Het Europees Parlement bereidt een onderzoek voor naar misbruik van Israëlische spionagesoftware binnen de Europese Unie, bleek eind deze week. Dit zet opnieuw een schijnwerper op cybersoftware van Israëlische defensiebedrijven, die al geruime tijd wegens opstapelende spionageschandalen onder vuur liggen.
Het Europese onderzoek wordt er een in een reeks internationale onderzoeken naar Israëlische spionageproducten die gebruikt zouden worden tegen journalisten, activisten, advocaten en politici. Ook door Israël zelf. De internationale verontwaardiging daarover leidt bij het Nederlandse kabinet nog niet tot bezorgdheid.
Dat is opmerkelijk, want ook de Nederlandse overheid werkt met Israëlische cybersoftware, zelfs op een van de meest gevoelige plekken: in de zogenaamde 'interceptieketens'. Dat zijn de tapkamers van onze opsporingsdiensten waarmee Nederland verdachten, criminelen en potentiele terroristen afluistert.
Experts noemen het naïef dat Nederland de Israëlische software gebruikt. In deze video leggen we uit hoe het systeem werkt en wat de risico's zijn:
De Nederlandse politietapkamer van Israëlische makelij stond al vaker ter discussie, maar de problemen en risico's die het systeem met zich meebrengt, worden steeds groter.
Afgelopen week berichtte Nieuwsuur hierover. Het ministerie van Justitie en Veiligheid stelde toen dat het zich niet zo druk maakt over de risico's: "Met betrekking tot het tapsysteem zijn afspraken gemaakt en beheersmaatregelen genomen zodat de leverancier geen toegang heeft tot gevoelige locaties en ICT-systemen."
Maar daarbij verzweeg het ministerie dat de politie wel dusdanige gevaren ziet bij het tapsysteem, dat die besloot dat het toezicht erop versterkt moet worden. Dat staat in het antwoord op Kamervragen van een week eerder over een ander probleem met een politiesysteem. De leverancier daarvan werd gehackt en gegevens waren op straat komen te liggen.
In het uitgebreide antwoord gaat de minister in op bredere veiligheidsmaatregelen die recent zijn genomen, zonder die specifiek te benoemen. De minister schrijft: "Recentelijk is door de Korpsleiding van de politie besloten tot het intensiveren van het toezicht tijdens de uitvoeringsfase van een contract waarbij substantiële veiligheidsrisico's zijn voorzien."
Een woordvoerder van het ministerie bevestigt nu aan Nieuwsuur dat dit de tapkamer van de Nederlandse politie betreft, waar de politie dus wel degelijk "substantiële veiligheidsrisico's" ziet.
Foute regimes
Ondertussen groeien de risico's die Nederland met dat tapsysteem loopt - om verschillende redenen. Ten eerste zijn er de zich opstapelende onthullingen dat Israëlische bedrijven de spionageproducten aan foute regimes leveren die er misbruik van maken. Bovendien zet Israël de spionagesoftware in tegen haar eigen burgers.
Ten tweede: de techniek van onze eigen politietapkamer zelf werkt niet naar behoren. En de Nederlandse politie of overheid heeft geen totaalzicht op wat er met de hypergevoelige persoonlijke informatie in die tapkamer gebeurt.
'Naïef en onverantwoord'
Cybersecurity-expert Erik Ploegmakers, die zelf ooit meebouwde aan een internationaal verkocht tapsysteem, noemt de houding van Nederland "naïef en onverantwoord". "Je maakt je afhankelijk van een ander land en de technologie en de integriteit van dat andere land. Dat zou je in dit speelveld, waarin zelfs oorlogsvoering digitaal wordt, niet moeten willen." Ploegmakers was tot twee jaar geleden bestuursvoorzitter van cybersecurity-bedrijf Fox-IT en is tegenwoordig bestuursvoorzitter van Zerocopter, een bedrijf dat andere bedrijven beschermt tegen cyberspionage en -criminaliteit met inzet van hackers.
De Israëlische Erella Grassiani werkt aan de Universiteit van Amsterdam als docent en onderzoeker naar het Israëlische veiligheidsbeleid. "Ik vind het heel problematisch dat Nederland in zee gaat met zo'n bedrijf omdat we weten wat Israëlische technologie teweeg kan brengen en hoe het gebruikt kan worden. En we weten niet precies hoe Israël de informatie die in Nederland wordt verzameld, gaat gebruiken. Vier of vijf jaar geleden, toen ik ook al onderzoek naar de Israëlische beveiligingsindustrie deed, wisten we al heel erg veel. Maar de laatste jaren is steeds meer informatie naar buiten gekomen, helemaal met het NSO- en Pegasus-schandaal. Nederland moet zo flexibel zijn om te zeggen: we moeten dit stoppen."
Sterke afhankelijkheid
Niet alleen cyberexperts zoals Ploegmakers en Israël-critici zoals Grassiani vinden Nederland naïef. Dat oordeel velde zelfs de eigen Nederlandse coördinator terrorismebestrijding, de NCTV. Die NCTV verwees eerder naar een onderzoek dat expliciet naar Israël als risicoland.
In dat onderzoek (Horizonscan Nationale Veiligheid 2018 van het Analistennetwerk Nationale Veiligheid) staat: "Op het moment is er op informatietechnologisch gebied een sterke afhankelijkheid van buitenlandse bedrijven. Het overgrote aandeel van de benodigde hard- en software wordt gemaakt in China, de Verenigde Staten en Israël. De facto zijn Nederland en andere Europese landen dus afhankelijk van deze spelers voor kritieke onderdelen van vitale digitale infrastructuren. Er is hier echter sprake van een zekere naïviteit. Tot nu toe is het een onderbelicht probleem dat onze samenleving op zeer grote schaal gebruik maakt van buitenlandse apparatuur en technologie, waar mogelijk zogenaamde 'backdoors' in zijn gebouwd."
