'Let op met je laptop aan de Franse grens'

In 2014 gaat het Coördinatiecentrum Cyberveiligheid van de regering-Di Rupo van start. Wat verwacht u daarvan?

Bart Preneel: Dat het Coördinatiecentrum een begin maakt. Maar het toegekende budget van tien miljoen euro is heel beperkt, zeker als je let op de omvang van de cyberdreiging, de complexiteit van de problemen en het feit dat je een geïntegreerde aanpak nodig hebt. Je moet zowel overheidssystemen overzien als industriële systemen -denk aan energie, water, telecom, de chemische industrie… Daarnaast kan je er van uit gaan dat het ten dele een herschikking is van bestaande middelen. Het totaal budget dat alle Belgische overheden besteden aan cyberveilighed blijft veel kleiner dan in het buitenland.

Hoe sterk staan de Belgische inlichtingendiensten (ADIV en VSSE) op het vlak van cyberdefensie?

Bart Preneel: Ook zij zijn zwaar ondergefinancierd. Er zit een heel beperkt aantal mensen dat met heel weinig middelen een aantal basisdingen doet. Maar zeker in vergelijking met het buitenland hebben ze veel te weinig middelen. Cyberveiligheid staat in België niet op de agenda.

Toen de ADIV rond de kerstperiode 2012 malware op zijn systeem aantrof, riep ze de NSA ter hulp. Het gehackte Belgacom klopte aan bij de Nederlandse experts van FOX-IT. Heeft België niet de expertise in huis om dat soort dingen zelf op te lossen?

Bart Preneel: In België is er heel wat kennis in de academische wereld en de industrie, maar de overheid heeft inderdaad veel te weinig expertise. Een probleem is dat de overheid geen geld vrijmaakt voor academisch onderzoek naar IT-veiligheid. In het buitenland krijgen mijn academische collega’s specifieke steun om nieuwe opleidingen rond cyberveiligheid te organiseren en elk jaar tien doctoraatsstudenten aan te nemen op dit gebied. Hier in België gebeurt is die stap nog niet gezet.

Toch heeft uw eigen onderzoekseenheid aan de KU Leuven een uitstekende reputatie terzake opgebouwd.

Bart Preneel: De Amerikaanse encryptiestandaard AES is inderdaad aan onze universiteit gemaakt. Ook de specificaties van de chipkaart in alle creditcards zijn in België gemaakt in de jaren negentig. België heeft dus wel expertise, maar die zit niet voldoende bij de overheid. En er is ad hoc interactie, bijvoorbeeld wat betreft de elektronische identiteitskaart of stemsystemen, maar in het algemeen bestaat er geen structurele interactie. Bovendien ondersteunt de overheid de IT-security-sector niet. In Nederland, Duitsland en Frankrijk heb je een sterke IT-security-sector omdat de overheid hen geregeld opdrachten of contracten geeft. De Belgische cyberexperts zijn internationaal actief maar slechts heel weinig op Belgisch niveau.

‘De NSA komt naar onze conferenties’

Het regent nu al ruim een half jaar onthullingen over Amerikaanse en Britse surveillance. Welk Snowden-nieuws heeft u het meeste verbaasd?

Bart Preneel: Het klinkt misschien wat snobistisch maar ik ben eigenlijk over heel weinig echt verbaasd. Wij kennen een aantal van die mensen: de NSA komt al dertig jaar naar onze conferenties. Ze zeggen nooit iets. Ze nemen alleen maar informatie mee.

Een verrassende onthulling is het ondermijnen van een Amerikaanse en internationale standaard (de EC_DRBG), waar NSA bewust een achterdeur heeft ingebouwd. Er is ook gelekt dat NSA computers infecteert door op het Internet sneller te antwoorden dan de grote websites (QUANTUM INSERTION). Ook onderscheppen ze sommige computers die online besteld worden, en plaatsen ze er een bijkomende chip in waarmee ze deze draadloos kunnen afluisteren.  En in alle smart phones kunnen ze inbreken. Wat mij het meest verbaasde, is hoe Snowden aan al die informatie is geraakt. Je zou toch denken dat de NSA haar eigen informatie beter beschermt.

U bent een wereldautoriteit inzake encryptie. Denkt u dat de NSA –of andere geheime diensten- u in de gaten houden?

Bart Preneel: Ik denk dat die kans bestaat omdat ik zes jaar president ben geweest van de International Association for Cryptologic Research (IACR). Bovendien kijken wij als onderzoeksgroep wel naar een aantal cryptografische dingen, zoals producten met geheime algoritmes of geheime oplossingen. Ik heb geen toegang tot militaire informatie en beschik niet over een veiligheidsmachtiging, maar ik heb wel commerciële geheimen. Daarom probeer ik voorzichtig te zijn.

