Het is oorlog maar niemand die het ziet
Page 23
Nederland heeft er een typische polderoplossing voor bedacht — verwoord in het regeerakkoord: geheime diensten mogen geen hacksoftware inkopen van leveranciers die hun wapens ook verkopen aan dubieuze regimes. Klinkt nobel, maar wat is dubieus? De Israëlische NSO Group, een van de bekendste leveranciers, verkoopt spionagesoftware aan de Verenigde Arabische Emiraten (VAE), een land waar de vrijheid van meningsuiting ernstig wordt onderdrukt. Is dat dubieus genoeg? En als de emir van de VAE journalisten en dissidenten laat afluisteren met Israëlische spyware, zoals onthuld, wordt het dan té dubieus?
De wet die digitale veiligheid voorstaat, is dus óók een bedreiging voor een vrij internet. Er zijn meer van dit soort tegenstrijdigheden. De publieke aandacht gaat vooral naar wat het ‘sleepnet’ wordt genoemd: de geheime diensten mogen straks grootschalig internetverkeer filteren. Een serieuze uitbreiding van de bevoegdheden waar strikte waarborgen tegenover staan. Waarborgen die weer niet zo streng zijn voor het hacken — terwijl dat juist grootschaliger aan het worden is.
Een week voor het referendum lijkt het ‘ja-kamp’ te winnen. Maar op de verkiezingsavond zijn de verhoudingen gedraaid. Het ‘nee-kamp’ wint nipt: 49,4 procent is tegen, 46,5 procent is voor. De volksraadpleging maakt ook een kloof zichtbaar: jongeren zijn in meerderheid tegen (60 procent), 65-plussers voor (57 procent). Het kabinet belooft de wet op enkele onderdelen aan te passen. De hackbevoegdheid wordt ongemoeid gelaten.
Nog in datzelfde jaar wil de AIVD een ‘bulkhack’ uitvoeren: het opvragen van de gegevens van miljoenen mensen om die van een paar verdachten in te kunnen zien. Bronnen vertellen dat het over het hacken van de e-mailserver van KPN gaat. De nieuwe toezichthouder TIB wijst het verzoek in dit specifieke geval af.
*
Het referendum duwt me in een nieuwe positie. Vrienden, collega’s en andere journalisten vragen wat ze moeten stemmen. De digitale wereld is voor hen, net als voor vele anderen, abstract en ongrijpbaar, maar ze dringt zich steeds verder op. Belastingaangifte, ov-informatie, geldzaken: alles is digitaal. Ze verwachten van mij een advies. Is deze wet goed of slecht voor onze veiligheid?
Ik weet het niet. Voor de Volkskrant schrijf ik talloze verhalen over de wet. Aan de hand van concrete voorbeelden probeer ik uit te leggen hoe die in de praktijk zal uitpakken. Hoe tappen werkt, waar de geheime diensten dat kunnen gaan doen en wat wij als burgers daarvan zullen gaan merken. Advies geven vind ik ingewikkeld. Als buitenstaander ben ik de digitale wereld gaan onderzoeken en bronnen hebben me er langzaam deelgenoot van gemaakt. Ik beschrijf, onderzoek, leg bloot. Nu word ik ineens geacht mijn persoonlijke mening te geven.
Mijn aarzeling heeft nog een andere reden: hoe beter ik internet en de risico’s ken, hoe ingewikkelder het dilemma is geworden. Om de samenleving te beschermen tegen spionage en aanvallen van buitenaf hebben veiligheidsdiensten bevoegdheden nodig die een vrije samenleving onder druk zetten. De uitslag van het referendum is illustratief: aan de ene kant zien burgers dat de geheime diensten nieuwe mogelijkheden moeten krijgen, maar aan de andere kant zijn ze ook bang dat essentiële vrijheden worden aangetast. De vraag of we met de nieuwe wet een stap zetten naar een controlestaat is gerechtvaardigd.
Die aarzeling is een typisch westers probleem. Geheime diensten kunnen niet meer vanzelfsprekend op de steun van de bevolking rekenen. Er is een grens. Meer internetcontrole kan een open samenleving niet aan. Het past een democratisch gekozen regering niet om te gaan bepalen wat nieuws is of nepnieuws. Of om zelf desinformatie te gaan verspreiden. Autoritaire regimes zoals China en Rusland kennen die aarzeling niet. Bill Clinton zei in 2000 dat de komst van internet zijn land veranderde. ‘We zijn al een open samenleving. Kun je voorstellen hoe internet China gaat veranderen.’ Lachend voegde hij toe: ‘Probeer dat medium maar eens te beteugelen. Alsof je pudding tegen een muur moet spijkeren. Succes ermee.’
