Praktijkvoorbeelden van gegevensonttrekking

Ter ondersteuning van de vorige drie hoofdstukken zullen hier twee case studies behandeld worden. Het gaat hierbij om gevallen waarbij sprake was van grootschalige gegevensonttrekking. In het tweede stuk was er sprake van onwettige

gegevensonttrekking door een grote speler op de technologie- en informatiemarkt, opvallend genoeg een bedrijf waar wij met z’n allen al een heleboel informatie aan toevertrouwen. De gegevens werden onttrokken aan nietsvermoedende internetters binnen de Verenigde Staten van Amerika. Het eerste geval is uiteraard het meest bekende voorbeeld. Het gaat hier om klokkenluider Edward Snowden die in juni van 2013 een bijna oneindige hoeveelheid informatie naar buiten bracht over het afluisteren van zo goed als alle digitale communicatie door de Amerikaanse inlichtingendienst NSA. Maar dit voorbeeld behandelt een situatie die nu speelt, welke is ontstaan door toedoen van de onthulling van Snowden.

Wel is belangrijk om hier op te merken dat beide stukken, maar vooral het tweede stuk, niet geheel relevant zijn als het gaat om smartphones. Maar dit heeft een reden en dat is dat veel vormen van onttrekking niet specifiek zijn aan een bepaald apparaat. Veel onttrekkingtechnieken die worden gebruikt, zijn bijvoorbeeld van toepassing op computers, tablets, draadloze netwerken en smartphones. Dit komt doordat de

onderliggende techniek, vaak die van het internet, een gemeenschappelijke deler is bij alle communicatie op deze apparaten. De enige uitzonderingen in dit geval zijn het afluisteren van telefoongesprekken of het stelen/verliezen van de smartphone. Het onttrekken van informatie uit de communicatie en bij/door de aanbieders van diensten hebben beide betrekking op allerlei platformen. Zo kan een smartphone bijvoorbeeld ook met een computer communiceren en zowel en smartphone als computer kunnen bijvoorbeeld met Google communiceren. Zodoende geven de onderstaande case studies aan hoe de techniek in elkaar steekt, welke ook relevant is voor smartphones.

4.3.1 Angela Merkel en de NSA

Een van de grootte onthullingen van de laatste jaren op het gebied van

informatieonttrekking was het verhaal van de NSA en het grootschalig tappen van telefoon- en internetverkeer. Hier is al veel over geschreven, binnen dit rapport en daarbuiten, en deze zaak is inmiddels al dik twee jaar oud. Maar recentelijk is gebleken dat ook leiders van bondgenoten van de Verenigde Staten zijn afgeluisterd. Het nieuwste schandaal op dit gebied was de onthulling dat Angela Merkel, bondskanselier van

Duitsland, rechtstreeks vanaf haar mobiele telefoon afgeluisterd werd (The Guardian, 2015). Dit is groot nieuws geweest omdat het betekende dat de VS rechtstreeks toegang hadden tot een van de belangrijkste leiders binnen de Europese Unie en misschien wel toegang hadden tot allerlei informatie waar zij op verschillende manieren hun voordeel uit konden halen. Denk maar eens aan de onderhandelingen over het aanstaande TTIP, een zeer omvangrijk en omstreden handelsverdrag tussen de VS en de EU (Rijksoverheid, 2015). Inmiddels wordt er onderzocht hoe het mogelijk was dat deze telefoon zonder weten van de Duitse overheid afgetapt werd. Men is aan het onderzoeken of dit een gerichte actie was of dat Merkel simpelweg het slachtoffer was van het gigantische vangnet dat de NSA uit heeft gezet over onze mobiele en digitale communicatie. Om aan te geven hoe ook Angela Merkel binnen dit vangnet paste, kan hieronder een slide uit een officiële NSA presentatie worden bekeken welke betrekking heeft op alle diensten waar zij toegang tot hadden. Alle grote spelers zijn hierin aan de linkerzijde meegenomen, zoals Microsoft, Google, Facebook, Yahoo, YouTube, Skype, Apple, etc., en alle soorten informatie aan de rechterzijde.

Afbeelding 11: Een slide van NSA (gelekt door Edward Snowden) over de diensten waar zij met het PRISM afluisterprogramma toegang toe hadden.

Recentelijk is deze zaak eigenlijk nog interessanter geworden. Er is naar buiten gekomen dat Duitsland de Amerikaanse overheid heeft geholpen met spionage op andere Europese lidstaten en bedrijven. Niet alleen blijkt dit een hele hypocriete zet, aangezien de Duitse regering zelf moord en brand schreeuwde over het afluisteren van Merkel, maar het schaadt ook nog eens het vertrouwen binnen de Europese Unie. Verschillende grote Europese bedrijven, waaronder bijvoorbeeld Airbus, hebben nu zaken aangespannen tegen de Duitse overheid (DW, 2015) onder het mom van bedrijfsspionage met steun van een overheid. Uiteraard kan dit betekenen dat, wanneer de beschuldigingen worden bewezen, er sprake is geweest van oneerlijke concurrentie.