Hoe doet u dat? Welke beveiligingsmaatregelen neemt u?

Bart Preneel: Mijn gevoeligste informatie staat op een computer die niet met het internet verbonden is. Wanneer ik er gegevens op zet of afhaal, ga ik heel voorzichtig te werk. Ik vercijfer ook gevoelige gegevens, met TrueCrypt, PGP of GPG. En wanneer ik naar landen reis waarvan ik weet dat men daar naar computers kijkt, dan vernietig ik al mijn gegevens voor ik ernaartoe ga.

Noem die landen eens.

Bart Preneel: De Verenigde Staten, Groot-Brittannië, Iran, China maar ook Frankrijk. Dat zijn landen waarvan geweten is dat zij aan de grens pc’s confisqueren om te kijken wat er op staat. Geen probleem, want als ik in de UK ben, dan log ik in op mijn servers hier en dan kan ik toch werken. Maar op mijn pc zal u geen enkele kostbare informatie vinden wanneer ik een grens met zo’n land oversteek.

Anoniem surfen

Welke tips heeft u voor de modale computergebruiker die zijn data beter wil beschermen?

Bart Preneel: Tor is een dienst die je toelaat anoniem te surfen. Door Tor te gebruiken, zal de website waar jij naartoe surft niet weten wie jij bent. Tor wordt trouwens gebruikt door overheden of politiediensten wanneer zij zelf anoniem willen blijven. Tor zou meer aangemoedigd moeten worden. Dat de meeste mensen het niet gebruiken, is onder meer omdat het je verbinding met een factor tien vertraagt.

Om mails te encrypteren, kan je best GnuPG gebruiken. Probleem is dat het niet heel gebruiksvriendelijk is. Eigenlijk is GnuPG eerder iets voor nerds.

Kan je überhaupt encryptie nog wel vertrouwen, wetende dat de NSA zelfs daarin tussenkomt?

Bart Preneel: De NSA probeert inderdaad op alle mogelijke manieren encryptie te ondermijnen. Maar als je open source software correct gebruikt en als alle verbindingen by default geëncrypteerd worden, zou de taak van NSA veel moeilijker worden. Want moest de NSA alle encryptie kunnen breken, dan zou ze zeker niet zoveel inspanningen doen om op andere manieren aan informatie te geraken.

‘De NSA komt al dertig jaar naar onze conferenties. Ze zeggen nooit iets. Ze nemen alleen maar informatie mee.’

Is Skype veilig?

Bart Preneel: Skype gebruikt ook encryptie, maar dat is niet transparant. Er is geen open beschrijving van wat er gebeurt. Als wetenschapper kan je dat niet analyseren om na te gaan of het veilig is of niet. Daarnaast kan je er van uitgaan dat de Amerikaanse maar ook andere overheden toegang hebben tot Skype informatie.

Het Apple-model

De voorbije twee decennia is IT een steeds belangrijkere rol gaan spelen in ons dagelijkse leven. Waarom is IT eigenlijk zo kwetsbaar en onveilig?

Bart Preneel: Een belangrijke reden is de economische. Er is geen enkele economische drive om infrastructuur te beveiligen. Dat is al twintig jaar zo. In IT wordt succes gedreven door marktaandeel, en dat krijg je door heel snel te zijn met nieuwe producten -niet door veilig te zijn. Of een product veilig is of niet, kan een gemiddelde gebruiker niet zien.

Dankzij Snowden is het besef toch gegroeid dat cyberveiligheid belangrijk is?

Bart Preneel: Nu beseffen we inderdaad dat we veel te veel afhankelijk zijn van technologie en dat we in veiligheid moeten investeren. Maar alles terugschroeven is heel moeilijk. Stel dat je alle routers zou vervangen… dat kost een gigantische hoeveelheid geld.

Een bijkomend probleem is dat landen elkaar tegenwerken. In de VS en de UK staan de NSA respectievelijk het GCHQ zowel in voor cyberaanvallen als -verdediging. Vaststelling: de aanvalkant wint. De overheid kiest ervoor om systemen zwak te maken of houden zodat zij kunnen binnenbreken, veeleer dan ervoor te zorgen dat alles veilig is.

De Duitse hacker Florian Walther pleitte er in het Europees parlement voor om softwareproducenten aansprakelijk te stellen voor fouten in hun producten. Goed voorstel?

