donderdag 26 januari 2012

Versleutelen en tappen

Nederland exporteert grote hoeveelheden cryptografische apparatuur. (Dit is technologie bedoeld om berichten te versleutelen.) Een deel daarvan valt als dual-use producten onder de wetgeving rond strategische goederen en dat vereist voor uitvoer buiten Europa een exportvergunning. In de eerste helft van 2011 ging het om vergunningen ter waarde van het enorme bedrag van 1.670 miljoen euro (zie tabel hieronder). De Nederlandse wapenexporten van gemiddeld een miljard per jaar lijken daarbij schril af te steken. 


Het probleem bij de export van strategische goederen zit hem vanzelfsprekend niet in de financiële omvang ervan, maar om de impact die de producten hebben op mensen, vrede en veiligheid. De financiële omvang blijkt bovendien kleiner dan gedacht. Er zijn twee enorme en evengrote vergunningen van 698 miljoen euro. Van het ministerie van Economische Zaken, Landbouw en Innovatie (EL&I) hoor ik dat van deze twee vergunningen de eerste voor exporten binnen het bedrijf (kan ook internationaal zijn) zelf is en de tweede voor de export naar klanten buiten Europa. De cijfers zijn dus niet zonder meer op te tellen. Maar ook als ik één van die twee wegstreep dan gaat het nog steeds om een miljard aan vergunningen.

Voor een groot deel gaat het om onbekende afnemers en producten met onbekende herkomst. Bij een aantal leveringen staat bovendien vagelijk vermeld: 'wereld m.u.v. gevoelige landen'. Er zijn ook orders waarbij wel een eindbestemming wordt genoemd: Irak, Libië, Mauretanië en Rusland.(1) Helpt Nederland Putin om zijn berichten te versleutelen? Kon Gadaffi op grond van Nederlandse apparatuur de wereld voor de gek houden? Het ministerie laat me weten dat de leveringen niet naar de overheden van die landen gaan, maar naar de VS/NAVO in Irak, een oliebedrijf in Libië, het bevolkingsregister in Mauretanië en een bekende Amerikaanse IT-onderneming in Rusland.(2) Juist het onderscheppen van de informatie wordt daarmee voorkomen.

Begin jaren negentig publiceerde actiegroep Onkruit de documenten die tijdens een actie bij Philips USFA werden buitgemaakt.(3) Philips verkocht begin jaren negentig een groot deel van zijn militaire activiteiten aan het Franse concern Thales (destijds nog Thomson-CSF geheten), maar het cryptografische deel moest vanwege de gevoeligheid ervan buiten de overname blijven en werd een onderdeel van USFA. De Onkruit uitgave besteedt veel aandacht aan de crypto apparatuur. Zo wordt de spannende jongensboekengeschiedenis van het ontsleutelen beschreven. Ook wordt een uitgebreide lijst met exporten naar landen zoals bijvoorbeeld Egypte en Saoedi Arabië opgenomen. Maar waarom die exporten problematisch waren en de diefstal rechtvaardigden staat er niet in. De antimilitaristen veronderstelden dat blijkbaar bekend. Kort daarop ging het bergafwaarts met het bedrijf – inmiddels Philips Crypto genaamd – en in 2003 werd een deel van de activiteiten van het gevoelige bedrijf overgenomen door de firma Fox-IT in Delft.

Inmiddels zijn programma's om informatie te versleutelen voor iedereen toegankelijk. Grote delen van het bedrijfsleven, mensen- en burgerrechten activisten hebben gepleit voor ongehinderde toegang ertoe. Voor een belangrijk deel is dat pleit gewonnen na een hevig debat tussen de overheden die hun burgers willen controleren en voorstanders van privacy.(4) Burgers en consumenten eisen van overheden en bedrijven veilige opslag en communicatie. Niet het versleutelen, maar juist het ontkrachten ervan (5) is steeds meer het probleem geworden. 

Bedrijven, particulieren en overheden doen er van alles aan om hun informatie af te grendelen. Aan de andere kant zijn mensen bezig regelgeving zo in te richten dat er toch toegang is als dat nodig blijkt te zijn en worden achterdeurtjes in crypto apparatuur ingebouwd om toch toegang tot die informatie te hebben.Dat gebeurd internationaal, maar zeker ook in Nederland: “De Nederlandse politie tapt op een doorsnee dag ongeveer net zoveel telefoongesprekken af als de Amerikaanse politie in een heel jaar,” schreef HP de Tijd in 2009 op grond  van de Tapstatieken 2008(6) die minister Hirsch Ballin in 2009 naar de Kamer stuurde. Mobiele telefoons, email en internetverkeer het is allemaal minder privé dan de gemiddelde burger aanneemt. Het zijn niet alleen politie en inlichtingen en veiligheidsdiensten die zich hiermee bezig houden. Er is een groeiend aantal gespecialiseerde ondernemingen die toepassingen maakt om het internet gericht af te schuimen, voor het tappen van telefoon en email verkeer (in vakliteratuur Lawful Interception (LI) genoemd), analyse van getapte informatie e.d.

