Zeroday-wetgeving legaliseert ‘diginukes’

D66-kamerlid Kees Verhoeven lanceerde onlangs een initiatiefwet om een afwegingsproces toe te voegen aan de inzet van zeroday-lekken voor Nederlandse overheden die hacken. Deze Wet Zeroday Afwegingsproces lijkt misschien een positieve ontwikkeling, maar in mijn ogen wordt een aantal fundamentele denkfouten nu tot wet verheven.

De positieve kant – gesteld dat deze wet wordt aangenomen – is het uitgangspunt dat zwakheden in software gemeld worden aan de leverancier. Het lek mag alleen geheim blijven als het te gebruiken is voor het hacken ten dienste van de staatsveiligheid, om de economische belangen van de staat te beschermen, strafbare feiten op te sporen, om de betrekkingen met andere landen te dienen of wanneer er sprake is van inbreuk op de persoonlijke levenssfeer.

Eigenlijk codificeert Verhoeven hiermee de status quo. Als we lekken kunnen gebruiken om te hacken dan doen we dat ook. Alleen speelt er bij digitale oorlogsvoering een aantal problemen. Lekken die niet gemeld en verholpen worden, verzwakken de veiligheid van alle systemen over de hele wereld. Het wapen is een middel voor betere veiligheid maar gaat ook ten koste van veiligheid. Tegen zerodays is verdedigen lastig. Het is natuurlijk naïef om te denken dat zerodays alleen in Nederland worden ontdekt. Er zijn meerdere voorbeelden dat zwakheden op verschillende plaatsen worden ontdekt. Het wapen kan bijvoorbeeld nuttig zijn voor een inlichtingendienst, maar ondertussen krijgen ook andere landen er de beschikking over en steeds vaker zien we ook criminelen met dit soort lekken aan de slag gaan. Wij kunnen dan wel verantwoord met de wapens omgaan, maar dat betekent niet dat anderen dat ook doen.

Er zijn talloze voorbeelden van gijzelsoftware die hele bedrijfstakken platleggen en grote maatschappelijke ontwrichting veroorzaken. Wannacry en Not-Petya liggen nog vers in ons geheugen. De schade liep in de miljarden en zelfs een containerterminal moest dicht. Bovendien waren dat niet eens zerodays, maar inmiddels bekende lekken. We zijn met de huidige stand van beveiliging zeer kwetsbaar. Dit soort wapens hebben digitaal gesproken een nucleair effect. Met het juiste lek kun je een heel land lamleggen.

Het minder zwak maken van de samenleving was dan ook de logische stap geweest. Dat betekent zwakheden melden bij leveranciers en de manieren van uitbuiten publiek maken. Zo kunnen beveiligingsbedrijven hun detectie- en preventieoplossingen verbeteren, wat leidt tot een veiliger samenleving. Dat Verhoeven een uitzonderingspositie voor de vitale sector wil maken, is een denkfout. De vitale sector zit op internet, wat een ecosysteem is. Deze bijzondere positie zal de vitale sector slechts in beperkte situaties beter beschermen.

Natuurlijk kun je stellen dat zerodays niet te bestrijden zijn. Als dat zo is, zijn we toe aan een internationale toezichthouder die de inzet van de digitale atoombom aan banden legt en monitort. Dan zijn we toe aan een internationaal verdrag. Tot die tijd hebben we te maken met een nieuwe situatie. Als we bij de overheid een lek of een probleem melden, maken we dan ons land veiliger of leveren we een bijdrage aan die digitale atoombom? Misschien moet we nog even heel goed nadenken voordat we met deze wetgeving verdergaan.

Het nieuwe normaal bij een digitale aanval

Hier moet Nederland van leren!” zegt Sebastiaan van ‘t Erve, burgemeester van Lochem tegen mij. We praten nog geen minuut als glashelder is dat zijn gemeente is getroffen door een aanval van serieuze omvang. In zijn stem hoor ik zorg, nervositeit, maar vooral vastberadenheid. Deze bestuurder toont het nieuwe normaal.

De uitwerking van de keuze is enorm. ‘Leren’ betekent uitzoeken wat er gebeurd is. Er komt deugdelijk forensisch onderzoek, het woord ‘schuld’ of ‘schuldige’ blijven onbesproken maar zijn evident taboe. We proberen fouten te vinden, te verhelpen, te documenteren en de kennis die we daarmee vergaren, willen we uiteindelijk verspreiden. De sfeer onderling is meteen goed. De communicatie is open, relaxt en wat vrij uniek is: er zijn geen politieke spelletjes. Het is bijna Rotterdams: niet lullen, maar poetsen. De inzet van de medewerkers is enorm, wat de stereotype ambtenarengrapjes in een ander daglicht zet. Diverse nachten wordt er doorgehaald, het pinksterweekend wordt opgeofferd en werkdagen van 30 uur zijn eerder regel dan uitzondering. Mensen moeten bijna worden gedwongen nu echt te gaan slapen. Iedereen wil maar één ding: het probleem verhelpen.

Advanced Persistent Threat

Dat probleem blijkt groot te zijn. De eerste aanval vond op 20 december 2018 plaats. Met enige regelmaat komen de aanvallers terug. Het is duidelijk dat Lochem veel aandacht van de aanvallers krijgt. Ofwel een gemeente met 34.000 inwoners is slachtoffer van een advanced persistent threat. Dat maakt het verhaal nog vreemder. Waarom zouden de aanvallers geïnteresseerd zijn in Lochem?

Het antwoord laat niet lang op zich wachten. Al snel vinden forensisch onderzoekers berichten op servers, waarin losgeld wordt geëist. Op een testserver zijn ook daadwerkelijk bestanden versleuteld. Het ‘op slot’ zetten van de Gemeente Lochem is een criminele businesscase. Waar malware meestal lukraak wordt afgeschoten, werken hier criminelen minutieus en doelgericht aan hun doel.

Dat zo’n aanval lonend is, blijkt als ik wat onderzoek doe. De stad Riviera Beach in Florida, Verenigde Staten, is met 34.000 inwoners even groot als Lochem. Ook zij werden getroffen door malware en konden niet meer bij recente back-ups. Via de verzekeraar werd onderhandeld en die zag zich genoodzaakt $ 600.000 af te staan aan de criminelen.

Dienstverlening platleggen

Later in het onderzoek wordt duidelijk dat er toegang is geweest tot inlognamen van gebruikers. Dat bewijs roept een pijnlijke vraag op: kunnen we uitsluiten dat men toegang heeft tot het netwerk met veel rechten? Windows kent het verschijnsel van een golden ticket, waarmee je op alle systemen terecht kunt met de hoogste rechten. Als die wordt ingezet, kunnen de aanvallers tijdens het onderzoek alles alsnog gijzelen.

Er is weliswaar geen bewijs dat dit probleem speelt. Vooralsnog is er geen gebruik van gemaakt, maar dat betekent niet dat het is uitgesloten. Dat leidt tot een dramatische conclusie: als we het niet kunnen uitsluiten dat er nog een aanval komt, moeten we dat onmogelijk gaan maken. Alles moet opnieuw worden ingeregeld. De uitvoering van zo’n operatie moet goed gebeuren en dat kost tijd. Eén avond en één nacht zijn daarvoor tekort. Veel gemeentelijke dienstverlening zal voor een dag gestaakt worden.

Het digitale incident heeft een harde fysieke uitwerking gekregen: de gemeentebalies gaan een dag dicht, de mail gaat plat, de administratie doet het niet en ga zo maar door. Lochem is nog maar heel beperkt bestuurbaar. De burger gaat merken dat er een aanval is geweest. Voor inwoners duurt de overlast ‘maar’ een dag. Intern duurt dat langer. Je durft er niet aan te denken hoe de situatie zou zijn als de aanval wel zou zijn geslaagd.

