Toeristen nemen foto's met hun telefoon van het paleismuseum (de Verboden Stad) in Beijing.

Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

42 artikelen

Toeristen nemen foto's met hun telefoon van het paleismuseum (de Verboden Stad) in Beijing. © Li Xin Xinhua / eyevine

Olympiër, zakenman, admiraal: China bespiedt ze allemaal

Om spionage door de Chinese overheid te voorkomen, kreeg de Nederlandse Olympische ploeg het advies om telefoons en laptops thuis te laten en ‘schone’ devices mee te nemen naar Beijing. Nederlanders die in het land zakendoen, leven al jaren naar dit devies, maar een concreet reisadvies ontbreekt.

Dit stuk in 1 minuut
  • Sportkoepel NOC*NSF adviseerde sporters en staf van TeamNL hun telefoons en laptops thuis te laten en ‘schone’ devices mee te nemen. De sportkoepel wil bespieding door het thuisland met deze en andere maatregelen zoveel mogelijk voorkomen. 
  • NOC*NSF kwam tot het advies op aanraden van de AIVD en de NCTV. Eerder adviseerden zij soortgelijk maatregelen aan Nederlandse handelsmissies naar China. Sinds 2017 prijken zij bovendien op de website van de AIVD in een ‘reisbrochure’ voor Nederlanders die zakendoen in het buitenland. 
  • De digitale maatregelen die de Olympiërs moeten nemen zijn dan ook niet nieuw. Navraag door Follow the Money leert dat veel Nederlandse kennisinstellingen en bedrijven deze ook al jaren toepassen. Toch zijn er ook veel bedrijven die niet van de adviezen van de Nederlandse veiligheidsdiensten op de hoogte zijn. 
  • De cybersecurity-experts die Follow the Money voor dit onderzoek sprak, leggen in dit artikel uit op welke manieren je telefoon en laptop op reis naar China kunnen worden besmet en wat de risico’s zijn als dat je overkomt. 
  • Die risico’s gelden volgens hen voor iedereen die naar het land van Xi Jinping afreist. Zij pleiten er voor dat deze problematiek breder onder de aandacht wordt gebracht bij het Nederlandse publiek.
Lees verder

In de zomer van 2015 zit cybersecurity-specialist Adrianus Warmenhoven achter zijn laptop. Gebiologeerd staart hij naar het ventilatortje dat hij op een van de USB-poorten heeft aangesloten.

Twee weken eerder werd het vrolijk oplichtende kleinood hem toegestuurd door een kennis die net terug was van een zakenreis door Azië. Tijdens de trip had die het windmolentje — van Chinese makelij — ontvangen als relatiegeschenk.  

Warmenhoven verzamelt dit soort ‘presentjes’. Niet omdat hij gek is op prullaria, maar om ze te analyseren. Hij weet dan al dat dit soort cadeautjes uit China kunnen worden volgeladen met schadelijke software (malware), waarmee de computer waar je ze op aansluit op afstand kan worden bespioneerd of overgenomen.

En dus laat Warmenhoven de ventilator twee weken lang draaien aan de USB-poort van de testlaptop in het onderzoekslab van zijn toenmalige werkgever. Lange tijd gebeurt er niets geks. Maar nu, na twee weken, komt een stukje kwaadaardige code in actie. De software doet zich voor als een toetsenbord en begint — geheel automatisch — een aantal voorgeprogrammeerde commando’s in te tikken.

De ventilator vertelt de laptop verbinding te maken met een vreemde computer. Terwijl het molentje zachtjes verder zoemt, ziet Warmenhoven dat de besturing van de laptop op afstand wordt overgenomen en het geheugen leeggehaald.  

Het onschuldig ogende relatiegeschenk bevat een RAT: een remote access trojan. Nu de laptop van Warmenhoven is besmet, kunnen de makers van het ventilatortje stiekem meekijken met alles dat er op de computer gebeurt. Ze kunnen het beeldscherm zien, bestanden op de harde schijf bewerken, en zelfs de camera en microfoon aanzetten.

Het is slechts één van de vele vormen van digitale spionage waar de AIVD Nederlandse reizigers naar het buitenland voor waarschuwt. De dreiging dat dit je overkomt, lijkt echter nergens zo groot als in China, vertellen ervaringsdeskundigen aan Follow the Money: ‘Je mag er vanuit gaan dat er wordt meegekeken op je laptop en telefoon.’

