Terwijl je dit blog leest, ‘weet’ internet dat je dit doet. Grote kans dat je straks een advertentie van mijn werkgever op je Facebook-pagina ziet staan. Eng? Misschien niet. Maar nu schrijf ik ‘IS’, ‘terreur’ en ‘goed’ in één zin. Terwijl je dat leest, verschijnt jouw profiel misschien wel ergens bij de Amerikaanse inlichtingendienst op een scherm. Nog steeds niet eng? Hoe weten overheden wat je doet, zegt en opslaat op internet? Daarvoor gebruiken zij achterdeuren in dezelfde beveiligingsproducten die jouw privacy moet beschermen. Gelukkig is daar een aantal oplossingen voor.
“Als je niets te verbergen hebt, maakt het ook niet uit wie het ziet.” Die opmerking hoor je vaak als het over de privacy gaat. Maar wat je vandaag openlijk kan melden, heb je morgen misschien wel ‘te verbergen’. Wat vandaag een onschuldige, vrije of komische mening is, kan je morgen een gevangenisstraf opleveren. Dat zien we in veel landen gebeuren. Bovendien kijkt niet alleen je eigen overheid met je mee.
Overheden, goede én slechte, willen graag toegang tot alle persoonlijke en bedrijfsinformatie van alle mensen ter wereld. Zij schrikken er niet voor terug om deze op slinkse wijze te verkrijgen. Zo kwam in 2011 aan het licht dat de Amerikaanse inlichtingendienst NSA een achterdeur had gemaakt in de firewalls van Juniper. Helaas vonden hackers deze achterdeur ook en al snel maakten andere overheden, zoals China, daar misbruik van om Amerikaanse burgers, bedrijven en, heel pikant, juist de NSA te bespioneren.
Andere leveranciers, zoals Apple in februari van dit jaar, worden door de Amerikaanse overheid gedwongen om een achterdeur in hun systemen te bouwen of versleutelde gegevens te openen. De overheid baseert zich daarbij op een oude wet uit 1789, de All Writs Act. Een ‘writ’ is een gerechtelijk bevel. De All Writs-wet geeft alle rechtbanken in de VS de mogelijkheid om elk bevel uit te vaardigen dat zij nodig of juist achten in de uitvoering van hun taak.
De Communications Assistance for Law Enforcement Act (CALEA) is wetgeving van begin deze eeuw, heeft de mogelijkheden van de Amerikaanse opsporingsinstanties nog verder uitgebreid. Deze wet stelt instanties zoals de NSA in staat om communicatiestromen real-time te monitoren. Amerikaanse fabrikanten van apparatuur van telecommunicatie (waaronder ook firewalls) zijn namelijk verplicht om verregaande opsporingsmethoden te faciliteren door middel van het inbouwen van achterdeuren. Welke maatregelen kunnen bedrijven nemen om gegevens nu en in de toekomst af te schermen voor overheden? Ik geef je 5 opties:
- Radicale aanpak. Het Amerikaanse bedrijf Envoy besloot om alle klantengegevens die het heeft opgeslagen te vernietigen. Dat gaat ten koste van de klantenservice, maar het bedrijf denkt er op lange termijn veel klanten mee te winnen.
- De sleutel weggooien. Veel bedrijven versleutelen de gegevens binnen hun informatiesystemen. Wie dan via de achterdeur binnenkomt ziet nog steeds niks. Maar het woord zegt het al, er is dus ergens een sleutel waarmee mensen toch toegang kunnen krijgen. Onder die Amerikaanse wet uit 1789 kan elk gerechtshof bedrijven dwingen die sleutel te overhandigen. Daarom kiezen steeds meer bedrijven, zoals Apple, ervoor om de encryptiesleutel weg te gooien.
- Encryptie bij de klant. Andere bedrijven geven de encryptiesleutel aan hun klant. Dan kan de overheid niet meer bij de leverancier aankloppen om toegang te krijgen tot de gegevens. Zij moet daarvoor bij de individuele klanten zijn.
- Opslag in Europa. Veel Europese landen, Nederland incluis, achten het belang van encryptie voor hun burgers juist groot. De Nederlandse overheid vindt het “niet wenselijk om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland”. De overheid ziet ook geen heil in achterdeuren. Het kan dus verstandig zijn om gegevens op te slaan in Nederlandse datacenters.
- Producten uit Europa. Veel van de marktleiders op het gebied van IT-beveiliging zijn Amerikaanse bedrijven. Of er nu een nieuwe wet komt of een oeroude wet wordt toegepast, zij moeten de overheid toegang geven tot hun producten. Kies daarom voor beveiligingsproducten uit landen die het beleid rond achterdeuren en encryptie wettelijk en wenselijk geregeld hebben.
Niels Pluijmen, Clavister