Forse schade

De gevolgen blijven in dit geval gelukkig beperkt. De criminelen hebben alleen gebruikersgegevens van de systemen ingezien en geen informatie uit de administratie over inwoners. Het datalek is overzicht en dat is op zich goed nieuws. Maar Lochem kroop door het oog van de naald. Het scheelde echt heel weinig of de criminelen hadden wel succes gehad. Als ze niet waren getipt had de gemeente al die maanden niets zien aankomen. En juist dat maakt het eng: wie volgt?

Dat er uiteindelijk geen gijzelingsactie heeft plaatsgevonden, betekent niet dat er geen schade is. Er zijn forse kosten die een gat slaan in de begroting van een kleine gemeente. Op het moment van schrijven is er al meer dan 200.000 euro aan schade. Een deel zit in onderzoek, een deel in acute acties die noodzakelijk zijn om de crisis te beheersen, een deel is veroorzaakt door de verstoring als gevolg van het incident en een deel zijn noodzakelijke verbeteringen. Het zijn terechte kosten, maar dat ze in geen enkele begroting staan, is wel lastig.

Met Van ‘t Erve stel ik vast dat er rond de schade eigenlijk iets vreemds aan de hand is. Stel dat de gemeente kosten moet maken na het neerstorten van een vliegtuig, bij een scheepsongeval of gasexplosie. Dan zou het Rijk bijspringen met daadwerkelijke hulp en met financiële ondersteuning. Waarom is dat nu niet het geval? Dat vraagstuk is nu onderdeel van discussie. Deze discussie wordt gevoerd met een welwillend houding, want iedereen loopt dit soort risico’s.

Informatie delen

Ook al ging het net niet mis, in Lochem is wel het nieuwe normaal ontstaan. Voor zover mogelijk is alles naar buiten gebracht. Dat omvat veel informatie uit het forensisch onderzoek en een duidingsrapportage met daarin harde, soms pijnlijke lessen. Iedereen kan met deze informatie de kansen op een vergelijkbaar incident kleiner maken, lering trekken en wakker worden bij een nieuwe realiteit.

Informatie delen is geen wensdenken, maar een signaal dat de ICT professionaliseert. Want als er ergens na een incident fouten moeten worden opgespoord waarvan als norm wordt geleerd, is dat wel in de ICT.

Column: Openheid als wapen tegen duistere zaken

Al maanden zijn politici aan het schreeuwen om maatregelen tegen spionage. Onzekerheid van schimmige praktijken maakt mensen onzeker. De remedie is simpel en doeltreffend, maar wel veel werk: transparantie.

De verontwaardiging was groot toen bleek dat medewerkers van ASML bedrijfsgeheimen hadden gestolen voor economische spionage. Uit het parlement kwam meteen de roep op een verbod op Huawei. Als door een wesp gestoken reageerde de topman van ASML met de boodschap dat hij de spionage juist toeschreef aan het Zuid-Koreaanse Samsung. Huawei is voor de omzet van ASML zeer belangrijk en eerder vriend dan vijand.

Dossiervorming

Inmiddels zijn politici zo geprogrammeerd dat spionage gelijk staat aan China of Rusland. Na alle Amerikaanse retoriek is Huawei gebombardeerd tot de ultieme zondebok. We moeten de Amerikanen maar op hun blauwe ogen geloven, want bewijs wordt niet geleverd. Daarom blijven we hangen bij beeldvorming als ‘slecht’ en ‘gevaarlijk’ en andere termen die een president in 280 karakters kan Twitteren.

