Geachte minister Timmermans, In opvolging van uw openhartige gesprek met Nederlandse civil society partijen op de Freedom Online Coalitie in Tallinn gaf u aan te willen worden bijgepraat over de technische achtergronden bij een van onze vragen. Deze vraag betrof de werkwijze van inlichtingendiensten (ook diensten van leden van de FOC) en de gevolgen daarvan voor de journalisten, activisten en dissidenten die wij als Nederlandse civil society proberen te beschermen maar ook de consequenties voor miljarden reguliere internetgebruikers wereldwijd. Ik beloofde u toen de situatie schriftelijk verder toe te lichten, hetgeen ik bij dezen doe. Binnen de online security gemeenschap geldt onder engineers en organisaties van oudsher en sinds jaar en dag een soort van gentlemen’s agreement: wanneer je kwetsbaarheden in systemen ontdekt dan rapporteer je deze kwetsbaarheden aan de fabrikant zodat ze verholpen kunnen worden. Er is een groep mensen die zich bewust niets van deze afspraken aantrekt: cybercriminelen. Zij houden de ontdekte kwetsbaarheden voor zichzelf en misbruiken die kwetsbaarheden om zo computers van nietsvermoedende consumenten binnen te dringen en creditcard gegevens te stelen of telebankier-‐transacties te wijzigen. Ook verkopen zij informatie over deze kwetsbaarheden op de zwarte markt, waar iedereen met genoeg financiële middelen maar zonder technische capaciteit deze kwetsbaarheden kan aanschaffen. Volgens het Markets for Cybercrime Tools and Stolen Data rapport van het Amerikaanse RAND is deze zwarte markt momenteel lucratiever dan de illegale drugshandel. (http://www.rand.org/pubs/research_reports/RR610.html) Uit de onthullingen van Edward Snowden blijkt dat er nog een groep is die zich niets aantrekt van het eerder genoemde gentlemen’s agreement, namelijk inlichtingendiensten, waaronder die van de Freedom Online Coalitie. In plaats van het melden van kwetsbaarheden misbruiken ook zij kwetsbaarheden om zich, door dezelfde deur als de cybercriminelen, (ongeoorloofd) toegang te verschaffen tot de systemen van burgers die zij ergens van verdenken. Deze gang van zaken is breed beschreven in de media, onder meer door de gerenommeerde security expert Bruce Schneier: https://www.schneier.com/blog/archives/2013/10/the_nsas_new_ri.html Deze handelswijze heeft een aantal zeer kwalijke en ernstige gevolgen. Als een inlichtingendienst een kwetsbaarheid ontdekt en deze niet meldt betekent dit niet dat diezelfde kwetsbaarheid daarna niet ook door anderen ontdekt kan worden. Met andere woorden, het feit dat bijvoorbeeld de NSA ziet dat ergens de achterdeur openstaat en die open laat staan voor het geval zij naar binnen willen gaan betekent niet dat een crimineel die een half uur later langs loopt niet diezelfde achterdeur open ziet staan. Er bestaat wereldwijd een zeer grote en lucratieve zwarte markt waarop dit soort informatie te verkrijgen is. Dit stelt ook de overheden van regimes en dictators die zelf wellicht niet over de technische capaciteit beschikken in staat om van dit soort geavanceerde achterdeuraanvallen gebruik te maken. De mensen die wij als Nederlandse civil society organisaties proberen te beschermen worden dus kwetsbaar achter gelaten door dezelfde overheden die hun bescherming proberen te verbeteren binnen het kader van de Freedom Online Coalitie. Hun systemen worden gehackt, hun gesprekken afgeluisterd, hun bestanden vernietigd en zijzelf gearresteerd, gemarteld of geëxecuteerd. Dat lijkt ons een ongewenste situatie. Daarnaast heeft deze werkwijze ook ernstige gevolgen voor alle andere internetgebruikers. De boven geschetste kwetsbaarheden kunnen online transacties onveilig maken en criminelen toegang geven tot informatie die identiteitsfraude mogelijk maakt. Ook worden dit soort kwetsbaarheden misbruikt om bijvoorbeeld alle bestanden op iemands computer te versleutelen waarbij het slachtoffer pas, na betaling van een fors bedrag, weer toegang krijgt tot zijn eigen bestanden (zogenaamde ‘ransomware’ https://blogs.rsa.com/growing-‐menace-‐fraud-‐ransomware/). De mogelijkheden voor de aanvallers zijn eindeloos. Het moge duidelijk zijn dat wij als civil society organisaties deze werkwijze inherent contraproductief en onacceptabel vinden. Het is naar onze mening in strijd met het overheidsbeleid en de charter van de Freedom Online Coalitie waarin zij zegt te strijden voor een vrij en veilig internet voor iedereen. Wij verzoeken u dan ook dringend om deze handelswijze als onacceptabel gedrag te verklaren voor de Freedom Online Coalitie en dit onderwerp met de coalitie te bespreken. Internetveiligheid is een complex thema dat met de dag en met het toenemende aantal gebruikers alleen maar complexer wordt. Nu Nederland de Cyberspace conferentie organiseert verzoeken wij u met klem om ook binnen Nederland het openbaar debat omtrent online veiligheid te bevorderen, zodat iedere inwoner actief kan meedenken over de rol die hij of zij daarin kan spelen. Wij zijn van harte bereid om hierin mee te denken en daar mede vorm aan te geven Met vriendelijke groeten, Menso Heus Coördinator Internet Protection Lab Mede namens:
© Copyright 2024 ExpyDoc