Maar het lukte China wel. Daardoor is het land beschut tegen aanvallen van buitenaf en kan het zelf rücksichtslos toeslaan. Chinese hackers weten zich beschermd door de staat. Net als Iraanse en Russische hackers. Internet is voor hen een machtig wapen — zowel voor het controleren van de eigen bevolking als voor het spioneren en saboteren in het buitenland. Bovendien hebben ze een strategisch voordeel in de strijd tegen westerse landen: zij hoeven niet met de handen op de rug te vechten. Iedereen speelt dezelfde wedstrijd, alleen spelen sommige landen met andere regels.
Pas na het referendum dringt zich een metafoor op die onze positie ten aanzien van digitalisering in één klap duidelijk maakt. Het is alsof we met de beste bedoelingen een vriend zijn gaan helpen die financiële problemen heeft. Door hem geld te lenen, kan hij schuldeisers van zich afhouden. Alleen is hij niet eerlijk geweest over de herkomst van zijn schulden: later biecht hij op dat zijn schuldeisers crimineel zijn. Hij had uit financiële nood meegedaan met een mislukt wapentransport. En nu moet er meer geld komen. Nu de criminelen weten dat er wat te halen is, komen ze aan de deur. Ze intimideren, bedreigen. Je bent ongewild onderdeel geworden van hun spel: als je betaalt aan criminelen ben je medeplichtig. De strijd aangaan is zinloos: zij hanteren hun eigen regels. De politie inschakelen is ook riskant.
Zo is het ook met digitalisering: we zitten klem. Door sociale media en smartphone te omhelzen, hebben we ook de risico’s binnengehaald. Via de apparaten die we dagelijks gebruiken, worden we tegelijkertijd onder vuur genomen. Terugslaan kan niet zomaar: Nederland zal geen trollenfabriek neerzetten om desinformatie te verspreiden of tienduizenden hackers opleiden. Maar niets doen is ook geen optie. Dus zetten we steeds een stapje verder richting escalatie.
Dit strijdtoneel is allang geen plek meer van pioniers en nerds. Evgeny Morozov, een van de interessantste denkers over digitalisering, legt uit dat de digitale wereld ons fundament is geworden. ‘Wat eens speels werd omschreven als “cyberspace” — iets immaterieels, virtueels en vluchtigs — is uitgegroeid tot de meest kapitaalintensieve sector van de economie, verbonden door materiële datacentra, onderzeese datakabels en een sensorinfrastructuur die onze steden omspant,’ schrijft hij. ‘In 2018 deden de vier grootste digitale reuzen — Google, Facebook, Amazon en Microsoft — meer kapitaalinvesteringen (in totaal 77,6 miljard dollar) dan de vier grootste oliemaatschappijen, Shell, Exxon, BP en Chevron (een totaal van 71,5 miljard).’ Morozov: ‘Zulke verbluffende getallen zullen hopelijk iedereen overtuigen die nog altijd aan het idee vasthoudt dat de hele onderneming iets immaterieels — of sterker nog: virtueels — heeft.’
De digitale wereld is als de financiële wereld: net zo verweven met de moderne samenleving en tegelijk net zo ondoorzichtig. En de bedreiging komt echt niet alleen uit China en Rusland.
*
Gemalto is een Frans bedrijf dat vanwege het gunstige belastingklimaat in Nederland is gevestigd. Het maakt jaarlijks 2 miljard simkaarten voor 450 telecombedrijven en brandt daarbij een geheime code, een zogeheten KI-sleutel, op de kaarten. Die geheime code zit ook in een database bij telecomproviders en zorgt voor veilige communicatie. Wie deze codes steelt, kan zelf een simkaart uitgeven, zich voordoen als iemand anders of onderschept telefoonverkeer ontsleutelen. Gemalto beschermt de codes daarom goed.
