Sinds oktober 2015 doen drie hoogleraren van de Radboud Universiteit in Nijmegen (Onderzoekscentrum Onderneming & Recht) onderzoek naar ‘Buitenlandse investeringen en de nationale veiligheid’. Zij verrichten het onderzoek in opdracht van het WODC (Wetenschappelijk Onderzoek en Documentatiecentrum) van het Ministerie van Veiligheid en Justitie. Het onderzoek is aangevraagd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid, zo blijkt uit een document dat in handen is van OneWorld en Argos (VPRO Radio).
Hoewel het onderzoek op de website van WODC in zeer algemene termen is omschreven (Titel: ‘Toegang en invloed buitenlandse investeringen in Nederlandse vitale sectoren’) bevestigen diverse direct betrokkenen dat het een onderzoek naar de overname van Fox-IT betreft. ‘Het onderzoek gaat in op vragen als ‘Op welke wijze kan aandeelhouderschap in een in Nederland opererend bedrijf toegang geven tot (vertrouwelijke) informatie en invloed bieden op beslissingen?’ en ‘Op welke wijze kan dit gevolgen hebben voor de nationale veiligheid’?
Minister Opstelten: 'De overheid is te afhankelijk van Fox-IT'
Lees: Kan het zo zijn dat derden (bijvoorbeeld de Britse afluisterdienst GCHQ) dankzij de overname toegang krijgen tot gevoelige informatie of zelfs staatsgeheimen?
En is dat de achterliggende reden dat de Britse NCC Group zijn zinnen zette op het Nederlandse Fox-IT? Of schuilt daar iets anders achter?
Beveiliger van staatsgeheimen
Het in Delft gevestigde cybersecuritybedrijf Fox-IT is bij het grote publiek vooral bekend door hun onderzoeken naar grote computerhacks, zoals bij DigiNotar, KPN en Belgacom. Minder bekend is dat Fox ook de voornaamste beveiliger is van vertrouwelijke communicatie van onze overheid. Het bedrijf is onder meer verantwoordelijk voor het technisch onderhoud van versleutelde telefoongesprekken van ministers en hoge ambtenaren, en voor de crypto-hardware voor de beveiliging van staatsgeheimen. Bij incidenten (denk aan malware, of een hack) kunnen overheden en bedrijven Fox bereiken via een speciale hotline.
Lovende referenties
Op de website van Fox-IT staan lovende referenties. Ton Fintelman van het Ministerie van Justitie is ‘gecharmeerd van de onafhankelijkheid van Fox’ en zegt dat het ministerie zelfs ‘recherchewerk aan Fox uitbesteedt'.
Een anonieme medewerker van de AIVD vertelt dat het Nationaal Bureau voor Verbindingsbeveiliging van de AIVD cryptospecialisten van Fox-IT inschakelt ‘voor het ontwikkelen van maatwerkoplossingen, bijvoorbeeld voor de beveiliging van informatie op het niveau van “Stg. Geheim” (staatsgeheim, red.).’
De overheid is bij complexe problemen té afhankelijk van Fox-IT, zei toenmalig minister Opstelten in oktober 2011. Er waren echter geen alternatieven. ‘Onze partner is Fox-IT’, reageerde een woordvoerder namens het Ministerie van Justitie. ‘Je zoekt de partijen die je vertrouwt en dan kom je bij deze mensen uit.’
Overname door de Britten
Afgelopen november kwam Fox-IT in handen van de NCC Group, een Brits cybersecuritybedrijf met 1500 medewerkers. (Prijskaartje: 133,25 miljoen euro.) Fox-oprichter en chief technology officer Ronald Prins deed in NRC Handelsblad telefonisch verslag van het ontkurken van de champagne. Medeoprichter Menno van der Marel vertelde bij Radio EenVandaag dat Fox ‘de eigen identiteit houdt’. ‘Geen bezorgde vragen?’, vroeg de interviewer. Van der Marel: ‘We hebben aan de binnenkant en aan de buitenkant enorm enthousiaste reacties gekregen.’
NCC prijst de kwaliteit van Fox' klantenbestand 'including government security departments'
‘Een geweldige kans’, zo noemde Fox-IT de overname in een persbericht. Van der Marel: ‘Vanwege de aanvullende expertise en de internationale slagkracht van NCC Group, zijn we in staat onze investering in innovatieve oplossingen te laten groeien, en kunnen we onze huidige en toekomstige klanten en partners zelfs beter van dienst zijn.”
De directeuren van de NCC Group prezen op hun beurt de kwaliteit van Fox’ klantenbestand (‘including government security departments and global organisations’).
We hebben de overheid een paar maanden voor de verkoop geïnformeerd, zei Prins begin april in NRC Handelsblad. Was er geen angst dat staatsgeheimen in Britse handen komen? ‘Dat denk ik niet’, aldus Prins in NRC. ‘De AIVD controleert of we geen troep maken. En we hebben goed contact met onze klanten, ook daaruit ontstaat vertrouwen. Dat verandert allemaal niet.’
