Cyber Security in Nederland op de agenda!

Volgende week, op 6 december, gaat de vaste Kamercommissie voor Veiligheid en Justitie weer vergaderen over de voortgang van onze nationale Cyber Security strategie. Op de agenda staan 8 onderwerpen die in 3 uur behandeld moeten worden. Dat is weinig tijd voor stuk voor stuk belangrijke onderwerpen. Om de discussies efficiënt te laten lopen, leek het me handig om nu alvast wat onderwerpen te behandelen. De stukken van V en J over dit dossier vind je trouwens het snelst bij ikregeer.nl.

Meldplicht
Laat ik beginnen met de voorgestelde Meldplicht (security breach notification) en interventiemogelijkheden. Dat balletje is gaan rollen na een motie van Jeanine Hennis n.a.v. het Diginotar incident. Het idee is dat eigenaren/beheerders die voor de samenleving vitale systemen beheren een security incident niet onder de pet houden in de hoop dat het allemaal wel goed komt. Lijkt mij een prima idee. Ik maak altijd graag voor deze vitale systemen de vergelijking met de brandweer. We zouden ook niet willen dat bij een incident in een chemische fabriek de brandweer pas gebeld wordt op het moment dat deze overgeslagen is naar de fabriek er naast. Dus melden lijkt me logisch. En dan? In eerste instantie heeft de getroffen organisatie zelf een verantwoordelijkheid en zal het eigen interne emergency response team moeten optreden. Maar mocht het incident een maatje te groot worden, dan bellen we de alarmcentrale voor digitale branden en dan rukken ze uit?

Tja, dan moeten we wel een digitale brandweer hebben natuurlijk. Hennis ziet daarin terecht een rol voor het Nationaal Cyber Security Centrum . Maar die zijn daar nog niet klaar voor. Ze zullen eerst veel meer mensen moeten aannemen, die 24 uur per dag in een bus kunnen stappen, vol met allemaal nerdy gear om ter plekke daadwerkelijk ondersteuning te bieden. En dat houdt ook in dat ze daadwerkelijk achter de toetsenborden gaan zitten van die organisatie, om de hacker zo snel mogelijk buiten te sluiten en te borgen dat de continuïteit van de dienstverlening van die vitale organisatie niet in gevaar komt. Heel recent heeft de kamer nog wel een ‘Nationaal Crisisplan ICT’ toegestuurd gekregen. Een prachtig plan, maar ook hierin vind ik nog steeds niet welke mensen nu daadwerkelijk achter een toetsenbord kruipen om die digitale brand te stoppen.

Zolang je zelf nog niet echt ‘uitruk-klaar’ bent of ooit wilt zijn, kan je het natuurlijk ook anders regelen. In het Verenigd Koninkrijk hebben ze bijvoorbeeld vier bedrijven geaccrediteerd die in de praktijk deze functie nu al invullen. Voor een overheid tijdens een financiële crisis een perfecte oplossing. Je organiseert namelijk wel de brandweer, maar de rekening wordt bij de getroffen organisatie neergelegd.

Over de meldplicht heb ik nog wel drie vragen:

1) De meldplicht strekt zich uit over zes vitale sectoren. Eén daarvan is de telecomsector. Er wordt dan verwezen naar een meldplicht op grond van de Telecomwet. Het is mij nog niet duidelijk of de overgebleven PKI-overheid bedrijven, zoals DigiNotar was, onder de telecomwet valt. Het zou toch van de zotte zijn, als we naar aanleiding van DigiNotar een meldplicht invoeren waarbij de andere DigiNotars niet onder de meldplicht vallen?
2) Daarmee samenhangend: is het limitatief opnoemen van sectoren wel de goede methode? ICT hangt van ketens aan elkaar. Valt bijvoorbeeld de out-source partner van een energiebedrijf nu ook onder de wettelijke meldplicht? Is het niet verstandiger om de scope van de meldplichtige bedrijven abstracter aan te geven. Bijvoorbeeld, “alle organisaties waarbij door een security breach ernstige maatschappelijke ontwrichting kan plaatsvinden”.
3) En als laatste. Valt onder maatschappelijke ontwrichting bijvoorbeeld ook het stelen van grote hoeveelheden patiëntendossiers, databases met DNA samples, of andere privacygevoelige gegevens?

