Laten we er even vanuit gaan dat de journalist in kwestie een kloppend verhaal van zijn bronnen (zonder geopolitieke belangen) heeft gehad en het verhaal correct heeft begrepen en opgetekend. Dan vallen er een paar observaties te maken.

Rol Huawei onduidelijk

Er is nog veel onduidelijk. Om gegevens te stelen is gebruik gemaakt van een achterdeur. Zit de zwakheid in de software, in de hardware, is het een zwakheid die is misbruikt of echt een ingebouwde functionaliteit? We weten het niet. Of Huawei hier zelf slachtoffer van een hack is, actief betrokken, gedwongen betrokken of buiten hun weten om betrokken, is ook niet duidelijk. Beide scenario’s zijn realistisch.

Recentelijk werd een belangrijke modus operandi van de Chinezen bekend. Ze breken in bij makers van soft- en hardware, plaatsen malware in het productieproces. Onwetende fabrikanten – in dat geval het Taiwanese Asus en het Zuid-Koreaanse NetSarang – distribueerden de achterdeur zonder het zelf te weten. De verspreide software werd door de bedrijven wel voorzien van een digitale handtekening. Wie niet verder kijkt, verdenkt de Taiwanezen en de Koreanen. Uiteindelijk werd bewezen dat het de Chinezen waren. Huawei kan in zo’n scenario zelf slachtoffer zijn.

Aan de andere kant bleek recentelijk uit een (door experts omstreden) rapportage van de Britse overheid dat er diverse beveiligingsproblemen zijn met Huawei. Het bedrijf maakt nauwelijks voortgang met het oplossen van die problemen. Het niet oplossen van problemen kan opzettelijk zijn om spionage mogelijk te maken of laksheid zijn. Het is sowieso problematisch.

Huawei is – voor zover bekend – in één concrete zaak in verband gebracht met economische spionage. Dat werd duidelijk na de arrestatie van Meng Wanzhou, Huawei’s CFO, in Canada. Het bedrijf zou test-technologie van T-Mobile hebben gestolen. Deze zaak is civielrechtelijk in 2014 afgehandeld, maar de diefstal van technologie vormt nu een van de Amerikaanse aanklachten.

Klantgegevens

Een ander onduidelijk punt in het verhaal is wat voor klantgegevens zijn gestolen. Betreft het hier persoonsgegevens of gaat het om zakelijke informatie? Gaat het om administratie van het bedrijf, informatie over communicatie of zelfs de inhoud van communicatie?

Als het om persoonsgegevens gaat dan heeft de telecomprovider onder de AVG een meldplicht bij in ieder geval de toezichthouder. Bij ernstige inbreuken – en dat lijkt het wel te zijn als de AIVD betrokken is – moeten de betrokkenen op de hoogte worden gebracht door de provider. Mogelijk krijgt een grote groep mensen binnenkort bericht.

Daarnaast heeft een telecomprovider nog een meldplicht onder de Wet beveiliging netwerken en infrastructuren (Wbni). Bij grote hacks moeten telecomproviders in ieder geval een melding doen bij het National Cyber Security Center. Zo’n melding kan leiden tot aanvullende onderzoeken, zoals bijvoorbeeld van de AIVD.

Verder is onduidelijk wat de bron van het verhaal is. De gebruikte term ‘inlichtingenbronnen’ kan duiden op medewerkers van inlichtingendiensten, de nationale politie en zelfs inlichtingenafdelingen (telecom)bedrijven.

Door te stellen dat het hier mogelijk spionage betreft, moeten we er reken mee houden dat als dat zo is de aanvallende partij hoogwaardige expertise in de strijd kan werpen en over grote budgetten beschikt om tot een doel te komen.

Smoking gun

In de Volkskrant wordt gesproken van een smoking gun. Met de informatie die nu beschikbaar is, is het voorbarig om die conclusie te trekken. Er loopt nog een onderzoek bij in ieder geval de inlichtingendienst AIVD. Wat de onderzoeksvraag is, is onduidelijk.

Het is onbekend wat er is gebeurd, welke gegevens er zijn gestolen, wie er achter de aanval zit. Natuurlijk is het niet vreemd dat er naar China wordt gekeken.

Huawei heeft kennelijk een beveiligingsprobleem. Dat op zichzelf is reden tot zorg. Of de digitale inbraak de leverancier te verwijten is, moet blijken. In het verleden trad het kabinet met inhoudelijke informatie naar buiten toen ze de operatie van de Russen bij de OPCW onthulden. Als grote delen van een land betrokken zijn, is het niet onlogisch te verwachten dat die helderheid ons binnenkort weer wordt geboden.

Brenno over digitale spionage

Brenno de Winter spreekt in Café Weltschmerz over digitale spionage.

