De EU gaat zijn regulering voor de controle op uitvoer, overbrenging, tussenhandel en doorvoer van producten voor tweeërlei gebruik herzien.
Bent u nog wakker ? Europa’s wollige omschrijving klinkt niet zo spannend als cyberwapens, maar aan die dubieuze terminologie waagt de EU zich niet.
Ontkiemd uit de internationale Wassenaar-overeenkomst besloot de EU exportcontroles op dual-use technologie in te voeren : goederen die zowel civiele als militaire toepassingen kunnen hebben. Wassenaar voegde recent ook ‘information security’ toe aan deze lijst en de EU implementeert nu deze wetgeving.
Hoe Europa dit aanpakt kan een grote impact op onze internetveiligheid hebben. Daarom is het ook toe te juichen dat de EU zijn deuren heeft opengezet voor inspraak in de vorm van een online consultatie. Vreemd genoeg blijkt er zich hierover een clash te vormen tussen een duo dat normaal zij aan zij vecht voor internetvrijheid : mensenrechtenactivisten en cyberveiligheidonderzoekers. Ze geloven in elkaars intenties, maar struikelen over de toepassing. En de duivel zit in de details.
Wassenaar, en dus ook de EU, richt specifiek de pijlen op intrusion software.
Onder intrusion software verstaan we software die detectiesystemen probeert te omzeilen, en ook zero-day exploits (gaten in de software die nog niet ontdekt zijn door de gebruiker en ontwikkelaar). Momenteel is intrusion software legaal verkrijgbaar op de Europese markt, zolang hij geen criminele activiteiten tot gevolg heeft.
Mensenrechtenverdedigers zien graten in hoe de tools tegen activisten gebruikt kunnen worden. Er bestaan talloze bedrijven zoals het onlangs gehackte Hacking Team en FinFisher die spyware aan autoritaire overheden verkopen om hun bevolking te bespioneren en op te sluiten. Dus werd er via Wassenaar actie ondernomen.
Europarlementslid Marietje Schaake (zie ook haar opinie op 14 mei) is hevig voorstander van exportcontroles. Zij bracht het voorstel aan om de export van bedrijven te controleren, zodat ze niet meer aan actoren kunnen verkopen die hiermee mensenrechten kunnen schenden.
Cyberveiligheidonderzoekers verachten bedrijven als Hacking Team net zozeer. Toch zijn ze ontevreden met het idee dat er controle op intrusion software komt. Deze tools worden namelijk gebruikt om systemen te testen op hun veiligheid, en ze zo te verbeteren. De beste verdediging is de aanval, dus maakt elke verstandige organisatie wel gebruik van dit soort software om te zien waar de gaten in hun systemen zitten. Verder dragen vele individuen bij aan de gezondheid van het web door vrijwillig systemen te penetreren en kwetsbaarheden te delen met de organisaties. Hier wordt vaak een beloning voor gegeven, maar soms worden deze ook doorverkocht door mensen met minder zuivere bedoelingen.
Exportcontroles die puur op inhoud selecteren zijn volgens onderzoekers onmogelijk omdat er geen technisch onderscheid gemaakt kan worden tussen ‘goede’ en ‘slechte’ intrusion software. We spreken hier letterlijk over lijnen code. Enkel hoe deze gebruikt worden, bepaalt of het goed of slecht is. Dus komt het neer op wíe de software dan wel of niet mag gebruiken. Hypocrisie is hier helaas een dooddoener. Een autoritair regime dat activisten bespioneert kan vanuit een ander oogpunt ook een staat zijn die zich verdedigt tegen terroristen. Vele Europese staten doken ook op in de klantendatabase van Hacking Team. De pot verwijt de ketel ?
Ook al is zo’n beslissing ambigu, de cybersecurity-experten zijn het eens dat intrusion software niet verkocht zou mogen worden aan staten en bedrijven die mensenrechten schenden. Maar wat dan met de verkoop aan gewone individuen, die zelf kiezen of ze het goedaardig of kwaadaardig gebruiken ? Het lijkt zeer moeilijk zo’n controles te implementeren zonder elke verkoop na te kijken en vergunningen te eisen. Dit proces ontmoedigt vooral de onschuldige hackers. Ze zijn bang om gecriminaliseerd te worden als ze niet de juiste papieren zouden hebben. De EU probeert allerlei uitzonderingen toe te voegen zodat hun acties als onderzoek en open source geklasseerd kunnen worden. Maar intentie is een moeilijk meetbaar gegeven, en schijnbaar goede hackers kunnen ook slechte bedoelingen hebben.
In het geval van intrusion software is het gif tegelijk ook het anti-gif. Controles instellen kan onbedoelde barrières opwerpen om het internet gezond te houden. Toch voelt het alsof we niet anders kunnen dan ingrijpen.
Tot 15 oktober was constructieve feedback welkom via de publieke consultaties van de EU. Nu maar hopen dat de EU genoeg constructieve commentaren heeft gekregen om moraliteit met functionaliteit te verzoenen.
“Beide partijen geloven in elkaars intenties, maar struikelen over de toepassing”
Fout opgemerkt of meer nieuws? Meld het hier