Soms doet een advies pijn
Een ander punt op de agenda gaat over een wat principiëlere vraag. Waarom durft de overheid in Nederland niet hardop te zeggen tijdelijk even niet van Internet Explorer gebruik te maken, terwijl bekend is dat er op dat moment actief door hackers misbruik van gemaakt wordt. Er zijn landen die dat wel doen zoals bijvoorbeeld Duitsland of talloze experts. De Duitsers adviseerden tijdelijk FireFox of Chrome te installeren. Een handeling die vele malen eenvoudiger is uit te voeren dan het technische advies dat Nederland, maar ook de Verenigde Staten geeft.
De keuze om te adviseren (tijdelijk) niet van een bepaalde leverancier gebruik te maken ligt gevoelig. Dat begrijp ik omdat je in tijden van crisis diezelfde leverancier soms ook keihard nodig hebt. Sharon Gesthuizen heeft als antwoord op haar vragen hierover van Minister Opstelten het merkwaardige antwoord gekregen dat het overstappen naar een andere browser niet een gegarandeerd veilig alternatief is. Op zich klopt dat, maar van Internet Explorer was bekend dat op dat moment de kwetsbaarheid ook daadwerkelijk misbruikt gemaakt werd. Gelukkig was er een patch binnen een paar dagen beschikbaar en viel de schade mee.

Dorifel/Citadel
Natuurlijk komt ook het Dorifel virus tijdens het overleg aan de orde. Dorifel is het virus dat door ‘een foutje’ van de dader opeens ontdekt werd, omdat netwerken van onder andere gemeentes uitvielen. De NOS liet beelden zien van ambtenaren die weer achter een ouderwetse typemachine zaten te werken. De Minister was nog met vakantie, maar staatssecretaris Teeven liet ons weten dat er niets aan de hand is, omdat de Dorifel uitbraak onder controle was. Dat was dan misschien zo, maar het heeft heel erg duidelijk gemaakt dat virussen maandenlang ongezien in netwerken wachtwoorden kunnen stelen, en dat niemand dat doorheeft. Volgens mij is de wijze les die we hieruit kunnen trekken, dat we actiever op netwerken moeten kijken of er ‘kwaardaardig’ verkeer overheen gaat.

Uit de beantwoording op de grote verzameling kamervragen rondom Dorifel haalde ik de volgende zin: ‘Een belangrijke stap hiertoe is blijven investeren in mogelijkheden
om digitale aanvallen te detecteren die gericht zijn op de Rijksoverheid’. Ik ben erg benieuwd op welke manier het NCSC daar nu handen en voeten aan gaat geven. Ik hoop dat dit initiatief niet alleen over de rijksoverheid gaat maar ook over vitale organisaties. Misschien wel bij dezelfde organisaties die ook onder de meldplicht vallen? Maar hoe wordt het verder ingericht? Gaat het NCSC zelf de sensoren ophangen bij instanties? Een aantal organisaties zoals KPN en de gemeenten zijn zelf al bezig een SOC (Security Operations Center) in te richten.  Daarnaast zijn er gespecialiseerde bedrijven die monitoring en detectie uitvoeren voor vitale instanties zoals Kahuna en Fox-IT (check dit coole filmpje). Het lijkt me waardevol als het NCSC kan verbinden met die Security Operations Centers. Op die manier kan een actueel dreigingsbeeld van Nederland worden opgebouwd. Het zou erg helpen als er een nationale monitoring protocol zou zijn, waardoor elke organisatie zijn SOC kan aansluiten op het nationale SOC. Het is waarschijnlijk het meest effectieve antwoord op de volgens het Cybersecuritybeeld Nederland grootste dreiging voor ons land: gerichte spionage. In het Verenigd Koninkrijk hebben ze deze stap al genomen.

