|
|
Defensie - Instant-messaging applicaties - Gebruik - Veiligheidsrisico's - Hacking - Statelijke actoren - Cijfers en tendensen - Mogelijke verbod - Andere maatregelen
radiocommunicatie
elektronische post
informatiebeveiliging
krijgsmacht
officiële statistiek
sociale media
openbare veiligheid
| 2/6/2022 | Verzending vraag (Einde van de antwoordtermijn: 7/7/2022) |
| 19/7/2022 | Antwoord |
Ook gesteld aan : schriftelijke vraag 7-1669
Zowel het Zwitserse als het Britse leger raden af dat hun militairen nog verder communiceren via de bekende applicatie WhatsApp.
Het Britse leger heeft het gebruik van WhatsApp verboden omdat het vreest dat Rusland het platform hackt om operationeel gevoelige informatie te verkrijgen. Al het personeel, van hoge officieren tot soldaten in opleiding, moet stoppen met het gebruik van de applicatie voor beroepsdoeleinden of anders riskeren ze sancties. In een document van het Britse ministerie van Defensie waarin het verbod werd bevestigd, stond dat er «aanzienlijke veiligheidsrisico's» waren rond het gebruik van WhatsApp (cf. https://www.dailymail.co.uk/news/article-10633873/British-soldiers-ordered-WhatsApp-hacking-fears.html).
Het verbod, dat met onmiddellijke ingang ingaat, komt nadat de «Daily Mail» eerder berichtte dat Rusland Britse mobiele telefoongegevens gebruikte om doelen voor luchtaanvallen in Oekraïne te selecteren.
Het Zwitserse leger heeft ook aangekondigd te stoppen met het gebruik van buitenlandse instant-messaging diensten zoals WhatsApp, Signal en Telegram voor officiële communicatie. In plaats daarvan kiest het voor een Zwitsers alternatief - deels uit bezorgdheid over de wetgeving in Washington die regelt hoe Amerikaanse autoriteiten toegang kunnen krijgen tot informatie die in handen is van techbedrijven (cf. https://apnews.com/article/technology-business-europe-army-instant-messaging-d3c7c8fd54a78e8cc17fe930014d92d2).
De oorspronkelijke brief gaf aan dat voor legerleiders «geen andere berichtendienst zal worden toegestaan» hoewel een woordvoerder vervolgens de kracht van het decreet leek af te zwakken en het later beschreef als een «aanbeveling» (cf. https://www.theverge.com/2022/1/7/22871881/swiss-army-whatsapp-messaging-threema-privacy-concerns-us-jurisdiction).
Inlichtingendiensten, waaronder de Britse en Amerikaanse, gaven eerder aan erin geslaagd te zijn WhatsApp-gesprekken te hebben onderschept en de afzenders van de berichten gelokaliseerd te kunnen hebben. Het wordt zeer waarschijnlijk geacht dat Rusland over dezelfde mogelijkheid beschikt.
Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.
Graag had ik dan ook volgende vragen voorgelegd:
1) In hoeverre instant-messaging applicaties zoals Signal, Telegram, WhatsApp, enz., worden toegelaten voor gebruik bij de diensten van Defensie? Indien ja, kan u inschatten hoeveel personen bij Defensie dergelijke apps gebruiken? Zijn er beperkingen opgelegd hieromtrent? Gebruikt de generale staf dergelijke applicaties? Mogen de applicaties voor professionele doeleinden gebruikt worden? Zo neen, mogen deze applicaties dan wel voor privédoeleinden gebruikt worden? Indien ja, zijn er restricties die men krijgt opgelegd?
2) Werden dergelijke applicaties in het verleden gebruikt tijdens missies in het veld? Zo ja, waren er volgens u risico's aan verbonden? Krijgt men specifieke instructies bij Defensie inzake het gebruik van instant-messaging applicaties? Indien ja, zou u kort kunnen toelichten wat het standpunt is bij Defensie over het gebruik hiervan?
3) Volgt u de redenering van de Zwitserse en Britse autoriteiten dat het gebruik van dergelijke applicaties onveilig of zelfs schadelijk kan zijn? Indien ja, waarom is het gebruik van dergelijke applicaties dan nog niet verboden bij Defensie? Indien neen, hoe kan volgens u het risico tot een minimum beperkt worden?
