Ambtenaren van het ministerie van Justitie en Veiligheid werken nog altijd aan een plan om encryptie af te zwakken. Daardoor willen ze berichten kunnen onderscheppen en inzien om cybercriminelen aan te pakken. Het onderwerp wordt pas na de verkiezingen behandeld, wat betekent dat het aan een volgend kabinet is om al dan niet iets met de plannen te doen.
Communicatie tussen afzender en ontvanger
Chat diensten als WhatsApp, Telegram, Facebook Messenger en Signal maken al jaren gebruik van end-to-end encryptie. Bij deze vorm van beveiliging is alle communicatie tussen afzender en ontvanger vertrouwd en veilig. Niemand van buitenaf kan ‘inbreken’ op jouw gesprekken en ze afluisteren, omdat ze niet over de juiste sleutel beschikken. Deze zijn in handen van jou en degene aan wie je het bericht verstuurt.
End-to-end encryptie, ook wel eind-tot-eind versleuteling genoemd, is anno 2021 de standaard en wordt door velen gewaardeerd. Deze technologie speelt een cruciale rol om onze privacy te waarborgen. Ook het bedrijfsleven maakt er gretig gebruik van, bijvoorbeeld om bedrijfs- of concurrentiegevoelige data mee te versturen. En journalisten, mensenrechtenactivisten en dissidenten gebruiken end-to-end encryptie om hun identiteit te beschermen, de vrijheid van meningsuiting uit te oefenen en spionage tegen te gaan.
Keerzijde encryptie
End-to-end encryptie kent echter ook een keerzijde. Terroristen gebruiken het om aanslagen te plannen. De technologie wordt tevens misbruikt om onder meer haatzaaiende en racistische propaganda, auteursrechtelijk beschermd materiaal en kinderporno te verspreiden. In dergelijke gevallen vormt end-to-end encryptie een gevaar voor de openbare veiligheid: handhavings- en opsporingsinstanties kunnen hun werk niet doen, omdat berichten met end-to-end encryptie alleen te lezen zijn voor de zender en ontvanger.
Het officiële standpunt van het kabinet is sinds 2016 dat er niet getornd mag worden aan encryptie, omdat versleuteling ‘een sleutelrol in de samenleving speelt’. “Het is op dit moment niet wenselijk om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland”, zo schreven de minister van Justitie en minister van Economische Zaken destijds.
Toch roept minister Grapperhaus van Justitie en Veiligheid al geruime tijd dat hij zich grote zorgen maakt om de criminaliteit en anonimiteit die voortvloeien uit beveiligde communicatiediensten. Vorig jaar mei maakte hij bekend dat hij zijn ambtenaren de opdracht heeft gegeven om te onderzoeken of en hoe WhatsApp en andere Over The Top (OTT) diensten afgetapt kunnen worden.(Bijlage 1) OTT-diensten zijn diensten die vertrouwelijke communicatie tussen gebruikers mogelijk maken.
Huidige Telecommunicatiewet
Op grond van de huidige Telecommunicatiewet zijn hostingproviders en telecombedrijven verplicht om hun netwerk dusdanig in te richten dat veiligheidsdiensten deze kunnen aftappen. Die verplichting is er niet voor OTT-diensten. “Voor de opsporing is dit vooral relevant, omdat de verplichting om de telecommunicatie aftapbaar te maken niet geldt voor OTT-diensten. Het effectief invoeren van een dergelijke verplichting is niet eenvoudig en vergt nadere uitwerking”, zo schreef minister Grapperhaus afgelopen jaar aan de Tweede Kamer in een brief over de aanpak van internetcriminaliteit.
Een aspect wat het zo lastig maakt om OTT-diensten te verplichten hun communicatie af te tappen, is het feit dat ze gebruikmaken van end-to-end encryptie. Daarnaast worden deze diensten internationaal aangeboden en zijn deze bedrijven niet in Nederland gevestigd. Dat maakt het lastig om in te grijpen. Toch dringen de politie, AIVD en MIVD aan bij de minister om naar een mogelijkheid te zoeken om versleutelde berichten te kunnen lezen, zo meldt de NOS. Anonieme bronnen vrezen dat de nationale veiligheid van Nederland in het geding is als dat niet gebeurt.
