Spionage? Daar hebben we het zelf naar gemaakt

 

Guido van 't Noordende; privacy- en beveiligingsonderzoeker Universiteit van Amsterdam

 

GUIDO VAN 'T NOORDENDE

 

Afluisteren gebeurt op grote schaal - en daar hebben we zelf de hand in. Maar ook de overheid moet normen stellen, alleen al om de burgers te beschermen, stelt Guido van 't Noordende.

 

De afluisterpraktijken van de Amerikaanse spionagedienst NSA leiden in Brussel maar ook in Den Haag tot ongeloof en verontwaardiging. Alleen in Nederland al zijn 1,8 miljoen telefoongesprekken afgeluisterd. Maar we maken het de Amerikanen ook wel erg gemakkelijk. We vergeten gemakshalve dat wij het zelf zijn die kluizen met al onze bedrijfsgegevens, zonder sloten, op het dorpsplein of op de Dam zetten. Om ons vervolgens erover te verbazen dat dieven en geheime diensten erin rondneuzen.

 

Terwijl de Haagse oppositie oproept tot een debat, maken grote bedrijven reclame voor het opslaan van gegevens in 'de cloud'. Of deze opslag wel afdoende beveiligd is wordt niet aangegeven. Over afluisteren wordt zelfs helemaal niets gezegd. De cloud bestaat vooral uit datacenters waar bedrijven gegevens kunnen opslaan. Sommige van die datacenters staan in Amerika, zijn Amerikaans eigendom of maken vaak gebruik van Amerikaanse software. Dat is een probleem. Want alle Amerikaanse software moet voldoen aan Amerikaanse antiterrorismewetgeving waarmee gegevens uit die software kan worden opgevraagd. Alle informatie die onversleuteld in de cloud staat of over het internet wordt verstuurd, kan worden afgeluisterd. Niet alleen door de Amerikaanse, maar ook door Engelse, Chinese of onze eigen inlichtingendiensten.

 

Sleutels

De vraag is waarom de architecturen van systemen zo zijn ontworpen dat dit kán gebeuren. Waarom kiezen overheid en bedrijven niet voor systemen waarin afluisteren niet kan plaatshebben? Of waarin het verbreken van de beveiliging zoveel moeite kost dat dat alleen gebeurt als het écht nodig is? Oplossingen zijn bekend. Informatie moet worden versleuteld. Alleen verzender en ontvanger moeten daarbij over de sleutels beschikken om gegevens te kunnen ontcijferen. Derden, dus ook de cloudbeheerder, hebben hier dan geen toegang toe. Zolang verzender en ontvanger zich aan de spelregels houden, worden zo inlichtingendiensten buiten de deur gehouden. Alleen justitie zou, bij een concrete verdenking, de sleutels moeten kunnen opvragen bij de eindgebruikers.

 

De overheid kan hierbij normen stellen. Deze 'end-to-end'-beveiliging is er een van. Geen onversleutelde data in de cloud dus, tenzij het echt niet anders kan. Dat heeft bijvoorbeeld gevolgen voor de opslag van medische gegevens. Huisartsen slaan die nu vaak op in centrale databases, maar patiëntgegevens zouden bijvoorbeeld éérst moeten worden versleuteld voordat ze in een datacentrum terechtkomen. Verder is de opslag van documenten van een bedrijf in de cloud geen goed idee. Tenzij ze zijn versleuteld met een sleutel die alleen het bedrijf heeft. End-to-end beveiliging is soms lastiger en duurder, maar het kan wel. Het afluisterschandaal bewijst dat dit moet.

 

Geen rem

De Edward Snowden-leaks over de NSA hebben ons hard met de neus op de feiten gedrukt. En laten ons de schaal zien van wat iedereen had kunnen weten: zolang we gegevens vrijwel onbeschermd de wereld insturen, zit er geen enkele rem op diegenen die gegevens willen aftappen. Juist in een democratische samenleving moet de overheid zorgen dat burgers zichzélf kunnen beschermen. Ook tegen de willekeurige macht van, bijvoorbeeld, toekomstige machthebbers. Een overheid die geen adequate normen stelt is medeverantwoordelijk voor de gevolgen hiervan. En kan niet klagen als een ander deze niet-gestelde normen overschrijdt. Zolang wij niets doen aan de architectuur van systemen, en we bedrijven niet dwingen veel zorgvuldiger om te gaan met de beveiliging van onze gegevens, kunnen we niemand verwijten dat er misbruik van wordt gemaakt.

 

De Haagse oppositie wil nu klokkeluider Snowden uitnodigen om uit te leggen hoe dat afluisteren op grote schaal mogelijk was - en wat daar tegen te doen is. Maar we hebben Snowden niet nodig om ons dit te vertellen. Wel politici, parlementariërs en politieke partijen die weten hoe beveiliging werkt. Die zich interesseren voor de rechten en de persoonlijke veiligheid van burgers, en die moedig genoeg zijn om die te beschermen.

 

Guido van 't Noordende is privacy- en beveiligingsonderzoeker aan de Universiteit van Amsterdam.