NSA en bedrijfsspionage

1936

Interessant rapportje van Ernst & Young Deutschland begin augustus. Managers en beveiligingsdeskundigen van 400 onderzochte Duitse bedrijven zien de Verenigde Staten steeds meer als een koploper op het gebied van industriële spionage. China staat nog altijd bovenaan (28% ziet dit land als een bedreiging), maar de VS volgen vlak daarachter met 26%, dik vier keer zoveel als twee jaar geleden.

Die trend geeft een hint over de dubbelzinnige Duitse reactie op de onthullingen van klokkenluider Edward Snowden over de omvang van de Amerikaanse dataverzamelwoede. De woede was groot, ook al bleken de Duitse inlichtingendiensten innig samen te werken met hun Amerikaanse collega’s van de NSA. In de strijd tegen het terrorisme trekken beide landen graag samen op, maar allicht vermoeden de Duitsers dat het de Amerikanen ook te doen is om de economische bijvangst.

De Brazilianen zijn daar al van overtuigd. Het dagblad O Globo onthulde in juli dat Amerikaanse bedrijven in het land (en in andere Latijns-Amerikaanse landen) samenwerken met de NSA om lokaal internet- en telefoonverkeer te onderscheppen. De interesse gaat uit naar onder meer de energiesector, drugssmokkel en militaire orders. De Brazilianen hebben aangekondigd aanscherping te willen van de privacyregels in het internationale dataverkeer.

Als je eventjes doordenkt, is het eigenlijk volstrekt logisch dat industriële cyberspionage onder bondgenoten plaatsvindt. Zeker in vitale industrieën als de lucht- en ruimtevaart gebeurde dat altijd al, dus waarom niet in het digitale tijdperk? De Amerikanen hebben in de strijd tegen het terrorisme alleen een perfect alibi gevonden om hun activiteiten te rechtvaardigen. Als uitkomt dat al die goedkope Chinese modems die iedereen in huis heeft stiekem alle communicatie naar de thuisbasis sturen, geloof niemand dat het te doen is om de opsporing van Bin Ladens erfgenamen. De Amerikanen hebben het voordeel van de twijfel.

Kortom, als ik een hitech bedrijf was met een Amerikaanse of Chinese concurrent, zou ik mijn bedrijfsgeheimen niet op een netwerkcomputer opslaan. Als het een Franse of Duitse concurrent was overigens ook niet – dat het vooral incidenten met Amerikanen en Chinezen zijn die uitkomen zegt allicht iets over de omvang van hun activiteiten, maar niet veel meer. Ik geloof in elk geval niet dat Europeanen dommer of braver zijn.

Wat me brengt bij de vraag: hoe effectief is al dit onderlinge gespioneer nu helemaal? Er is in elk geval iets van opbrengst, anders zou het niet gebeuren. Snowden zelf onthulde hoe hij in zijn CIA-tijd een Zwitserse bankier dronken voerde om hem geheimen te ontfutselen, dus het ouderwetse handwerk (gerichter maar duurder dan online snuffelen) is verre van verlaten. Ook in de strijd tegen het terrorisme is de ouderwetse methode dominant – of dacht u dat Osama gepakt werd via zijn Facebook-account?

Een incidentje in augustus zaaide bij mij twijfels over de capabiliteit van de NSA. Lavabit, de emailprovider van Snowden, zette de site op zwart. De eigenaar was wat cryptisch over de toedracht, maar maakte wel duidelijk dat een botsing met de overheid over zijn versleutelde mailservice eraan ten grondslag lag. Kennelijk lukte het de NSA niet om door de encryptie heen te breken, dacht ik, dus moesten er juridische stappen aan te pas komen om Lavabit te bewegen Snowdens mailverkeer te overhandigen. Wat zou er immers aantrekkelijker zijn voor de NSA dan meekijken in Snowdens mail, terwijl hij zelf denkt dat die veilig is?

Deze maand gaat het nieuwe datacentrum van de NSA in Utah open. Er wordt uiteraard veel gespeculeerd over wat daar allemaal gaat gebeuren, maar mij viel vooral het energieverbruik op: 65 MW. Alleen al Google heeft vier datacentra die meer gebruiken. Het is dus niet waarschijnlijk dat de NSA zomaar alles kan verzamelen en analyseren. Puur persoonlijk denk ik dat de NSA slechts een fractie boven haalt van wat ze boven zou willen halen uit gebrek aan geld en vaardigheden. Maar naast ‘snelkookpan’, ‘jihad’ en ‘bomgordel’ vermoed ik dat de Amerikaanse computers ook aanslaan op ‘contract’, ‘blauwdruk’ en ‘technische details’.

Eerder verschenen in De Ingenieur nr 13, 2013