Mailen gaat vaak via de VS. Da’s handig voor de NSA

Nederlandse bedrijven maken vaak gebruik van Amerikaanse mailservers Dus kan gevoelige informatie onder ogen komen van de NSA En tja, wat doet de NSA daar eigenlijk mee?

Redacteuren technologie

Nederlandse bedrijven proberen zich uit alle macht te beschermen tegen hackers en spionerende concurrenten. Maar ze sturen nog altijd mailberichten via Amerikaanse servers, waartoe veiligheidsdienst NSA zich toegang kan verschaffen. Hoe slim is dat?

Nrc.next hield een steekproef om te kijken hoe bedrijven hun mail versturen. Oliemaatschappij Shell verstuurt berichten via FrontBridge, een spamfilterdienst in de VS, die is opgekocht door Microsoft. Hightechbedrijf ASML doet dat ook. Ingenieursbedrijf Arcadis gebruikt Microsoft. Energiemaatschappij Eneco gebruikt Postini, een maildienst die is overgenomen door Google. Dagblad De Telegraaf stuurt mail via clouddienst Outlook van Microsoft.

Vanaf het eerste document dat Edward Snowden lekte over de afluisterpraktijken van inlichtingendienst NSA is gespeculeerd over de mogelijkheid van bedrijfsspionage. Handel met voorkennis, diefstal van patenten en strategische plannen, het is allemaal mogelijk. Het motief is glashelder: geld.

Economische spionage is altijd ontkend door de National Security Agency NSA en de regering-Obama. Maar mondjesmaat sijpelen berichten door, die toch in die richting wijzen. Zo brak de Amerikaanse veiligheidsdienst in op de systemen van het Braziliaanse staatsoliemaatschappij Petrobras. Brazilië staat niet bekend als uitvalsbasis voor terroristen, maar het geeft binnenkort wel belangrijke concessies uit voor olievelden.

De NSA houdt ook het internationale betalingsverkeer in de gaten. De dienst zou creditcardmaatschappijen als Visa tappen en op eigen houtje in de database van het in België gevestigde SWIFT neuzen, dat de communicatie tussen banken organiseert. De VS hadden al beperkt toegang tot financiële transactiedata van SWIFT.

James Clapper, de directeur van de gezamenlijke Amerikaanse veiligheidsdiensten, verdedigt het afluisteren van bedrijven en financieel verkeer met het argument dat dit „de VS en bondgenoten tijdig kan waarschuwen voor internationale financiële crises [...] en omdat het inzicht kan geven in het economisch beleid of gedrag van andere landen, dat de wereldwijde markt kan beïnvloeden”. De informatie zou beslist niet worden doorgespeeld aan Amerikaanse bedrijven.

Maar is dat zo? En gebeurt het ook niet als het gaat om strategische zaken als olie en militaire technologie van private contractors?

Nederlandse mail

Wat doen Nederlandse bedrijven tegen mogelijk afluisteren van de NSA en andere inlichtingendiensten? Wapenen ze zich ertegen? Staat het op de agenda van de raden van bestuur?

Er staat immers veel op het spel. Shell, bijvoorbeeld, heeft de locaties te verbergen van potentiële olie- en gasvelden waar het bedrijf onderzoek naar doet. Of nieuwe technologieën voor gaswinning en duurzame alternatieven. De grootste concurrent is het Amerikaanse bedrijf ExxonMobil.

De woordvoerder van Shell zegt: „Ons beleid is om geen gebruik te maken van clouddiensten indien het informatie betreft die essentieel is voor onze bedrijfsvoering of strikt vertrouwelijk is.”

Maar het bedrijf slaat zakelijke informatie over activiteiten in de VS wel ín de VS op, en is daarom afhankelijk van de wetten en regels van dat land. Het bedrijf heeft er, zegt de woordvoerder, „begrip voor” dat zijn IT-leveranciers „soms in een positie komen waarin ze wettelijk verplicht zijn om aan het verzoek [informatieverzoeken van overheden] te voldoen”.

Ook een technologiebedrijf als ASML heeft er alle belang bij om de schijn te vermijden dat gevoelige informatie uitlekt. De chipmachinefabrikant heeft een verregaande vertrouwensband met zijn wereldwijde klanten en kan zelfs op afstand meekijken met de chipproductie van bijvoorbeeld Intel en Samsung.

Gevoelige informatie binnen het bedrijf mag niet op usb-sticks en andere ‘losse dragers’ worden bewaard, zegt de woordvoerder van ASML. Die informatie staat beveiligd op eigen servers. Maar de mail dan, die rechtstreeks naar de VS gaat? Volgens de ASML-woordvoerder is het beleid ook: geen gevoelige informatie via de mail.

En de vraag geldt ook voor ‘kleine spelers’. Een krant moet haar bronnen beschermen, een bouwbedrijf gedetailleerde tekeningen. Veel Nederlandse bedrijven willen „uit veiligheidsoverwegingen” niet uitgebreid reageren op vragen over het mailbeleid. Eneco volstaat met „veiligheid op IT-gebied heeft bij ons de hoogste prioriteit. De verhalen over de NSA zijn geen issue bij ons”. De Telegraaf antwoordt met: „Ter bescherming van onze bronnen zullen wij nimmer ingaan op vragen over mailverkeer en databeveiliging.”

