Delfts bedrijf beveiligt Russische staatsgeheimen

Het Delftse computer-en beveiligingsbedrijf Fox-IT verkoopt sinds 2010 zijn producten in Rusland en is hier na de invoering van de internationale sancties tegen het land in 2014 mee doorgegaan. Dat is de conclusie van een onderzoek van het Nederlandse Bureau Jansen & Janssen. De Nederlandse overheid is een belangrijke klant van Fox-IT. Het bedrijf verzorgt onder andere de beveiliging van staatsgeheimen. De Rus Evgeny Gengrinovich speelt een sleutelrol in de handel van Fox-IT met Rusland. Hij werkte in het verleden voor verschillende Russische staatsbedrijven. Vanaf 2011 promoot hij de Fox DataDiode (een soort firewall tussen een publiek en een privaat netwerk) namens het Zwitserse Snitegroup GmbH en het Russische ZAO NPF Simet. Later presenteert hij zich als vertegenwoordiger van Fox-IT en heeft hij een sleutelrol bij het aantrekken van andere tussenhandelaren. De tussenhandelaren van Fox-IT hebben nauwe banden met Russische staatsbedrijven in de energiesector en de financiële sector, maar ook met het Russische Ministerie van Defensie, defensiebedrijven en de Russische inlichtingendienst FSB. Het Delftse bedrijf heeft in het algemeen weinig zicht op de eindgebruikers aan wie haar producten door tussenhandelaren worden aangeboden en doorverkocht. Gengrinovich heeft zelf ook banden met defensie en de FSB. Zo deed hij van 2010 tot 2014 certificeringswerk voor de FSTEC (Federal Service for Technical and Export Control) en het Ministerie van Defensie. In september 2017 treedt hij als adviseur in dienst van het Russische informatiebeveiligingsbedrijf Infotecs. In 2018 wordt dit bedrijf op de Amerikaanse sanctielijst geplaatst vanwege haar banden met de Russische inlichtingendienst FSB. Na de invoering van de internationale sancties in 2014 gaat Fox-IT door met de verkoop van haar producten in Rusland. De oorlog in Oost-Oekraïne, de annexatie van de Krim, het neerhalen van vlucht MH17 en het instellen van de internationale sancties tegen Rusland hebben geen invloed op de verkoopactiviteiten. Verkoop in Rusland na de sancties In 2015 verkrijgt Fox-IT zelfs de Russische certificering voor de Fox DataDiode. Het vergroot daarmee haar toegang tot de Russische markt. De FSTEC, dat verantwoordelijk is voor de Russische certificering van de DataDiode, valt onder het Ministerie van Defensie en werkt samen met de FSB. Over de FSTEC-certificering en het keuringsbedrijf Echelon, dat ook de DataDiode onderzocht, bestaan al sinds 2013 twijfels. In 2017 beoordeelt het gerenommeerde Amerikaanse cybersecurity bedrijf Symantec het certificeringsproces als onvoldoende onafhankelijk van de Russische Staat en ziet het zelfs af van samenwerking met de FSTEC en Echelon. In 2015 is de Fox DataDiode door ARinteg, een Moskous bedrijf in informatiebeveiliging, te koop aangeboden aan onder andere Russische banken. Volgens commercieel directeur Dmitry Slobodenyuk van ARInteg heeft het bedrijf de Datadiode na de invoering van de internationale sancties in 2014 in ieder geval verkocht aan een van de grootste banken van Rusland. Veel Russische banken en hun topmannen zijn op de Amerikaanse en Europese sanctielijsten geplaatst vanwege hun banden met de Russische defensie-industrie. Het betreft veelal klanten van ARinteg, zoals de staatsbank Vnesheconombank VEB en de Alfa Bank, een bank die nauw verweven is met de Russische defensie-industrie. Fox-IT zelf onderkent tot 2015 te hebben geleverd aan Rusland, ook aan de Russische overheid. Het Delftse bedrijf maakt echter niet bekend aan welke overheidsinstanties het heeft geleverd. Het gaat echter in ieder geval om een levering van de Fox DataDiode aan het staatbedrijf RusHydro. Vanwege de nauwe banden van dit bedrijf met het Kremlin worden verschillende topmannen van RusHydro in 2018 op de Amerikaanse sanctielijst geplaatst. Exportvergunningen De Fox DataDiode is een soort eenrichtingsverkeer firewall tussen een publiek en een privaat netwerk waarmee toegang tot vertrouwelijke informatie gereguleerd kan worden. Het behoort sinds 2009 tot de dual-use goederen: goederen met een civiele toepassing, die ook een militaire toepassing kennen, waarvoor een exportvergunning vereist is. Volgens Fox-IT zijn overheidsinstellingen in de hele wereld, waaronder de defensie-industrie, belangrijke potentiële klanten voor de Fox DataDiode. In 2011 beschikte Fox-IT over een globale exportvergunning specifiek voor de Fox Datadiode, waarmee het kon exporteren naar Rusland. In 2012 en 2013 verkreeg het een exportvergunning voor ‘apparatuur voor informatiebeveiliging’ waaronder naast de DataDiode ook andere Fox-IT producten zoals Redfox en Skytale kunnen vallen. Tot op heden heeft het Ministerie van Buitenlandse Zaken niet bekend gemaakt of, en hoeveel, exportvergunningen Fox-IT sinds 2013 heeft aangevraagd en gekregen. De export van dual-use goederen zonder exportvergunning naar landen buiten de Europese Unie, waaronder Rusland, is in beginsel strafbaar. Geen zicht op eindgebruikers Tot zover de samenvatting van het onderzoek van Bureau Jansen & Janssen. Het volledige onderzoek is hier te vinden. Eerder publiceerde Jansen & Janssen een onderzoek waaruit bleek dat Fox-IT van 2006 tot en met 2010 dual-use goederen exporteerde naar landen in het Midden-Oosten zonder een exportvergunning aan te vragen. Er was ook geen zicht op de eindgebruikers van de door het bedrijf geëxporteerde producten. De Nederlandse overheid stond deze exportpraktijk van Fox-IT toe.