Wetgeving bestrijding cybercrime
Het volgende punt op de agenda is het voorstel van Minister Opstelten over het digitaal binnendringen in computers door de politie in het kader van een opsporingsonderzoek. Daar is ondertussen al veel over geschreven. Het is geen geheim dat ik al langer (in 2010, en recent)  pleit voor deze bevoegdheid. Het gaat mij dan vooral om de context waarbij een acute ‘verstoring’ in Nederland dreigt en waarbij de gehackte computers onderdeel zijn van de technische infrastructuur van de criminelen. Wat mij betreft vallen daar dus geen privé pc’s van verdachten thuis onder en al helemaal niet om de pc’s van mensen die verdacht zijn van andere delicten zoals moord of drugshandel.

Na de brief van Minister waarin hij zijn voornemen bekend maakt, zijn er veel reacties gepubliceerd die fel tegen de plannen van de Minister zijn. Ik denk dat het heel goed is dat er een debat plaatsvindt over een gevoelig voorstel als dit. Bits of Freedom komt met als belangrijkste tegenargument dat Nederland onveiliger wordt omdat de politie er een belang bij heeft dat ze in computers kunnen inbreken. Dat lijkt me nogal vergezocht. Het argument zou alleen steek houden als op dit moment al de overheid actief op zoek is naar kwetsbaardheden en die met het publiek deelt om ons juist te beveiligen. Het is juist eerder andersom. Het valt mij op dat de landen die nu offensieve activiteiten ontplooien op het internet (Cyberwar) veel beter door hebben hoe kwetsbaar ze zijn, en daardoor veel actiever hun best doen om hun eigen belangen zo veilig mogelijk te maken.
Professor Bart Jacobs heeft een goed artikel geschreven in het Nederlands Juristen Blad. Hij concludeert uiteindelijk dat het een nuttig en verdedigbaar middel kan zijn om een acute cyberdreiging te verstoren. Daarmee zit we behoorlijk op een lijn, alhoewel ik wel hoop dat er af en toe ook een crimineel mee opgespoord wordt.

Het ziet er naar uit dat er een meerderheid zal zijn in de kamer voor een of andere vorm van digitaal binnendringen door de politie. De wet komt er wel, maar de grote vraag is hoe deze er uit gaat zien. Het is volgens mij relevant daarbij de volgende aspecten te bespreken.

1) De scope
Bij welke delicten wordt het middel ingezet? Ik zou dat beperkt willen zien tot alleen die delicten waarbij het ‘cyberelement’ een grote rol speelt. Dus bijvoorbeeld bij een DDoS aanval op ons betalingsverkeer of bij grootschalige verspreiding van kwaadaardige virussen waardoor continuïteit van instanties in gevaar komt. Maar behalve voor acute crisissituaties hoop ik toch ook dat de nieuwe bevoegdheden af en toe kunnen worden ingezet bij het opsporen van criminelen die zeer succesvol zijn in het stelen van geld van onze bankrekeningen. Dat is hard nodig omdat het een criminaliteitsvorm is waarvan het schade bedrag zeer snel stijgt, en het zelden lukt om daders aan te houden. Pas bij enig gevoel van pakkans zal die criminaliteit gaan afnemen.

Het beperken van de bevoegdheden tot de meer ernstige cybercrime delicten zal een uitdaging vormen voor juristen, aangezien de meeste bevoegdheden volgens mij gekoppeld worden aan een maximale gevangenisstraf.

Ik kan me een aantal uitzonderlijke gevallen voorstellen waarbij het ook gerechtvaardigd is om de computer van een verdachte te hacken die buiten deze scope vallen. De promovendus Jan Jaap Oerlemans heeft daar vorig jaar al een artikel aan gewijd. Dat is bijvoorbeeld bij het vermoeden dat de computer van de verdachte versleuteld is en dat die computer essentieel is bij het oplossen van een misdrijf. Maar dan hoeft de politie-spyware natuurlijk niet zo ver te gaan dat alles op de computer op afstand kan worden bekeken. Het zou dan alleen de wachtwoorden moeten verzamelen. Pas na een huiszoeking worden die onderschepte wachtwoorden gebruikt om de harde schijf te kunnen analyseren. Dit laatste lijkt me een veel betere oplossing dan de eveneens door de Minister voorgestelde ontsleutelplicht. Het dwingen van verdachten tot het afgeven van een sleutel is een heel slecht plan. Daar heb ik al eerder een blog aan gewijd. Het vastlopen bij kinderporno onderzoeken is belangrijkste argument voor de Minister om met de ontsleutelplicht te komen. Het nieuwe onderzoek van Koops over de ontsleutelplicht richt zich vooral op de juridische haalbaarheid van een ontsleutelbevel ten opzichte van het Nemo-tenetur beginsel. Koops komt tot de (juridische) conclusie dat dit inderdaad zou kunnen. Daarmee zegt hij niet dat per se het meest effectieve of een noodzakelijk middel is.