Toch blijkt in 2015 dat de Amerikaanse NSA en de Britse GCHQ diep in het netwerk van het chipkaartenbedrijf zitten. ‘We geloven dat we het hele netwerk hebben,’ schrijven Britse spionnen in een geheim document dat via de Amerikaanse website The Intercept naar buiten komt. De Britten en Amerikanen kunnen bij de ‘authentificatieservers om KI-sleutels’ te verkrijgen. De holy grail voor geheime diensten: ze halen geautomatiseerd miljoenen sleutels binnen om onderschept telefoonverkeer te ontsleutelen. De Amerikaanse NSA bouwt zelfs een systeem om 50 miljoen KI-sleutels per seconde te verwerken.
Doel van de diefstal is het bemachtigen van codes voor de nieuwste telefoontechnieken 3G en 4G. De oude 2G-generatie bevat allerlei veiligheidsproblemen, waardoor de Britten en Amerikanen afgevangen 2G-communicatie al kunnen ontsleutelen. Dat geldt niet voor de nieuwste generatie mobiele communicatie. ‘Toegang tot een database vol sleutels betekent in feite dat mobiele versleuteling waardeloos is geworden,
’ reageert de Amerikaanse cryptograaf Matthew Green bij The Intercept. ‘Dat is slecht nieuws voor de veiligheid van telefoons. Heel slecht nieuws.’
Ook Nederland maakt zich zorgen. De simkaarten van onder andere Vodafone, T-Mobile en KPN worden door Gemalto gemaakt. Nederlandse parlementariërs bellen via Vodafone. De Dienst Automatisering van de Tweede Kamer adviseert Kamerleden daarom de simkaarten om te ruilen. Een advies dat nog dezelfde dag door verantwoordelijk minister Ronald Plasterk weer wordt ingetrokken. Een toelichting geeft hij niet.
Na zes dagen onrust presenteert Gemalto de bevindingen van een eigen onderzoek naar de hack. Het bedrijf zegt te ‘geloven’ dat de Britten en Amerikanen inderdaad binnen waren. Maar: ‘Alleen het kantoornetwerk is geraakt en grootschalige diefstal van simkaartsleutels heeft niet plaatsgevonden.’ Het is de gebruikelijke reactie van bedrijven die zijn getroffen: ontkennen of, als dat echt niet meer gaat, de schade beperken door de omvang te minimaliseren. ‘Als die diefstal toch plaatsvond,’ voegt Gemalto toe, ‘dan hadden de sleutels alleen betrekking op 2G-communicatie.’
Het is een opmerkelijke verklaring. In de documenten staat duidelijk dat de Britse en Amerikaanse geheime dienst miljoenen sleutels binnenhalen, dat ze volledige toegang hebben, en dat ze bij de authentificatieservers kunnen. 2G was niet het eigenlijke doelwit, maar 3G en 4G. Toch persisteert Gemalto: dat kan niet waar zijn. Hoe kan een bedrijf zo stellig zijn na een onderzoek van een week? Belgacom, KPN, DigiNotar: wie spionage grondig wil onderzoeken, huurt erkende experts in die vervolgens maanden nodig hebben voor hun onderzoek. Waarom huurt Gemalto geen beveiligingsbedrijf in?
Zijn de Nederlandse simkaarten veilig? En hoe zeker is dat? Bij wie ik het ook probeer: bronnen weten het niet, of willen het niet zeggen. Pas vier jaar later, in het voorjaar van 2019, spreek ik op strikte achtergrondbasis twee personen die me meer vertellen.
Beide bronnen, de een uit de telecomsector en de ander uit de inlichtingenwereld, vertellen exact hetzelfde verhaal. Toen de hack bekend werd, zijn telecombedrijven en de AIVD gaan inventariseren wat de risico’s zijn voor Nederland. Het Nationaal Bureau voor Verbindingsbeveiliging (NBV), dat onder de AIVD valt, adviseert telecompartijen bij het beveiligen van informatie en coördineert het onderzoek. Telecompartijen doen ook eigen onderzoek. De AIVD en de telecombedrijven stuiten op hetzelfde probleem: Gemalto geeft ze nauwelijks informatie. De telecombron: ‘We hebben Gemalto meermaals gevraagd gedetailleerde informatie te geven over de ernst van de hack. Hoe ver de Britten en Amerikanen in het netwerk zaten. Die informatie hebben we nooit gekregen.’
De AIVD en de telecombedrijven kúnnen daarom niets doen. En zijn kennelijk niet bij machte Gemalto te dwingen tot openheid. Zonder specifieke informatie over de hack weten ze niet of de Nederlandse simkaarten veilig zijn. De AIVD vindt dat het geen zin heeft om de simkaarten van parlementariërs te vervangen: als onbekend is welke KI-sleutels de Britten en Amerikanen hebben, zijn nieuwe simkaarten net zo goed onveilig. De inlichtingenbron: ‘Ik denk dat we niet naïef moeten zijn over waartoe de Britten en Amerikanen in staat zijn.’