Warme banden met Britse afluisterdienst
Toch is er wel degelijk reden tot zorg. De NCC Group heeft namelijk warme banden met GCHQ, de Britse afluisterdienst. Zo ontwikkelde NCC in 2013, in opdracht van GCHQ, de beveiligingsrichtlijnen voor programma’s die gebruikt worden door de Britse overheid. Onderzoek via LinkedIn leert dat meerdere medewerkers van NCC in het verleden werkzaam waren voor CESG, de informatiebeveiligingstak van GCHQ (vergelijkbaar met het Nationaal Bureau voor Verbindingsbeveiliging van de AIVD). Op de website van CESG alswel op de website van NCC zelf, wordt vermeld dat CESG en GCHQ voorname opdrachtgevers van NCC zijn. In 2008 hadden slechts drie bedrijven toplevel accreditatie om met de het communicatiecentrum van GCHQ te werken. NCC was daar één van.
De Britse afluisterdienst onderschept telefoongesprekken en e-mails van bondgenoten
Uit GCHQ-documenten die klokkenluider Edward Snowden in november 2013 openbaarde, blijkt dat de Britse geheime dienst samenwerkt met de Nederlandse geheime diensten MIVD en AIVD. ‘Beide diensten zijn klein, maar technisch competent en zeer gemotiveerd.’
Dat betekent niet dat de Nederlandse overheid er automatisch vanuit kan gaan dat GCHQ zijn pijlen niet op Nederlandse (vertrouwelijke) informatie richt. De afgelopen jaren vonden verschillende incidenten plaats die aantoonden dat de Britse inlichtingendienst ook bondgenoten bespioneert. Zo onderschepte GCHQ het internetverkeer en de telefoongesprekken van buitenlandse politici tijdens de G20 in Londen, en zouden de Britten samen met de Amerikaanse geheime dienst NSA hebben ingebroken op het netwerk van Deutsche Telekom.
Britten betrokken bij Belgacom-hack
Ook tapte GCHQ jarenlang data (inclusief telefoongesprekken) van de Belgische telefoonprovider Belgacom. Dit gebeurde via de zogeheten Operatie Socialist. GCHQ infiltreerde fysiek bij Belgacom en installeerde malware, die medewerkers vervolgens naar een valse LinkedIn-pagina leidde, waarna een nieuwe malware-injectie volgde. Die malware gaf GCHQ verregaande toegang tot de systemen van Belgacom én tot de systemen waarmee Belgacom-medewerkers verbinding maakten. De Britten konden vervolgens de zeer geavanceerde Regin-malware installeren en data stelen.
GCHQ infiltreerde Belgacom en installeerde geavanceerde malware
Documenten gelekt door Edward Snowden tonen aan dat de geavanceerde Regin-malware is ontwikkeld door GCHQ (samen met de Amerikaanse NSA), en dat de Britten dus achter de Belgacom-hack zitten. Beveiligingsbedrijven Symantec en Kaspersky onderschrijven deze analyse. Symantec noemt Regin ‘hoogtechnologische, baanbrekende spionagesoftware die nergens zijn gelijke kent’.
KPN is een belangrijke opdrachtgever van Fox-IT. De Nederlandse telefoonprovider nam na de ontdekking van de Belgacom-hack contact op met Fox om het KPN-netwerk te laten checken. Wil GCHQ soms toegang krijgen tot Nederlandse telefoondata, en heeft NCC daarom een enorm bedrag neergeteld om Fox over te nemen? Of speelt er iets anders?
Fox-IT zwijgt
Niet alleen GCHQ speelde een voorname rol bij de Belgacom-hack. Een tweede hoofdrol was weggelegd voor Fox-IT. Het was het bedrijf uit Delft dat in juni 2013 door Belgacom gevraagd werd om een interne veiligheidscontrole uit te voeren. Daarbij ontdekte Fox sporen van een digitale aanval, en een besmetting van Belgacom's syteem met een onbekend virus (later bekend als Regin).
Enkele maanden later verrichtte Fox ook een eerste poging om de spyware te verwijderen. Dit lukte uiteindelijk in september. Nog geen maand nadien meldde de Belgische krant De Standaard echter dat er in het systeem van Belgacom nog steeds spyware te vinden was. Dergelijke berichten bleven de maanden daarop in de media verschijnen.
Fox-IT ontdekte en analyseerde de malware waarmee Belgacom besmet was
Om een probleem met malware definitief te kunnen oplossen, moet ook de fabrikant van de geïnfecteerde software op de hoogte worden gesteld, evenals andere bedrijven en instanties die mogelijk geïnfiltreerd zijn.