U kent dat wel: software updates die zich op iedere computer of smartphone melden om uw apparaatje automatisch bij te werken met verbeterende updates. Maar wat nu als er op die manier automatisch ook geavanceerde backdoors mee geïnstalleerd worden? Brenno de Winter legt uit hoe dit onlangs is gebeurd bij de Taiwanese telefoon en computerbouwer ASUS. Vanuit China bleek het update systeem van ASUS gehackt. Dit werd door het Russische beveiligingsbedrijf Kaspersky ontdekt. Opmerkelijk ook omdat juist Kaspersky door de Nederlandse overheid wordt geboycot, omdat het bedrijf haar roots in Rusland heeft! Brenno de Winter vertelt hoe het patchmechanisme voor een aanval als deze kon worden gehackt en hoe we ons daar in het vervolg beter tegen kunnen wapenen. Verder lezen kan bijvoorbeeld hier: ‪https://motherboard.vice.com/en_us/ar…

Spionage en naïviteit

“Over spionage moeten we niet naïef zijn”, roepen politici. Een slimme retorische zet om zonder feiten andersdenkenden aan de kant te zetten. Zo’n houding is niet behulpzaam bij dit complexe beveiligingsvraagstuk.

Digitale spionage is ernstig. Al langer dan een decennium maakt de AIVD van ieder jaarverslag gebruik om ons te wijzen op de digitale interesse die er in ons land bestaat. Nederland speelt politiek een belangrijke rol door de vele internationale organisaties die zich hier hebben gevestigd. Onze innovatie maakt ons een aantrekkelijk doelwit voor economische spionage. Jaarlijks worden terabytes aan waardevolle data gestolen.

Vier Russen werden ons land uitgezet, omdat ze via wifi bij gevoelige documenten van de OPCW wilden komen. Datzelfde viertal werd verdacht van de hack op de mail van de democratische partij tijdens de campagne van Hillary Clinton. De hack op de hotelketen Mariott zou Chinese spionage zijn. De Verenigde Arabische Emiraten hackten iPhones om zo journalisten en dissidenten in de gaten te houden.

Onze inlichtingendiensten hacken webcams en systemen van de Russen. De Britten houden via de hack op Belgacom een oogje in het zeil bij de Belgische regering en de NATO. Amerikaanse inlichtingendiensten hebben toegang tot data van alle cloud-partijen van Amerikaanse origine. Die praktijk is bekend sinds de onthullingen van Snowden. Wikileaks onthulde hoe inlichtingendiensten mee konden luisteren met smart-tv’s.

En dan zijn er nog de bedrijven die elkaar bespioneren. Een Nederlands informatiebeveiligings­bedrijf steelt aanbestedingsinformatie uit Singapore. In 2017 arresteert de FIOD een medewerker van een technologiebedrijf voor diefstal van bedrijfsgeheimen bestemd voor een concurrent. Een ERP-leverancier steelt miljoenen documenten van een concurrent.

Met deze overvloed aan voorbeelden die boven de radar zijn verschenen, wordt ook de politiek wakker. Zij roepen om vooral naar de afkomst van een leverancier te kijken. Zo vrezen politici Chinese spionage bij C2000. Nu is dit systeem bestemd voor operationele, vluchtige informatie en niet voor beleid en strategie. Daarnaast is het nog maar de vraag of zo’n aanval realistisch wel mogelijk is. Er zijn overigens normenkaders die precies dit gevreesde risico behoorlijk inperken. Maar toch…

Het kabinet belooft een Rusland- en China-strategie. Een nogal eenzijdige aanpak als u het mij vraagt. Het gaat bijvoorbeeld volledig voorbij aan spionage uit het Verenigd Koninkrijk, de Verenigde Staten, Verenigde Arabische Emiraten, Iran, Noord Korea enzovoort. En precies daar zit hem de kneep. Dergelijke beloftes illustreren de kortzichtige benadering van de problematiek. Er wordt niet gereageerd op concrete risico’s of feiten, maar door algemene angst te zaaien, wordt de illusie gewekt dat ‘men’ er bovenop zit.

Spionage is van alle tijden en alle landen. We moeten dan ook niet kijken naar de afkomst, maar naar de risico’s. Dat betekent beveiliging op orde brengen, due diligence bij de inkoop en normen hanteren. Daarop moeten we goed toetsen, oftewel: audits uitvoeren. In beveiliging is namelijk weinig ruimte voor lichtgelovigheid, een synoniem voor naïviteit.

Opheffen XS4ALL voor efficiëntie is een dure grap

Het voorgenomen opheffen van XS4ALL zou voor KPN wel eens veel kostbaarder kunnen blijken dan de efficiëntie die het ooit zou kunnen opleveren.

XS4ALL bestaat al sinds de dagen dat KPN nog analoge telefoon leverde en geen benul had wat dat internet eigenlijk was. XS4ALL is het laatste restje dat herinnert aan die begintijd. Maar de commotie die ontstond gaat over veel meer dan nostalgie en emotie. De diepgewortelde banden met de hackersgemeenschap zorgen niet alleen voor een ethische meerwaarde, maar zorgen ook voor een technische koploperspositie. Die zou je juist kunnen uitbuiten, in plaats van te elimineren.

