Ambtenaren van het ministerie van Justitie en Veiligheid werken nog altijd aan een plan om encryptie af te zwakken. Daardoor willen ze berichten kunnen onderscheppen en inzien om cybercriminelen aan te pakken. Het onderwerp wordt pas na de verkiezingen behandeld, wat betekent dat het aan een volgend kabinet is om al dan niet iets met de plannen te doen.
Communicatie tussen afzender en ontvanger
Chat diensten als WhatsApp, Telegram, Facebook Messenger en Signal maken al jaren gebruik van end-to-end encryptie. Bij deze vorm van beveiliging is alle communicatie tussen afzender en ontvanger vertrouwd en veilig. Niemand van buitenaf kan ‘inbreken’ op jouw gesprekken en ze afluisteren, omdat ze niet over de juiste sleutel beschikken. Deze zijn in handen van jou en degene aan wie je het bericht verstuurt.
End-to-end encryptie, ook wel eind-tot-eind versleuteling genoemd, is anno 2021 de standaard en wordt door velen gewaardeerd. Deze technologie speelt een cruciale rol om onze privacy te waarborgen. Ook het bedrijfsleven maakt er gretig gebruik van, bijvoorbeeld om bedrijfs- of concurrentiegevoelige data mee te versturen. En journalisten, mensenrechtenactivisten en dissidenten gebruiken end-to-end encryptie om hun identiteit te beschermen, de vrijheid van meningsuiting uit te oefenen en spionage tegen te gaan.
Keerzijde encryptie
End-to-end encryptie kent echter ook een keerzijde. Terroristen gebruiken het om aanslagen te plannen. De technologie wordt tevens misbruikt om onder meer haatzaaiende en racistische propaganda, auteursrechtelijk beschermd materiaal en kinderporno te verspreiden. In dergelijke gevallen vormt end-to-end encryptie een gevaar voor de openbare veiligheid: handhavings- en opsporingsinstanties kunnen hun werk niet doen, omdat berichten met end-to-end encryptie alleen te lezen zijn voor de zender en ontvanger.
Het officiële standpunt van het kabinet is sinds 2016 dat er niet getornd mag worden aan encryptie, omdat versleuteling ‘een sleutelrol in de samenleving speelt’. “Het is op dit moment niet wenselijk om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland”, zo schreven de minister van Justitie en minister van Economische Zaken destijds.
Toch roept minister Grapperhaus van Justitie en Veiligheid al geruime tijd dat hij zich grote zorgen maakt om de criminaliteit en anonimiteit die voortvloeien uit beveiligde communicatiediensten. Vorig jaar mei maakte hij bekend dat hij zijn ambtenaren de opdracht heeft gegeven om te onderzoeken of en hoe WhatsApp en andere Over The Top (OTT) diensten afgetapt kunnen worden.(Bijlage 1) OTT-diensten zijn diensten die vertrouwelijke communicatie tussen gebruikers mogelijk maken.
Huidige Telecommunicatiewet
Op grond van de huidige Telecommunicatiewet zijn hostingproviders en telecombedrijven verplicht om hun netwerk dusdanig in te richten dat veiligheidsdiensten deze kunnen aftappen. Die verplichting is er niet voor OTT-diensten. “Voor de opsporing is dit vooral relevant, omdat de verplichting om de telecommunicatie aftapbaar te maken niet geldt voor OTT-diensten. Het effectief invoeren van een dergelijke verplichting is niet eenvoudig en vergt nadere uitwerking”, zo schreef minister Grapperhaus afgelopen jaar aan de Tweede Kamer in een brief over de aanpak van internetcriminaliteit.
Een aspect wat het zo lastig maakt om OTT-diensten te verplichten hun communicatie af te tappen, is het feit dat ze gebruikmaken van end-to-end encryptie. Daarnaast worden deze diensten internationaal aangeboden en zijn deze bedrijven niet in Nederland gevestigd. Dat maakt het lastig om in te grijpen. Toch dringen de politie, AIVD en MIVD aan bij de minister om naar een mogelijkheid te zoeken om versleutelde berichten te kunnen lezen, zo meldt de NOS. Anonieme bronnen vrezen dat de nationale veiligheid van Nederland in het geding is als dat niet gebeurt.
Omstreden onderwerp
Het aftappen van versleutelde berichten is een omstreden onderwerp in de Tweede Kamer. Thierry Baudet van Forum voor Democratie diende een motie in waarmee de Kamer kenbaar maakte niets te zien in het afbreken van encryptie. “Demissionair of niet: het kabinet mag mijn aangenomen motie niet zomaar terzijde schuiven”, zegt hij tegenover de NOS.
Ook scheidend Kamerlid Kees Verhoeven (D66) is niet blij met het voornemen van het kabinet. “Dit onderwerp blijft maar terugkomen, terwijl de Tweede Kamer duidelijk heeft gemaakt dit niet te willen. Dit gaat volkomen tegen de wens van de Kamer in.” CDA-Kamerlid Madeleine van Toorenburg zegt het "plan van de regering ‘tot het laatste moment’ te zullen verdedigen. Als dit niet gebeurt, weten we precies waar de georganiseerde misdaad en terrorisme naartoe verhuizen.”
