Nederland en Europa moeten ingrijpen op digitale spionage Iran

Tweede Kamerlid Arjan El Fassed en Europarlementariër Judith Sargentini stellen vragen over het meelezen in digitale gegevens door de Iraanse overheid. Het Nederlandse bedrijf Diginotar maakt het mogelijk dat de overheid Iraanse burgers kan bespioneren die gebruikmaken van Google-diensten. Doordat Diginotar een vals certificaat accepteerde, kon Iran bijna twee maanden meekijken met haar burgers tijdens het gebruik van programma’s als Gmail.

Iraanse internetters ontdekten dat er een vals beveiligingscertificaat (SSL) voor Gmail in omloop was, dat door Diginotar bleek te zijn uitgegeven. Gebruikers denken dat ze veilig surfen bij Gmail, omdat ze het certificaat zien, maar in werkelijkheid worden ze doorgezet naar een site van de Iraanse overheid. Daardoor is het mogelijk om inloggegevens te onderscheppen.

El Fassed stelt vragen aan de ministers van Buitenlandse Zaken en Binnenlandse Zaken en Koninkrijksrelaties. Sargentini wil opheldering van de Europese Commissie.

El Fassed: “Beveiligde verbindingen op internet zijn waardeloos als overheden ze kunnen misbruiken voor spionage. Ik wil dat de minister deze zaak uitzoekt en Iran hierop aanspreekt. Burgers moeten zich veilig op internet kunnen bewegen. Ik hoop maar dat niemand hier het slachtoffer van is geworden, maar dat is niet uit te sluiten. Die risico's mogen we niet lopen met mensen."

Dat de vertrouwelijkheid van beveiligde communicatie via het internet is aangetast, vindt Europarlementariër Judith Sargentini van GroenLinks geen geruststellende gedachte.

“Mensen moeten erop kunnen vertrouwen dat als zij via een beveiligde verbinding e-mailen of surfen, anderen daar niet bijkunnen. Daarom wil ik dat de Europese Commissie onderzoekt of de beschikbare alternatieve technologieën niet sneller kunnen worden ingevoerd. Het kan echt beter dan nu. Daar heeft Europa een rol in te spelen. Ik heb dus vragen gesteld aan de Commissie”, zegt Sargentini.

Vragen van het lid El Fassed aan de minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Buitenlandse Zaken met betrekking tot internetcertificaten.

1. Bent u bekend met het bericht in onder meer Webwereld dat Iran erin is geslaagd om het internetverkeer van haar burgers naar Google.com af te tappen door middel van een vervalst beveiligingscertificaat bij de Nederlandse certificeringsautoriteit Diginotar?

2. Bent u ermee bekend dat het zogeheten 'root-certificaat' van de uitgever van het door Iran vervalste certificaat, het bedrijf Diginotar, is ingetrokken door Microsoft en Mozilla, en mogelijk door andere softwareleveranciers?

3. Kunt u toelichten op welke wijze door de overheid toezicht werd uitgeoefend op het functioneren van Diginotar? Doet u onderzoek naar de oorzaken van deze zaak?

4. Kunt u de consequenties van deze zaak toelichten voor de dienstverlening en het interne functioneren van de Nederlandse overheid en andere klanten van Diginotar? Hebben burgers overlast ondervonden van deze zaak en zo ja, in hoeveel gevallen en op welke wijze?

5. Acht u het uitgesloten dat Iran of enige andere partij erin kan zijn geslaagd om zich via Diginotar toegang te verschaffen tot vertrouwelijke communicatie van de Nederlandse overheid? Welke stappen heeft u gezet om zich daarvan te vergewissen?

6. Bent u van plan om Iran op deze zaak aan te spreken?

7. Acht u het in het licht van deze zaak verstandig om nieuwe certificaten van de Nederlandse overheid toe te vertrouwen aan particuliere bedrijven? Zo nee, overweegt u om certificaten direct door de Nederlandse overheid te laten uitgeven? Zo ja, welke aanvullende eisen overweegt u te stellen aan deze bedrijven? Kunt u dat toelichten?

Schriftelijke vragen van Judith Sargentini aan de Europese Commissie.

1. Bent u bekend met het bericht in onder meer Webwereld dat Iran erin is geslaagd om het internetverkeer van haar burgers naar Google.com af te tappen door middel van een vervalst beveiligingscertificaat bij de Nederlandse certificeringsautoriteit Diginotar?

2. Deelt u mijn zorg dat het geschonden vertrouwen in deze certificeringsautoriteit gevolgen heeft voor de veilige communicatie tussen Europese overheden, burgers en bedrijven? Welke maatregelen heeft u genomen of bent u voornemens te nemen om de veilige communicatie met Europese overheden te blijven garanderen?

3. Overweegt u – mede in het licht van eerdere incidenten en de recent door de Commissie uitgevoerde consultatie over dit onderwerp – stappen te zetten om de kwaliteit van certificeringsautoriteiten en certificaten wettelijk te waarborgen en de intrekking van certificaten te vereenvoudigen in geval van calamiteiten?

4. Overweegt u stappen te zetten om de adoptie te versnellen van alternatieve technologieën die de al langer bekende kwetsbaarheden omzeilen van het huidige hiërarchische vertrouwensmodel dat gebruikt wordt voor digitale certificaten? Kunt u dat toelichten?