Men betoogt dat spionage niets nieuws is, en daar hebben ze misschien wel gelijk in. Vanaf de Tweede Wereldoorlog, via de Koude Oorlog en tijdens allerlei andere conflicten

is er sprake geweest van spionage. Ook buiten oorlogstijd bespioneren landen elkaar voortdurend en hebben zij dit al decennia gedaan. Maar nu dat de hoeveelheid opgeslagen informatie exponentieel is gegroeid zijn ook de gevolgen van

(bedrijfs)spionage minder goed te overzien. In de eerste jaren van het internet was dit niet duidelijk en omarmden we het internet en de hierbij ontstane verbondenheid als iets moois. Maar de laatste jaren komen we er steeds meer achter dat spionage, afluisteren en andere vormen van informatieonttrekking zich al op grote schaal ontwikkelen en dat zelfs bondgenoten, die al onder verschillende programma's informatie met elkaar uitwisselen, zich ook zonder elkaars medeweten tegoed doen aan allerlei informatie.

4.3.2 Google Streetview

We kennen inmiddels allemaal wel de Streetview functie van Google Maps waarmee je op een kaart helemaal kunt inzoomen tot aan straatniveau. Zodra je daar bent, is het voor een groot aantal locaties mogelijk de omgeving te bekijken. Google heeft dit voor elkaar gekregen door met auto’s, voorzien van 360° draaiende camera’s, foto’s van de omgeving te maken.

Later bleek dat deze Streetview auto’s van Google naast het maken van foto’s, ook op zoek waren naar onbeschermde WiFi-netwerken en tijdens het scannen verschillende gegevens over deze netwerken verzamelde om locatiegegevens op te slaan (Wired, 2014). Deze informatie gebruikte Google om de locatiediensten die zij aanbieden te

ondersteunen. Deze bezigheden begonnen als project van een van de medewerkers van het Streetview team. Deze medewerker had de juridische afdeling van Google ook al gevraagd te kijken naar de legaliteit van het project maar het was op de een of andere manier nooit geformaliseerd. Hierdoor werd de code aangebracht in de Streetview auto’s zonder goedkeuring van het management en de juridische afdeling, en is het verzamelen tussen 2008 en 2010 ongemerkt doorgegaan. Toen dit in 2010 aan het licht kwam, is Google dan ook meteen met de verzameling gestopt. Google heeft het project stopgezet en aangeboden de data te vernietigen, en gaf aan dat de verzamelde informatie nooit is gebruikt voor andere doeleinden dan het opslaan van locatiegegevens.

Toen dit aan het licht kwam, voelden veel mensen zich bedrogen en werd het vertrouwen in het bedrijf beschadigd. Google is dan ook voor de rechter gedaagd en deze rechtszaak is geëscaleerd naar de Amerikaanse Supreme Court. Wired Magazine (2014) noemt het dan ook het grootste Amerikaanse afluisterschandaal sinds de onthulling van Edward

Snowden. In de rechtszaal wordt nu behandeld of het verzamelen van locatie-informatie binnen de wet valt of dat er regels zijn overschreden tijdens de werkzaamheden van Google. De Department of Justice in de VS, alsmede de Federal Communications

Commission (FCC), de Amerikaanse versie van onze OPTA, hebben beiden geoordeeld dat

het verzamelen rechtmatig was maar verschillende massaclaims tegen Google lopen nog.

Hoewel de rechter heeft gesteld dat openbare (onversleutelde) informatie rechtmatig verzameld mag worden is men bang dat dit criminelen in de hand zal werken. Deze criminelen zouden zich kunnen verschuilen achter deze uitspraak en zouden eenvoudig openbare netwerken af kunnen speuren naar privégegevens waar vervolgens fraude mee kan worden gepleegd. Een veelgehoorde vergelijking die in deze zaak geldt, is: alleen omdat je voordeur openstaat, betekent nog niet dat het wettig is om in te breken. Een discussie die zich nu verplaatst naar het digitale landschap waar we nog minder ervaren zijn en de regels vaak een aantal jaar achterlopen op de (zeer snelle) ontwikkelingen.

4.4 Conclusie

Samenvattend, er zijn heel veel manieren om informatie te onttrekken aan smartphones. Omdat hier een algemeen beeld van deze onttrekking geschetst wordt, zijn de vier belangrijkste vormen behandeld. Het gaat dan om de volgende methodes:

verzamelen van gebruikersinformatie, onttrekking uit draadloze communicatie, onttrekking uit de smartphones zelf, onttrekking uit applicaties van derden.

Deze vormen van gegevensonttrekking vinden op verschillende manieren plaats, worden met verschillende doelen in het achterhoofd toegepast en hebben vaak te maken met allerlei actoren. Ook is het belangrijk om te vermelden dat niet alle methodes van onttrekking specifiek aan smartphones zijn. Zoals uit de voorbeelden en case studies is gebleken, bestaat er veel overlap tussen methodes die gebruikt worden op smartphones en methodes die voor andere digitale apparaten gebruikt kunnen worden zoals computers en tablets.

Het bovenstaande komt doordat de meeste informatieonttrekking plaatsvindt op met het internet verbonden apparaten. De diensten waar al deze apparaten gebruik van maken zijn te gebruiken op zowel de computer als op een smartphone of tablet. Denk hierbij aan het gebruik van e-mail en het internet. Juist doordat de smartphone zoveel meer op een kleine computer is gaan lijken, zijn de risico's die er al bestonden voor computers zich gaan verplaatsen naar andere apparaten waaronder de smartphone

In het volgende hoofdstuk worden de hierboven beschreven methodes nader toegelicht door de motivaties en bijbehorende partijen te beschrijven.