Grenzen stellen aan end-to-end encryptie voor versleutelde communicatie is het laatste dat de Cyber Security Raad (CSR) wil. De Raad denkt dat er twee reële alternatieven zijn om potentiële veiligheidsrisico’s te voorkomen: inzetten op het optimaliseren van hackactiviteiten van inlichtingen- en opsporingsdiensten, en intensiever gebruikmaken van bedrijfsvoeringsgegevens.
Dat schrijft de CSR in een adviesbrief aan de minister van Justitie Dilan Yeşilgöz-Zegerius en minister van Economische Zaken en Klimaat Mickey Adriaansens (1). Daarin geeft de Raad advies over de impact van het afzwakken van end-to-end encryptie voor opsporingsdoeleinden.
Was een aantal jaren geleden eind-tot-eind versleuteling nog maar mondjesmaat beschikbaar, tegenwoordig is het niet meer weg te denken. WhatsApp, Signal, Telegram: allemaal maken ze gebruik van deze vorm van versleuteling om onze communicatie te beveiligen en privacy te waarborgen.
De CSR is blij met deze ontwikkeling, maar erkent tegelijkertijd dat het een keerzijde kent: sterke encryptie bemoeilijkt de werkzaamheden van inlichtingen- en opsporingsdiensten. Daardoor ontstaan veiligheidsrisico’s in de meest brede zin.
Door end-en-end encryptie is het een stuk lastiger om aanslagen en andere misdrijven door de georganiseerde misdaad of terroristen te voorkomen. Of zoals het CSR het uitdrukt: “Het gebruik van dergelijke encryptie heeft impact op de opsporing, die steeds complexer wordt door de kansen die digitalisering helaas ook aan criminelen biedt.” Dit is zichtbaar doordat cybercriminaliteit steeds verder toeneemt.
De CSR constateert dat er zowel op de korte als middellange termijn geen oplossingen zijn die beide belangen -waarborgen van privacy en bestrijden van criminaliteit- volledig kunnen verenigen. “Een brede, andere benadering van dit vraagstuk is volgens de raad daarom waardevol én noodzakelijk”, zo benadrukt het adviesorgaan op het gebied van cybersecurity.
Alternatieven voor het afzwakken van encryptie zijn noodzakelijk voor de inlichtingen- en opsporingsdiensten. “De overheid heeft immers een inspanningsverplichting jegens haar burgers om de maatschappelijke veiligheid en orde te bewerkstelligen”, legt de CSR uit. Om die reden heeft de Raad een inventariserende verkenning gemaakt om alternatieven te bedenken om de inperking van encryptie tegen te gaan.
Volgens de CSR zijn er twee reële alternatieven die een uitweg kunnen bieden uit deze impasse. Allereerst doet het kabinet er volgens de Raad goed aan om de hackbevoegdheid van de politie en opsporingsdiensten te optimaliseren. “Door verankering en stroomlijning van hacken als opsporingsmiddel kan dit middel sneller en efficiënter worden ingezet en daarmee laagdrempeliger in gebruik zijn”, adviseert de Cyber Security Raad. In juli wist de politie dankzij haar hackbevoegdheid een 46-jarige man aan te houden die wordt verdacht van het onderhouden van een kinderpornografisch chatplatform.
Toch kleven er risico’s aan de hackbevoegdheid. De Inspectie Justitie en Veiligheid waarschuwde in mei dat hackingsoftware veelal afkomstig is van commerciële partijen. Noch het Openbaar Ministerie, noch de politie weet zodoende hoe de software werkt. Mogelijk verzamelen en verwerken derden de informatie die de politie binnenhaalt, maar het is technisch gezien onmogelijk om dit te controleren.
“De Inspectie JenV constateert dat hierdoor spanning ontstaat met het rechtskader wat voorschrijft dat alleen specifiek aangewezen politiemensen bij die gegevens mogen komen”, zo zei de Inspectie.
Verder valt er volgens de CSR nog veel winst te behalen als de politie en inlichtingen- en opsporingsdiensten vaker bedrijfsvoeringsgegevens, zoals logbestanden, vorderen. In de ogen van de Raad gebeurt dat nu nog te weinig. Door dit vaker te doen ontstaat er jurisprudentie binnen de huidige juridische kaders. Verder denkt de Raad dat hierdoor onduidelijkheden en obstakels voor nieuwe wetgeving worden weggenomen.
De Cyber Security Raad benadrukt dat het uitbreiden van de hackbevoegdheid en opvragen van bedrijfsvoeringsgegevens niet dé oplossing is voor het encryptievraagstuk. “Deze alternatieven zullen niet leiden tot een volwaardige vervanging van de bestaande interceptiebevoegdheden, zodat de teloorgang van aftapbaarheid gevoeld zal blijven worden. Zo concludeert de raad dat hacken weliswaar een zeer waardevol instrument is voor de inlichtingen- en opsporingsdiensten, maar qua schaalbaarheid en voorspelbaarheid van de opbrengst niet te vergelijken is met het aftappen van reguliere telefonie”, aldus het adviesorgaan.
Het kabinet probeert al langer een oplossing te bedenken om de privacy van burgers te beschermen en tegelijkertijd de opsporingsmogelijkheden te bevorderen. Het afzwakken van encryptie om Over-The-Top of OTT-diensten als WhatsApp, Signal en Telegram te kunnen afluisteren, werd daarbij meer dan eens genoemd. “Het is zaak om de beschermende waarde van versleuteling hoog te houden, terwijl de negatieve effecten voor opsporings- en inlichtingen en veiligheidsdiensten worden verminderd”, zo schreef oud-minister van Justitie en Veiligheid Ferd Grapperhaus begin vorig jaar in een brief.
De Tweede Kamer ziet niets in de kabinetsplannen. Eind juni nam de Kamer de motie-Van Raan aan om end-to-end encryptie in stand te houden. Een ruime meerderheid van 128 Kamerleden stemde in met de motie.
Ook buiten Europa klinkt de roep om end-to-end encryptie te verzwakken steeds luider. In november 2020 schreef een groep van zeven landen een gezamenlijke verklaring waarin ze hun zorgen uitspraken over de gevaren van deze vorm van versleuteling om de openbare orde te garanderen. “We dringen er bij de industrie op aan om onze ernstige zorgen te nemen wanneer encryptie wordt toegepast op een manier die elke wettelijke toegang tot inhoud volledig uitsluit. We roepen technologiebedrijven op om samen met overheden stappen te nemen, die gericht zijn op redelijke en technisch haalbare oplossingen”, zo schreven de initiatiefnemers in de verklaring.
https://www.cybersecurityraad.nl/actueel/nieuws/2022/08/25/cyber-security-raad-adviseert-reele-alternatieven-voor-inperken-van-encryptie