De regering heeft op 4 januari 2016 een kabinetsstandpunt naar de Tweede Kamer gestuurd inzake de voorgestelde beperkingen op encryptie die onderdeel zou uitmaken van het wetsontwerp Computercriminaliteit III. Met het standpunt, dat door minister van Justitie Ard van der Steur en minister van Economische Zaken Henk Kamp naar de Kamer gestuurd is, worden beperkingen in encryptie door het kabinet verworpen. Daarmee stelt het kabinet het belang van informatieveiligheid boven het opsporingsbelang dat gediend zou zijn met een encryptiebeperking.
Stichting DINL juicht het standpunt van de ministers toe. De mogelijkheid om gegevens en dataverkeer te beschermen tegen afluisteren door cybercriminelen en hackers valt en staat, zoals het kabinet ook aangeeft, met de mogelijkheid om dataverkeer effectief en betrouwbaar te versleutelen. Het Forum standaardisatie, gemandateerd door het ministerie van Binnenlandse Zaken, stelt niet voor niets als norm dat overheidsdata effectief moet worden beschermd met encryptiestandaarden. Het zou daarom ook paradoxaal zijn als diezelfde overheid burgers en organisaties zou kunnen dwingen om hun informatieveiligheid te compromitteren als dat in de ogen van inlichtingendiensten of opsporingsinstanties noodzakelijk is. Bij de invulling van informatiebeveiliging conform de ISO270x standaarden is het versleutelen van berichten en verkeer essentieel, zowel voor private als publieke partijen.
De consequentie van dit beleid is dat de overheid hiermee de fundamentele keuze maakt om informatieveiligheid boven het opsporingsbelang te stellen. Beide belangen sluiten elkaar immers uit. Informatieveiligheid vereist het continu verbeteren van technologie, opsporingsbelangen vragen echter om een verzwakking.
In dat licht heeft DINL zorgen over de uitingen van justitie en de inlichtingendiensten die recent aangaven dat ze “veel last hebben” van versleuteling. En is er zorg over pogingen van buitenlandse inlichtingen- en veiligheidsdiensten om zwakheden in versleutelingssystemen en procedures te creëren of te benutten, en zo achterdeuren te realiseren. Die insteek leidt tot zwakte van het gehele systeem van versleuteling. Het is vergelijkbaar met de mastersleutel waarmee de douane cijfersloten van koffers kan openen. De ontwerpen van zulke sleutels staan op internet en kunnen met een 3d printer gemakkelijk worden nagemaakt. Het is naïef te veronderstellen dat achterdeurtjes en zwakheden in versleuteling alleen door de good guys zullen worden gebruikt. Zulke pogingen werken dus averechts en verzwakken het gehele systeem.
Een andere consequentie van het beleid is dat de overheid zich ook in internationaal verband actief in zal moeten zette om pogingen om de technologie en systemen voor versleuteling te verzwakken, te veroordelen. Informatieveiligheid moet prevaleren: you can’t have it both ways.
DINL steunt de brede acceptatie en inzet van veiligheidsstandaarden, en continue verbetering van technologie en processen. De stichting zal zich verzetten tegen iedere poging om versleutelingsstandaarden te verzwakken, te compromitteren, of anderszins het vertrouwen in zulke technologie aan te tasten.