Nederlandse telecompartijen en inlichtingendienst AIVD — samen verantwoordelijk voor de veiligheid van telecommunicatie — weten niet zeker of het Nederlandse telefoonverkeer veilig is. Het kan, maar het kan net zo goed niet zo zijn. Gemalto toont de gevolgen van digitalisering: de afhankelijkheid van producten en diensten die niet te doorgronden zijn. Die misschien overgenomen zijn door spionnen. Overal kunnen de ogen en oren van buitenlandse staten zitten.
Dezelfde angst speelt in 2018 en 2019 bij de producten van het Chinese Huawei. Ook die zitten op cruciale plekken in de Nederlandse infrastructuur: midden in telecombedrijven waar alle telefoontjes en e-mails van Nederlanders langsgaan. De apparatuur van Huawei is ingekapseld in telecomnetwerken die permanent controleren of er geen gegevens naar buiten gaan. In het voorjaar van 2019 ontdekt KPN, dat ook Defensie als klant heeft, een toegangspad van Huawei naar Nederlandse klantgegevens. Een pad naar een server waar alleen Huawei bij kan. De AIVD onderzoekt of er een link is met spionage door de Chinese overheid. Dat blijkt ingewikkeld vast te stellen: ja, de Chinezen spioneren overal en gebruiken daarvoor klantgegevens zoals die van KPN. Ja, Huawei kan via het pad diezelfde klantgegevens wegsluizen. Maar heeft Huawei die gegevens aan Chinese spionnen gegeven? Een bron: ‘De drankkast staat open, de drank is weg, iemand heeft de drank — betekent dat ook dat hij de drank heeft gestolen?’
Spionage is moeilijk te bewijzen. Huawei is een gigantisch bedrijf dat dagelijks 70.000 mensen inzet voor research and development. Dat is meer dan het inwoneraantal van Den Helder. Britse specialisten onderzoeken al jaren apparaten van de Chinese gigant. Ze kunnen niet met stelligheid zeggen dat de Chinese overheid via Huawei zal spioneren. Ze zien serieuze en minder serieuze beveiligingslekken maar weten niet of die er bewust zijn ingezet. Huawei kent zoveel verschillende producten en versies dat er niet één blauwdruk bestaat. Dit probleem is niet uniek voor Huawei: het Zweedse Ericsson levert cruciale telecomapparatuur aan Nederland maar weigert de source code van producten te laten zien. Producten van het Amerikaanse Cisco bevatten achterdeurtjes voor Amerikaanse inlichtingendiensten. Het probleem: de Nederlandse samenleving wordt steeds afhankelijker van producten en technologieën uit landen — met name China en de Verenigde Staten — die tevens grootschalig spioneren.
*
In de zomer van 2018 spreek ik af met een ervaren ambtenaar die goed is ingevoerd bij ministeries die over veiligheid gaan. Ik wil weten wat het Haagse antwoord is op de toegenomen kwetsbaarheid.
De digitale escalatie is zorgwekkend. Steeds meer landen ontdekken internet als wapen. Niet alleen om te spioneren maar ook om andere landen aan te vallen en uit te schakelen. Zoals eens met kernwapens is er nu een wapenwedloop gaande waarvan niemand weet waar die eindigt.
Experts waarschuwen er al jaren voor: er komt een moment dat hackers met online aanvallen fysieke schade aanrichten. De hackers van unit 74455 bewijzen hun gelijk. Zij voeren oorlogshandelingen uit. Die Hard in plaats van Ocean’s Eleven. Maar het Westen is net zo goed schuldig: de aanval op Iran in 2007 met Stuxnet was ook een daad van oorlog. Het fabriceren en vervolgens kwijtraken van gevaarlijke hackwapens draagt bij aan verdere escalatie. Het is nota bene oud-CIA-directeur Michael Hayden, de man die persoonlijk toestemming gaf voor de lancering van Stuxnet, die na de vernietigende aanval op Iran waarschuwt voor een tijd die ‘doet denken aan augustus 1945’. Toen was het een bom met verwoestende kracht die tienduizenden mensen doodde, nu is het een sabotagevirus dat binnensluipt en systemen vernietigt. De ontploffing van een atoombom valt niet te missen. Een sabotagevirus slaat in stilte toe en eist, vooralsnog, geen levens.