In Nederland worden de volgende bedrijven genoemd als het gaat om technieken om email verkeer en internet activiteiten te volgen en analyseren. DigiVox B.V. uit Rotterdam houdt zich bezig met het onderscheppen van van internet en telefoon verkeer. Ook Fox-IT en GROUP2000 laten weten onder meer de verzamelde informatie stevig te kunnen analyseren. Pine Digital Security  houdt het internet in de gaten, tapt digitaal verkeer af en is gevestigd in Den Haag. Netscout is een Amerikaans bedrijf dat een deel van de Fox-IT boedel overnam. Wettelijk zijn de activiteiten prima in orde en veelal wordt met de overheid samengewerkt. Ronald Prins van Fox-IT is zelfs een geziene gast bij de Nederlandse inlichtingendiensten, politie en pers.(7)

De bedrijven leveren hun technologie om bedrijfsvoering veiliger te maken, maar ook om criminaliteit en terrorisme te bestrijden. Onmiddellijk duikt dan de vraag op waar terrorisme overgaat in legitiem protest. Machthebbers zijn snel geneigd tegenstand weg te zetten als criminaliteit of terrorisme. In 2011 werd steeds duidelijker hoe belangrijk dit soort bedrijven zijn voor overheden om hun bevolking te controleren. Als dat gebeurd dan worden die middelen niet meer ingezet om de rechtsorde te handhaven, maar juist om hem te verkrachten. Dat gevaar is niet denkbeeldig. Fox-IT heeft bijvoorbeeld een inlichtingendienst in het Midden-Oosten in zijn klantenbestand zitten en eerder zei Prins dat hij Egypte zag als net land “waar je ook lekker op vakantie kon.”(8)

In de Tweede Kamer werden door El Fassed van GroenLinks gedetailleerde vragen gesteld over de bedrijven.(9) De bedrijven geven zelf antwoord: “Fox-IT is niet langer actief op het gebied van Lawful Intercenption. Alle activiteiten op dit gebied zijn overgenomen door het Amerikaanse bedrijf Netscout.” Toch doet Fox-IT nog steeds digitale recherche, analyseert getapt internetverkeer en pleit met enige regelmaat voor regels die hacken, ook over de grens, mogelijk moeten maken. Het zijn ideale diensten voor een dictator of repressief regime. Group2000 en Digivox doen meer moeite om zichzelf te verdedigen. Group2000 stelt dat het zich wel aan de regels houdt, maar bedrijven uit onder andere Duitsland, Frankrijk en Italië niet.(10) Ze willen een Europees level-playing-field. Digivox informeert zorgvuldig voordat ze tot levering over gaat. De bedrijven beloofden de Minister “zorgvuldig te kijken naar het eindgebruik van hun technologie in derde landen, voordat wordt overgegaan tot leveren.”(11)

Het gaat hier om hoogwaardige technologie en kennis die veelal is ontworpen om mensen te controleren, af te tappen, volgen, analyseren en eventueel internet activiteiten te blokkeren. Dit lijkt bij uitstek dual-use technologie. Dat standpunt deelt ook Bleker. Hij wil niet alleen bouwen op zelfrestrictie, maar ook “een kader hebben om besluiten te nemen over de export van producten.” Ze moeten worden opgenomen onder artikel 4 van de dual-use lijst, zo stelt de bewindsman. E.e.a. "[zal] naar verwachting begin 2012 door de Commissie worden opgenomen in een voorstel tot aanpassing van de dual-use verordening," zo laat hij weten.(12) Het lijkt een vruchtbaarder aanpak dan het uitsluitend aanhobbelen achter zelf regulatie, zoals Neelie Smit Kroes onlangs bepleitte tijdens een bijeenkomst in Den Haag.(13)
Nu is het nog de vraag of Bleker in staat zal zijn dit er bij zijn Europese collega's door te krijgen en de technologie onder te brengen in de bijlage bij de dual-use verordening. Coppens van Group2000 noemt niet voor niets een aantal Europese landen waar bedrijven zich niet aan codes houden. Vervolgens moet hij de middelen vrijmaken om de controle handen en voeten te geven. Anders blijft het een papieren maatregel. Onafhankelijke deskundigheid op dit vlak is duur en schaars. Net als bij 'gewone' wapenhandel is het tevens van belang dat er mensen uit de samenleving zijn die dit kunnen volgen en aan de bel weten te trekken als het mis gaat. Overheden zijn zelf niet altijd het meest actief als het er om gaat dubieuze exporten te stoppen. Een iets duidelijker rapportage dan bij de crypto exporten is dan wel wenselijk. Tenslotte zou er een overzicht moeten zijn van apparatuur die in aanmerking komt voor controle in het kader van de dit jaar in werking getreden Wet Strategische Diensten. Met het oog op voorstellen op Europees niveau - dit voorjaar - waarover Bleker sprak is dit zeer urgent (en ook dat vereist veel specialistische kennis).