Kijken we wel naar de inhoud, dan is het beeld diffuus. De Verenigde Staten blijken dan zelf wereldkampioen spioneren te zijn. Microsoft, Facebook, Google, Amazon en velen anderen werden tegen wil en dank ingezet om NSA-systemen, zoals ‘Prism’, mogelijk te maken. China voert aanvallen uit op bijvoorbeeld Asus en Netsarang om te spioneren. De AIVD breekt in bij Russische inlichtingendiensten, die op hun beurt bij ons losgaan. Kortom, iedereen kan Trojaanse paarden in soft- en hardware leveren.

Transparantie

De manier om het succes van een Trojaans paard te verminderen, is het paard van binnen bekijken. Bij software is dat kijken naar de procedures in bedrijven en de software die wordt geleverd. Weet wat je in huis haalt, wie wat levert en hoe die organisaties functioneren. Daarvoor is het wel nodig dat wij heldere criteria hebben hoe we toetsen, zodat we niet op basis van willekeur opereren. Het grote voordeel van open-sourcesoftware is dat we exact kunnen toetsen wat er in de programmatuur zit. Na jarenlang de neus daarvoor ophalen en niet toetsen, zullen we dat wel moeten gaan doen om de kans op spionage te verminderen.

Als je kijkend naar feiten tot de conclusie komt dat een leverancier een verhoogd risico vormt, is het prima. Maar dat betreft zeker niet alleen Chinese bedrijven die overheden helpen spioneren. Ook Amerikaanse firma’s die tegen alle beloftes in gesprekken afluisteren, heimelijk microfoontjes in apparatuur inbouwen of toetsaanslagen op computers bijhouden. In het licht van goede dossiervorming en transparantie blijken zelfs sommige Nederlandse beveiligingsbedrijven een spionagerisico te vormen.

Een inkijkje in een falend it-project

In het kader van een lopende procedure was ik als expert betrokken bij een zaak. Kern van de discussie: worden uitspraken van de Rechtspraak digitaal correct ondertekend?

Authenticatie bij Rechtspraak

Onlangs keurde de hoogste bestuursrechter de manier van inloggen voor het ondertekenen van uitspraken bij de Rechtspraak grotendeels af. De echte pijn zit niet in de uitspraak van de Raad van State, maar in de plots zichtbare nieuwe pijnpunten van het KEI-project dat al 200 miljoen euro verslond. De inzet is fors: de betrouwbaarheid onze nationale jurisprudentie.

Het gebeurt zelden dat het administratief functioneren van rechtbanken inzet is van een hoger beroep. De Afdeling Bestuursrechtspraak van de Raad van State is gevraagd te beslissen of de digitale handtekening op rechtbankuitspraken rechtsgeldig zijn. De kwestie speelt in een zaak tussen een asielzoeker en de Immigratie en Naturalisatiedienst (IND). Maar het is de Rechtspraak die zich verdedigt tegen de aantijging dat de digitale handtekening niet voldoet aan de norm voor het digitaal ondertekenen van uitspraken: de meerfactor-authenticatie.

Eigen realiteit

Volgens de Rechtspraak voldoet de norm wel. De eerste factor wordt geboden met de Rijkspas, die bij toegangspoortjes wordt ingezet om de rechtbank binnen te komen. Als tweede factor voert de Rechtspraak aan het inloggen op het systeem met gebruikersnaam en het wachtwoord. Het toegangssysteem heeft geen enkele verbinding met het zaaksysteem, waardoor een identiteitsclaim voor dat laatste systeem niet met twee factoren wordt geverifieerd.

Volgens de Rechtspraak hoeft het verifiëren van zo’n claim niet in hetzelfde systeem te gebeuren. Verder mag er tijd zitten tussen de beide authenticatiemethodieken. Dat laatste onderbouwt ze met een trainingshandboek de CISSP (Certified Information Systems Security Professional). Dat een cursushandboek van een Amerikaanse non-profit organisatie de basis van het betoog van de Rechtspraak vormt en niet een daadwerkelijke Europese beveiligingsnorm, zoals het door ENISA en het Nederlandse Forum Standaardisatie uitgedragen STORK-raamwerk is het eigenlijke ict-probleem hier: een eigen invulling van de digitale handtekeningen. Daarbij is bewust gekozen om rechtbanken vrij te stellen van de eIDAS-verordening op dit gebied. De Rechtspraak creëert een eigen ict-realiteit. In plaats van de digitale handtekening cryptografisch te borgen – zoals gebruikelijk – is een ondertekende uitspraak een PDF-bestand, met op de plek van de ondertekening de naam van de ondertekenaars. Als iedereen heeft getekend, maakt het zaaksysteem een controlegetal aan in een database. Het blijft onduidelijk hoe is geborgd wanneer op een later moment in de database wijzigingen worden gemaakt of hoe een audittrail werkt. Uit de beschikbare documentatie blijkt niet dat hiervoor maatregelen zijn genomen.

Verstrekkende gevolgen

Door het ontbreken van een cryptografische borging kunnen externe partijen geen digitale verificatie uitvoeren. Hoe problematisch dat in de praktijk is, ontdekte advocaat Gonny Meijering, die deze zaak aanbracht. Een rechter gelastte de vrijlating van een cliënt uit vreemdelingendetentie, maar dat weigerde de instelling op basis van een niet toetsbare PDF. Vrijlating volgde de volgende dag toen er met de rechtbank was gebeld om de authenticiteit van de uitspraak te bevestigen.

Naast de problemen rond dit individu speelt er een ander pijnpunt. Uitspraken zijn namelijk niet alleen voor de procespartijen op dat moment van belang. Ze vormen bij elkaar jurisprudentie die verifieerbaar juist moet zijn. In de toekomst kan dat specifiek voor een persoon, object, bedrijf of bestuursorgaan van belang zijn, maar ook als basis voor een geheel andere procedure. Je wilt dan geen ingewikkelde discussies over de uitspraak zelf.

Demonstratie fraude

De implementatie digitaal tekenen wordt nog opmerkelijker als de Rechtspraak een cursusvideo in de procedure inbrengt. In de video legt een vrouw uit hoe digitaal ondertekenen werkt. Daarvoor heeft zij drie tabbladen openstaan in Microsoft Internet Explorer. Op het eerste tabblad is zij ingelogd als een administrateur die de beslissing digitaal uitspreekt. Op het tweede tabblad is zij aangemeld als de rechter die ondertekent, terwijl ze op het derde tabblad de identiteit van de tweede rechter aanneemt. In haar eentje geleidt zij met succes een conceptuitspraak naar een dubbel ondertekende en uitgesproken zaak.

Dat één persoon meervoudig als anderen aangemeld kan zijn, logenstraft de effectiviteit van de toegangspas als tweede factor. Maar het legt nog een ander probleem bloot. Administratieve systemen worden soms anders gebruikt dan waarvoor ze zijn ontworpen. Het scenario opent een mogelijkheid dat een administratief medewerker namens de rechter met zijn of haar inloggegevens tekent.

Tijdens de zitting toont een rechter hoe hij ‘zijn’ digitale handtekening onder een echte uitspraak zet. “Voor ik teken lees ik altijd de uitspraak door”, stelt de magistraat en scrolt door een pdf-bestand snel naar beneden. Zonder te lezen stopt hij onderaan, valt stil, scrolt omhoog, wordt weer stil en vraagt dan aan de administrateur: “Hoe sluit ik dit [Adobe Acrobat] ook alweer?” Na het sluiten van de reader legt hij gespannen verder uit hoe hij in de webinterface een ondertekening zet. Het wekt niet de indruk van iemand die dit dagelijks doet.

