Op 4 februari zijn de Olympische Winterspelen in Peking van start gegaan. In de afgelopen weken zijn er al diverse artikelen gepubliceerd over de (on)veiligheid van de sporters met betrekking tot hun mobiele apparatuur vanwege de verplichte app MY2022. Deze app is door het Internationaal Olympisch Comité (IOC) ontwikkeld om de gezondheid van onder andere deelnemers en coaches te controleren. Onderzoekers van de Universiteit van Toronto hebben echter ontdekt dat de app kwetsbaarheden bevat. Daarom heeft het NOC*NSF de Nederlandse sporters geadviseerd om hun telefoons, laptops en andere devices thuis te laten, uit angst voor de kans dat de Chinese overheid deze gaat tappen. Overigens in China daar niet uniek in, ook tijdens de winterspelen in Rusland (Sotsji) was het afluisteren van apparatuur ‘common practice’. In vakjargon hebben we het dan over statelijke actoren.
Binnen de cybersecurity zijn er meerdere statelijke actoren die door de AIVD met naam genoemd worden, waaronder China, Rusland en Iran. Over het algemeen vinden statelijke digitale aanvallen plaats vanuit onderstaande uitgangspunten:
- Cyberspionage of digitale spionage, bijvoorbeeld vanuit belangrijke politieke en/of economische belangen
- Digitale beïnvloeding, bijvoorbeeld inmenging in de belangen van een andere staat
- Digitale sabotage, bijvoorbeeld het beschadigen, verstoren of vernietigen van vitale systemen en/of processen in een land
Waarom zou China als Big Brother optreden?
China wil alle 1,4 miljard inwoners onder controle houden. Het regime doet dit onder andere door middel van de Great Firewall of China, waarmee bepaalde delen van het internet gereguleerd of zelfs geblokkeerd worden. Zo kunnen inwoners, bedrijven en toeristen nauwgezet gevolgd worden. Tijdens de Olympische Spelen van 2008, die eveneens in China werden georganiseerd, werd er afluisterapparatuur in de hotelkamers geplaatst van iedereen die met de Spelen te maken had, zoals sporters, hun familieleden en journalisten. Dat zal nu opnieuw gebeuren, ondanks het feit dat het aantal buitenlandse bezoekers door de pandemie beperkt is. Door sporters en bestuurders te bespioneren, vergroten de Chinezen hun netwerk van contacten, en proberen zij informatie van hoge functionarissen te verzamelen. De Olympische sporters zijn daar ongewild en wellicht ook onbewust een mooi medium voor. Immers met een beetje geluk worden ze bij terugkomst in Nederland door de minister-president of zelfs de koning ontvangen. Met hun smartphone binnen handbereik.
Is schone apparatuur dan dé oplossing?
Dat ligt eraan. Maak je gebruik van een oudere en lege telefoon waarop je inlogt met jouw Apple ID of Android-account? Dan is dat geen goede oplossing, want het apparaat is immers nog steeds aan jou gekoppeld. Maak je gebruik van een telefoon waar je niet op inlogt, geen persoonlijke gegevens op achterlaat en die na afloop van de Spelen wordt weggegooid? Dan ben je wel beschermd. Kleine kanttekening: zet hier geen contacten in en probeer verbinding met de buitenwereld zo veel mogelijk te beperken.
Wat is een betere oplossing?
Als je een gouden medaille wint, wil je dat uiteraard van de daken schreeuwen. Dan grijp je als sporter toch snel naar jouw smartphone. Encryptie kan dan uitkomst bieden, door berichten te versleutelen voordat je deze verstuurt. Helaas kun je als gebruiker dit niet op de app zetten, want die is in handen van de Chinese overheid. Wat wel mogelijk is, is het versleutelen van jouw apparaten. Of in het geval van bedrijven, het versleutelen van jouw eigen netwerk. Zo voorkom je dat derden kunnen meekijken en beveilig je de data in transit door middel van encryptie.
Er zijn meerdere preventieve maatregelen die je kunt nemen om jouw bedrijfsgegevens te beveiligen tegen statelijke actoren. De beste manier om jouw gegevens te beschermen, is door gebruik te maken van transparante encryptie. We zien in het bedrijfsleven dat deze vorm van encryptie gecombineerd wordt met het segmenteren en afzonderen van netwerken en systemen. Zo kun je het risico op schade door malware-aanvallen aanzienlijk verlagen en wordt de kans op spionage geminimaliseerd. Deze twee maatregelen zijn niet alleen het meest effectief, maar hebben ook een relatief lage impact op de werkprocessen en vragen een relatief lage investering, zoals ook valt te lezen in de documentatie van de AIVD.
Een advies voor iedereen die naar China gaat voor de Olympische Spelen? Zorg voor lege devices die je na afloop van de Spelen weggooit, en focus op het leveren van een grootse prestatie.