Op 4 februari zijn de Olympische Winterspelen in Peking van start gegaan. In de afgelopen weken zijn er al diverse artikelen gepubliceerd over de (on)veiligheid van de sporters met betrekking tot hun mobiele apparatuur vanwege de verplichte app MY2022. Deze app is door het Internationaal Olympisch Comité (IOC) ontwikkeld om de gezondheid van onder andere deelnemers en coaches te controleren. Onderzoekers van de Universiteit van Toronto hebben echter ontdekt dat de app kwetsbaarheden bevat. Daarom heeft het NOC*NSF de Nederlandse sporters geadviseerd om hun telefoons, laptops en andere devices thuis te laten, uit angst voor de kans dat de Chinese overheid deze gaat tappen. Overigens in China daar niet uniek in, ook tijdens de winterspelen in Rusland (Sotsji) was het afluisteren van apparatuur ‘common practice’. In vakjargon hebben we het dan over statelijke actoren.
Binnen de cybersecurity zijn er meerdere statelijke actoren die door de AIVD met naam genoemd worden, waaronder China, Rusland en Iran. Over het algemeen vinden statelijke digitale aanvallen plaats vanuit onderstaande uitgangspunten:
- Cyberspionage of digitale spionage, bijvoorbeeld vanuit belangrijke politieke en/of economische belangen
- Digitale beïnvloeding, bijvoorbeeld inmenging in de belangen van een andere staat
- Digitale sabotage, bijvoorbeeld het beschadigen, verstoren of vernietigen van vitale systemen en/of processen in een land
Waarom zou China als Big Brother optreden?
China wil alle 1,4 miljard inwoners onder controle houden. Het regime doet dit onder andere door middel van de Great Firewall of China, waarmee bepaalde delen van het internet gereguleerd of zelfs geblokkeerd worden. Zo kunnen inwoners, bedrijven en toeristen nauwgezet gevolgd worden. Tijdens de Olympische Spelen van 2008, die eveneens in China werden georganiseerd, werd er afluisterapparatuur in de hotelkamers geplaatst van iedereen die met de Spelen te maken had, zoals sporters, hun familieleden en journalisten. Dat zal nu opnieuw gebeuren, ondanks het feit dat het aantal buitenlandse bezoekers door de pandemie beperkt is. Door sporters en bestuurders te bespioneren, vergroten de Chinezen hun netwerk van contacten, en proberen zij informatie van hoge functionarissen te verzamelen. De Olympische sporters zijn daar ongewild en wellicht ook onbewust een mooi medium voor. Immers met een beetje geluk worden ze bij terugkomst in Nederland door de minister-president of zelfs de koning ontvangen. Met hun smartphone binnen handbereik.
Is schone apparatuur dan dé oplossing?
Dat ligt eraan. Maakt u gebruik van een oudere en lege telefoon waarop u inlogt met uw Apple ID of Android-account? Dan is dat geen goede oplossing, want het apparaat is immers nog steeds aan u gekoppeld. Maakt u gebruik van een telefoon waar u niet op inlogt, geen persoonlijke gegevens op achterlaat en die na afloop van de Spelen wordt weggegooid? Dan bent u wel beschermd. Kleine kanttekening: zet hier geen contacten in en probeer verbinding met de buitenwereld zo veel mogelijk te beperken.
Wat is een betere oplossing?
Als u een gouden medaille wint, wilt u dat uiteraard van de daken schreeuwen. Dan grijpt u als sporter toch snel naar uw smartphone. Encryptie kan dan uitkomst bieden, door berichten te versleutelen voordat u deze verstuurt. Helaas kunt u als gebruiker dit niet op de app zetten, want die is in handen van de Chinese overheid. Wat wel mogelijk is, is het versleutelen van uw apparaten. Of in het geval van bedrijven, het versleutelen van uw eigen netwerk. Zo voorkomt u dat derden kunnen meekijken en beveiligt u de data in transit door middel van encryptie.
Er zijn meerdere preventieve maatregelen die u kunt nemen om uw bedrijfsgegevens te beveiligen tegen statelijke actoren. De beste manier om uw gegevens te beschermen, is door gebruik te maken van transparante encryptie. We zien in het bedrijfsleven dat deze vorm van encryptie gecombineerd wordt met het segmenteren en afzonderen van netwerken en systemen. Zo kunt u het risico op schade door malware-aanvallen aanzienlijk verlagen en wordt de kans op spionage geminimaliseerd. Deze twee maatregelen zijn niet alleen het meest effectief, maar hebben ook een relatief lage impact op de werkprocessen en vragen een relatief lage investering, zoals ook valt te lezen in de documentatie van de AIVD.
Een advies voor iedereen die naar China gaat voor de Olympische Spelen? Zorg voor lege devices die u na afloop van de Spelen weggooit, en focus op het leveren van een grootse prestatie.
