De cybersecurityspagaat: hoe gaat de overheid om met encryptie en kwetsbaarheden?
De FBI, een Franse minister, het Openbaar Ministerie: de afgelopen maanden klonk herhaaldelijk de klacht van overheden dat ze geen toegang hebben tot versleutelde communicatie van verdachten en (potentiële) terroristen. Tegelijkertijd maken burgers en bedrijven zich zorgen om een wetsvoorstel dat de politie de bevoegdheid geeft om in te breken op computers. Wat is er aan de hand? Kort door de bocht brengt digitalisering de overheid in een lastige spagaat: het bevorderen van collectieve digitale veiligheid betekent dat het opsporen van individuen moeilijker wordt. Het debat is politiek beladen en technisch complex. Simpele oplossingen zijn er niet. We zetten de uitgangspunten op een rij:
Encryptie is onmisbaar in de digitale economie
Burgers en bedrijven hebben een groot belang bij zo veilig mogelijke ICT. We bankieren via het internet, we zetten bedrijfsgevoelige informatie in de cloud, we delen schattige babyfoto’s via chat-apps. Voor de ontwikkeling van de digitale economie is het essentieel dat consumenten kunnen vertrouwen op de talloze handige toepassingen die op de markt verschijnen. ICT-bedrijven passen daarom op grote schaal encryptietechnologie toe. De komende jaren zal dat alleen maar toenemen.
Het belang van encryptie wordt niet alleen door de sector erkend. Het kabinet nam begin dit jaar officieel het standpunt in dat encryptie van groot belang is voor de samenleving en dat de ontwikkeling en toepassing ervan niet beperkt mag worden.
Kwetsbaarheden dichten is in ieders belang
Maar digitale veiligheid is zo sterk als de zwakste schakel. Door bugs of fouten in software kan het voorkomen dat er kwetsbaarheden terechtkomen in ICT-producten. Deze kwetsbaarheden kunnen door criminelen en statelijke actoren gebruikt worden om toegang tot systemen te verkrijgen, communicatie te onderscheppen en encryptie ongedaan te maken of te omzeilen.
Het is in het belang van zowel de aanbieders als gebruikers van ICT-producten dat deze kwetsbaarheden gevonden worden en zo snel mogelijk worden opgelost door middel van updates en patches. In veel gevallen worden lekken gevonden door ICT-bedrijven zelf. Daarnaast worden veel lekken gevonden door individuele hackers die ze op een verantwoorde manier melden (ook wel ethische hackers genoemd). Op die manier heeft het betreffende bedrijf genoeg tijd om het lek te onderzoeken en te repareren.
Maar er worden ook kwetsbaarheden gevonden door criminelen die ze zelf gebruiken of doorverkopen aan derden. Op het moment dat een kwetsbaarheid nog niet bekend is bij de maker van de software, maar wel bij anderen, spreken we van een ‘zero day’. Die term verwijst naar het feit dat een bedrijf nul dagen de tijd heeft om het lek te dichten vanaf het moment dat het voor het eerst bekend wordt. Zero days zijn in potentie een enorm veiligheidsrisico. Zeker als ze betrekking hebben op een veelgebruikt programma, bijvoorbeeld een besturingssysteem.
Opsporing wordt moeilijker
De belangen van bedrijven en burgers zijn dus duidelijk: sterke encryptie en zo min mogelijk kwetsbaarheden in ICT-producten. De overheid deelt deze belangen, maar heeft nog een ander belang: het opsporen van criminelen en (potentiële) terroristen. En dan wordt het ingewikkeld.
Opsporingsdiensten hebben vanzelfsprekend graag toegang tot digitale communicatie en andere gegevens van verdachten. Deze gegevens kunnen onderschept worden, in beslag worden genomen of bij een ICT-aanbieder worden gevorderd. Maar op het moment dat de verdachte gebruik maakt van encryptie zijn deze gegevens natuurlijk waardeloos.
In sommige gevallen wordt een ICT-aanbieder gevraagd de informatie ook te ontsleutelen. Maar steeds vaker wordt er bij digitale communicatie end-to-end encryptie toegepast. Dat betekent dat de informatie op het apparaat van de gebruiker wordt versleuteld en ontsleuteld, waardoor de sleutels alleen in het bezit zijn van de gebruikers en tussenliggende partijen geen toegang hebben tot de inhoud van de gegevens. Zeer veilig en privacyvriendelijk, maar problematisch voor opsporingsdiensten die communicatie zonder medewerking of medeweten van een verdachte willen onderscheppen.
Achterdeurtjes
Tegen die achtergrond roepen overheden ICT-bedrijven geregeld op om zogenaamde ‘achterdeurtjes’ in hun encryptietechnologie in te bouwen. Volgens sommigen is hiermee een vervolg op de ‘crypto wars’ uit de jaren ’90 losgebarsten. Die strijd eindigde met een overwinning voor sterke encryptie. Ook nu is de consensus onder ICT-bedrijven en cybersecurityexperts dat achterdeurtjes niet mogelijk zijn zonder encryptie ernstig te verzwakken. En dat is zeer onwenselijk.
Encryptieverbod
Een alternatief is het verbieden van bepaalde vormen van encryptie. Het verplichten van ICT-aanbieders om de communicatie van hun klanten op verzoek te ontsleutelen komt feitelijk hierop neer. Encryptiemethoden waarbij alleen de gebruiker beschikt over de sleutels zijn dan verboden. De vraag is of dit zal werken. Software voor end-to-end encryptie is voor iedereen vrij eenvoudig te vinden en te gebruiken. Een wettelijk verbod zal er waarschijnlijk toe leiden dat alleen criminelen, die zich per definitie weinig aantrekken van de wet, nog gebruik maken van deze encryptie. De rest van de gebruikers moet het dan doen met een minder veilige versie.
Hacken
Zonder de mogelijkheid om onversleutelde data te onderscheppen of te vorderen blijft er maar één mogelijkheid over: inbreken op de smartphone of computer van een verdachte. Geheime diensten hebben deze bevoegdheid al, de politie zou deze bevoegdheid graag in de nieuwe wet Computercriminaliteit III (wccIII) opgenomen zien.
Ook hier speelt de vraag of digitale opsporing mogelijk is zonder de veiligheid van onverdachte burgers in gevaar te brengen. Om in te kunnen breken is de politie immers gebaat bij systemen met beveiligingslekken die (nog) niet gedicht zijn. Hoe valt dit te rijmen met het algemeen belang van het snel opsporen en repareren van kwetsbaarheden? Kan de politie kwetsbaarheden exploiteren zonder deze te melden bij de betreffende producent? Mag de politie in het bezit zijn van zero days? Mogen ze deze kopen en zo ja van wie?
De antwoorden op deze vragen worden hopelijk gegeven in een kabinetsstandpunt over zero days dat binnenkort bekend wordt. Tegelijkertijd wordt waarschijnlijk het definitieve wetsvoorstel van de wccIII gepubliceerd. Beiden zullen meer inzicht geven in hoe de overheid met de spagaat tussen digitale veiligheid en opsporing om wil gaan. Wordt dus zeker vervolgd.
