Interview

'Bij hacken ligt misbruik op de loer'

De vrouw die bij KPN gaat over de veiligheid van ict is duidelijk: wat de FBI vraagt is disproportioneel. 'Dit conflict zat er al langer aan te komen.'

Jaya Baloo, die bij KPN gaat over de veiligheid van ict, met leden van haar team Beeld Julius Schrank

Vijf minuten met de kleine, Amerikaanse vrouw Jaya Baloo is als een verblijf in een centrifuge. Baloo is een wervelstorm, een geestdriftige vrouw die permanent Nederlands en Engels mixt, springt, lacht, plaatjes tekent op een whiteboard en straalt na een ingewikkelde technische uitleg over encryptie. 'No shit.'

Het contrast met de stijve omgeving kan niet groter. De afdeling van Baloo in het verder alledaagse kantorencomplex van KPN naast de A12 oogt als een studentenflat. Collega's spreekt ze aan met 'dude', er is een filmhoek, er hangen posters over hackers en driedelig pak is hier een spijkerbroek met capuchontrui.

De gedreven Jaya Baloo (42) is Chief Information Security Officer bij KPN. In het kort: zij gaat over de veiligheid van ict bij het telecombedrijf. Ze staat aan het hoofd van een team van ongeveer veertig mensen, onder wie vijftien ethische hackers. Baloo onderzoekt digitale dreigingen, heeft contact met inlichtingendiensten en pioniert met nieuwe versleutel- methoden. Het geschil tussen Apple en de FBI over het ontsleutelen van de iPhone van de schutter van San Bernardino staat volgens haar symbool voor een zorgelijke ontwikkeling.

Wie steunt u: Apple of de FBI?

Baloo start een filmpje op haar laptop. Het toont een hoorzitting van een jaar geleden in de Amerikaanse Senaat met FBI-directeur Comey. Hij zegt dat hij 'een groot probleem' heeft. Met gevoel voor dramatiek legt hij uit dat hij de betraande moeder wiens dochter wordt vermist niet langer kan helpen. Hij kan haar telefoon immers niet in. En dat wil hij wel, met een rechterlijk bevel. Geen backdoors in alle telefoons, maar een eenmalige toestemming.

'Zie', wijst Baloo naar Comey, 'de FBI klaagt al langer over de encryptie van Apple.' Ze vindt het allerminst overtuigend. 'Telefoonbedrijven kunnen alle belgegevens van een doelwit aan de FBI leveren. Dat kan altijd. Wat de FBI wil, is disproportioneel.' Want de dienst kan wel zeggen dat het geen backdoors wil, feitelijk vragen ze die wel, zegt Baloo. 'Je kunt niet voor één keer de encryptie van een enkele telefoon breken. Dan doe je het structureel. En dan ligt misbruik op de loer.'

Lees hier de ankeiler bij het interview met Jaya Beloo, en lees hier zeven visies op het conflict tussen FBI en Apple

Waarom is Apple versus FBI tekenend voor de tijdgeest?

'Dit conflict zat er al langer aan te komen. De zorgplicht die wij hebben voor onze klanten staat onder druk. Sterke versleuteling waarborgt essentiële rechten in een samenleving, zoals de vrijheid van meningsuiting en het recht op een eerlijk proces. We geloven echt in privacy.'

Waarom is het binnendringen van een telefoon anders dan het aftappen van iemands communicatie, iets waar KPN ook aan meewerkt?

'Omdat het in potentie veel grootschaliger is. Aftappen kan nog gericht, maar dat geldt niet voor het breken van versleuteling. Bovendien, bepaalde informatie die wij versleutelen op ons netwerk kan helemaal worden niet ontsleuteld. Dat is onze veiligheid. Maar ook in Nederland staat die onder druk.'

U bedoelt door de wetsvoorstellen die de politie en inlichtingendiensten meer bevoegdheden moeten geven?

'Exact. Dat vind ik heel zorgelijk. Politie en inlichtingendiensten krijgen, heel breed geformuleerd, alle data en ook mogelijkheden om te hacken. Straks kan niet alleen de AIVD, maar ook de KLPD en een speciale tak van Defensie offensieve online-operaties uitvoeren. Dat zijn drie instanties. Wat zijn de effecten daarvan? Wat betekent het voor de veiligheid van ons netwerk?'

Baloo gaat sneller praten. Er is een onderdeel van de nieuwe hackwet, die over twee weken in de Tweede Kamer wordt besproken, dat haar verontrust. Baloo ziet het als haar taak om overal de veiligheid van digitale communicatie te vergroten. Daarom deelt ze informatie over kwetsbaarheden in systemen met de partijen waar de problemen vandaan komen. 'Onlangs nog hebben we het Amerikaanse softwarebedrijf Oracle gewaarschuwd dat er een lek zat in een deel van hun mobiele netwerk, waardoor alle communicatie kon worden afgetapt.'

Maar een direct gevolg van de nieuwe wet is dat de politie de informatie van deze kwetsbaarheden kan gebruiken om ergens binnen te dringen. Baloo: 'In hoeverre moeten wij medewerking verlenen aan hacken door de politie? Wat gebeurt er met informatie over lekken? Het is niet gespecificeerd in het wetsvoorstel.'

Later dit jaar moet ook de nieuwe inlichtingenwet naar de Kamer gaan. Juristen van de diensten zijn nog druk met de concepttekst. Een van de nieuwe bevoegdheden voor AIVD en MIVD is het tappen van kabelverkeer. Baloo schudt daarover haar hoofd. 'Het is een extreme verlenging van de huidige bevoegdheden. Er is niet goed gekeken wat de effecten zijn.'

De AIVD zou het internetverkeer naar bijvoorbeeld Syrië willen filteren op selectiecriteria als telefoonnummers, IP-adressen en Nederlandse taalinstellingen. Baloo: 'Weet je hoe divers die verbindingen zijn? Dan moet je grootschalig gaan tappen. Internetverkeer is geen statisch gegeven, het is dynamisch. Communicatie kiest elke keer een andere route. Als de AIVD de communicatie naar Syrië wil zien, moet ze op tientallen plekken in het netwerk inbreken. Dat zijn enorme technische ingrepen, waarvoor wij ons netwerk anders moeten inrichten.'

Dit tekent de nieuwe strijd. Zoals Apple zich verzet tegen de overheid, doet ook telecombedrijf KPN dat. Het voormalige staatsbedrijf zat van oudsher dichter tegen de inlichtingendiensten aan. Net als alle andere operators is KPN wettelijk verplicht mee te werken aan aftapverzoeken.

Jaya Baloo Beeld Julius Schrank

Wanneer is die andere verhou-ding tot de overheid ontstaan?

Baloo moet het antwoord schuldig blijven. Ze is pas in 2012 in dienst van KPN gekomen, verontschuldigt ze zich. 'Natuurlijk werken we ook samen met de diensten als het gaat om grote dreigen van statelijke actoren, maar we hebben een betere relatie met onze klanten. Dat is een fundamenteel andere verantwoordelijkheid.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden