Wie mag er meekijken op uw smartphone?

March 7, 2016

In december vorig jaar pleegde een echtpaar een terroristische aanslag in San Bernardino, California, waarbij veertien mensen omkwamen. Na de aanslag vond de FBI een iPhone van een van de terroristen. In dit soort gevallen vraagt de FBI bij Apple een kopie op van de back-up van de data. Apple voldoet normaal gesproken aan dit soort verzoeken, maar in dit geval is er geen recente back-up en wil de FBI dat Apple helpt bij het unlocken van de telefoon, om zo de meest recente gegevens te achterhalen. Dit kan de FBI niet langer zelf, omdat de beveiligingsmaatregelen op de iPhone steeds sterker zijn geworden: na tien foute pincodes wist de telefoon alle data. De beveiliging is echter niet waterdicht. Apple kan namelijk een software-update voor de telefoon maken waarbij de controle op het aantal geprobeerde pincodes omzeild wordt. In feite een update met een 'backdoor'. Een rechter heeft onlangs Apple de opdracht gegeven om zo'n update te maken voor deze specifieke iPhone en die aan de FBI ter beschikking te stellen. Zodat de onderzoekers van de FBI de iPhone zelf kunnen updaten en unlocken door alle mogelijke pincodes te proberen.

De rechter draagt Apple op een eigen product te hacken, en die hack aan een derde ter beschikking te stellen. Dit is een verregaand verzoek. Apple vecht daarom de uitspraak van de rechter aan en voert als als argument aan dat zo'n tool in de handen van een derde partij de beveiliging van alle iPhones in de wereld verzwakt.

De rechter had Apple ook kunnen verzoeken zelf het apparaat te unlocken en vervolgens de data aan de FBI ter beschikking te stellen. Ook in dat geval zou Apple een update met een backdoor moeten maken om zelf bij de data te kunnen. Maar de hack zelf zou niet in handen van een derde partij terecht komen. In beide gevallen schept dit een precedent. Amerikaanse rechters kunnen ook in andere gevallen Apple - en daarnaast andere bedrijven - opdragen een software-update met een achterdeur te maken. En andere landen, denk aan China of Syrië, zouden Apple vergelijkbare opdrachten kunnen geven.

Apple zou hierop kunnen anticiperen door het proces zo aan te passen dat bij een update altijd de toestemming van de eigenaar nodig is (dat wil zeggen: de telefoon is niet meer gelocked). Zonder die toestemming wist de update altijd de data op de telefoon. Data op een gelockte iPhone is dan altijd veilig. De (Amerikaanse) overheid zou daarop kunnen reageren door van Apple te éisen dat ze dat niet doen, en altijd de mogelijkheid openlaten om, na een verzoek van de autoriteiten, bij de data te kunnen. Een permanente backdoor dus. Technisch zou dat kunnen op een manier waarop alleen Apple bij de data kan, en alleen als het technologiebedrijf de betreffende iPhone in zijn bezit heeft.

De vraag is: is dat wenselijk?

Is het redelijk om in sommige - extreme - gevallen toegang te eisen tot de gegevens op een PC of smartphone? Bedrijven zoals Apple zijn al verplicht mee te werken bij de opsporing van een misdrijf en relevante data in hun bezit over te dragen. Moeten we een stap verder gaan en van fabrikanten eisen dat ze een achterdeur openhouden die toegang kan verlenen tot gegevens die ze niet zelf hebben maar wel op apparaten staan die ze gemaakt hebben?

En wie krijgt dan toegang? De opsporingsdiensten zelf toegang geven zet de deur tot onze PC's en telefoons ook open voor de Syrische of Chinese politie. Alleen de fabrikant toegang geven kan, maar dan nog is er het risico dat de 'sleutel' in handen van derden valt. En sowieso kan ook dan de Syrische of Chinese overheid Apple natuurlijk om assistentie vragen. We moeten ons afvragen of we wel toe moeten naar een situatie waar een commercieel bedrijf beslist of onze data wel of niet overhandigd worden aan de overheid. Zeker voor zoiets als een smartphone, die onze intiemste gedachten kent.

Ik sta eerlijk gezegd in tweestrijd bij het beantwoorden van deze belangrijke vragen. Wie denkt er mee?

Deze column verscheen op 5 maart 2016 in het FD.

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Carol
, 2016-03-07 14:40:52
(reply)

Het probleem wat je hiermee gaat krijgen is dat de onschuldigen hieronder gaan lijden. Immers als je telefoon kraakbaar is, dan is hij daarna ook veranderbaar door de derde partij. De FBI heeft geen schoon blazoen, net zo min als criminelen, ergo zodra hij openstaat, sta je als eigenaar niet bepaald zo sterk meer, immers je weet niet meer of er met de inhoud geknoeid is. Met name voor politiek gevoelige personen, denk b.v. aan Jacob Appelbaum of Julien Assange en aan hun gelieerde personen, mensen die vechten voor vrijheid van meningsuiting, kan dit zeer kwalijk uitpakken. Zij kunnen vanaf dat moment gemanipuleerd worden.

Terwijl het voor échte criminelen en terroristen nogal simpel te vermijden is. Zij plaatsen gewoon encrypte bestanden ergens in de cloud en nemen alleen een iPhone mee om het westen verder te ontregelen, perfect scenario. Mensen die iets te verbergen hebben, geldt natuurlijk eigenlijk voor ons allemaal, maar ik denk nu dus even aan mensen die iets (beperkt) strafbaars te verbergen hebben, die doen hetzelfde.

Robbert
, 2016-03-07 16:17:02
(reply)

Op dit moment loopt er een procedure in Amerika over deze kwestie. Apple kan op ieder moment geconfronteerd worden met een soortgelijke vordering in een ander land waar haar producten verkrijgbaar zijn. Het lijkt me dus verstandig dat Apple overheden de mogelijkheid biedt om zich toegang te verschaffen tot data van gebruikers. Deze procedure dient dan wel met waarborgen omkleed te worden. Bijvoorbeeld door pas toegang te verschaffen nadat een rechter in een individueel geval heeft geoordeeld dat toegang gerechtvaardigd is.

Frits
, 2016-03-07 18:49:38
(reply)

Ooit gehoord van function shift?

Dat gaat onvermijdelijk gebeuren, de historie staat er bol van. Er zijn zelfs spreekwoorden over: Als je hem een vinger geeft neemt hij de hele hand. De FBI ten voeten uit. Daar gaat alle behoedzame waarborgen op onderuit.

Hetzelfde zien we straks gebeuren met TTIP en ISDS.

Gilles Ampt
, 2016-03-07 21:21:22
(reply)

Beste Jaap-Henk, Allereerst denk ik dat het belangrijk is om vooral ook goed te kijken naar de totale werkwijze van de inlichtingen- en opsporingsdiensten. Er is als gevolg van de onthullingen van Snowden in 2013 een toenemend besef aan het ontstaan dat er nieuwe innovaties nodig zijn en dat de huidige crypto-oorlog een uitwas is van de werkwijzes van de afgelopen 20 of 25 jaar. Recente uitspraken van de directeur van de NSA wijzen op het besef tot noodzaak van verandering. Ook hier in Nederland dringt dit besef langzaam door, zoals tijdens de sessie bij de HSD (Hague Security Delta campus) afgelopen week over innovatie in contra-terrorisme. Het onderwerp innovatie wordt geagendeerd en dat is een goed teken.

De roep om encryptie te verbieden of te verzwakken is evenwel nog niet gedoofd en is nog hoogst actueel. Juist omdat er sinds Snowden een versnelde toename is van het gebruik van encryptie, en niet alleen door terroristen en criminelen. Tegelijkertijd groeit het besef dat een verbod op (sterke) encryptie niet alleen een maatschappelijk risico is voor de bescherming van privacy met alle gevolgen van dien, maar ook een risico voor de maatschappelijke veiligheid en stabiliteit als geheel. De beveiliging van kritische processen en infrastructuren in de samenleving is gebaat bij en kan vandaag de dag alleen maar bestaan bij de gratie van sterke digitale sleutels. Ter illustratie, een tijdperk zonder internetbankieren en digitale belastingaangiftes kunnen we ons niet meer voorstellen, dat wil niemand meer. Effectieve beveiliging tegen digitale bankroof is daardoor even noodzakelijk als beveiliging tegen fysieke bankroof. Met de roep om een verbod op (sterke) encryptie schieten we dus in onze eigen voet. Terug naar een instabiele of primitieve samenleving, dat is precies wat terroristen willen.

Dan nu het dilemma van de FBI en Apple in de San Bernardino casus. Te beginnen is er de uitgangssituatie dat Apple al meewerkt aan gerechtelijke bevelen voor toegang tot data van verdachten die is opgeslagen in de cloud. Dit is een geaccepteerde praktijk die we evengoed kennen in Nederland waar niet alleen opsporingsdiensten gegevens van verdachten vorderen bij allerlei bedrijven. In het huidige tijdperk met verplichte, veelal niet anonieme, check ins en check outs in het openbaar vervoer zijn er tegenwoordig legio dienstverleners gevonden en bevolen om persoonsgegevens aan opsporingsdiensten of belastingdienst te leveren. Dit gebeurt op flinke schaal en staat hier nu even niet ter discussie. Waar het hier wel om gaat is de opdracht van FBI aan Apple om de bestaande beveiligingsmaatregelen op het telefoontoestel van een verdachte te doorbreken. Mijn pleidooi, ook of juist als certified information privacy professional, is dat dit niet nooit moet kunnen, maar dat in ieder geval altijd alle voorzorgen moeten worden genomen en gegarandeerd dat dit alleen controleerbaar gebeurt zonder gevolgschade voor de beveiliging van produkten en diensten van de fabrikant en de gegevens van andere gebruikers van dezelfde en vergelijkbare produkten en diensten. Dit is een hele zware eis waar ik zodadelijk op terug kom. Een reden om niet voor een categorisch nee te zijn, is dat het in het perspectief en belang van privacybescherming enigszins arbitrair is of de persoonsgegevens in de cloud staan of op het toestel. Ook de gegevens in de Apple cloud zijn immers beveiligd door Apple, en dat vertrouwen is feitelijk ook al geschonden door het gerechtelijke bevel. De individuele belangenafweging over veiligheid versus privacy is hiermee al gemaakt. De essentie van deze casus is m.i. de gevolgen die dit kan hebben op de algemene verzwakking van bestaande produkten en diensten en daarmee de bescherming van de persoonsgegevens van alle gebruikers van (Apple) produkten en diensten. Die negatieve gevolgen zijn immens en dienen koste wat het kost voorkomen te worden. Daar zijn harde garanties voor nodig en advies en toezicht van onafhankelijke experts op gebieden als encryptie en digitale forensics. Het zal een zorgvuldige procedure moeten worden die in een speciaal daartoe ingerichte clean room wordt uitgevoerd, waar het fysieke toestel wordt ingebracht en ontmanteld en waar geen digitaal restmateriaal achterblijft louter dan de opgeëiste persoonlijke gegevens. Schept dit een precedent? Ja, absoluut. Het zal daarom aan een (in de US) bevoegde rechter moeten zijn om te beoordelen hoe zwaar (de bijdrage aan) het belang van nationale veiligheid is in een individuele casus om het belang van privacy van een individu en diens sociale netwerk hiervoor op te offeren. Wellicht dat juist vanuit het oogpunt van nationale veiligheid er ook sprake zal moeten zijn van een maximering van het aantal casussen dat op deze wijze wordt toegestaan. Dat zorgt voor terughoudend aan de vragende partij en creëert transparantie, hetgeen in het belang is van maatschappelijke en nationale veiligheid.

Het is alleen maar te hopen dat de innovatie bij de inlichtingen- en opsporingsdiensten dermate vaart neemt dat er niet in toenemende mate een beroep wordt gedaan op het doorbreken van de privacy bescherming van burgers. Het is niet alleen de privacy bescherming van de verdachte in kwestie die wordt gebroken, maar ook die van vele andere schuldige en onschuldige burgers. Die betalen allemaal een hoge prijs.

Frits
, 2016-03-08 08:26:06
(reply)

“Het is alleen maar te hopen dat de innovatie bij de inlichtingen- en opsporingsdiensten dermate vaart neemt dat er niet in toenemende mate een beroep wordt gedaan op het doorbreken van de privacy bescherming van burgers. Het is niet alleen de privacy bescherming van de verdachte in kwestie die wordt gebroken, maar ook die van vele andere schuldige en onschuldige burgers. Die betalen allemaal een hoge prijs.”

Het is juist deze zin die ik bedoel met function shift. Het heeft niet met innovatie bij de opsporingsdiensten te maken maar juist met het gebruik maken van het ontstane precedent en daarmee steeds vaker de bescherming te doorbreken. Voor vele onschuldige mensen is dit een gevaarlijke trend, zij kunnen niet meer op hun data vertrouwen wanneer dat eenmaal in handen is van een derde partij. De terrorist ontregelt de wereld en gaat zelf gebruik maken van losse versleutelingssoftware dus het geven van toegang lost ook nog eens fundamenteel niets op. De FBI had niet zo stom moeten zijn om de cloud Back-up te veranderen, daar moet niet de rest van de wereld de dupe van zijn. Nogmaals, het terugleggen van verantwoordelijkheden in de hand van personen als rechters is fundamenteel strijdig met het rechtsbeginsel dat wij als burger niets hoeven te zeggen wat ons kan schaden. Artikel 6 Europees verdrag van de rechten van de mens. We zijn niet verplicht mee te werken aan onze eigen veroordeling. Informatie in een smartphone is fundamenteel een vastlegging van onze spraak. We hebben het recht dat te verdedigen.

admin
, 2016-03-08 08:47:45
(reply)

Dat laatste lijkt mij niet juist. Een dagboek is ook een ‘vastlegging van je spraak’. Je hoeft de politie niet te vertellen waar je je dagboeken verstopt hebt. Maar als ze die vinden bij een huiszoeking mogen ze hem ook open maken en lezen.

Frits
, 2016-03-08 09:11:03
(reply)

Klopt Admin, maar als je er een slot op gemaakt hebt wat ze niet open krijgen, dan ben je nog steeds niet verplicht om mee te werken aan je eigen veroordeling. Dat is nou eenmaal het fundament van ons recht. Het is ook wat men dacht ik altijd zegt bij arrestatie. Alles wat je zegt kan en zal tegen je gebruikt worden. Er is ook een Amerikaanse prof die heeft onderzocht dat het altijd het beste is om niets te zeggen, immers elke uitspraak kan verdraaid worden of anders geïnterpreteerd dan je hem bedoeld hebt. We zijn allemaal maar mensen, ook rechters. Wie heeft dat ook weer gezegd, Descartes ? Socrates? Richelieu? Geeft u mij drie uitspraken en ik zorg dat de persoon ter dood veroordeeld wordt. Woorden kunnen erg verkeerd uitgelegd worden. Zeker als er al een verdenking bestaat. En in de huidige tijd zitten andersdenkenden dan de FBI, cq de mainstream toch al snel in een moeilijke hoek. Vrijheid is ook een geïnterpreteerd begrip geworden.

admin
, 2016-03-08 10:17:26
(reply)

Jij misschien niet, maar ze mogen het wel zelf proberen. Deze zaak gaat dus niet over het nemo tenetur beginsel, maar om de vraag in hoeverre een derde partij moet meewerken aan verzoek van de politie.

P.S.: Admin… Hm… Zal ik straks even fixen..

Frits
, 2016-03-08 10:42:17
(reply)

Daar heb jij weer een punt, daar gaat het inderdaad over. Maar het is in mijn belang dat ik een veilige omgeving blijf houden. Want in mijn “dagboek” staan b.v. ook mijn financiële gegevens inclusief pincodes en nog zovele meer privé gegevens. Een achterdeur brengt mij derhalve in gevaar, kan mij schaden. Dus ik vind het terecht dat ik mij verdedig door achter bedrijven te staan die die veiligheid voor mij mogelijk maken. En die de veiligheid van het hele internet op het oog hebben. Om het emotioneel te stellen, dat doet de FBI ook zij bespelen de emoties, kan ik op straat komen te staan als er een achterdeur ingebouwd wordt. Nog erger, kan ik beschuldigd worden van dingen die niet gedaan heb omdat mijn informatie gemanipuleerd wordt

Gilles Ampt
, 2016-03-08 10:43:04
(reply)

Dit laatste speelt niet in de San Bernardino case. Het dilemma om gedwongen mee te werken aan de eigen veroordeling kunnen we hier buiten beschouwing laten omdat de twee daders zijn omgekomen. Dat is in deze casus wel een belangrijk gegeven.

Frits
, 2016-03-08 13:19:47
(reply)

Dan nog blijft mijn hoofdpunt van 10:32 uur staan. Het openbreken middels een achterdeur kan bijzonder schadelijk uitpakken voor iedereen op het internet inclusief mijzelf. Ik leef nog en kan mij dan niet meer beroepen op het artikel 6 principe. Mijn dagboek wordt zonder mijn toestemming opengebroken. Om het daarom alleen te beperken tot de SAN Bernardino is teveel terugscopen. Het gaat om veel meer dan de gegevens van alleen die telefoon. Een achterdeur heeft betrekking op alle telefoons. En verwijzend naar mijn post van 08:26, het lost niets op. Alleen de gewone burgers worden geraakt in hun veiligheid op het internet.