Door: Foto: Larry Koester (cc)
Foto: Sargasso achtergrond wereldbol

‘Het is oorlog maar niemand die het ziet’

, door

RECENSIE - © Uitgeverij Podium. Boekcover Huib Modderkolk - Het is oorlog maar niemand die het ziet. Omslagontwerp - Philip StroombergHuib Modderkolk verzamelt zes jaar onderzoek naar mondiale digitale strijd. Eindelijk een goed boek over de praktijk van digitale strijd tussen staten, onder leiding van hun geheime diensten. Een oorlog die niemand zou zien. Voetbal is oorlog, zei Rinus Michels, en we gingen het zo zien.

Met een geweldige primeur over betrokkenheid van de AIVD bij de plaatsing van Stuxnet-malware in het beheer van het Iraanse kernprogramma en een rechtszaak van diezelfde AIVD; plus de gebruikelijke DWDD-marketing en een onnodig stickertje van Lubach op het omslag kwam het boek van Huib Modderkolk met een katapult op de markt. ‘Het is oorlog, maar niemand die het ziet’ bereikt direct de top-10. En dat is terecht.

Afgaande op de betoog van Paul Abels dat de AIVD nooit zonder strategisch doel in de openbaarheid treedt, was die rechtszaak mogelijk bedoeld om extra aandacht te trekken voor de Stuxnet-primeur: de AIVD spreekt internationaal een knap woordje mee en wil dat weten. De bemoeienis van de AIVD met Iran is overigens gezien de internationale verhoudingen twijfelachtig, vindt Paul Aarts.

De eerste beschrijving van strijd in Modderkolks boek is gewijd aan zijn ontrafeling van de eerste grote digitale aanval op Nederland tot nu toe; die op de uitgever van digitale certificaten DigiNotar in Beverwijk in augustus en september 2011. Deze aanval stortte Nederland tot op regeringsniveau in chaos. Modderkolk reconstrueert het met onder anderen Aart Jochem en Erik de Jong van Govcert.

Doe het veilig met NordVPN

Mededeling

Sargasso heeft privacy hoog in het vaandel staan. Nu we allemaal meer dingen online doen is een goede VPN-service belangrijk om je privacy te beschermen. Volgens techsite CNET is NordVPN de meest betrouwbare en veilige VPN-service. De app is makkelijk in gebruik en je kunt tot zes verbindingen tegelijk tot stand brengen. NordVPN kwam bij een speedtest als pijlsnel uit de bus en is dus ook geschikt als je wil gamen, Netflixen of downloaden.

Lezen: De BVD in de politiek, door Jos van Dijk

Mededeling

Tot het eind van de Koude Oorlog heeft de BVD de CPN in de gaten gehouden. Maar de dienst deed veel meer dan spioneren. Op basis van nieuw archiefmateriaal van de AIVD laat dit boek zien hoe de geheime dienst in de jaren vijftig en zestig het communisme in Nederland probeerde te ondermijnen. De BVD zette tot tweemaal toe personeel en financiële middelen in voor een concurrerende communistische partij. BVD-agenten hielpen actief mee met geld inzamelen voor de verkiezingscampagne. De regering liet deze operaties oogluikend toe. Het parlement wist van niets.