Omstreden onderwerp
Het aftappen van versleutelde berichten is een omstreden onderwerp in de Tweede Kamer. Thierry Baudet van Forum voor Democratie diende een motie in waarmee de Kamer kenbaar maakte niets te zien in het afbreken van encryptie. “Demissionair of niet: het kabinet mag mijn aangenomen motie niet zomaar terzijde schuiven”, zegt hij tegenover de NOS.
Ook scheidend Kamerlid Kees Verhoeven (D66) is niet blij met het voornemen van het kabinet. “Dit onderwerp blijft maar terugkomen, terwijl de Tweede Kamer duidelijk heeft gemaakt dit niet te willen. Dit gaat volkomen tegen de wens van de Kamer in.” CDA-Kamerlid Madeleine van Toorenburg zegt het "plan van de regering ‘tot het laatste moment’ te zullen verdedigen. Als dit niet gebeurt, weten we precies waar de georganiseerde misdaad en terrorisme naartoe verhuizen.”
Zeven landen
Het kabinet staat niet alleen in zijn strijd om het mogelijk te maken versleutelde berichten af te tappen. In november 2020 diende een groep van zeven landen een gezamenlijke verklaring (bijlage 2) in waarin ze hun zorgen uitspraken over de gevaren van end-to-end encryptie om de openbare orde te garanderen. “We dringen er bij de industrie op aan om onze ernstige zorgen te nemen wanneer encryptie wordt toegepast op een manier die elke wettelijke toegang tot inhoud volledig uitsluit. We roepen technologiebedrijven op om samen met overheden stappen te nemen, die gericht zijn op redelijke en technisch haalbare oplossingen”, zo schreven de initiatiefnemers in de verklaring.
Ze vroegen aan bedrijven als Facebook om hun chatdiensten zo te ontwerpen dat handhavingsdiensten kunnen optreden tegen illegale content en activiteiten van hackers en cybercriminelen. Dit gaat volgens de ondertekenaars niet ten koste van de veiligheid van burgers. Integendeel zelfs: hierdoor wordt het eenvoudiger om daders van misdrijven te vervolgen en veroordelen en ‘kwetsbare personen’ te beschermen.
Conceptresolutie versleuteling
De Europese Raad, bestaande uit de regeringsleiders uit alle 27 EU-lidstaten, presenteerde vorig jaar een conceptresolutie over versleuteling. In het voorstel stond dat er een betere balans gevonden moest worden tussen enerzijds privacy en beveiliging, en krachtig optreden tegen hackers en cybercriminelen anderzijds.
“Beschermen van privacy en beveiliging van communicatie door middel van encryptie en tegelijkertijd ervoor zorgen dat bevoegde autoriteiten op het gebied van criminaliteit en beveiliging wettelijke toegang krijgen tot deze data voor het bestrijden van georganiseerde misdaad en terrorisme, zowel in de fysieke als digitale wereld, is van extreem groot belang”, zo schreef de Raad.
In het conceptvoorstel kwam de Europese Raad met een voorstel. Zij willen dat bedrijven achter diensten als WhatsApp en Signal naast een private key en een public key ook een master key opslaan. Deze master key kan door opsporingsinstanties gebruikt worden om versleutelde berichten te lezen.