Historisch trackrecord

Het trackrecord van XS4ALL is legendarisch. XS4ALL procedeerde met complexe en principiële rechtszaken tegen Stichting Brein en Scientology, het richtte de digitale burgerrechtenbeweging Bits of Freedom op, komt op voor privacy en veiligheid, heeft diepe worstels in de hackersgemeenschap. Kortom, XS4ALL staat dicht bij internetzaken die ons allemaal raken.

KPN’s trackrecord is anders. Het bedrijf incorporeerde eerder internetprovider Planet. Het historisch relevante nieuwsarchief werd vrijwel direct weggegooid. Het bedrijf vecht geen principiële rechtszaken in ieders belang tot de bodem uit en doet niet mee met de gezamenlijke wasstraat tegen DDoS-aanvallen van providers. Wel maakte het zich in het kader van Maatschappelijk Verantwoord Ondernemen druk over privacy door op een bijeenkomst te vragen wanneer ik het wél goed zou vinden als mijn gegevens voor andere doelen wordt gebruikt. Een principieel ander uitgangspunt dus.

Niet hetzelfde

KPN denkt dat de bedrijven wel in elkaar te schuiven zijn. Wie op de KPN-website komt merkt wat het verkoopargument is: ‘goedkoop’ en ‘voordeel’, terwijl XS4ALL als boodschap uitdraagt: ‘beste provider’ en ‘kwaliteit’. In het geval van ‘voordelig’ Telfort, is het opheffen van het merk te begrijpen, maar bij XS4ALL niet. Het technisch beheer en de zakelijke infrastructuur zijn anders. Maar het is ook méér dan dat: de cultuur, het activisme, het zelfstandige; dát zijn de elementen die XS4ALL zo sterk maken. En die je juist terug moet geven.

De Raad van Bestuur zal XS4ALL en hun fans ongetwijfeld zien als een stel ‘internethippies’. Maar de mix van zakelijkheid en idealisme is een krachtige: een internetpetitie krijgt op het moment van schrijven al steun van meer dan 45.000 mensen (bijna 20 procent van het klantenbestand van XS4ALL), de media-aandacht is wel erg langdurig en er is een actiecomité gestart met kennis van actievoeren, geld en een concreet plan. De Italiaans-Colombiaanse bestuursvoorzitter van KPN botst hier met een stuk Nederlandse cultuur. En Hollandse zakelijkheid: wij weten hier dondersgoed hoe je een winstgevend bedrijf nóg winstgevender kunt maken.

Innovatie

Groei, wat aandeelhouders graag willen, is niet vanzelfsprekend. Met een koers die al een jaar tussen de twee en drie euro schommelt (waar deze ooit ruim 43 euro was) ontbreekt geld om echt verder in glasvezel te investeren. Kennelijk is de situatie zo nijpend dat KPN grijpt naar de ‘efficiencyslag’. Zitten aandeelhouders daarop te wachten? Of willen zij een innoverend KPN zien dat met XS4ALL – bijvoorbeeld – een gouden kans heeft nu de kabelmarkt opengaat?

Spreken met impact

Soms krijg ik de vraag om voor een lezing mijn powerpoint-presentatie op te sturen. Soms kan dat niet door actualiteit en soms krijg je dan als feedback: ‘je hebt bijna alleen foto’s en afbeeldingen en nauwelijks tekst’. Dat is bewust. Want impact van een lezing zit in het verhaal niet in bullet-points.

De Vlaamse cabaretier Arnout Van den Bossche maakt met zijn sketch over Powerpoint heel duidelijk waarom het over het verhaal gaat. Hij slaat de figuurlijke spijker zeer vakkundig op zijn.

Cyberonderzoeksraad – rapport – De schade van e-mail

E-mail is een populair middel om informatie te versturen, maar het maakt organisaties zeer kwetsbaar. De mailbox is vaak verworden tot een onsamenhangend archief met hierin de jarenlange historie van organisaties, iets waar het in wezen niet voor is bedoeld.

De Cyberonderzoeksraad heeft een groot onderzoek uitgevoerd naar de gevoeligheid van e-mail. Meer dan 70 domeinnamen die op andere domeinen lijken, werden geregistreerd. Vervolgens werd gewacht op binnenkomende berichten. Er bleken ruim 15.000 e-mails binnen te komen. Na het filteren van spam en virussen bleven er zo’n 3.100 relevante berichten over.

Tussen deze berichten zaten gevoelige zaken als processen-verbaal, aangiftes, medische dossiers, rekeningen, kopieën van bankafschriften, kopieën van identiteitspapieren, bestellingen (zelfs voor spionageapparatuur), vorderingen, departementaal vertrouwelijke stukken en meer.

Het versturen van persoonsgegevens naar de verkeerde ontvanger blijkt uit de cijfers van de Autoriteit Persoonsgegevens met 64% van alle datalekken het grootste probleem. Ons onderzoek bevestigt dit beeld: tikfouten worden veel gemaakt en gevoelige data landt eenvoudig in de verkeerde handen.