Tenslotte is er technologie die niet voor tweeërlei gebruik is, maar alleen gericht op repressie.(14) De politieke onrust in de Arabische wereld zorgde voor een opleving van de handel. “These [products] are specifically designed to give the government greater ability to “crackdown on protests.”(15) Deze specifieke technologie moet worden gezien als modern 'wapen'(16) voor onderdrukking en opgenomen worden in de militaire lijst.(17)

Martin Broek
Geschreven voor Konfrontatie (daar een sterk ingekorte versie)



apparatuur en software voor informatiebeveiliging (5A002)
Datum Afgifte
SG-Post
Opgegeven
gebruik
Datum
aanvraag
Land
van bestemming
Land
van oorsprong
Waarde(€)
04-03-11
5A002a1
Informatiebeveiliging
22-10-10
Diverse landen
Onbekend
500.000
28-04-11
5A002a1
Informatiebeveiliging
22-10-10
Diverse landen
Onbekend
500.000
28-01-11
5A002a1
Informatiebeveiliging
22-10-10
Diverse landen
Onbekend
500.000
25-05-11
5A002a1
Informatiebeveiliging
22-10-10
Diverse landen
Onbekend
500.000
29-04-11
5A002a7
Informatiebeveiliging
19-01-11
Diverse landen
Nederland
500.000
29-04-11
5A002a1
>Informatiebeveiliging
09-05-11
Diverse landen
Frankrijk
698.000.000
26-04-11
5A002a1
Informatiebeveiliging
09-05-11
Diverse landen
Frankrijk
698.000.000
26-04-11
5A002a1
Reparatie
16-02-11
Irak
Onbekend
159.141
06-06-11
5A002
Informatiebeveiliging
29-04-11
Mauretanië
VS
76.000
27-06-11
5A002a1
Informatiebeveiliging
06-04-11
Pakistan
Onbekend
48.000
31-03-11
5A002a1
Informatiebeveiliging
12-04-11
Rusland
Nederland
1.000.000
14-04-11
5A002
Informatiebeveiliging
25-01-11
Diverse landen
VS
3.000.000
24-05-11
5A002
Informatiebeveiliging
02-12-10
Diverse landen
VS
3.000.000
11-02-11
5A002
Informatiebeveiliging
19-01-11
Libië
Onbekend
76.595
30-03-11
5A002
Informatiebeveiliging
30-03-11
Wereld muv gevoelige landen
Onbekend
38.580.640
30-03-11
5A002
Informatiebeveiliging
07-03-11
Wereld muv gevoelige landen
Onbekend
185.047.500
11-02-11
5A002
Informatiebeveiliging
04-03-11
Wereld muv gevoelige landen
Onbekend
40.000.000
02-03-11
5D002c2
Informatiebeveiliging
25-03-11
Diverse landen
Onbekend
25.000

Omschrijving dual use goederen volgens genoemde code
5A002
Hoofdcategorie, verder niet gespecificeerd. “Informatiebeveiligings”-systemen en –apparatuur, en onderdelen daarvoor, als hier volledig beschreven.
5A002a1
Systemen, apparatuur, voor specifieke toepassingen bestemde "samenstellingen", modulen of geïntegreerde schakelingen ten behoeve van "informatiebeveiliging", als hieronder, en andere speciaal daarvoor ontworpen onderdelen. Deze zijn ontworpen of aangepast voor het hanteren van "cryptografie" met gebruikmaking van digitale technieken ter uitvoering van cryptografische functies, met uitzondering van authentificatie en digitale handtekening, met behulp van … hier volledig beschreven.
5A002a7
niet-cryptografische beveiligingssystemen en –voorzieningen voor informatie- en communicatietechnologie (ICT), met een beveiligingsniveau hoger dan of geliljkwaardig aan klasse EAL-6 (evaluation assurance level) van de Common Criteria; hier volledig beschreven.
5D002c2
"programmatuur" voor het certificeren van "programmatuur" bedoeld in 5D002.c.1. (dat is: "programmatuur" die de kenmerken heeft of de functies uitoefent of simuleert van de apparatuur bedoeld in 5A002). hier volledig beschreven.