Gemiste kansen

De zaak ademt onbegrip uit en het onvoldoende doorgronden van basisbeveiligingsprincipes. Door niet aan te sluiten bij bestaande nationale en Europese normen, open standaarden en afspraken kiest de Rechtspraak voor een bijzondere positie met hun zienswijze op de ‘digitale handtekening’. Implementatie van een zelf uitgevonden wiel is onnodig duur en complex. Bovendien grijpt de Rechtspraak naast de voordelen van echte digitale handtekeningen, zoals een hoge mate van zekerheid rond de authenticiteit van de ondertekenaars en integriteit van de uitspraak.

De digitale handtekening is slechts één uit een lange reeks van features, die past in een administratieve flow. Het lijkt er sterk op dat de Rechtspraak bestaande processen 1-op-1 heeft gedigitaliseerd, zonder daarin complexe zaken als identiteitsmanagement, authenticatie en cryptografie mee te nemen. Met een cursushandboek en een toegangspas krijg je geen betrouwbare digitale handtekening, zelfs niet met een budget 200 miljoen euro.

Een te innige band tussen overheid en journalistiek is niet gezond

Voor de Ommekeer TV spreekt Paul van Liempt met oud-onderzoeksjournalist Brenno de Winter over AIVD-informatie Van Hout, de innige banden tussen journalistiek en overheid en het debat rondom digitalisering en Huawei.

Update onderzoek naar Kaspersky Lab

Recentelijk heeft de Europese Commissie uitspraken gedaan over het risico rond Kaspersky Lab. Daarnaast heeft een wetenschapper onderzoek verricht naar de juistheid van de bewering dat Kaspersky Lab op basis van Russische spionage wetgeving gedwongen kan worden mee te werken aan Russische inlichtingenoperaties. Op basis van deze gebeurtenissen is het rapport bijgewerkt en zijn de nieuwe stukken aan de onderliggende onderbouwing toegevoegd.

Opmerking Kaspesky Lab heeft sinds het verschijnen een rebranding ondergaan en wordt nu Kaspesky genoemd. Voor de consistentie spreekt het rapport nog over Kaspersky Lab.

Waar gaat het rapport over?

Op 14 mei 2018 draagt het Nederlandse kabinet de Rijksoverheid op de antivirussoftware van Kaspersky Lab niet langer te gebruiken en uit te faseren. Organisaties die vallen onderAlgemene Beveiligingseisen Defensie Opdrachten (ABDO) of vallen onder vitale diensten en processen krijgen het advies hetzelfde te doen. Het advies geldt niet voor andere organisaties. Ook maakt het kabinet duidelijk dat het alleen gaat om de antivirussoftware,niet om de andere producten en diensten van Kaspersky Lab. Er zijn voor het kabinet drie redenen om deze keuze te maken:

  1. Antivirussoftware heeft uitgebreide en diepgaande toegang tot een computer. Zulke toegang kan misbruikt worden voor spionage en sabotage.
  2. Als Russisch bedrijf is Kaspersky Lab volgens Russische wetgeving verplicht om bij de overheid mee te werken als de Russische inlichtingendiensten hierom verzoeken.
  3. De Russische Federatie heeft een offensief cyberprogramma. Dat laatste betekent dat het land met behulp van computers actief spionage en sabotage pleegt.

Het kabinet spreekt in een brief aan de Tweede Kamer van een voorzorgsmaatregel met als reden te vrezen voor spionage en sabotage. Daarbij schrijft het kabinet een eigen,aangescherpte afweging in het kader van de nationale veiligheid te hebben gemaakt. Inessentie komt de vrees van het kabinet erop neer dat de antivirussoftware van KasperskyLab, een bedrijf dat malware bestrijdt, zelf wordt ingezet als Trojaans paard ofwel malware.

Nederland beschikt niet over voorbeelden waaruit blijkt dat er misbruik is gemaakt van de antivirussoftware van Kaspersky Lab. Ook bij andere (Europese) landen en de Europese Commissie zijn er geen voorbeelden bekend. Als KRO-NCRV bij een journalistiek onderzoek met succes een beroep doet op de Wet openbaarheid van bestuur (Wob) komen nadere documenten beschikbaar.

Analyse

Brenno de Winter van De Winter Information Solutions is door Kaspersky Lab gevraagd een reconstructie te maken van de voorzorgsmaatregel van het kabinet en de drie observaties van het kabinet te analyseren. In een tijd van digitale operaties is het logisch en goed dat het kabinet alert is op de gevaren van spionage en sabotage. Dit rapport onderzoekt inhoudelijk en procedureel hoe de argumentatie vanuit het kabinet tot stand is gekomen, in hoeverre Kaspersky Lab op basis van deze argumentatie inderdaad een dreiging vormt en welke stappen noodzakelijk zouden zijn een dergelijke dreiging het hoofd te bieden.

VNG Crisisgame 2.0

Voor de Vereniging Nederlandse Gemeenten hebben Brenno de Winter en Barbara Bulten (De Winter) de nieuwe crisisgame mogen maken. Bibi Hoosein van de VNG heeft daarbij een sfeer gemaakt om de game ook echt tot iets moois uit te bouwen. Daarin wordt een informatiebeveiligings-incident gekoppeld aan fysieke dreiging. De game is in juli 2019 beschikbaar, maar de trailer is nu al openbaar en daar ben ik best trots op.

Trailer van de VNG Crisisgame 2.0

Ook zonder smoking gun is twijfel over Huawei terecht

Volgens een artikel in de Volkskrant zou Huawei mogelijk betrokken zijn bij spionage op een Nederlandse telecomprovider. Het gepresenteerde bewijs en de interpretatie ervan zijn in mijn ogen mager. Er is overigens wel reden om aan Huawei te twijfelen.

Huawei zou betrokken zijn bij de hack op een in Nederland opererende telecomprovider. Via een achterdeur zijn klantgegevens gestolen en dat is volgens de definitie computervredebreuk of simpel gezegd: hacking. De AIVD zou onderzoek doen. De krant baseert zich op inlichtingenbronnen. Over het journalistieke proces is niets bekend gemaakt.

Laten we er even vanuit gaan dat de journalist in kwestie een kloppend verhaal van zijn bronnen (zonder geopolitieke belangen) heeft gehad en het verhaal correct heeft begrepen en opgetekend. Dan vallen er een paar observaties te maken.

Rol Huawei onduidelijk

Er is nog veel onduidelijk. Om gegevens te stelen is gebruik gemaakt van een achterdeur. Zit de zwakheid in de software, in de hardware, is het een zwakheid die is misbruikt of echt een ingebouwde functionaliteit? We weten het niet. Of Huawei hier zelf slachtoffer van een hack is, actief betrokken, gedwongen betrokken of buiten hun weten om betrokken, is ook niet duidelijk. Beide scenario’s zijn realistisch.

Recentelijk werd een belangrijke modus operandi van de Chinezen bekend. Ze breken in bij makers van soft- en hardware, plaatsen malware in het productieproces. Onwetende fabrikanten – in dat geval het Taiwanese Asus en het Zuid-Koreaanse NetSarang – distribueerden de achterdeur zonder het zelf te weten. De verspreide software werd door de bedrijven wel voorzien van een digitale handtekening. Wie niet verder kijkt, verdenkt de Taiwanezen en de Koreanen. Uiteindelijk werd bewezen dat het de Chinezen waren. Huawei kan in zo’n scenario zelf slachtoffer zijn.

Aan de andere kant bleek recentelijk uit een (door experts omstreden) rapportage van de Britse overheid dat er diverse beveiligingsproblemen zijn met Huawei. Het bedrijf maakt nauwelijks voortgang met het oplossen van die problemen. Het niet oplossen van problemen kan opzettelijk zijn om spionage mogelijk te maken of laksheid zijn. Het is sowieso problematisch.

Huawei is – voor zover bekend – in één concrete zaak in verband gebracht met economische spionage. Dat werd duidelijk na de arrestatie van Meng Wanzhou, Huawei’s CFO, in Canada. Het bedrijf zou test-technologie van T-Mobile hebben gestolen. Deze zaak is civielrechtelijk in 2014 afgehandeld, maar de diefstal van technologie vormt nu een van de Amerikaanse aanklachten.

Klantgegevens

Een ander onduidelijk punt in het verhaal is wat voor klantgegevens zijn gestolen. Betreft het hier persoonsgegevens of gaat het om zakelijke informatie? Gaat het om administratie van het bedrijf, informatie over communicatie of zelfs de inhoud van communicatie?

Als het om persoonsgegevens gaat dan heeft de telecomprovider onder de AVG een meldplicht bij in ieder geval de toezichthouder. Bij ernstige inbreuken – en dat lijkt het wel te zijn als de AIVD betrokken is – moeten de betrokkenen op de hoogte worden gebracht door de provider. Mogelijk krijgt een grote groep mensen binnenkort bericht.

Daarnaast heeft een telecomprovider nog een meldplicht onder de Wet beveiliging netwerken en infrastructuren (Wbni). Bij grote hacks moeten telecomproviders in ieder geval een melding doen bij het National Cyber Security Center. Zo’n melding kan leiden tot aanvullende onderzoeken, zoals bijvoorbeeld van de AIVD.

Verder is onduidelijk wat de bron van het verhaal is. De gebruikte term ‘inlichtingenbronnen’ kan duiden op medewerkers van inlichtingendiensten, de nationale politie en zelfs inlichtingenafdelingen (telecom)bedrijven.

Door te stellen dat het hier mogelijk spionage betreft, moeten we er reken mee houden dat als dat zo is de aanvallende partij hoogwaardige expertise in de strijd kan werpen en over grote budgetten beschikt om tot een doel te komen.

Smoking gun

In de Volkskrant wordt gesproken van een smoking gun. Met de informatie die nu beschikbaar is, is het voorbarig om die conclusie te trekken. Er loopt nog een onderzoek bij in ieder geval de inlichtingendienst AIVD. Wat de onderzoeksvraag is, is onduidelijk.

Het is onbekend wat er is gebeurd, welke gegevens er zijn gestolen, wie er achter de aanval zit. Natuurlijk is het niet vreemd dat er naar China wordt gekeken.

Huawei heeft kennelijk een beveiligingsprobleem. Dat op zichzelf is reden tot zorg. Of de digitale inbraak de leverancier te verwijten is, moet blijken. In het verleden trad het kabinet met inhoudelijke informatie naar buiten toen ze de operatie van de Russen bij de OPCW onthulden. Als grote delen van een land betrokken zijn, is het niet onlogisch te verwachten dat die helderheid ons binnenkort weer wordt geboden.

Brenno over digitale spionage

Brenno de Winter spreekt in Café Weltschmerz over digitale spionage.

U kent dat wel: software updates die zich op iedere computer of smartphone melden om uw apparaatje automatisch bij te werken met verbeterende updates. Maar wat nu als er op die manier automatisch ook geavanceerde backdoors mee geïnstalleerd worden? Brenno de Winter legt uit hoe dit onlangs is gebeurd bij de Taiwanese telefoon en computerbouwer ASUS. Vanuit China bleek het update systeem van ASUS gehackt. Dit werd door het Russische beveiligingsbedrijf Kaspersky ontdekt. Opmerkelijk ook omdat juist Kaspersky door de Nederlandse overheid wordt geboycot, omdat het bedrijf haar roots in Rusland heeft! Brenno de Winter vertelt hoe het patchmechanisme voor een aanval als deze kon worden gehackt en hoe we ons daar in het vervolg beter tegen kunnen wapenen. Verder lezen kan bijvoorbeeld hier: ‪https://motherboard.vice.com/en_us/ar…