Controle over eigen data
En ook onze veiligheidsdienst de AIVD waarschuwde al eerder voor de gevoeligheid van onze cyber-infrastructuur. De AIVD noemde het in 2019 nog "onwenselijk" als Nederland afhankelijk is van buitenlandse hard- of software "voor de uitwisseling van gevoelige informatie of voor vitale processen". De geheime dienst concludeerde in haar jaarverslag: "Het is ook van belang dat de Nederlandse gebruiker ervoor zorgt dat hij altijd controle heeft over zijn eigen data."
Precies dat, controle over eigen data, blijkt bij het politie-tapsysteem in Nederland niet het geval. De politie heeft veel te gebrekkige controle op wat er in het tapsysteem zelf gebeurt. Dat stelde bijvoorbeeld ook al de Rijksauditdienst vast in een onderzoek uit 2019 dat tot afgelopen zomer geheim bleef. De onderzoekers schrijven: "Niet duidelijk is wie formeel de systeemeigenaar is van de interceptieketen."
Eerder politieke discussie
Vermoedens daarover leidden al in 2016 tot politieke discussie. Op dat moment was het een staatsgeheim dat het tapsysteem dat de politie toen gebruikte, geleverd werd door een defensiebedrijf met Israëlische wortels: Verint. Toen fouten van het tapsysteem aan het licht kwamen, trokken twee hoogleraren bij het ministerie aan de bel. Rechtspsycholoog Peter van Koppen maakte zich zorgen om de integriteit van het bewijs, zijn collega Bart Jacobs om de integriteit van het systeem zelf. De minister beloofde daarop de wetenschappers en de Tweede Kamer beterschap.
Die beterschap kwam niet. De enige belofte die werd ingewilligd was de aanbesteding van een nieuw tapsysteem. Maar in 2019 bleek die aanbesteding opnieuw naar een Israëlisch defensiebedrijf te gaan, dit keer naar Elbit Systems.
Mogelijke miskoop
Sindsdien is alles weer geheim geworden. De hele aanbestedingsprocedure, inclusief een rechtszaak die een afgewezen Nederlandse leverancier tegen de Staat voerde, is staatsgeheim verklaard. Het systeem van Elbit is wel aangekocht, maar nog niet geïnstalleerd. Een reden dat implementatie al jaren vertraging heeft opgelopen en volgens de minister nog heel 2022 zal duren, wordt niet gegeven.
Het is zelfs volstrekt onduidelijk hoe de politie op dit moment tapt: met het oude systeem van Verint, of is de politie op een ander manier aan het improviseren met de extreem gevoelige informatie? Het is geheim.
Ploegmakers sluit niet uit dat Nederland met het nieuwe Elbit-systeem, dat jaren na de aankoop nog steeds niet functioneert, een miskoop beging waar het nu contractueel aan vast zit. "Dat is heel goed mogelijk. Het was in ieder geval niet zo kant en klaar en beschikbaar als we van tevoren dachten."
Met het gunnen van de aanbesteding in 2019 aan het Israëlische Elbit heeft heeft Nederland de problemen die er al waren in ieder geval alleen maar vergroot. Ploegmakers: "Ik vind dat naïef en ik vind het ook onverantwoord. En ook vooral onnodig. Want het is bijna altijd een economische keuze."
Niet verder kijken
Daarmee bedoelt hij dat Nederland zich niet afhankelijk zou hoeven maken van de Israëlische defensie-industrie. Al dan niet gezamenlijk met andere Europese landen zou Nederland volgens hem heel goed een eigen systeem kunnen bouwen waar het dan ook zelf controle op heeft.
Sterker, Ploegmakers bewees dat dat kon door jaren geleden aan zo'n systeem mee te bouwen dat uiteindelijk ook door Westerse landen werd gekocht en gebruikt. Maar door in 2019 te kiezen voor een aanbestedingsprocedure waarmee Nederland een kant-en-klaarsysteem wilde kopen, zette Nederland zichzelf voor het blok. "Het feit dat je een aanbesteding doet en uitkomt bij een Israëlisch bedrijf, is niet zo gek. Die zijn namelijk dominant, want die hebben de grootste industrie. Het feit dat je niet je best hebt gedaan om verder te kijken, is een groter probleem."
De mogelijke risico's van Israëlische cybersoftware worden niet alleen in Nederland gezien, maar ook in Israël. De Israëlische generaal buiten dienst Isaac Ben Israël was in het verleden een van de drijvende krachten achter de samenwerking tussen het Israëlisch leger en de Israëlische defensie-industrie. Tegenwoordig is hij hoogleraar cyberstudies in Tel Aviv. Hij zegt tegen Nieuwsuur dat hij de zorgen in Nederland begrijpt en noemt het "wellicht verstandiger" om een zelfgebouwd systeem te gebruiken.
Kamervragen
Afgelopen dinsdag vroeg SP-kamerlid Michiel van Nispen minister Dilan Yesilgöz hoe zij naar de kwestie keek. De minister beloofde een brief naar de Tweede Kamer te sturen om daar in het al geplande Kamerdebat over de politie aanstaande donderdag op terug te komen.
Daar zullen zeker ook de "substantiële risico's" die de politie zelf blijkt te zien, aan bod komen, want ook andere partijen in de Kamer maken zich zorgen om de integriteit van ons tapsysteem.
