Nederlandse cyberveiligheid in gevaar door Israëlische software
Al twintig jaar leiden Israëlische tapsystemen tot problemen en zorgen over spionage in de tapkamer van de Nederlandse politie. Een nieuwe onthulling van NRC maakt ingrijpen door de Tweede Kamer onvermijdelijk.
Op 25 november 2002 publiceerde dagblad Trouw een artikel onder de kop ‘Nederlandse tapkamers lek’. De eerste regel luidde als volgt:
Er zijn sterke aanwijzingen dat de Israëlische geheime dienst Mossad in staat is tapkamers van de Nederlandse inlichtingendiensten en de politie af te luisteren.
Trouw verwees naar onderzoek van de EO waaruit naar voren kwam dat de getapte informatie van de politie en de veiligheidsdiensten AIVD en MID (nu MIVD) naar Israël werd doorgesluisd. Te bewijzen viel het niet, aangezien de leverancier van de afluisterapparatuur, het Israëlische bedrijf Comverse, als enige toegang had tot het inwendige ervan. Ook Nederlandse ministeries bleken uitgerust met Comverse-apparatuur, waardoor mogelijk ook politiek gevoelige informatie in Israëlische handen kwam.
De kwestie draaide om ingebouwde ‘achterdeurtjes’. Comverse wilde destijds niet op de uitkomsten van het EO-onderzoek reageren. Wel achterhaalde Trouw dat de directeur van Comverse Nederland voorheen systeemmanager van de veiligheidsdienst BVD (nu AIVD) was.
Twintig jaar later
Op 28 september 2022, bijna twintig jaar na het Trouw-artikel, publiceerde NRC een artikel onder de kop ‘Opsporing komt in gevaar door disfunctioneren tapkamer politie’.
Dat biedt een inkijk in het in januari 2019 bij het Israëlische bedrijf Elbit aangekochte nieuwe tapsysteem:
Al ruim drie jaar proberen de politie en Elbit, met hulp van extra ingehuurde technici, het nieuwe tapsysteem draaiend te krijgen. Medewerkers van het Israëlische bedrijf zijn permanent aanwezig in de tapkamer in Driebergen, een extra beveiligde ruimte waar ook tal van andere gevoelige informatie ligt opgeslagen.
Het artikel beschrijft de puinhoop die het nieuwe systeem heeft aangericht in het hart van de politieorganisatie. Geen enkel onderdeel is nog operationeel, met grote risico’s voor opsporing en bewaking, en zelfs mensenlevens. Noodgedwongen wordt met man en macht en tegen hoge kosten getracht het oude systeem, in gebruik sinds 2010, overeind te houden. Dat is dermate verouderd dat onderdelen niet meer verkrijgbaar zijn. De leverancier, het Israëlische Verint (nu Cognyte), heeft aangekondigd er eind dit jaar de stekker uit te trekken. Dan zit de politie zonder tapsysteem, schrijft NRC.
Van achterdeurtje naar open deur
Ook dat tapsysteem van Verint, in gebruik sinds 2010, leidde tot onaanvaardbare risico’s. Sinds 2016 heeft Nieuwsuur uitgebreid aandacht besteed aan de Israëlische systemen, begin dit jaar samengevat in een overzichtartikel en een op YouTube te bekijken video met de titel ‘Extreem naief: ons tapsysteem in handen van Israël’. Kern daarvan is het risico dat cruciale informatie in handen valt van de Israëlische overheid, waaraan de meeste Israëlische defensie- en technologiebedrijven zijn gelieerd.
Wie zou denken dat de Nederlandse overheid dat risico na de ervaringen uit 2002 heeft uitgebannen zit er ver naast. Zo berichtte Nieuwsuur dat alle ruwe data die de tapkamer naar boven brengt eigendom werden van leverancier Verint. Het ‘achterdeurtje’ dat het debat over Comverse domineerde bleek vervangen door een open deur. Nadat de hoogleraren Peter van Koppen en Bert Jacobs alarm sloegen over de betrouwbaarheid en kwaliteit van het systeem greep het kabinet in. Er kwam een nieuwe leverancier, via een transparantere aanbesteding, met een betere waarborging van de kwaliteit – aldus de belofte aan de Tweede Kamer.
