|
|
Blackberry's - Makkelijke onderschepping van mailverkeer - Advies van de Veiligheid van de Staat - Maatregelen
mobiele telefoon
elektronische post
telefoon- en briefgeheim
industriële spionage
geheime dienst
computerpiraterij
staatsveiligheid
mobiele communicatie
| 1/12/2009 | Verzending vraag (Einde van de antwoordtermijn: 1/1/2010) |
| 17/2/2010 | Antwoord |
Ook gesteld aan : schriftelijke vraag 4-5098
Na de Nederlandse inlichtingendienst, luidt de Franse geheime dienst de noodklok. Defensie en de geheime dienst van Frankrijk verbieden topambtenaren om nog langer de Blackberry te gebruiken. Ze vinden die onveilig en zijn bang dat er via e-mails belangrijke informatie uitlekt naar de Verenigde Staten, zo bericht de Franse pers, na een uitgelekte memo waar Le Monde beslag op legde.
De Fransen zijn bang dat de Blackberry afgetapt kan worden door buitenlandse geheime diensten. Het secrétariat général de la Défense nationale (SGDN) heeft destijds een missive gericht aan de hoge ambtenaren. Aan het verbod werd echter slecht gevolg gegeven. Daarom werd recent opnieuw een waarschuwing gestuurd, aldus Le Monde. Volgens Franse onderzoekers ligt het risico voornamelijk op het vlak van de bescherming van het wetenschappelijk en economisch potentieel. Het Franse bedrijfsleven, vooral grote industrieën zoals Airbus, hebben nauw contact met de Franse overheid in hun concurrentiestrijd met Amerikaanse bedrijven zoals in dit geval, Boeing.
Ook de Staatsveiligheid raadt het gebruik van Blackberry af. Desondanks heeft de meerderheid van de ministers en parlementsledens een Blackberry op zak.
Graag kreeg ik een uitvoerig en duidelijk antwoord op volgende vragen:
1.Wat is het specifieke advies van de Veiligheid van de Staat hieromtrent? Is het juist dat e-mails via een buitenlandse server gaan, die gemakkelijk kraakbaar is? Is er daarover contact geweest met Research in Motion (RIM)? Bevestigen zij die veiligheidsrisico’s?
2.Gaat de geachte minister ermee akkoord, gezien het negatieve advies en het verbod in Frankrijk, dat verdere maatregelen noodzakelijk zijn? Is hij akkoord dat een wetswijziging of andere maatregelen noodzakelijk zijn? Hoe kan dit risico vermeden worden? Volstaat de aankoop van een ander toestel?
3.Zijn er volgens hem betere afspraken met producent RIM mogelijk om tot een betere beveiliging van datatransmissie te komen?
4.Wat vindt hij van de mogelijke maatregel om Blackberry’s voor parlementsleden en ministers te verbieden ? Is dit wettelijk gemakkelijk realiseerbaar en opportuun? Zo ja, op welke manier?
5.Heeft hij verdere beleidsplannen om de Veiligheid van de Staat deze problematiek verder te laten onderzoeken?
1. De Veiligheid van de Staat geeft volgend advies aangaande het gebruik van het Blackberry-systeem:
Het is wettelijk verboden het Blackberry-systeem te gebruiken voor het verzenden en ontvangen van geclassificeerde informatie.
Het is niet aangewezen om het systeem te gebruiken voor het verzenden en ontvangen van gevoelige (maar niet geclassificeerde) informatie zoals persoonsgegevens, gegevens uit een gerechtelijk dossier, bedrijfsgeheimen, politieke informatie, informatie aangaande de kritieke infrastructuur en het wetenschappelijk en economisch potentieel, paswoorden, etc.
De veiligheidsinstellingen op de Blackberry moeten op hun hoogste niveau gehandhaafd blijven, met inbegrip van de versleuteling van de ontvangen berichten indien deze functionaliteit beschikbaar is.
De door Research in Motion (RIM) geleverde veiligheidspatches moeten bij hun verschijnen onmiddellijk worden uitgevoerd.
Alle externe mailservers zijn kraakbaar en waarschijnlijk kan geen enkele communicatietechnologie 100 % beveiligd worden, ook het Blackberry-systeem niet. Binnen de industrie heeft Blackberry evenwel een uitstekende reputatie op het gebied van beveiliging omdat de data tijdens de transmissie geëncrypteerd zijn en ook de sleutel zelf geëncrypteerd is. Het kraken van correct versleutelde communicatie is niet eenvoudig en vergt aanzienlijke technische middelen.