Zeven landen
Het kabinet staat niet alleen in zijn strijd om het mogelijk te maken versleutelde berichten af te tappen. In november 2020 diende een groep van zeven landen een gezamenlijke verklaring (bijlage 2) in waarin ze hun zorgen uitspraken over de gevaren van end-to-end encryptie om de openbare orde te garanderen. “We dringen er bij de industrie op aan om onze ernstige zorgen te nemen wanneer encryptie wordt toegepast op een manier die elke wettelijke toegang tot inhoud volledig uitsluit. We roepen technologiebedrijven op om samen met overheden stappen te nemen, die gericht zijn op redelijke en technisch haalbare oplossingen”, zo schreven de initiatiefnemers in de verklaring.
Ze vroegen aan bedrijven als Facebook om hun chatdiensten zo te ontwerpen dat handhavingsdiensten kunnen optreden tegen illegale content en activiteiten van hackers en cybercriminelen. Dit gaat volgens de ondertekenaars niet ten koste van de veiligheid van burgers. Integendeel zelfs: hierdoor wordt het eenvoudiger om daders van misdrijven te vervolgen en veroordelen en ‘kwetsbare personen’ te beschermen.
Conceptresolutie versleuteling
De Europese Raad, bestaande uit de regeringsleiders uit alle 27 EU-lidstaten, presenteerde vorig jaar een conceptresolutie over versleuteling. In het voorstel stond dat er een betere balans gevonden moest worden tussen enerzijds privacy en beveiliging, en krachtig optreden tegen hackers en cybercriminelen anderzijds.
“Beschermen van privacy en beveiliging van communicatie door middel van encryptie en tegelijkertijd ervoor zorgen dat bevoegde autoriteiten op het gebied van criminaliteit en beveiliging wettelijke toegang krijgen tot deze data voor het bestrijden van georganiseerde misdaad en terrorisme, zowel in de fysieke als digitale wereld, is van extreem groot belang”, zo schreef de Raad.
In het conceptvoorstel kwam de Europese Raad met een voorstel. Zij willen dat bedrijven achter diensten als WhatsApp en Signal naast een private key en een public key ook een master key opslaan. Deze master key kan door opsporingsinstanties gebruikt worden om versleutelde berichten te lezen.
Afgelopen december stemde de Europese Raad in met de resolutie. “De rechtshandhavingsinstanties en de rechterlijke macht zijn steeds afhankelijker van toegang tot elektronisch bewijsmateriaal om terrorisme, georganiseerde misdaad, seksueel misbruik van kinderen en andere cyber- en gedigitaliseerde criminaliteit doeltreffend te kunnen bestrijden”, aldus de Raad. “Toegang [tot versleutelde berichten, red.] is essentieel voor een succesvolle rechtshandhaving en strafrechtspleging in cyberspace". In sommige gevallen maakt versleuteling het echter uiterst moeilijk of zelfs praktisch onmogelijk om toegang te krijgen tot bewijsmateriaal en de inhoud ervan te analyseren
Privacy coalitie tegen
Een privacy coalitie -bestaande uit ProtonMail, Threema, Tresorit en Tutanota- verzet zich met hand en tand tegen het voorstel van de Europese Raad. De gelegenheidscoalitie (bijlage 3) is bang dat handhavingsinstanties een ‘sleutel tot het huis van elke burger’ in handen krijgen en het plan het beginpunt is van ‘een glijdende schaal naar grotere inbreuken op de persoonlijke levenssfeer’. Ze vrezen dat politici en beleidsmakers niet beseffen dat iedere vorm van toegang tot versleutelde berichten de gehele constructie achter encryptie aan het wankelen brengt.
“Deze nieuwe voorstellen zijn onverenigbaar met het huidige standpunt van de EU inzake dataprivacy. De huidige en de voorgestelde aanpak staan haaks op elkaar: het is onmogelijk om de integriteit van encryptie te garanderen en tegelijkertijd enige vorm van toegang tot de versleutelde gegevens te verschaffen”, aldus de CEO van Thresorit, Istvan Lam
Bijlage 1
Bijlage 2
Bijlage 3
Bron: protonmail.com, justice.gov, tweedekamer.nl, nos.nl, vpngids.nl
Meer info over ‘Cybercrime’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
Cybercrime gerelateerde berichten
Hybride cyberaanvallen: de vervagende lijnen tussen staten en criminelen
In deze podcast bespreken we de toenemende samenwerking tussen cybercriminelen en overheden, waarbij ze hun middelen en technieken combineren om zowel financiële als geopolitieke doelen te bereiken. We benadrukken dat ransomware een ernstige bedreiging blijft, met name voor de gezondheidszorg, en dat het gebruik van kunstmatige intelligentie (AI) door zowel cybercriminelen als overheden aanvallen complexer en moeilijker te stoppen maakt. Daarnaast bespreken we het belang van samenwerking tussen de publieke en private sector om cyberdreigingen effectief te bestrijden. De noodzaak voor strengere internationale normen en sancties voor cyberaanvallen komt ook aan bod, evenals de rol van geavanceerde technologieën zoals AI en internationale samenwerkingen voor de toekomst van cyberbeveiliging.
Forse toename van aanvallen op Citrix ADC en Citrix Gateway
Reading in 🇬🇧 or another language
Stijgende kosten van cyberaanvallen: Waarom bedrijven in de Benelux meer betalen voor datalekken
Reading in 🇬🇧 or another language
De illusie van veiligheid: Wat de 1Password-kwetsbaarheid ons leert over wachtwoordkluizen
Reading in 🇬🇧 or another language
Fraude schade in 2024 stijgt met 44% tot meer dan 27 miljoen Euro in Nederland
Reading in 🇬🇧 or another language
De nieuwe gevaren van cybercriminaliteit: inzichten uit het IOCTA 2024 rapport
Reading in 🇬🇧 or another language