Ik hoop niet dat de politieke conclusie wordt dat we dit daarom automatisch maar moeten invoeren. Volgens mij is het zinvol om het totaal palet van bevoegdheden nog eens tegen het licht te houden, en dan pas te concluderen hoe hard we deze bevoegdheid nou eigenlijk echt nodig hebben.

Er ligt al een voorstel voor een bevoegdheid digitaal binnendringen. Dat biedt natuurlijk ook mogelijkheden om aan wachtwoorden te komen nog voordat een inval plaats vindt. Mocht dat niet via het internet lukken, bestaat nu al de mogelijkheid om op basis van 126l sv een keyboard sniffer te plaatsen om wachtwoorden te achterhalen.

De politie is pas recent goed begonnen met een landelijk onderzoeksteam op het gebied van kinderporno. Het uiteindelijke doel daarbij is zowel producenten als slachtoffers op te sporen. Ik ben heel blij om te zien dat eindelijk geinfiltreerd gaat worden in de kinderporno netwerken.

Misschien doen we er beter aan over een jaar nog een keer te kijken of het ontsleutelbevel nou echt nodig is. Ik durf er op te wedden dat het nieuwe team met de hackwet, infiltratie en direct afluisteren al een heel eind komt.

Een tweede uitzonderingssituatie doet zich voor als de verdachte gebruik maakt van anonimiseringstechnieken die het Internet biedt, zoals TOR-services. Via deze techniek kan je bijvoorbeeld een criminele marktplaats voor wapens on-line brengen zonder dat je het echte on-line ip-adres, waar het op draait, hoeft prijs te geven. Effectief betekent het dat de politie geen enkel spoor in de fysieke wereld heeft om de mensen achter de marktplaats te vinden. Het enige wat ze overblijft, is door in te breken in de marktplaats een echt ip-adres of andere sporen te vinden waar ze via traditionele middelen weer verder mee kunnen.

2) internationale aspecten -politie on-line gaat altijd over het ‘buitenland’

In bijna alle digitale onderzoeken zien we sporen van criminelen die zich in een snel tempo door cyberspace en daarmee door verschillende landen verplaatsen. Bij de gangbare projectie van ip-adressen uit cyberspace op landen ontkomt de Nederlandse politie er niet aan om in elk onderzoek ondersteuning te vragen aan andere landen. Het mag helder zijn dat dat zeer vertragend werkt, en dat medewerking erg afhankelijk is van bereidwilligheid en expertise van het andere land. Wat daarbij vaak nog een rol speelt, is dat we ondersteuning moeten vragen van landen waarbij zowel slachtoffer als dader helemaal geen betrokkenheid hebben met het bevraagde land. Althans, niet anders dan dat ze daar een (virtuele) computer huren voor 15 dollar per maand.

Los van het wetsvoorstel digitaal binnendringen, is het in een bredere context noodzakelijk dat het helder wordt voor de opsporing wat we gaan hanteren als ‘buitenland’ als het opsporingshandelingen in cyberspace betreft. Dat geldt trouwens niet alleen voor het strafrecht, maar zal voor het optreden van ons aanstaande cyberleger net zo goed relevant worden. In de literatuur wordt nogal eens verwezen naar de verschillende ‘lagen’ of ‘building blocks’ van cyberspace. Bijvoorbeeld Lance Strate spreekt over ‘three building blocks’ of cyberspace. Hij maakt daarbij een verschil tussen de fysieke cyberspace, die bestaat uit de computers en kabels er om heen, en een conceptuele vorm van cyberspace. Die laatste is in mijn ogen veel relevanter voor de opsporing. Ook al zou een marktplaats.nl fysiek in China staan, dan nog moet de Nederlandse politie daar gewoon onderzoek op kunnen doen.
Wat precies die conceptuele laag in cyberspace is, kunnen we het nog heel lang over hebben. De fysieke laag van cyberspace lijkt in ieder geval met het ontstaan van clouds en het leveren van online criminele dienstverlening als een service steeds minder relevant te worden. Al is het maar omdat niemand met zekerheid kan zeggen in welk land een ip-adres staat.

