Mailen via VS, handig voor de NSA

Veel Nederlandse bedrijven gebruiken Amerikaanse mailservers. De veiligheidsdienst NSA kan meelezen. Wat doet die eigenlijk met al die informatie?

Foto Google

Nederlandse bedrijven proberen zich uit alle macht te beschermen tegen hackers en spionerende concurrenten. Maar ze sturen wel mailberichten via Amerikaanse servers, waartoe veiligheidsdienst NSA zich toegang kan verschaffen. Hoe slim is dat?

Deze krant hield een steekproef om te kijken hoe bedrijven hun mail versturen. Oliemaatschappij Shell verstuurt berichten via FrontBridge, een spamfilterdienst in de VS, die is opgekocht door Microsoft. Hightechbedrijf ASML doet dat ook. Ingenieursbedrijf Arcadis gebruikt Microsoft. Energiemaatschappij Eneco gebruikt Postini, een maildienst die is overgenomen door Google. Dagblad De Telegraaf stuurt mail via clouddienst Outlook van Microsoft.

Vanaf het eerste document dat Edward Snowden lekte over de afluisterpraktijken van de NSA is gespeculeerd over de mogelijkheid van bedrijfsspionage. Handel met voorkennis, diefstal van patenten en strategische plannen, het is allemaal mogelijk. Het motief is glashelder: geld.

Economische spionage is altijd ontkend door de National Security Agency NSA en de regering-Obama. Maar mondjesmaat sijpelen berichten door die toch in die richting wijzen. Zo brak de Amerikaanse veiligheidsdienst in op de systemen van de Braziliaanse staatsoliemaatschappij Petrobras. Brazilië staat niet bekend als uitvalsbasis voor terroristen, maar het geeft binnenkort wel belangrijke concessies uit voor olievelden.

De NSA houdt ook het internationale betalingsverkeer in de gaten. De dienst zou creditcardmaatschappijen als Visa tappen en op eigen houtje in de database neuzen van het in België gevestigde SWIFT, dat de communicatie tussen banken organiseert. De VS hadden al beperkt toegang tot financiële transactiedata van SWIFT.

James Clapper, de directeur van de gezamenlijke Amerikaanse veiligheidsdiensten, verdedigt het afluisteren van bedrijven en financieel verkeer met het argument dat dit „de VS en bondgenoten tijdig kan waarschuwen voor internationale financiële crises [...] en omdat het inzicht kan geven in het economisch beleid of gedrag van andere landen, dat de wereldwijde markt kan beïnvloeden”. De informatie zou beslist niet worden doorgespeeld aan Amerikaanse bedrijven.

Maar is dat zo? En gebeurt het ook niet als het gaat om strategische zaken als olie en technologie van private militaire bedrijven?

Vertrouwensband

Wat doen Nederlandse bedrijven tegen mogelijk afluisteren van de NSA en andere inlichtingendiensten? Er staat immers veel op het spel. Shell bijvoorbeeld heeft de locaties te verbergen van potentiële olie- en gasvelden waar het onderzoek naar doet. Of nieuwe technologieën voor gaswinning en duurzame alternatieven. De grootste concurrent is het Amerikaanse ExxonMobil. De woordvoerder van Shell zegt: „Ons beleid is om geen gebruik te maken van clouddiensten indien het informatie betreft die essentieel is voor onze bedrijfsvoering of strikt vertrouwelijk is.”

Maar het bedrijf slaat zakelijke informatie over activiteiten in de VS wel ín de VS op, en is daarom afhankelijk van de wetten en regels van dat land. Het bedrijf heeft er, zegt de woordvoerder, „begrip voor” dat zijn it-leveranciers „soms in een positie komen waarin ze wettelijk verplicht zijn om aan het verzoek [informatieverzoeken van overheden] te voldoen”.

Ook een technologiebedrijf als ASML heeft er alle belang bij de schijn te vermijden dat gevoelige informatie uitlekt. De chipmachinefabrikant heeft een verregaande vertrouwensband met zijn klanten en kan zelfs op afstand meekijken met de chipproductie van bijvoorbeeld Intel en Samsung. Gevoelige informatie binnen het bedrijf mag niet op usb-sticks en andere ‘losse dragers’ worden bewaard, zegt de ASML-woordvoerder. Die informatie staat beveiligd op eigen servers.

Maar de mail dan, die rechtstreeks naar de VS gaat? Volgens de woordvoerder is het beleid ook hier: geen gevoelige informatie via de mail.

De vraag geldt ook voor kleinere ‘spelers’. Een krant moet haar bronnen beschermen, een bouwbedrijf gedetailleerde tekeningen. Veel bedrijven willen „uit veiligheidsoverwegingen” niet uitgebreid reageren op vragen over het mailbeleid. Eneco volstaat met: „Veiligheid op it-gebied heeft bij ons de hoogste prioriteit. De verhalen over de NSA zijn geen issue bij ons”. De Telegraaf: „Ter bescherming van onze bronnen zullen wij nimmer ingaan op vragen over mailverkeer en databeveiliging.”