Foto: Christiaan Colen (cc)

Gijzeling – geen oorlog

, door

COLUMN - Het is oorlog, maar niemand die het ziet, waarin Huib Modderkolk aantoont hoe inlichtingen- en geheime diensten in een digitale strijd zijn verwikkeld en ondertussen zowat alles en iedereen hacken, is een subliem boek. Hij laat gedetailleerd zien hoe spionage en sabotage verweven zijn geraakt. De enige kanttekening die ik heb, is dat hij steevast de oorlogsmetafoor inzet in zijn poging om de hele zwik voor de leek begrijpelijk te maken.

Begrippen als koude oorlog, wapenwedloop, escalatie en afschrikking, aanval en verdediging klinken vertrouwd, en lijken een nuttig kader te bieden. Maar ze ontnemen ons het zicht op wat dit moderne wapengekletter zo radicaal anders maakt, en laat ons de verkeerde ‘oplossingen’ suggereren. Naar aanleiding van de documentaire Zero Days (2016), die liet zien dat geheime diensten vet betalen voor exploits om andermens’ systemen te kunnen binnendringen en manipuleren, werd geopperd dat een non-proliferatieverdrag voor beveiligingslekken een oplossing kon zijn. Heus: wie dat voorstelt, begrijpt niets van het probleem.

Niet alleen overheden of hun steelse subdivisies kunnen essentiële infrastructuur hacken. Ook een vasthoudende puber ergens op een zolderkamertje kan KPN platleggen, zoals Modderkolk aantoont. Non-proliferatie is gebaseerd op bovenstatelijke controles, op internationaal recht en dito verdragen, op sancties, op traceerbare goederen, op voor de buitenwereld zichtbare proeven, op identificeerbare fabrieken en installaties. Dat alles ontbreekt te enen male bij digitale spionage en sabotage.

Foto: Open Knowledge (cc)

Betrek burgers bij politiek met technologie

, door

OPINIE - Nederlandse burgers willen graag meer betrokken worden bij nationale politieke besluitvorming. Digitale technologie kan hierbij helpen, zo laten buitenlandse voorbeelden zien.

Auteurs: Ira van Keulen en Arthur Edwards

Dinsdag 19 januari debatteerde de Eerste Kamer over de invoering van een Staatscommissie Bezinning parlementair stelsel. Deze commissie gaat onderzoeken hoe het Nederlandse parlementaire stelsel, dat dit jaar haar 200ste verjaardag viert, toekomstbestendig te maken. Belangrijke vraag daarbij is hoe burgers beter kunnen worden betrokken bij politieke besluitvorming. De kansen die digitale instrumenten bieden, mogen daarbij niet ontbreken.

Het Comité GeenPeil haalde onlangs meer dan 427.939 handtekeningen op voor een nationaal referendum over een verdrag tussen de EU en Oekraïne. Bestuurlijk Nederland was verrast. Zo’n hoeveelheid –  twee pallets met 140 dozen A4’tjes –  was niet voorzien. Dit onderstreept de conclusies van allerlei rapporten, kranten en peilingen: veel burgers zijn ontevreden over de manier waarop politieke besluiten worden genomen. Ze nemen geen genoegen meer met de vierjaarlijkse gang naar de stembus. De meerderheid van de Nederlanders wil meer directe invloed op politiek en beleid.

Denk- en daadkracht

In de lokale politiek krijgen burgers dat ook steeds vaker. Al dan niet gedwongen door bezuinigingen, maken Nederlandse gemeenten inmiddels volop gebruik van de denk- en de daadkracht van burgers. Gemeenten intensiveren burgerparticipatie met hulp van open dataportalen of netwerkbesluitvorming. Ze organiseren G1000-bijeenkomsten, laten het beheer of de controle van dorps- en wijkbudgetten aan burgers over, en faciliteren allerlei burgerinitiatieven.

Lezen: Bedrieglijk echt, door Jona Lendering

Mededeling

Bedrieglijk echt gaat over papyrologie en dan vooral over de wedloop tussen wetenschappers en vervalsers. De aanleiding tot het schrijven van het boekje is het Evangelie van de Vrouw van Jezus, dat opdook in het najaar van 2012 en waarvan al na drie weken vaststond dat het een vervalsing was. Ik heb toen aangegeven dat het vreemd was dat de onderzoekster, toen eenmaal duidelijk was dat deze tekst met geen mogelijkheid antiek kon zijn, beweerde dat het lab uitsluitsel kon geven.

Lezen: Bedrieglijk echt, door Jona Lendering

Mededeling

Bedrieglijk echt gaat over papyrologie en dan vooral over de wedloop tussen wetenschappers en vervalsers. De aanleiding tot het schrijven van het boekje is het Evangelie van de Vrouw van Jezus, dat opdook in het najaar van 2012 en waarvan al na drie weken vaststond dat het een vervalsing was. Ik heb toen aangegeven dat het vreemd was dat de onderzoekster, toen eenmaal duidelijk was dat deze tekst met geen mogelijkheid antiek kon zijn, beweerde dat het lab uitsluitsel kon geven.