Wanneer het kan, moet de politie natuurlijk wel zoveel mogelijk samenwerken met andere landen. In veel gevallen helpt lokale kennis in het onderzoek en kunnen zij gegevens vorderen over bijvoorbeeld betalingen voor criminele servers waar je op afstand niet bij kan. Maar, ook al kan de lokale overheid geen toegevoegde waarde leveren, is een notificatie van de opsporingshandeling aan dat land altijd op zijn plaats.

Nederland moet zelf het voortouw nemen bij grensoverschrijdend opsporen via internet. Afwachten op wereldwijde consensus lijkt mij geen haalbare weg. Andere landen zullen minder snel de noodzaak van nieuwe wetgeving zien, omdat ze zelf nog niet het gevoel van urgentie ervaren als wij hier in Nederland.

3) Waarborgen
Een digitale doorzoeking in mijn persoonlijke computer(s) vind ik een grotere inbreuk op mijn privacy dan een doorzoeking van mijn huis. Ik vertelde dat laatst bij een presentatie aan een groep (seniore) politiemensen en die snapten daar helemaal niets van. Voor hen voelt dat blijkbaar niet zo. Ze gebruiken hun computers op een andere manier dan ik. Een inkijkje in mijn computer vertelt veel meer over me dan je ooit in mijn huis kan vinden. Ik ben zo iemand die nooit mail weggooit, dus je kan vele jaren terugkijken. Ik doe alles via e-mail, skype, irc en log dat ook nog allemaal. Filmpjes die ik bekeken heb, hebben vast ook sporen achtergelaten. Kortom voldoende materiaal om het me bij een verhoor erg moeilijk te maken ook al heb je niets over het delict, waar ik van verdacht wordt, kunnen vinden.

Daarom vind ik het dus belangrijk dat er een rechter (-commissaris) in het proces zit die, voordat hij zijn handtekening onder een last zet, daadwerkelijk aanvoelt wat de impact is van zo’n digitale inbraak (proportionaliteit) en er echt geen ander minder ingrijpend middel is om aan bruikbare sporen voor een veroordeling te komen (subsidiariteit). Voor een telefoontap kan elke rechter dat wel afwegen. Hij belt immers vast zelf ook wel eens. Die lijn kan je niet doortrekken voor een RC voor wie het internet niet meer is dan een handige manier om jurisprudentie te zoeken. Ik pleit dan ook voor een rechtbank (met bijbehorende RC’s) die gespecialiseerd is in zaken waarbij de rol van cyberspace relevant is. Mijn hoop is ook dat die rechters wel snappen dat je een jongen van 17 jaar niet zijn Internet moet ontnemen zoals met de KPN hack verdachte gebeurd is. Uiteindelijk is zo’n gespecialiseerde rechtbank hopelijk niet meer nodig. Dat is wanneer alle rechters net zo vertrouwd zijn met het internet als de slachtoffers en daders in hun zaken.

Een aantal andere aspecten zijn ook belangrijk met dit soort gevoelige bevoegdheden. Notificatie achteraf lijkt mij vanzelfsprekend logisch en de hack zelf moet volledig worden opgeslagen door de computer(s) van de hackende diender te tappen. Mocht speciale software worden ingezet die draait op de PC van een verdachte, dan moet deze goedgekeurd worden door de Keuringsdienst van de KLPD.  Net zoals gedaan wordt met de technische middelen die worden ingezet in het kader van andere bijzondere opsporingsbevoegdheden zoals ‘direct afluisteren’ en ‘stelselmatige observatie’. Deze speciale dienst kijkt trouwens alleen naar integriteits- en authenticiteitsaspecten. De confidentialiteit lijkt me in dit kader minstens zo belangrijk. Het moet immers niet zo zijn, dat door de actie van de politie anderen ook mee kunnen kijken in de computer van de verdachte.

