opinie cyberspionage

Óók soft- en hardware die niet uit China komen zijn notoir onveilig. Hacken is het probleem, niet Huawei

Investeren in encryptie is verstandiger dan het weren van Chinese software voor een Nederlands 5G-netwerk, betoogt advocaat Ot van Daalen.

Huawei-reclamebord op telecombeurs in Beijing, 2018. Beeld Getty

De Volkskrant berichtte onlangs dat Huawei mogelijk betrokken is bij Chinese spionage in Nederland. Klantgegevens van één grote Nederlandse provider zouden via software van Huawei naar China zijn gesluisd. De AIVD en MIVD zeggen niets in de krant, maar schrijven wel in een niet-openbaar advies het ‘onwenselijk’ te vinden dat Nederland zich afhankelijk maakt ‘van it-producten en -diensten uit landen waarvan is vastgesteld dat ze een offensief cyberprogramma tegen Nederlandse belangen voeren’.

Dat is belangrijk, omdat Huawei ook een serieuze kandidaat is voor het leveren van de infrastructuur van het Nederlandse 5G-netwerk. Als het nieuws klopt, is het logisch Huawei als telecomleverancier te weren. Dat adviseert niet ­alleen de AIVD. Ook het hoofd van de Engelse MIVD, MI6, schrijft dat Huawei geen rol mag spelen in het bouwen van 5G-netwerken. Sterker: de VS zetten Huawei afgelopen week op een zwarte lijst, waardoor het voor Huawei veel moeilijker wordt belangrijke onderdelen voor 5G-apparatuur bij Amerikaanse bedrijven in te kopen. Maar lossen we zo het probleem op? Ik vraag het me af.

Ook niet-Chinese software is notoir onveilig

China is mogelijk een onbetrouwbare partner, maar zijn leveranciers uit andere landen wel betrouwbaar? De Engelse afluisterdienst GCHQ hackte twee jaar lang het netwerk van Belgacom, waarschijnlijk om Europese politici af te luisteren. De Amerikaanse NSA heeft Vodafone in Griekenland gehackt via routers van Ericsson, waarschijnlijk ook om politici af te luisteren. Het is verstandig er vanuit te gaan dat óók apparatuur van andere leveranciers het doelwit is van geheime diensten. Daarbij: geheime diensten hoeven vaak niet eens een achterdeur in te bouwen om binnen te komen. Dat illustreert de kwetsbaarheid in Intel-chips, die onderzoekers van de Vrije Universiteit afgelopen week publiceerden. Vrijwel álle computers met een Intel-chip, dus vrijwel álle computers, kunnen volledig overgenomen worden door een aanvaller. Die kwetsbaarheid kwamen de onderzoekers toevallig op het spoor en deelden ze gelukkig met de wereld.

Maar de vraag is hoeveel niet-ontdekte kwetsbaarheden in onze systemen lurken, en waarvan geheime diensten mogelijk al een deel hebben gevonden, terwijl ze die níet melden aan de it-industrie. Soft- en hardware, óók niet afkomstig uit China, zijn ­notoir onveilig. Grotere it-systemen bestaan uit honderden aan elkaar geknoopte onderdelen, geleverd door tal van bedrijven en organisaties, terwijl één hack al genoeg kan zijn om een netwerk binnen te komen. Het internet is een mooi voorbeeld van zo’n onveilig systeem. Als ik een berichtje naar Amerika stuur, loopt dat via ­kabels van allerlei bedrijven, over allerlei landsgrenzen, via de routers van talloze leveranciers. Ik weet niet, en kán niet weten, of mijn gegevens in goede handen zijn.

Verplichte publicaties

Een populaire uitspraak in de informatiebeveiliging is dat er twee soorten bedrijven zijn: bedrijven die wéten dat ze zijn gehackt, en bedrijven die het nog níet weten. Een goed informatiebeveiligingsbeleid is er allereerst op gericht indringers zo veel ­mogelijk buiten te houden. Maar een modern beleid moet er misschien wel meer op gericht zijn de schade te beperken áls die indringers zijn binnengekomen. Daarom is het weren van Huawei niet de oplossing, zeker niet voor Nederland dat niet zijn eigen hardware bouwt.

Verstandiger is in te zetten op beleid dat ervan uitgaat dat de infrastructuur die we gebruiken niet te vertrouwen is. Dat betekent: investeer in sterke encryptie, zodat gegevens van verzender naar ontvanger goed beveiligd zijn. Dat klinkt logisch, maar er zijn nogal wat landen die het gebruik van encryptie aan banden willen leggen en ondermijnen. Meer in het algemeen: investeer in privacybeschermende technologie, zodat ook wordt afgeschermd met wie iemand belt en waar iemand is. Verplicht geheime diensten kwetsbaarheden te publiceren, zodat het moeilijker wordt de apparaten van gebruikers waarmee die gegevens worden verzonden, te hacken. Ontkoppel kritische infrastructuur (sluizen!) van het publieke internet. En zorg voor back-up, zodat als communicatiekanalen door hackers worden uitgezet, belangrijke diensten blijven werken. 

Ot van Daalen is advocaat en bezig met een proefschrift over encryptie en mensenrechten.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden