woensdag, 25 januari 2012
Auteur
Martin Broek

Nederland exporteert grote hoeveelheden cryptografische apparatuur. Een deel daarvan valt als dual-use producten onder strategische goederen en daarom is voor uitvoer buiten Europa een exportvergunning vereist. In de eerste helft van 2011 ging het om vergunningen voor crypto exporten ter waarde van het enorme bedrag van 1.670 miljoen euro.

Voor een groot deel gaat het om onbekende afnemers en producten met onbekende herkomst. Er zijn ook orders waarbij wel een eindbestemming wordt genoemd: Irak, Libië, Mauretanië en Rusland. Hielp Nederland Putin om zijn berichten te versleutelen of kon Gadaffi op grond van Nederlandse apparatuur de wereld voor de gek houden? Het ministerie laat me weten dat de leveringen naar een oliebedrijf in Libië en een bekende Amerikaanse IT-onderneming in Rusland gingen. Juist het onderscheppen door Putin en Co. en Gadaffi werd daarmee voorkomen.

Bedrijven, particulieren en overheden doen er van alles aan om hun informatie af te grendelen. Aan de andere kant zijn mensen bezig achterdeurtjes in crypto apparatuur in te bouwen om toch toegang tot die informatie te hebben. Het zijn niet alleen politie en inlichtingen en veiligheidsdiensten die zich hiermee bezig houden. Er is een groeiend aantal gespecialiseerde ondernemingen die toepassingen maakt om het internet gericht af te schuimen, voor het tappen van telefoon en email verkeer (Lawful Interception, LI), analyse van getapte informatie e.d. Deze bedrijven zijn ook op de exportmarkt actief.

In Nederland worden de volgende bedrijven genoemd met technieken om email verkeer en internet activiteiten te volgen, analyseren of te tappen: DigiVox, Fox-IT, GROUP2000, Pine Digital Security en een deel van Netscout (een Amerikaans bedrijf dat een deel van de Fox-IT boedel overnam). Niet allemaal houden ze zich met al die activiteiten bezig. Wettelijk zijn de bezigheden prima in orde en veelal wordt met de overheid samengewerkt. Ronald Prins van Fox-IT is zelfs een geziene gast bij de Nederlandse inlichtingendiensten, politie en pers.

De bedrijven leveren hun technologie om de bedrijfsvoering veiliger te maken, maar ook om criminaliteit en terrorisme te bestrijden. Machthebbers zijn echter snel geneigd tegenstand weg te zetten als terrorisme. Dan worden die middelen niet meer ingezet om de rechtsorde te handhaven, maar juist om hem te verkrachten. Dat gevaar is niet denkbeeldig. Fox-IT heeft bijvoorbeeld een inlichtingendienst in het Midden-Oosten in zijn klantenbestand zitten.

Het gaat hier om hoogwaardige technologie. Dit lijkt bij uitstek dual-use technologie. Dat standpunt deelt ook staatssecretaris Bleker. Hij wil niet alleen bouwen op zelfrestrictie, maar ook “een kader hebben om besluiten te nemen over de export van producten.” Ze moeten daarom worden opgenomen onder artikel 4 van de dual-use lijst, zo stelt hij. Het is een vruchtbaarder aanpak dan het uitsluitend aanhobbelen achter zelf regulatie, zoals Neelie Smit Kroes onlangs voorstelde.

Het is de vraag of Bleker in staat zal zijn dit er bij zijn Europese collega's door te krijgen. Daarna moeten middelen worden vrijgemaakt om de controle handen en voeten te geven. Onafhankelijke deskundigheid op dit vlak is duur en schaars. Net als bij 'gewone' wapenhandel is het tevens van belang dat er mensen zijn die dit kunnen volgen en aan de bel weten te trekken als het mis gaat. Overheden zijn niet altijd het meest actief als het er om gaat dubieuze exporten te stoppen. Een iets duidelijker rapportage is dan wel wenselijk.

Een uitgebreidere versie met tabel, noten links staat op mijn blog 

Martin Broek