4) Zijn er reeds signalen gekomen van onze veiligheids- en inlichtingendiensten die aangaven dat het gebruik van dergelijke applicaties, WhatsApp in het bijzonder, grote veiligheidsrisico's inhoudt? Indien ja, hoeveel waarschuwingen, wat hielden deze in en wat werd ermee gedaan? Werden er specifieke apps genoemd? Indien ja, welke?
5) Zijn er reeds gevallen van hacking bekend geweest van instant-messaging applicaties die gebruikt werden door Defensie of andere veiligheidsdiensten? Indien ja, hoeveel waren er dit en in welke jaren gebeurde dit? Heeft men kunnen achterhalen wie erachter zat? Wat was de geleden schade? Welke soort van data kon worden buitgemaakt? Welke gevolgen waren hieraan verbonden?
6) Welke inspanningen heeft Defensie in de jongste drie jaar geleverd om de veiligheid van hun communicatienetwerk te verhogen? Wat hielden de aanpassingen in, hoeveel kostte dit en wat zijn de beoogde effecten? Staan er nog andere verbeteringen in de steigers? Indien ja, zou u dit kunnen illustreren?
Het geachte lid gelieve hierna het antwoord te willen vinden op de door hem gestelde vragen.
1) Instant-messaging applicaties worden wereldwijd dagelijks gebruikt. Er dient een onderscheid gemaakt te worden tussen het professionele en het privégebruik van deze applicaties.
Voor het professionele dagelijkse gebruik biedt Defensie als instant-messaging oplossing «Skype for Business» aan, die binnenkort zal vervangen worden door «Microsoft Teams».
Op nationaal niveau wordt de applicatie «Threema» regelmatig gebruikt voor de coördinatie tussen de overheidsdiensten, bijvoorbeeld in het kader van de cyberincidenten.
Het privégebruik van instant-messaging platforms is binnen Defensie niet verboden. Niettemin is de verspreiding van geclassificeerde informatie op dergelijke applicaties uiteraard ten strengste verboden, aangezien de integriteit van de verzonden inhoud niet volledig kan worden gegarandeerd. Het is niet mogelijk om een schatting te geven van het aantal personen dat voor Defensie werkt en gebruik maakt van de populairste berichtenapplicaties op de markt.
Het gebruik van onbeveiligde applicaties voor de overdracht van operationele informatie moet altijd met de grootste omzichtigheid worden geanalyseerd, waarbij de operationele noodzaak en de urgentie moeten worden afgewogen tegen het risico dat de informatie wordt gecompromitteerd.
2) Afhankelijk van het dreigingsniveau van de regio waar militairen worden ingezet, legt Defensie richtlijnen op voor het gebruik van persoonlijke elektronische apparaten (telefoons, tablets, enz.) en instant-messaging applicaties. Het gebruik van deze applicaties brengt altijd een bepaald risico met zich mee. Daarom wordt het gebruik ervan strikt beperkt tot niet-geclassificeerde communicaties.
3) Deze commerciële toepassingen zijn momenteel niet strikt verboden voor Defensiepersoneel. Zoals hierboven vermeld, kunnen deze commerciële toepassingen echter alleen worden gebruikt voor de communicatie van niet-geclassificeerde informatie.
4) Er zijn tot op heden geen veiligheidsrisico’s bij Defensie vastgesteld. Er worden op recurrente basis door Algemene Dienst inlichting en veiligheid (ADIV) analyses gemaakt met betrekking tot de verschillende instant-messaging applicaties voor professioneel gebruik binnen Defensie. Hier dient opgemerkt te worden dat het steeds over een momentopname gaat, aangezien de applicaties steeds verder evolueren en de risico’s dus ook onderhevig zijn aan veranderingen. Al deze applicaties verzenden debug logs, crashinformatie of delen informatie over de verbindingskwaliteit wat de privacy of end-to-end-encryptie in gedrang kan brengen. Voor de meeste toepassingen zijn er risico’s geïdentificeerd en, afhankelijk van het residuele risico dat aanvaardbaar wordt geacht, kan een bepaalde applicatie met zijn bijhorende architectuur al dan niet gekozen worden.
5) Er zijn geen concrete gevallen bekend waarbij een instant-messaging applicatie werd gehackt tijdens het gebruik door het Defensiepersoneel.
6) Defensie draagt bij aan de IT-beveiliging door haar personeel bewust te maken van de gevaren van het gebruik, door te wijzen op de juiste manier van handelen, en door haar netwerk regelmatig te versterken. De aanpassingen aan de netwerkinfrastructuren zijn geclassificeerd en kunnen om veiligheidsredenen niet openbaar worden gecommuniceerd.