Het traject van e-mails is onvoorspelbaar omdat de communicatie via de minst belaste internetknooppunten verloopt. Dit kan bijgevolg via om het even welke router of mailrelaysysteem op het internet zijn. Men weet dus op voorhand niet of een communicatie binnen de landsgrenzen al dan niet via een buitenlandse server zal passeren. Voor wat het dataverkeer via het Blackberry-systeem betreft, moet daarenboven worden opgemerkt dat dit steeds wordt omgeleid over een centraal mailrelaysysteem in het buitenland. Voor het Europese Blackberry-dataverkeer bevinden die servers zich in het Verenigd Koninkrijk. Gezien de Blackberry Personal Digital Assistant vooral gebruikt worden door hogere kaders in de bedrijfswereld en bij de overheid, kan men ervan uitgaan dat er veel weliswaar niet-geclassificeerde (Blackberry is niet gecertificeerd voor geclassificeerde informatie) maar toch gevoelige en/of waardevolle informatie via de Blackberry’s verstuurd wordt. De RIM-servers in het Verenigd Koninkrijk verwerken dus een groot deel van de politiek gevoelige of economisch waardevolle communicatie in Europa.
Niettegenstaande de geëncrypteerde datatransmissie is de bescherming in het Verenigd Koninkrijk niet absoluut. Door middel van de Regulation of Investigatory Powers Act 2000 (RIPA)-wetgeving kan de Britse overheid de encryptiesleutels opeisen en toegang hebben tot het dataverkeer. RIPA kan ingeroepen worden als de nationale veiligheid in gevaar is, om ernstige misdaden te voorkomen en om de economische welvaart van het Verenigd Koninkrijk te beschermen. Formeel kan de RIPA-wetgeving echter niet worden toegepast op doorgaande communicatie (verzender en bestemmeling buiten het Verenigd Koninkrijk). Op de website van het Britse Home Office (ministerie van Binnenlandse Zaken) wordt gesteld dat de Britse overheid de RIPA-Act niet kan gebruiken om toegang te krijgen tot de Blackberry data op de RIM-servers.
De Veiligheid van de Staat heeft de veiligheidsproblematiek besproken met RIM dat het Blackberry-systeem beheert. RIM stelt dat het zelf geen toegang heeft tot de Blackberry-data op haar servers. RIM zegt eveneens dat, zelfs bij beschikbaarheid van volledige functionaliteit, het communicatiesysteem slechts geschikt is tot het niveau restricted.
Het blijft onduidelijk wat de technische interceptiemogelijkheden zijn met betrekking tot het Blackberry dataverkeer indien RIM door de autoriteiten toch tot medewerking wordt gedwongen/overhaald.
2. Ik ben van oordeel dat er reeds een afdoend wettelijk kader is ter beveiliging van gevoelige informatie (vb. de wet op de classificatie, de privacy-regling, het beroepsgeheim, het geheim van het strafonderzoek) en dat om die reden geen wetgevend initiatief noodzakelijk is. Ik ben wel overtuigd van de noodzaak van een algemene bewustmaking van de risico’s die inherent zijn aan alle e-mailsystemen. Van belang hierbij is een juiste keuze van gecertificeerde hard- en software, respect voor de procedures voor veilig gebruik. Het behoort tot de bevoegdheid van de Nationale Veiligheidsoverheid (NVO) om communicatie- en encryptietechnologieën te certifiëren.
Wetende dat geen enkel e-mailsysteem geschikt is voor de communicatie van gevoelige - en a fortiori geclassificeerde - informatie, heeft het geen zin om het gebruik van de Blackberry Personal Digital Assistant te verbieden en over te schakelen op een ander toestel.
3. Geen enkele provider, ook RIM niet, heeft greep op de datatransmissie over internet. Communicatie via het internet is immers in se onveilig omdat de data over de hele wereld kunnen transiteren, ook via niet beveiligde e-mail relays en op plaatsen met een onaangepaste beveiliging. E-mail is bijgevolg geen geschikt transportmiddel voor gevoelige informatie.
Beveiliging van e-mail moet gebeuren op het niveau van de zender en ontvanger en alvorens de mail wordt toevertrouwd aan de buitenwereld (het internet). RIM (of andere providers) kunnen slechts een betere beveiliging bieden indien ze de eindpunten van de communicatie zelf in handen hebben. Voor e-mail is dit over het algemeen volstrekt onrealiseerbaar.
Slechts indien twee organisaties overeenkomen om de e-mail bilateraal te laten verlopen over een beveiligd kanaal met beveiligde eindpunten (VPN tunnel) en voor zover het systeem daarvoor geaccrediteerd is door de bevoegde instantie (NVO), kan de communicatie beveiligd worden tot ze geschikt is voor het overmaken van geclassificeerde informatie. Voor dergelijke beveiliging is het echter niet voldoende om maatregelen op ICT-vlak te nemen. Hiervoor moeten ook binnen beide organisaties ingrijpende technische, procedurele en fysieke aanpassingen uitgevoerd worden.
4. De Blackberry Personal Digital Assistant is een GSM met bijzondere functionaliteiten die - gezien de transmissie beschermd is door encryptie -, veiliger is dan de meeste andere e-mailsystemen. Gezien echter alle externe mailsystemen inherent onveilig zijn, is het niet opportuun om het gebruik van het Blackberry systeem te verbieden.
5. De Veiligheid van de Staat volgt deze problematiek op in het kader van haar inlichtingenopdrachten.