Omdat het een gevoelig middel is, lijkt me verantwoording in de vorm van frequentie en effectiviteit van het middel geen overbodige luxe.  Door dit soort informatie geheim te houden, creëer je als staat onnodig het gevoel van controlestaat te zijn. De Amerikaanse aftaprechtbank publiceert jaarlijks een rapport van meer dan 300 pagina’s over de taps waaronder ze een handtekening gezet hebben. Zo kan het dus ook!

@cryptoron

Over het CDA en het bestraffen van gebruik van crypto

Nieuwe opsporingsmethoden hard nodig, maar dan wel de goede. Blijf van crypto af!

Gisteren voerde de tweede kamer een debat met minister Opstelten over Cyber Security in Nederland. Aanleiding was de in februari gepubliceerde Nationale Cyber Security Strategie. Die strategie moet Nederland helpen om digitaal veilig te worden. Over de strategie zelf heb ik al eerder geschreven. Het CDA heeft bij monde van Coşkun Çörüz gevraagd om nieuwe wetgeving rondom het gebruik van encryptie in bepaalde strafzaken. Als voorbeeld noemde hij het verhogen van de strafmaat als een verdachte zijn wachtwoorden niet wil afgeven. Als we Nederland werkelijk digitaal veilig willen maken, zou de overheid juist dit soort technologie moeten aanmoedigen. Wetgeving over het gebruik van cryptografie bereikt juist het tegenovergestelde. Daarnaast zou de politie geholpen zijn bij andere bevoegdheden om dit soort zaken wel effectief te kunnen aanpakken.

Aanleiding voor het CDA om met dit verzoek te komen is de zaak van Robert M. Robert wordt verdacht van het misbruik van vele kinderen. In zijn huis zijn beveiligde computers aangetroffen waarvan de politie de beveiliging niet kon doorbreken. Gelukkig heeft de verdachte uiteindelijk zelf zijn wachtwoord(en) afgegeven zodat de politie toch met het onderzoek verder kon.

In de wereld van kinderpornografie komen we heel veel cryptografie tegen. Deze pedofielen hebben een enorm hoog security bewustzijn. Ze schrijven goede handleidingen over hoe je jezelf moet beveiligen. Vaak gaat dat niet eens om beveiliging tegen de politie maar willen ze zichzelf ook niet prijsgeven aan familieleden die mogelijk van dezelfde computers gebruik maken. In deze handleidingen wordt verwezen naar goede software, en er zitten ook goede instructies bij. Bijvoorbeeld over hoe je een ‘sterk’ wachtwoord kiest. De tools zijn eenvoudig te vinden, makkelijk in gebruik en vaak nog gratis ook. Daarom worden ze niet alleen door de bad guys gebruikt, maar is bijvoorbeeld ook de laptop waar ik dit op schrijf versleuteld met precies hetzelfde programma dat Robert M. gebruikte.

De gebruikte software in combinatie met sterke wachtwoorden maakt het uiteindelijk ondoenlijk voor de politie om de versleutelde gegevens weer zichtbaar te maken. De politie staat er trouwens niet alleen voor. Ze kunnen een beroep doen op het NFI dat op dit gebied heel hoog aangeschreven staat. Toch zal het hen ook niet lukken, ongeacht hoeveel wiskundigen ze zullen aannemen of hoeveel kraakcomputers worden aangeschaft.

Wat hebben we nu al geregeld met sleutels en wachtwoorden in onze wetgeving? Op dit moment kan de politie in het kader van een strafrechtelijk onderzoek aan een ieder die een sleutel bezit afdwingen om deze af te geven. Ze mogen dit verlangen van zowel individuen als ook bedrijven. Alleen de verdachte zelf hoeft zijn sleutel niet af te geven. Dat is omdat we in Nederland een belangrijk uitgangspunt hanteren: De verdachte hoeft niet mee te werken aan zijn eigen veroordeling. Het CDA snapt ook wel dat we daar niet zo snel vanaf kunnen stappen, maar zoekt het in bijvoorbeeld een zwaardere straf omdat een verdachte zijn wachtwoord niet prijsgeeft. Ik neem aan dat de #whiskeyleaks juristen hier nog wel meer over zullen schrijven.