‘Schone’ sport 

Op 22 januari onthulde de Volkskrant dat het NOC*NSF de Nederlandse Olympische sporters adviseerde hun eigen laptops en mobiele telefoons thuis te laten tijdens de Olympische spelen. De staf kreeg volgens de krant ‘schone’ devices mee; op die manier moet Chinese surveillance tijdens het sportevenement zoveel mogelijk worden voorkomen.

Het NOC*NSF gaat met de maatregelen een stapje verder dan de sportkoepels in andere landen. Het Olympisch Comité kwam tot dit advies na een gesprek met de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV); het doel is om bespionering door het gastland zoveel mogelijk te voorkomen. Als trainingsschema’s, medische gegevens, voedingsprogramma’s en contacten thuis worden gelaten, valt er immers weinig af te kijken, is de gedachte.

De adviezen zijn niet nieuw. Voorafgaand aan de Nederlandse handelsmissie die in 2018 naar China trok, adviseerde het kabinet de deelnemers aan die missie ook om eigen apparatuur thuis te laten en noodzakelijke informatie uit te printen. En vooral: om deze niet uit het oog te verliezen.

Buitenlandse Zaken deed in een brief aan de deelnemers niet geheimzinnig over de reden van die maatregelen. ‘De Chinese overheid zal alles over u en uw bedrijf of organisatie willen weten’, schreef het departement. ‘U kunt er dus van uitgaan dat alle computers en telefoons die China binnenkomen continu worden gemonitord om deze informatie te verkrijgen.’

‘Alle computers en telefoons die China binnenkomen, worden gemonitord’

Ook de Westlandse wethouder van economie en tuinbouw ruilde haar telefoon in 2019, voorafgaand aan een handelsmissie vanuit de regio Westland, in voor een ‘schoon’ exemplaar. 

De tips die de handelsmissies mee kregen om digitale spionage en route tegen te gaan, kwamen uit de ‘reisbrochure’ die de AIVD eind 2017 op zijn website publiceerde. Praktisch alle maatregelen die het kabinet in 2018 aan haar reisgenoten meegaf, staan hierin vermeld. Het ligt in de lijn der verwachting dat soortgelijke voorzorgsmaatregelen nu ook zijn geadviseerd aan de sporters en staf van TeamNL.

Die AIVD-brochure is een algemeen reisadvies voor Nederlanders die zakendoen in het buitenland. Het richt zich dus niet specifiek tot China. 

Maar het ene buitenland is het andere niet, aldus de inlichtingen- en veiligheidsdiensten. In de jaarverslagen, dreigingsrapportages en (cyber)dreigingsbeelden waarschuwen AIVD, MIVD en NCTV al jaren voor (economische) spionage uit China. In zijn laatste jaarverslag schrijft de AIVD dat het land ‘op dat vlak de grootste bedreiging’ is en dat China het met name voorzien heeft op Nederlandse kennis en technologie. 

In hetzelfde jaarverslag waarschuwt de dienst ook voor de ‘wereldwijde, grootschalige vergaring van persoonsgegevens door Chinese actoren’. Informatie die China volgens de AIVD gebruikt om ‘profielen te maken van medewerkers van bedrijven en instellingen waar het land digitaal wil inbreken’. Omdat die activiteiten zich uitstrekken tot ‘Nederlandse doelwitten’, spreekt de AIVD hier van een ‘bedreiging voor de Nederlandse veiligheid.’ 

Reizigers naar het land zouden zich hier bewust van moeten zijn, zegt ook Valérie Hoeks. Met haar bedrijf China Inroads begeleidt zij Nederlandse ondernemingen in het land. Zodoende kent ze de risico’s. Hoeks: ‘Als ik in China ben, ga ik er vanuit dat er wordt meegekeken op mijn telefoon en laptop. Veel zaken gaan in China via WeChat, en alles dat via die app gaat, wordt gescreend en mogelijk onderzocht.’

Let the games begin

Dat de sporters niet de enigen zijn die zich tijdens de Olympische Spelen in Beijing zorgen moeten maken over hun privacy, blijkt ook uit de ophef die is ontstaan over de Olympische Spelen-app MY2022. Onder het mom van corona-preventie is de app verplicht voor alle bezoekers aan de Spelen: in de 14 dagen voor vertrek naar China moeten zij de app dagelijks gebruiken om informatie over hun gezondheid bij te houden. Ook paspoort- en reisgegevens moeten worden ingevoerd in de app.

Uit onderzoek van het Canadese Citizen Lab blijkt echter dat de beveiliging van de applicatie — die is gebouwd door het organiserend comité van de Spelen en wordt beheerd door een Chinees staatsbedrijf — zo lek als een mandje is. Gevoelige gebruikersdata kan weglekken of worden afgeluisterd. Door de gebrekkige beveiliging kan communicatie vanuit de app volgens de onderzoekers bovendien worden gemanipuleerd. Een meerderheid in de Tweede Kamer vindt dat Nederland bezwaar over de applicatie moet maken bij China en het Internationaal Olympisch Comité, dat de kwetsbaarheden overigens ontkent. Op het moment van publicatie van dit artikel is een dergelijk bezwaar (nog) niet gemaakt.    

‘Een typisch voorbeeld van een Chinese applicatie’, noemt cybersecurityspecialist Wilco Kaars de MY2022-app. ‘Aan de oppervlakte straalt hij gastvrijheid en behulpzaamheid uit, maar in werkelijkheid is het een “profiling en tracking”-app die niet voldoet aan de Westerse standaarden van privacy. De app biedt uitgelezen kansen om mee te lezen.’

Gapende gaten in de MY2022-applicatie

De beveiliging van de verplichte MY2022-applicatie vertoont volgens Citizen Lab een aantal gapende gaten. Zo is deze niet in staat zogenaamde SSL-certificaten te valideren. Hierdoor kan de app niet controleren of onbevoegden toegang hebben tot de veelal gevoelige informatie die er mee wordt verstuurd. MY2022 versleutelt deze informatie ook niet consequent. Hierdoor kan deze data, maar ook spraakaudio en bestandsoverdrachten, relatief eenvoudig worden onderschept door ‘any passive eavesdropper’. De onderzoekers troffen tevens een ‘slapende functionaliteit aan waarmee potentieel zoekopdrachten op gevoelige steekwoorden — denk aan ‘Tibet’, ‘Dalai Lama’, ‘Xinjiang’ en diverse pornografische termen — kunnen worden gefilterd.

Lees verder Inklappen

Cybersinoloog Rogier Cremers van de Universiteit Leiden zei begin januari tegen de Volkskrant dat veilige Chinese apps in feite niet bestaan, of het nu de bedoeling van de app is om data te onderscheppen of niet: ‘De programma’s zijn zo slecht geschreven, dat zelfs apps die niet het doel hebben wachtwoorden en andere privacygevoelige informatie te ontfutselen, vrijwel allemaal dat effect hebben. Is het niet nu, dan kunnen ze er later alsnog voor worden gebruikt.’ 

Mogelijkheden zijn eindeloos 

Ontsnappen aan malafide apps lukt echter niet altijd, zelfs als je niets installeert. In juli 2019 berichtten Westerse media dat de Chinese douane stiekem surveillance-apps installeerde op de telefoons van toeristen die de regio Xinjiang bezochten, of reizigers dwong om dit te doen. Cybersecurity-deskundige Kaars zegt hierover: ‘Als je je telefoon bij de douane moet inleveren en je ziet hem een seconde of 30 niet, moet je je meteen achter je oren krabben.’ 

Fysieke poorten bieden een andere beproefde manier om zonder toestemming toegang te krijgen tot devices. De spionerende ventilator van cybersecurity-specialist Warmenhoven is wat dat betreft geen uitzondering: er zijn talloze gevallen bekend waarin oplaadkabels, speakers, USB-sticks, camera’s en andere USB-gadgets van Chinese makelij zijn gebruikt om laptops te infecteren. 

Chris Verhoeven, hoogleraar microelectronics aan de TU Delft, kan erover meepraten. In 2013 bezocht hij samen met collega’s van de TU Delft een ruimtevaartconferentie in Beijing. Omdat er geen wifi was, verbond hij zijn laptop met de netwerkkabel in zijn hotelkamer. Daarna merkte hij iets vreemds: ‘De computer vertoonde daarna gedrag dat hij voor mijn bezoek aan China nooit had vertoond. Voorheen kon ik zonder VPN geen verbinding maken met het netwerk van de TU Delft. Toen ik terugkwam uit China kon dat ineens wel.’ De IT-afdeling veegde de laptop schoon: ‘Daarna gedroeg hij zich weer zoals voor de reis.’

Mark Bentum, hoogleraar Radio Science aan de TU Eindhoven, was destijds met Verhoeven op de conferentie. Hij vult aan: ‘Bij thuiskomst ontdekte men dat de laptop direct na het opstarten verbinding maakte met een vreemde server in China.’ Hij heeft ervan geleerd, vertelt hij Follow the Money: ‘Als ik daarna naar China ging, was dat altijd met schone laptops en telefoons. Dat is nu ook beleid op de universiteit.’ 

Common sense

De cyberdeskundigen die Follow the Money sprak zijn eensgezind. Iedereen die naar China afreist — business or pleasure — doet er goed aan maatregelen te nemen om zijn digitale informatie veilig te houden. 

‘Het is heel Nederlands om te denken “ja, maar ik ben toch niet interessant?”’

Warmenhoven: ‘Spionage is hot in China. Sinds de invoering van de Great Firewall zijn de spionage-capaciteiten van China enorm gegroeid. Ze lopen ruim voor op de rest van de wereld. Natuurlijk zal het risico voor de doorsnee toerist om bespied te worden kleiner zijn dan voor de ceo van Philips of een schaatser die jarenlang aan een trainingsschema werkt. Maar als zakenreiziger is je laptop echt een risico. Ook een zzp’er of een kleine start-up met intellectual property kan er vanuit gaan dat zijn telefoon en laptop geïnfecteerd mee terugkomen, als hij geen maatregelen treft.’

Cybersecurity-expert Kaars vult aan: ‘Dit probleem is niet exclusief voor Olympiërs. Het is er ook voor privé-personen en bedrijven. Het is heel Nederlands om te denken “ja, maar ik ben toch niet interessant?”, maar dat bepaal je zelf niet. Wie je bent, wat je doet of wie je kent kan wel interessant zijn voor een ander. Als je niet bij ASML werkt, maar wel bij een toeleverancier, ben je ook interessant. Aanvallers denken vaak in ketens, en misschien ben jij de ontbrekende schakel om bij het uiteindelijke doel te komen.’

Valérie Hoeks van China Inroads merkt dat steeds meer bedrijven die zij begeleidt op spionage bedacht zijn: ‘Medewerkers van de meeste bedrijven waar ik mee werk krijgen een lege telefoon mee met daarop alleen WeChat en niets anders. Bedrijven die technologie ontwerpen, doen er ook verstandig aan niet al hun bestanden op de computer mee te nemen, maar alleen wat je echt nodig hebt op reis. Dat is gewoon common sense.’ 

Boudewijn Poldermans doet al sinds de jaren ‘80 zaken in China. Als Vice Chairman van de Netherlands China Business Council begeleidt en adviseert hij Nederlandse bedrijven in China actief (willen) zijn. Wat hem betreft is de ophef over de adviezen aan de Olympische sporters overdreven: ‘China luistert al mee sinds de telex. Daarbij verwacht ik niet dat de sporters veel informatie bezitten waar China wat aan heeft’.

Het overgrote deel van de bedrijven die Poldermans begeleidt, kent de risico’s van zakendoen in China. Die nemen dan ook al jaren schone devices mee en werken met VPN-verbindingen. Maar Poldermans ziet ook nieuwkomers die zich niet goed laten informeren: ‘Er zijn altijd avonturiers die op de bonnefooi naar China afreizen en geen voorzorgsmaatregelen treffen. Dan vraag je om problemen. Daar heb ik ook geen medelijden mee als het misgaat.’

Algemeen advies ontbreekt     

Terwijl de risico’s op digitale spionage in en uit China bekend zijn en veel reizigers ook al maatregelen nemen, is de actieve informatievoorziening vanuit de Nederlandse overheid over deze risico’s beperkt.

Follow the Money vroeg aan het Ministerie van Buitenlandse Zaken of het Nederlandse reizigers in dit verband actief adviseert; een woordvoerder van het departement verwees daarop naar het reisadvies voor China op de website. Veel meer dan een advies om tijdens het internetten een Virtueel Particulier Netwerk (VPN) te gebruiken, staat daar echter niet op. Ook op de website van de Rijksdienst voor Ondernemen (RVO) — dat veel van de handelsmissies vanuit Nederland organiseert — staat nagenoeg niets over digitale spionage. Desgevraagd bevestigt de woordvoerder van Buitenlandse Zaken dat men binnen de Rijksoverheid en (dus) BuZa zelf de adviezen uit de reisbrochure van de AIVD volgt. 

Voor ‘meer adviezen en tips’ verwijst het DTC naar de Belgische geheime dienst

De AIVD antwoordt op vragen van Follow the Money dat de dienst in zijn jaarverslagen en de eerder genoemde brochure ‘in algemene zin’ waarschuwt voor risico’s bij gebruik van digitale midden in het buitenland. Een woordvoerder van de dienst voegt hieraan toe: ‘Het vergroten van bewustzijn gebeurt sinds jaar en dag ook door samen met partners zoals de NCTV awareness briefings te organiseren bij bijvoorbeeld rijksoverheidspartijen, bedrijven in de vitale sectoren of delegaties zoals deze [de Olympische ploeg, red]. Dat is met name van belang bij bezoek aan landen waarvan we weten dat er offensieve cyberprogramma’s zijn, gericht tegen Nederlandse belangen.Op basis van de informatie over risico's kunnen mensen en organisaties vervolgens zelfstandig besluiten hoe ze met de risico's om willen gaan.’ 

De NCTV — die desgevraagd bevestigt niets aan de antwoorden van de AIVD toe te willen voegen — heeft op zijn website een brochure opgenomen die er vooral op gericht is om de veiligheid van personen met een publieke functie te vergroten. Op de laatste tekstpagina staan ook enkele tips voor een veilige digitale reis. 

Positieve uitzondering is de website van het Digital Trust Center (DTC), dat onderdeel is van het Ministerie van Economische Zaken en Klimaat (EZK), waar de meest uitgebreide tips en adviezen zijn terug te vinden. Een woordvoerder bevestigt dat deze ‘algemene tips’ zijn bedoeld voor ondernemers die afreizen naar risicogebieden en dat deze ook via sociale media en ‘reguliere mailings onder de aandacht worden gebracht bij de doelgroep’. 

Opvallend genoeg verwijst het DTC voor de lezer die ‘meer adviezen en tips’ wil naar een brochure van de Belgische geheime dienst Veiligheid van de Staat over een Security Passport. De adviezen van die dienst vormen volgens de woordvoerder een ‘nuttige aanvulling op de adviezen van AIVD, BuZa en het ministerie van Justitie en Veiligheid (NCTV/NCSC)’.

Proef op de som

Naar aanleiding van deze reacties vroeg Follow the Money drie Nederlandse universiteiten welke voorzorgsmaatregelen hun medewerkers treffen als zij afreizen naar China. De Universiteit van Amsterdam zegt ‘al jaren’ het advies van AIVD en NCTV te volgen om lege apparaten mee te nemen naar bepaalde landen, waaronder China. De Technische Universiteit Delft raadt onderzoekers die afreizen naar het land eveneens aan ‘schone’ telefoons en laptops mee te nemen en om op reis gebruik te maken van een beveiligde verbinding van de universiteit.

De TU Delft zegt verder voortdurend in overleg te zijn met de overheid over het beleid. En in 2020 is de universiteit naar eigen zeggen de ontwikkeling gestart van richtlijnen die betrekking hebben op China.

De universiteit van Wageningen zegt als enige van de drie geen specifiek beleid te voeren voor onderzoekers die afreizen naar China, en hen ook niet te adviseren over het gebruik van telefoons of laptops. De woordvoerder zegt wel op de hoogte te zijn van de adviezen van de NCTV en de AIVD over China.

‘Bij Damen gaan we ervan uit dat er cyberspionage plaatsvindt

Follow the Money legde dezelfde vragen voor aan KPN en ASML. Beide zeggen een beleid te hebben voor zakenreizen naar China, maar willen over de inhoud niets kwijt. ASML, dat in 2014 en 2015 slachtoffer werd van spionage door Chinese oud-werknemers en in de zomer door de Vereniging van Effectenbezitters nog werd aangesproken over de manier waarop het Chinese bedrijfsspionage aanpakt, zegt goed te zijn geadviseerd door de overheid en bekend te zijn met de brochure van de AIVD.

‘We zijn niet naïef’  

Maar wat als je geen Olympiër of ambtenaar bent en je bedrijf niet tot de vitale infrastructuur behoort? Niet iedereen kijkt voor ze op reis gaan op de website van de AIVD, NCTV of het Digital Trust Center. Follow the Money legde de vragen daarom ook voor aan enkele andere Nederlandse bedrijven die zakendoen in China. Veel van hen treffen voorzorgsmaatregelen, maar op eigen initiatief.

Aart Rupert is Chief Information Officer bij Damen Shipyards Group: een Nederlandse familiebedrijf dat miljarden omzet met de bouw van onder meer sleepboten, miljoenenjachten en marineschepen. De groep drijft op eigen innovaties en technologie en heeft 52 scheepswerven over de hele wereld, waaronder twee in China. Een goede bescherming van knowhow en bedrijfsgevoelige informatie is dus essentieel. 

‘We zijn niet naïef’, zegt Rupert. ‘Bij Damen gaan we ervan uit dat er cyberspionage plaatsvindt. Gezien onze activiteiten in China en het feit dat wij ook bouwen voor de Nederlandse Marine moeten we hier ook actief mee bezig zijn.’ 

Om te voorkomen dat bedrijfsgevoelige data op reis wordt buitgemaakt werkt Damen onder meer met dataclassificatie: ‘Dat betekent dat iemand alleen bij informatie kan die hij echt nodig heeft en dat je bepaalde informatie niet op je laptop kunt zetten of moet verwijderen als je op reis gaat. Dan kun je denken aan technische of financiële informatie. We geven het personeel daarnaast regels mee over wat ze met de laptop mogen als ze op reis zijn en overwegen om voor landen als China schone laptops mee te gaan geven.’ 

Erwin van den Berg is sales manager Azië bij Tolsma-Grisnich, dat volautomatische machines ontwikkelt die aardappels en uien wassen, sorteren en verpakken. Van den Berg was in 2018 mee op de handelsmissie naar China, maar zegt tegen Follow the Money destijd niet op de hoogte te zijn geweest van de ‘13 tips’ van BuZa. 

Inmiddels maakt hij tijdens reizen naar China en landen als Turkije wel gebruik van een VPN-verbinding; gevoelige informatie laat hij thuis. Verdergaande maatregelen treft hij echter nog niet: ‘Er staat een gesprek gepland om het hier over te hebben. We verkopen kostbare techniek en zien overal waar wij komen dat anderen die proberen buit te maken. Dat willen we voorkomen. De berichtgeving rond de Spelen is een trigger voor dit gesprek.’

Calvin Lee is operationeel directeur van RISKID, dat risico-management software ontwikkelt. RISKID ging in 2018 ook mee op handelsmissie naar China, waar het de basis legde voor een research and development afdeling in Wuxi, een voorstad van Shanghai. 

‘Het zou handig zijn als deze informatie op de site van Buitenlandse Zaken stond’

Vanwege de Chinese dochter gaat RISKID niet zover dat er schone devices mee worden genomen naar het land. Hun software wordt er immers ontwikkeld. Het bedrijf is wel extra zuinig op vertrouwelijke gegevens, vertelt Lee: ‘We werken met gevoelige klantdata. Die sturen we niet naar China. Op reis staat die versleuteld op mijn laptop en als je er van afstand bij wilt, kan dat alleen via een beveiligde verbinding. Verder delen we bijvoorbeeld nooit informatie over opdrachten via WeChat.’ Maar, voegt hij toe: ‘Wij doen in China hetzelfde als in Rusland of Amerika. Daar spelen dezelfde risico's.’

Desgevraagd zeggen Rupert, Lee en Van den Berg niet bekend te zijn met de adviezen van de AIVD, NCTV en DTC. Volgens Rupert en Van den Berg had dit hen kunnen helpen om (eerder) voorzorgsmaatregelen te treffen voor op reis. Van den Berg: ‘Ik wist niet eens dat de AIVD een website had. Het zou handig zijn als die informatie op de site van Buitenlandse Zaken stond. Daar kijk ik vaak voor ik op reis ga.’ Lee voegt toe: ‘Het is goed dat deze informatie op sites van deze instanties staat, maar het zou beter zijn als het op een centrale plek staat in plaats van versnipperd en met overlappende informatie. Er zou een bewustwordingscampagne moeten zijn om mensen op de risico’s te wijzen.’

‘Stereotype Nederlands’ 

Dat de adviezen van de diensten veel bedrijven niet bereiken, irriteert Warmenhoven: ‘We hebben in Nederland technologie in huis die uniek is in de wereld. Als die wordt gestolen, leidt dat tot schade. Denk ook aan financiële informatie van ondernemers. Als dieven gegevens over tenders bemachtigen, kunnen ze gericht onder een prijs gaan zitten en kun je fluiten naar de opdracht. Als je afreist naar China, moet je het risico op spionage zoveel mogelijk proberen uit te sluiten. Het zou goed zijn als de overheid dat uitspreekt.’

Ter vergelijking: in Duitsland waarschuwt het Bundesamt für Verfassungsschutz (BfV), de binnenlandse veiligheidsdienst, toeristen en zakenreizigers sinds 2019 specifiek voor de risico’s van cyberspionage in China. Warmenhoven maakt zich echter geen illusies; een dergelijke waarschuwing verwacht hij niet in Nederland. ‘Als Nederland of de AIVD zich in algemene zin over China uitspreekt, kom je in dezelfde situatie als Litouwen. Die spraken zich uit over de onveiligheid van Chinese tech, waarna China sancties oplegde. Ik kan mij voorstellen dat er in Nederland daarom politieke en financiële bedenkingen zijn.’

Kaars voegt toe: ‘Dit is stereotype voor de Nederlandse aanpak. Iedereen wordt vrij gelaten in zijn eigen keuze. Maar daardoor wordt het grotere publiek nu niet actief verteld: ‘hé, als je op reis gaat naar China, let dan op!’ Terwijl de adviezen die nu aan de Olympiërs worden gegeven, voor iedereen relevant zijn. Als AIVD, MIVD en NCTV hardop waarschuwen voor spionage uit China en Rusland tegen Nederland en Nederlandse burgers, dan moet je ze daar ook actief over informeren.’

Wat kun je zelf doen?

Het adagium in cybersecurity is dat 100% veiligheid niet bestaat. Maar als je naar het buitenland gaat, adviseren de AIVD, NCTV en het Digital Trust Center op hun websites onder meer om een (zoveel mogelijk) ‘schone telefoon en laptop mee te nemen en om voor vertrek een veilige VPN-applicatie te installeren.

Ook het gebruik maken van openbare wifi-hotspots is een slecht idee, net als chatten, surfen of bellen via een onbeveiligde verbinding. Je gesprekken kunnen dan makkelijker worden onderschept. De oplossing: gebruik altijd versleutelde verbindingen. De app Signal versleutelt berichten en telefoongesprekken altijd end-to-end; voor je webbrowser kun je een plugin als HTTPS Everywhere gebruiken.

Als je apparaat geïnfecteerd is, heeft versleutelen van je communicatie overigens geen zin meer, zegt Kaars: ‘Als een aanvaller kan meekijken op je scherm terwijl jij je berichten opent, ziet hij net als jij de ontsleutelde tekst.’ Plug daarom ook niets in je apparaten wat je zelf niet kent, en zorg ervoor dat je je telefoon niet uit het oog verliest.

Als je na je reis gegevens van je telefoon of laptop wilt afhalen, sluit hem dan om dezelfde reden ook niet meteen op je gewone laptop aan. Warmenhoven: ‘Bepaalde malware kan op afstand worden ingeschakeld, zodat je laptop alsnog kan worden geïnfecteerd. Als je veilig data van je schone apparaten wilt halen, zet deze onderweg naar huis dan op vliegtuigmodus. Haal hem daar pas vanaf als je ze op een veilige computer kunt aansluiten en direct op virussen kunt scannen.‘ Verander bij terugkomst ook de wachtwoorden van je accounts. 

Een laatste advies van Kaars: ‘Onderschat je eigen waarde niet. Voor cybercriminelen kun je het ontbrekende stukje in een schakel zijn. Iedereen heeft dus waarde. Helaas vergeten we dat nog wel eens in discussies over privacy en security.’

Lees verder Inklappen