Bart Preneel: Het is zeker een weg die we zouden moeten inslaan. Men zou het recht moeten wegnemen om alles te disclaimen. Als u de end user licence agreements van standaard software leest… dat is verschrikkelijk. Je zou dus juridische druk kunnen inbouwen om tot een beetje meer veiligheid te komen. Maar de situatie is vrij complex. Als een fabrikant een auto op de markt wil brengen, wordt die getest. Als blijkt dat de benzinetank ontploft bij een botsing, dan is de constructeur aansprakelijk. Op die manier investeert de autosector voldoende in beveiliging. Maar stel dat je een app koopt, en die app lijkt slechte dingen te doen, is dat dan de fout van degene die de app schrijft, van de middleware, van het operating system of van degene die de smartphone gemaakt heeft?

Is dat zo moeilijk te achterhalen dan?

Bart Preneel: Het kan zijn dat er een bepaalde onverwachte eigenschap van hardware interageert met de software; idem met het operating system. Probleem is dat de software-wereld heel complex is. De enige manier om dat te vermijden, is te werken met het Apple-model. Apple beheert zowel de hardware, als het operating systeem en de apps. Dan krijg je een gesloten model en daarom is Apple een klein beetje veiliger dan andere.

Tegelijkertijd is Apple ook een gevangenis. Apple heeft een monopolie: als u uw gegevens bij Apple onderbrengt, heeft Apple al uw gegevens. Weet dat die naar de Amerikaanse overheid gaan. En dan kan u ook niet meer weg… u heeft er bijvoorbeeld al uw muziek gekocht.

Een Europese Snowden

Midden december gaf u in het LIBE-comité van het Europees Parlement tekst en uitleg over databescherming. Hoe schat u de rol in van dat comité, dat onderzoek voert naar de NSA-surveillance?

Bart Preneel: Het Europees Parlement is de juiste plaats om de discussie over massa-surveillance te voeren. Probleem is dat de meeste Europese overheden er alle belang bij hebben om te zwijgen over de NSA. De reactie van premier Eio Di Rupo op het nieuws over zijn hacking was vrij gematigd. Hij krijgt waarschijnlijk van de NSA ook informatie terug, dus zwijgt hij gewoon. Hij heeft er geen enkel belang bij om op hun tenen te trappen. Alle Europese regeringen zitten eigenlijk mee in die aanpak en willen er ook niets aan doen. Er is bovendien druk van politie- en inlichtingendiensten én van de diplomatie om niet te veel te zeggen en doen. Elke regering die een NSA zou hebben, zou het zelf ook doen. Laat ons eerlijk zijn: elke eerste minister droomt ervan te weten wat zijn buitenlandse collega’s denken.

De massasurveillance ondermijnt onze democratie. Daarom is het essentieel dat het parlement daarin tussenkomt. Omdat daar toch nog een beetje neutraliteit heerst en omdat ze op een kritische manier kunnen kijken naar wat industrie, overheden, politie en de inlichtingendiensten doen.

Eind januari-begin februari legt het LIBE-comité een reeks aanbevelingen voor aan het Europees parlement: er moeten Europese cloud-diensten worden opgezet; EU-burgers moeten juridische instrumenten krijgen om hun data in de VS te kunnen beschermen…

Bart Preneel: De grote vraag is wat er echt met dat document zal gebeuren. In 2001 maakte het Europees Parlement al eens een rapport over Echelon (wereldwijde interceptienetwerk van satellietcommunicatie door de NSA, GCHQ en drie partnerdiensten, kc). Er zijn rapporten gemaakt over het feit dat Europa meer encryptie moet gebruiken. Daar is niets mee gebeurd, dat is allemaal in de schuif blijven liggen. Ook toen wist men dat alles werd afgeluisterd. De storm is dan overgewaaid.

Het verschil nu is dat Snowden en de journalisten waarmee hij werkt de informatie op een heel slimme manier vrijgeven. Ze proberen de aandacht van het grote publiek over een lange termijn vast te houden. Maar uiteindelijk gaat die aandacht verslappen. Hoe lang kan de pers nog volhouden om erover te berichten en erover verontwaardigd te zijn?

Zelfs toen de publieke opinie in Europa wél verontwaardigd was, bleef een hard antwoord van de EU uit.

Bart Preneel: Europa moet natuurlijk ook niet te hard roepen op de NSA. Vergeet niet dat Europa in 2006 de dataretentie-richtlijn heeft gestemd. Die legt operatoren in alle EU-lidstaten op om metadata bij te houden: wie praat met wie, wie mailt naar wie, welke websites bezoek je, wanneer log je in op welke server?

Die dataretentie gebeurt met het oog op strafrechtelijke onderzoeken?

Bart Preneel: Worden de data ook niet op andere manieren opgevraagd? Dat weten we niet. We hebben geen Europese Snowden.

Bedankt voor het gesprek.