Afgelopen december stemde de Europese Raad in met de resolutie. “De rechtshandhavingsinstanties en de rechterlijke macht zijn steeds afhankelijker van toegang tot elektronisch bewijsmateriaal om terrorisme, georganiseerde misdaad, seksueel misbruik van kinderen en andere cyber- en gedigitaliseerde criminaliteit doeltreffend te kunnen bestrijden”, aldus de Raad. “Toegang [tot versleutelde berichten, red.] is essentieel voor een succesvolle rechtshandhaving en strafrechtspleging in cyberspace". In sommige gevallen maakt versleuteling het echter uiterst moeilijk of zelfs praktisch onmogelijk om toegang te krijgen tot bewijsmateriaal en de inhoud ervan te analyseren
Privacy coalitie tegen
Een privacy coalitie -bestaande uit ProtonMail, Threema, Tresorit en Tutanota- verzet zich met hand en tand tegen het voorstel van de Europese Raad. De gelegenheidscoalitie (bijlage 3) is bang dat handhavingsinstanties een ‘sleutel tot het huis van elke burger’ in handen krijgen en het plan het beginpunt is van ‘een glijdende schaal naar grotere inbreuken op de persoonlijke levenssfeer’. Ze vrezen dat politici en beleidsmakers niet beseffen dat iedere vorm van toegang tot versleutelde berichten de gehele constructie achter encryptie aan het wankelen brengt.
“Deze nieuwe voorstellen zijn onverenigbaar met het huidige standpunt van de EU inzake dataprivacy. De huidige en de voorgestelde aanpak staan haaks op elkaar: het is onmogelijk om de integriteit van encryptie te garanderen en tegelijkertijd enige vorm van toegang tot de versleutelde gegevens te verschaffen”, aldus de CEO van Thresorit, Istvan Lam
Bijlage 1
Bijlage 2
Bijlage 3
Bron: protonmail.com, justice.gov, tweedekamer.nl, nos.nl, vpngids.nl
Meer info over ‘Cybercrime’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
Cybercrime gerelateerde berichten
Cybercrime schadepost per incident 'verzesvoudigd' ten opzichtig van vorig jaar
Bedrijven die slachtoffer zijn geworden van cybercrime moeten dit jaar dieper in de buidel tasten. Ten opzichte van vorig jaar is de schadepost per incident verzesvoudigd. Onder 1.971 getroffen bedrijven bedroegen de totale kosten afgelopen jaar zo’n €1,61 miljard. Dat is 61 procent meer dan het jaar ervoor.
Nieuwe cijfers politie: Aantal meldingen van digitale misdaad is bijna zeven keer zo hoog als in voorgaande jaren
Tijdens de coronacrisis is het aantal gevallen van cybercrime gigantisch toegenomen. Dat blijkt uit nieuwe cijfers van de politie. Het aantal meldingen van digitale misdaad is bijna zeven keer zo hoog als in voorgaande jaren.
Zerodaylekken melden of openhouden als Nederlandse overheid?
Partijen in de Tweede Kamer zijn verdeeld over hoe de overheid met zerodaylekken in hard- en software moet omgaan, zo blijkt uit een debat dat deze week werd gevoerd. Het debat ging over een initiatiefwetsvoorstel van D66-Kamerlid Kees Verhoeven. Dat voorstel moet een afwegingsproces creëren voor de omgang met zerodaylekken, kwetsbaarheden waarvan de ontwikkelaar niet op de hoogte is.
Australië doelwit van grote cyberaanval
Australië wordt momenteel getroffen door een grote, goed opgezette cyberaanval. Het land is al een aantal maanden het doelwit van hackers. Dat heeft premier Scott Morrison bekendgemaakt tijdens een persconferentie.
Onderzoekers onthullen de werkwijze van de ongrijpbare InvisiMole-groep
Tijdens het onderzoek naar een nieuwe campagne van 'InvisiMole', een aanvallersgroepering waar onderzoekers voor het eerst verslag van deed in 2018, hebben onderzoekers de bijgewerkte toolset van de groep en de tot dan toe onbekende details over de werking ervan aan het licht gebracht.
Aanvallen via LinkedIn profielen op Europese defensiebedrijven
Nepprofielen op LinkedIn zijn gebruikt om Europese defensie- en lucht- en ruimtevaartbedrijven aan te vallen, zo stelt antivirusbedrijf ESET, dat samen met twee getroffen bedrijven een onderzoek uitvoerde. De aanvallers maakten LinkedIn-profielen aan waarmee ze zich voordeden als HR-managers van Collins Aerospace en General Dynamics, twee Amerikaanse bedrijven die defensie- en luchtvaartproducten leveren.