Ook Google en Microsoft zitten in een lastige positie. Door de Snowden-documenten zijn hun diensten niet langer onomstreden, al beloven ze in hun trust-overeenkomsten dat Europese klanten beschermd zijn door de zogeheten Safe Harbor-regeling, die voorwaarden stelt aan de opslag van Europese privédata op Amerikaanse servers. Toch maakt de Patriot Act – de Amerikaanse wet die na 9/11 de bevoegdheden van inlichtingendiensten verruimde – het mogelijk dat gegevens worden opgevraagd bij bedrijven die economische banden hebben met de VS.

De techbedrijven ontkennen dat ze de NSA ruim baan geven om klanten af te luisteren. Maar het is staatsgeheim hoe vaak en welke gegevens ze daadwerkelijk aan de veiligheidsdiensten doorspelen. Daarom dringen onder meer Microsoft, Google, Facebook en Yahoo er bij de Amerikaanse overheid op aan meer transparantie te mogen bieden. Alleen zo kunnen ze het vertrouwen van klanten terugwinnen. Daarnaast versterkte Google onlangs de encryptiestandaard van zijn clouddiensten en benadrukte dat de encryptiesleutel niet in handen van een overheid zou kunnen belanden. Dat moet onder anderen zakelijke gebruikers van Google Apps geruststellen dat hun informatie veilig is.

Microsoft hoort naar aanleiding van het afluisterschandaal „veel emotie” onder klanten – „niet altijd het beste argument voor een risicoanalyse”. De cloud – de algemene term voor webdiensten en onlineopslag – wordt ter discussie gesteld en dat zorgt voor onrust.

Microsoft verkoopt maildiensten in verschillende smaken – en dat is eigenlijk een voordeel, aldus het techbedrijf. De Europese servers voor clouddienst Office 365 staan in Ierland, maar de dienst is ook af te nemen bij een landelijke provider als KPN. Bedrijven die hun mail volledig in eigen beheer willen houden, kunnen een lokale Exchange-server installeren.

Europese cloud

Wat kunnen Nederlandse bedrijven doen? Het is niet eenvoudig je te wapenen tegen spionage op het niveau van de NSA. Bart Jacobs, hoogleraar computerbeveiliging aan de Nijmeegse Radboud Universiteit: „Als de NSA jou écht op het oog heeft, dan kun je niet zoveel doen.” Maar je kunt het de NSA we l minder makkelijk maken. Een Nederlandse mailprovider nemen, bijvoorbeeld. Je data stallen in een Nederlandse of Europese cloud – eurocommissaris Neelie Kroes dringt er al op aan, net als de Duitse minister van Justitie.

Volgens Bart Jacobs is er een goede reden om in Nederlands en Europees verband te pleiten voor het ‘hernationaliseren’ van digitale diensten, beveiliging en infrastructuur. Dus: niet alles uitbesteden aan de VS, maar hier houden.

Dat strookt dan weer helemaal niet met de net goedgekeurde plannen voor een Amerikaans filiaal van het grote internetknooppunt AMS-IX, de Amsterdam Internet Exchange. Jacobs: „Daarmee plaatst het zichzelf direct onder de Patriot Act. Zijn we helemaal gek geworden?” Nederland zou ook een eigen sterke encryptie-industrie in stand moeten houden, vindt Jacobs. „Die hadden we in de jaren 60 en 70 met Philips Crypto. Nu kopen we encryptie in in de VS. We moeten de wil hebben Nederlandse versleuteling te ontwikkelen en te gebruiken.”

Al deze maatregelen kunnen ons – een beetje – beschermen tegen economische spionage door overheden. Want dat dat gebeurt, ligt voor de hand, zegt Jacobs. Hij wijst op de berichten dat op het hoogtepunt van de financiële crisis de mail van EU-president Van Rompuy was onderschept door de Chinese geheime dienst. Om te speculeren tegen de euro. Dit zou een miljardenvoordeel kunnen opleveren. China ontkent, maar Jacobs wil ermee zeggen: de scenario’s liggen voor het oprapen.

Het Braziliaanse Petrobras neemt wel maatregelen, uit angst dat Amerikaanse bedrijven voorsprong hebben door illegaal verkregen informatie. Het bedrijf zegt miljarden extra te investeren in databeveiliging. De Braziliaanse regering werkt aan een wet om grote Amerikaanse bedrijven (Facebook, Google) te verplichten alle gegevens van Brazilianen op servers ín Brazilië op te slaan. India wil ambtenaren het gebruik van Amerikaanse maildiensten als Gmail en Yahoo verbieden. Drie grote Duitse providers bieden veilige ‘Duitse mail’ aan. Misschien wordt ‘NSA-bestendig’– als dat mogelijk is – wel een unique selling point.

    • Marc Hijink
    • Carola Houtekamer