Voor oorlogen bestaan internationale regels, voor digitale aanvallen niet. Fysieke confrontaties laten sporen na; digitale acties zijn veel lastiger te traceren en eenvoudiger te ontkennen waardoor vervolging soms zelfs onmogelijk wordt. De CIA gebruikt hackwapens die de herkomst verbloemen: zelfs de tijdzone of het toetsenbord waarmee de wapens geschreven zijn kan de dienst manipuleren, zodat het lijkt of de code aan de andere kant van de wereld is gemaakt door iemand met een Russisch toetsenbord. De Verenigde Naties proberen met werkgroepen tot normen te komen om digitale escalatie tegen te gaan, maar Rusland en andere landen hebben zich teruggetrokken uit die overleggen. Rusland en China wensen zich niet te committeren aan westerse regels.
China, Rusland, Verenigde Staten, Israël, Iran, Noord-Korea, Frankrijk en Groot-Brittannië hebben een offensief cyberprogramma: ze ontwikkelen digitale wapens. De onzichtbare aanvallen vinden al over en weer plaats. Voorbeelden zijn er te over. Tijdens de openingsceremonie van de Winterspelen in Zuid-Korea verstoren staatshackers de internetverbinding waardoor er even geen luchtopnamen mogelijk zijn. In Venezuela leggen hackers het stroomnetwerk plat. De Amerikanen vallen rond de verkiezingen voor de Senaat en het Huis van Afgevaardigden preventief het netwerk van de beruchte Russische Internet Research Agency (IRA) in Sint-Petersburg aan. Ook nestelen ze zich op strategische plekken in het Russische elektriciteitsnetwerk. Als vergelding dreigt het Kremlin
met een ‘digitale oorlog’.
Rusland hanteert niet alleen zijn eigen regels, het gaat verder. Het ontwikkelt momenteel een eigen speelveld. Het land experimenteert met het loskoppelen van het wereldwijde internet. Tijdens digitale crises wil het terugvallen op een eigen internet, een middel dat ook nuttig is als Rusland een offensief digitaal wapen loslaat en de effecten niet in eigen land wil voelen. In Midden-Europa wordt in 2018 door Nederlandse onderzoekers Triton gevonden: een vernietigend virus dat in elektriciteitscentrales, petrochemische en nucleaire fabrieken voor ontregeling en chaos zorgt. Triton is waarschijnlijk van Russische makelij en werd voor het eerst in november 2017 gebruikt in Saudi-Arabië. Het valt de systemen in fabrieken aan die bij onveilige situaties een noodprocedure in werking zetten, waardoor een levensgevaarlijke situatie ontstaat. Door een eigen internet te hebben, blijft Rusland zelf gevrijwaard van dit soort aanvallen.
Nederland is door de vele en snelle internetverbindingen in combinatie met de open samenleving extra kwetsbaar. Tegelijk behoren de Nederlandse geheime diensten volgens bronnen tot de top 5 van de digitaal machtigste landen. Het Defensie Cyber Command kan ‘systemen van tegenstanders aanvallen, manipuleren of uitschakelen’. De AIVD en MIVD hacken computersystemen in andere landen. Hun gezamenlijke digitale eenheid, de Joint Sigint Cyber Unit, groeit in 2019 door naar 700 medewerkers, het hackteam van vijf personen in 2014 naar vijftig. Een inlichtingenbron vertelt dat Nederlandse diensten inmiddels ‘met gemak’ een eigen Regin kunnen maken: de geavanceerde, veelkoppige slang die jarenlang ongemerkt in Belgacom zat.
De digitale escalatie vindt op verscheidene niveaus plaats: van trolaccounts op sociale media tot ideologisch gemotiveerde hackers. Van stelende criminelen tot saboterende staten. Nederland is in een voortdurende digitale strijd verwikkeld met vooral Noord-Korea, China, Iran en Rusland. Er gaat geen dag voorbij zonder online schermutseling. De aanvallen vanuit Rusland zijn volgens bronnen het meest volhardend en zorgelijk. Minister Ank Bijleveld (Defensie) kwalificeert de digitale spanningen met Rusland in het najaar van 2018 in Nieuwsuur als ‘een vorm van oorlog’. Een stille oorlog die niemand ziet.