Een ander argument waarom dit een heel slecht idee is, hebben we aan Julian Assange te danken. Hij is namelijk een van de founding fathers van het concept Deniable Encryption. Een toepassing van deniable encryption werkt als volgt. Ik heb mijn harde schijf versleuteld. Als ik wil inloggen om gewoon mijn werk te doen type ik wachtwoord A in. Op verschillende luchthavens kan je gevraagd worden om een werkende laptop te tonen, en verlangen de security mensen daar ter plekke dat je je wachtwoord invoert. Natuurlijk wil ik niet dat die mensen mijn vertrouwelijke gegevens kunnen zien, en dan heb ik de mogelijkheid om wachtwoord B in te typen. Als ik dat doe, start ook keurig mijn laptop op, en zal je een versie Windows installatie tegenkomen. Daarin staan dus totaal geen vertrouwelijke gegevens. Wat nu zo aardig is van deniable encryption is dat je zonder kennis van de wachtwoorden totaal niet kan bewijzen dat er nog meer informatie op de harde schijf staat. Als het beveiligingsprogramma goed geschreven is, dan kunnen zelfs die knappe koppen bij het NFI het niet bewijzen. Als een verdachte dus niet op een andere manier verklapt aan de politie dat er nog meer geheimen op zijn computer staan, zal het nooit bewezen kunnen worden.

Het thema van het debat in de kamer ging over Nationale Veiligheid en in het bijzonder de cyber security strategie. Het doel van de strategie is om Nederland digitaal weerbaarder te maken. Een heel goed hulpmiddel daarbij is de inzet van cryptografie. Dat is ook waarom ik het zelf zo graag gebruik. En omdat ik het veel gebruik heb ik ook wel eens een beveiligde hardeschijf rondslingeren waarvan ik werkelijk het wachtwoord vergeten ben. We moeten toch niet een situatie creeren waarbij mensen bang worden om hun gegevens te beveiligen voor het geval ze ooit verdachte worden. Want gaat die politieman bij het verhoor geloven dat ik echt mijn wachtwoord vergeten ben?

Gelukkig zijn de meeste criminelen dom en laten ze zo veel sporen achter dat de politie toch al genoeg heeft om een zaak rond te krijgen. De groep van kinderporno liefhebbers is echter een bijzondere. Zij zijn vaak heel handig met computers en weten precies hoe je het de politie zo moeilijk mogelijk maakt. En ze hebben dan ook nog de discipline om zich daaraan te houden. Daarom is het van belang dat de politie de ruimte krijgt om in die gevallen goed onderzoek te doen. Dat kan bijvoorbeeld door de politie de bevoegdheid te geven om in kinderporno groepen te infilteren of te hacken. Jammer dat het CDA de minister daar niet nog een keer op heeft gewezen.

DPI: Laten we het doen zoals in Chili!

De discussie moet gaan over netneutraliteit en niet over privacy

DPI, Deep Packet Inspection, komt de laatste tijd veel in het nieuws. Het begon met de SP en kinderporno, toen in verband met censuur in het Midden-Oosten en nu weer KPN die kijkt wat hun klanten op het netwerk aan het doen zijn. DPI klinkt heel stoer, en de kreet is dan ook vast uitgevonden door een marketeer die aftapspullen wil verkopen. Het staat voor Deep Packet Inspection, wat niet meer zegt dat je de volledige inhoud van pakketjes inspecteert.

Maar DPI kom je ook tegen in andere contexten. Beheerders van IP netwerken gebruiken bijvoorbeeld tools als tcpdump en wireshark om te kijken wat er over de lijntjes gaat. Onder meer om te analyseren waarom een toepassing die je aan het programmeren bent maar niet wil werken, of om te kijken welke toepassing bandbreedte opsnoept. En natuurlijk worden DPI technieken ingezet door de politie om, keurig afgetikt door een rechter, een verdachte ook op het Internet te kunnen monitoren.

Het is vooral de eerste context die de internet community in een stuip doet schieten. En dat is ook wel begrijpelijk. Als je je op internet begeeft, gaat het niemand anders aan, wat je aan het doen bent. De tweede context is legitiem en dient een goed doel.