In de zomer van 2019 maakte het kabinet zijn keuze bekend, en opnieuw werd gekozen voor een Israëlisch bedrijf: Elbit. Dat riep vragen op. Elbit is leverancier van verboden clusterbommen en in Palestina betrokken bij ernstige misdaden tegen de Palestijnse bevolking. Maar bovendien werden met de keuze voor Elbit opnieuw onverantwoorde risico’s aangegaan op het gebied van cyber security, waarvoor het Analistennetwerk Nationale Veiligheid in zijn Horizonscan 2018 – met expliciete vermelding van Israël – al nadrukkelijk waarschuwde. Ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de AIVD lieten aansluitend duidelijke waarschuwingen horen, al werd Israël door de NCTV weggemoffeld in een voetnoot.
Volgende waarschuwing: Pegasus
Een ander signaal om uit de buurt te blijven van Israëlische leveranciers werd hoorbaar vanaf 2014, toen wereldwijd meldingen opdoken over Israëlische spionage-software (spyware) met de naam Pegasus, waarmee journalisten, mensenrechtenactivisten, advocaten, parlementariërs en zelfs regeringsleiders werden afgeluisterd. In 2021 werd de omvang van het Pegasus-schandaal duidelijk toen een lijst met 50 duizend namen van (potentiële) doelwitten uitlekte, leidend tot een grootschalig onderzoek onder de naam The Pegasus Project.
Al in 2018 was bekend dat Pegasus in 45 landen voor spionage-doeleinden werd ingezet. Daaronder ook Nederland, waar een Israëlische operator onder de naam DOME actief bleek, schreven wij vorig jaar. Zorgen dat Nederlanders in opdracht van Israël worden bespioneerd bestaan al langer. Eind 2017 beschreven we de strategie en infrastructuur die Israël heeft opgetuigd om organisaties en personen die opkomen voor de rechten van de Palestijnen wereldwijd te bestrijden. Ook het in 2021 verschenen rapport De ondermijning van pro-Palestijns activisme in Nederland geeft een beeld van de Nederlandse context.
Nederlandse leverancier
Ondanks al die alarmbellen en de ervaringen met Comverse en Verint koos Nederland in 2019 dus opnieuw voor een Israëlische leverancier. Dat roept de vraag op waarom niet is gekozen voor een Nederlands systeem. Achtereenvolgende ministers van Justitie en Veiligheid stelden dat de ontwikkeling daarvan onmogelijk zou zijn. Maar dat klopt niet, schrijft NRC. Niet alleen deed een Nederlands bedrijf mee aan de door Elbit gewonnen aanbesteding – en voerde daarover zelfs een rechtszaak –, ook blijkt jarenlang een door het Nederlandse Fox-IT gebouwd tapsysteem – Replay – als aanvulling door de politie te zijn gebruikt. Nog gekker: dat systeem werkte voortreffelijk en is aan meerdere landen verkocht, maar bij de Nederlandse politie inmiddels uit de lucht gehaald.
Dat is waar we nu staan. Het kabinet koos voor een ‘kant en klaar’ Elbit-systeem dat ruim drie jaar later niet functioneert en tot onaanvaardbare problemen en risico’s leidt, zowel voor de opsporing en beveiliging als voor de nationale cyberveiligheid. Een oplossing is niet in zicht, en het antieke back up-systeem van Elbits concurrent Verint wordt over drie maanden uit de lucht gehaald. Binnen de politieorganisatie zijn de verhoudingen inmiddels compleet verziekt.
Tweede Kamer: maak schoon schip
Twintig jaar na de eerste onthullingen is de puinhoop compleet en zijn we verder van huis dan ooit. Het is nu aan de Tweede Kamer om schoon schip te maken, waarbij de vraag centraal staat waarom ondanks de aangetoonde risico’s toch keer op keer wordt gekozen voor een Israëlische in plaats van een Nederlandse leverancier.
Daarbij verdient de relatie met Elbit speciale aandacht. Ondanks zijn slechte reputatie lijkt het bedrijf een voorkeurspositie te genieten. Zo trad het ministerie van Economische Zaken in juli 2021 op als koppelaar tussen Elbit en Nederlandse bedrijven – die daarmee werden blootgesteld aan op het ministerie bekende risico’s –, en werd eerder voor vele miljoenen defensiemateriaal van het bedrijf gekocht. Het is tijd voor antwoorden.
Geen opmerkingen:
Een reactie posten