Grote bedrijven als Google en Microsoft zitten ook in een lastige positie. Door de Snowden-documenten zijn hun diensten niet langer onomstreden, al beloven ze in hun trust-overeenkomsten dat Europese klanten beschermd zijn door de zogeheten Safe Harbor-regeling, die voorwaarden stelt aan de opslag van Europese privédata op Amerikaanse servers. Toch maakt de Patriot Act – de Amerikaanse wet die na de aanslagen van 9/11 de bevoegdheden van inlichtingendiensten verruimde – het mogelijk dat er gegevens worden opgevraagd bij bedrijven die economische banden hebben met de VS.

De techbedrijven ontkennen allemaal dat ze de NSA ruim baan geven om klanten af te luisteren. Maar ze mogen niet vertellen hoe vaak en welke gegevens ze daadwerkelijk aan de Amerikaanse veiligheidsdiensten doorspelen. Dat geldt als staatsgeheim. Daarom dringen onder meer Microsoft, Google, Facebook en Yahoo er bij de Amerikaanse overheid op aan meer transparantie te mogen bieden. Alleen zo kunnen ze het vertrouwen van hun klanten terugwinnen.

Daarnaast versterkte Google onlangs de encryptiestandaard van zijn clouddiensten en benadrukte daarbij dat de encryptiesleutel niet in handen van een overheid belandt. Dat moet onder meer zakelijke gebruikers van Google Apps geruststellen dat hun informatie veilig is.

Microsoft hoort naar aanleiding van het afluisterschandaal „veel emotie” onder klanten – „niet altijd het beste argument voor een risicoanalyse”. De cloud – de algemene term voor webdiensten en online opslag – wordt ter discussie gesteld en dat zorgt voor onrust.

Microsoft verkoopt maildiensten in verschillende smaken – en dat is eigenlijk een voordeel, aldus het techbedrijf. De Europese servers voor clouddienst Office 365 staan in Ierland, maar het is ook mogelijk de dienst af te nemen bij een landelijke provider als KPN. Bedrijven die hun mail volledig in eigen beheer willen houden, kunnen een lokale Exchange-server installeren.

De Euro-cloud

Wat kunnen Nederlandse bedrijven doen? Het is niet eenvoudig om je te wapenen tegen spionage op het niveau van de NSA. Bart Jacobs, hoogleraar computerbeveiliging aan de Nijmeegse Radboud Universiteit: „Als de NSA jou écht op het oog heeft, dan kun je niet zo veel doen.”

Maar je kunt het de NSA wel minder makkelijk maken. Kiezen voor een Nederlandse mailprovider in plaats van een Amerikaanse, bijvoorbeeld. Je data stallen in een Nederlandse of Europese cloud – Eurocommissaris Neelie Kroes dringt er al op aan, net als de Duitse minister van Justitie.

Volgens Bart Jacobs is er een goede reden om in Nederlands en Europees verband te pleiten voor het ‘hernationaliseren’ van digitale diensten, beveiliging en infrastructuur. Dus: niet alles uitbesteden aan de VS, maar hier houden.

Dat strookt dan weer helemaal niet met de net goedgekeurde plannen voor een Amerikaans filiaal van het grote internetknooppunt AMS-IX, de Amsterdam Internet Exchange. Jacobs: „Daarmee plaatst het zichzelf direct onder de Patriot Act. Zijn we helemaal gek geworden?” Nederland zou ook een eigen sterke encryptie-industrie in stand moeten houden, vindt Jacobs. „Die hadden we in de jaren 60 en 70 met Philips Crypto. Maar nu kopen we encryptie in in de VS. We moeten de wil hebben Nederlandse versleuteling te ontwikkelen en te gebruiken.” 

Al deze maatregelen kunnen ons – een beetje – beschermen tegen economische spionage door overheden. Want dat dat gebeurt, ligt voor de hand, zegt Jacobs. Hij wijst op de nieuwsberichten dat op het hoogtepunt van de financiële crisis de mail van EU-president Van Rompuy was onderschept door de Chinese geheime dienst. Om te speculeren tegen de euro. Dit zou een miljardenvoordeel kunnen opleveren. China ontkent, maar Jacobs wil ermee zeggen: de scenario’s liggen voor het oprapen.

Het Braziliaanse Petrobras neemt inmiddels wel maatregelen, uit angst dat Amerikaanse bedrijven voorsprong hebben door illegaal verkregen informatie. Het bedrijf gaat naar eigen zeggen miljarden extra investeren in databeveiliging. De Braziliaanse regering werkt aan een wet om grote Amerikaanse bedrijven als Facebook en Google te verplichten alle gegevens van Brazilianen op servers ín Brazilië op te slaan. India wil ambtenaren verbieden Amerikaanse maildiensten als Gmail en Yahoo te gebruiken. In Duitsland bieden drie grote internetproviders inmiddels veilige ‘Duitse mail’ aan. Misschien wordt ‘NSA-bestendig’– als dat mogelijk is – wel een unique selling point.