KPN heeft blijkbaar DPI technologie in hun netwerk waarmee ze misschien soms storingen oplossen, of kwaliteitsmetingen doen, en nu blijkbaar ook gekeken hebben waarvoor klanten hun smartphone gebruiken. Ze hebben DPI nodig omdat Whatsapp zich op header niveau soms gedraagt als een e-mail applicatie die communiceert over port 25 en dan weer als een Jabber-client. Uit de door KPN gegeven presentatie haal ik dat ze geanalyseerd hebben dat mensen massaal overgestappen op Whatsapp en geen SMSjes meer sturen. Voor de duidelijkheid: berichtjes (en foto’s en filmpjes) sturen via Whatsapp is gratis, en SMSjes kosten mij nog steeds 10 cent. Als je privacy werkelijk belangrijk vindt, kan je beter geen Whatsapp gebruiken; Je complete telefoonboek wordt geupload naar de centrale database in de US. Whatsapp doet ook totaal geen moeite om de inhoud van de berichten op wat voor manier dan ook te beschermen. Ze gaan onversleuteld over de lijn. Dat is lekker efficient.

Bits of Freedom heeft opgeroepen om aangifte te doen bij de politie. Ze denken dat het gebruik van DPI op deze manier strafbaar is. Artikel 139c lid 1 van het wetboek van strafrecht zegt: je bent strafbaar als je opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Ja, letterlijk genomen valt DPI daar inderdaad onder. Dit artikel moet de burger beschermen in zijn vertrouwelijkheid als hij communiceert. Als de burger trouwens niet door een kabeltje maar door de lucht iets verstuurt, is hij die bescherming kwijt. Dat is beschreven in lid 2 waar de uitzonderingen op lid 1 genoemd worden. Je mag (nu nog) volgens datzelfde lid ook nog je eigen communicatie opnemen, en als laatste uitzondering wordt genoemd ten behoeve van de goede werking van een openbaar telecommunicatienetwerk, ten behoeve van de strafvordering, dan wel ter uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten 2002.

Natuurlijk heeft KPN DPI apparatuur staan om de goede werking van hun netwerk te garanderen. Elke ISP heeft wel eens wireshark of tcpdump ingezet om een storing te verhelpen. De grote vraag is nu of je dat ook mag inzetten om uiteindelijk iets aan je prijsmodel te gaan doen.

Ik heb altijd de hoop dat een rechter nog even nadenkt met welk doel een wetsartikel is opgeschreven en meer denkt in de geest dan de letter van de wet. Het op een abstractere manier bekijkt en ook niet vergeet dat het artikel is geschreven in een tijd dat er nog geen internet bestond. Het artikel 139c hebben we in ons wetboek om de burgers te beschermen in hun privacy. Zolang de mensen bij KPN niet in de inhoud van mijn whatsapp berichtjes (of foto’s!) gaan kijken vind ik het geen privacyschending.

Ik ben er ook niet blij mee dat operators nu ontdekken dat hun businessmodel onder vuur ligt. Meer en meer diensten waar ze vroeger per tik voor konden afrekenen verhuizen naar de flat-fee internetbundel. Dat kost KPN blijkbaar serieus geld en zijn ze op zoek naar alternatieven. Die alternatieven kosten ons als consument geld of houden in dat we niet meer mogen whatsappen of Skypen. En dan komen we eindelijk bij het punt waar de discussie over zou moeten gaan: Mag een partij dat internet aanbiedt dat in een beperkte vorm doen of zou EL&I moeten ingrijpen en afdwingen dat er op geen enkele wijze gefilterd of gerekend mag worden aan de hand van het soort informatie dat jij over je internet wil versturen?

Dus, Bits of Freedom en andere aangifte oproepers: Trek de discussie naar het goede onderwerp en ga er geen strafrechtelijke discussie van maken. Deze discussie gaat niet over privacy maar over netneutraliteit. Dat moet je niet met KPN regelen maar met de overheid. Laten we dit keer wel eens een voorbeeld aan Chili nemen. Die hebben het als enige netjes geregeld in de wet!

Ronald Prins