Noten:
1) Het gaat hier alleen om de definitieve orders. De bestemmingslanden voor tijdelijke orders zijn zijn veel omvangrijker: China, Israël, Jordanië, Libanon, Saoedi-Arabië, Thailand, Turkije en VAE. Bij de definitieve orders hoort ook Pakistan, maar daarvoor had ik geen gebruiker gevraagd.
2) Het blijft vreemd dat dit niet gelijk in de overzichten wordt vermeld. Het maakt juist bij dual-use exporten veel uit wie de afnemer is.
3) Dossier: Philips Usfa/Crypto; Wapenfabrikant Philips in moeilijkheden ( Amsterdam: Onkruit/AMU, 1992).
4) Cryptografie, Bits of Freedom (http://www.bof.nl/cryptografie.html); en 'Reguleren sterke cryptografie? Niet doen!, ' Maurice Wessling & Leon Kuunders, 13 december 2001 (http://leon.kuunders.info/regulerencrypto.html).
5) Zie voor een overzichtelijke beschrijving van de middelen daarvoor de Epiloog van aftappen versus privacy (Amsterdam: buro Jansen en Janssen, 2000) (http://www.burojansen.nl/crypto/)
6) Bart de Koning, 'Nederland tapt lekker door,' HP de Tijd 3 september 2009 (http://www.hpdetijd.nl/2009-09-03/nederland-tapt-lekker-door) Of er latere versies van de tapstieken aan de Kamer zijn gestuurd is mij onbekend. Het zou niet verkeerd zijn als daar weer naar gevraagd zou worden.
7) Harry Lensink en Maurits Martijn, 'De geheimen van een supertapper; Profiel Ronald Prins,' Vrij Nederland 13 augustus 2011.
8) Harry Lensink en Maurits, 'Schieten met hagel; Internet,' Vrij Nederland 10 december 2011; en  Vrij Nederland 13 augustus 2011 (zie noot 7).
9) Minister EL&I Henk Bleker, 'Beantwoording vragen [El Fassed (GL)] over de export van internetfilters en aftaptechnologie,' 16 januari 2012. Fox-IT staat wel uitgebreid stil bij de kwestie op het internet: Reactie op publicatie Spyfiles (http://wikileaks.org/the-spyfiles.html), 02-12-2011 (https://www.fox-it.com/nl/nieuws-en-events/nieuws/laatste-nieuws/nieuwsartikel/reactie-op-publicatie-spyfiles/203)
10) Richard Coppens stelt: 'Het is mooi als die internationale afspraken er komen. Maar dan moeten bedrijven die de wet overtreden, zoals nu bijvoorbeeld in Duitsland, Frankrijk en Italië, wel in het strafbankje worden gezet.' Vrij Nederland 10 december 2011 (zie noot 8).
11) Minister EL&I Henk Bleker, 'Beantwoording vragen [Pechtold en Verhoeven (D66)] over het gebruik van Europese technologie bij mensenrechtenschendingen.'
12)  idem 11
13) In dit kader wordt veel naar het Global Network Innitiative http://www.globalnetworkinitiative.org/principles/index.php gewezen. Craig Blaha, 'Clinton, EU, Urge Protection of Internet Freedom,' Technorati 9 december 2011. http://technorati.com/technology/article/clinton-eu-urge-protection-of-internet/
14) Ben Wagner, 'Exporting Censorship and Surveillance Technology,' Humanist Institute for Co-operation with Developing Countries (Hivos), januari 2012.
15) Elgin and Silver 2011, op cit: Ben Wagner, Hivos januari 2012.
16) Ook bekende miligtaire bedrijven als Thales en BAE Systems begeven zich op deze markt.
17) Zie voor zowel de militaire als dual-use lijst de pagina Exportcontrole strategische goederen van het Ministerie van EL&I. http://www.rijksoverheid.nl/onderwerpen/exportcontrole-strategische-goederen

Zie ook:

US and European firms help Syrian regime spy on citizens

5 opmerkingen:

lebonton zei

ja, er gaan heel wat bedragen om in het elkaar het leven zuur maken.

Anoniem zei

Er is weinig fantasie voor nodig om met aan zekerheid grenzende waarschijnlijkheid dat data opslag van persoonlijke gegevens en internetgedrag van iedere burger ergens liggen opgeslagen. Een USB-stick mee naar huis nemen....
grtjs
King Billy

Antoinette Duijsters zei

Het is niet te geloven, waarom willen mensen zo graag vechten.

de Stripman zei

Degelijk verhaal !

martin zei

Het vechten laat men hier aan anderen over. Nu maar hopen dat er het degelijk gevolgd wordt.