Wat doet Fox-IT als het bij een onderzoek zwaktes in een systeem ontdekt die ook andere bedrijven zouden kunnen treffen? "Het delen van informatie die we tijdens onze opdrachten verkregen hebben, kan alleen met uitdrukkelijke toestemming van onze opdrachtgevers", zegt Prins in een schriftelijke reactie aan OneWorld en Argos. "Onze opdrachtgevers krijgen vanzelfsprekend alle informatie die wij ontdekken in hun digitale omgeving. In overleg met onze opdrachtgevers wordt bepaald of, hoe en met welke stakeholders informatie gedeeld wordt."
Zonder toestemming van een opdrachtgever mag Fox geen informatie over malware delen. 'Maar ik heb nog nooit meemaakt dat ze (opdrachtgevers) daar moeilijk over doen', zei Prins in een eerder interview met Argos in mei 2014.
Waarom bracht Fox-IT het bestaan van Regin niet naar buiten?
Een artikel in De Volkskrant in december 2014 geeft een andere lezing. De krant meldt dat de onderzoekers van Fox-IT 'niet verder mochten gaan met het schoonmaken van de computers (van Belgacom), noch iets tegen de buitenwereld mochten vertellen over hun bevindingen'. Op de vraag waarom hij het bestaan van Regin niet naar buiten had gebracht, antwoordde Prins volgens De Volkskrant dat hij 'andere operaties van NSA/GCHQ […] niet had willen verstoren'.
Werkte Belgacom mee aan de spionage van de eigen klanten? En waar ligt de loyaliteit van Fox-IT als er meerdere opdrachtgevers zijn – telecombedrijven en inlichtingendiensten? Bronnen melden aan OneWorld en Argos dat het erop lijkt dat Belgacom het rapport van Fox-IT zelf heeft gedeeld met andere telecombedrijven. We krijgen dit vooralsnog niet bevestigd. De Belgacom-affaire roept alleen maar meer vragen op over de verhouding tussen GCHQ en Fox-IT.
Waarom kochten de Britten Fox-IT?
Doordat Fox-IT de Regin-malware bij Belgacom onderzocht, beschikt het bedrijf over exclusieve kennis over deze GCHQ-spyware. Regin-malware is extreem geavanceerd. GCHQ heeft er baat bij dat er zo min mogelijk over Regin bekend wordt – zodat de malware daar waar die geïnjecteerd is niet wordt ontdekt. En zodat Regin (in aangepaste vorm) opnieuw kan worden toegepast.
Door de overname van Fox-IT kwam de kennis over Regin terug in Britse handem
Maakte de kennis die Fox-IT bij Belgacom heeft opgedaan over Regin het Nederlandse bedrijf extra interessant voor GCHQ? En heeft dit een rol gespeeld bij de overname door de Britse NCC Group? Met de aankoop van Fox-IT kwam de specialistische kennis over GCHQ-malware weer terug in Britse handen.
Een aankondiging voor aandeelhouders van de NCC Group bevat aanknopingspunten voor bovenstaande theorie. Daarin stellen de directeuren namelijk expliciet dat Fox-IT 'goed gepositioneerd is om de nieuwe trend van advanced persistent threats te adresseren'. Advanced Persistent Threats zijn cyberaanvallen, veelal gepleegd door inlichtingendiensten, met als doel om langere tijd toegang te krijgen tot een netwerk en informatie te stelen. Hacks zoals bij Belgacom, dus.
Meer bij Argos op Radio 1
Is het wenselijk dat de Nederlandse overheid voor de beveiliging van staatsgeheimen afhankelijk is van een partij met banden met de Britse inlichtingendienst?
Prins: "De Nederlandse wet blijft van toepassing, daar hebben de Britten zich aan te houden"
Ronald Prins laat in een schriftelijke reactie weten dat "Nederlandse staatsgeheimen nog steeds veilig zijn bij FOX-IT. Een groot aantal maatregelen borgt dit. De Nederlandse wet is en blijft van toepassing, zoals onder andere de Wet Bescherming Staatsgeheimen en het Wetboek van Strafrecht. Daar hebben de Britten zich aan te houden, net zoals de medewerkers van Fox-IT. Dat er nu een Britste aandeelhouder is, maakt dat niet anders." Prins wil geen mondelinge toelichting geven aan OneWorld of Argos, maar zal "graag meewerken aan dit (WODC) wetenschappelijk onderzoek".
Luister de uitzending van Argos van zaterdag 9 april terug, met o.a. Sanne Terlingen (OneWorld), Bart Jacobs (hoogleraar cybersecurity aan de Radboud Universiteit en lid van de Cyber Security Raad) & Astrid Oosenbrug (woordvoerder digitale veiligheid in de Tweede Kamers namens de PvdA).
We hebben het WODC en de Nationaal Coördinator voor Terrorismebestrijding en Veiligheid benaderd voor een reactie. Zij willen hangende het onderzoek geen inhoudelijke reactie geven.
