Er zijn verschillende aanwijzingen dat beelden en andere dronedata van onbemande toestellen van het Chinese bedrijf Da Jiang Innovations (DJI) kunnen weglekken naar de Chinese overheid, blijkt uit onderzoek van platform voor onderzoeksjournalistiek Investico voor Trouw, De Groene Amsterdammer en EenVandaag. HCSS expert Patrick Bolder geeft commentaar.
De politie heeft er meer dan 100, Rijkswaterstaat gebruikt ze voor gevoelige inspecties van bijvoorbeeld de Deltawerken: drones uit China. Volgens deskundigen zit daar een risico in. Want hoe weten we zeker dat de Chinese overheid niet meekijkt?
Ze zijn goed en goedkoop: de drones van het Chinese bedrijf DJI zijn dan ook gewild. Het bedrijf is marktleider en heeft een miljardenomzet. Hun drones zijn verbonden met het internet en worden via een speciale app op je telefoon bestuurd. Onderzoeksbureau Investico verdiepte zich in de drones van DJI en komt tot de conclusie dat de app mogelijkheden biedt om data te lekken.
‘Een gevaarlijke situatie’
Ook zouden er verborgen achterdeurtjes zijn geïnstalleerd die het mogelijk maken om heimelijk andere software te installeren. Daarmee zou je de telefoon in potentie kunnen monitoren. Maar kijkt de Chinese overheid dus mee en lezen ze onze telefoons uit? Dat is niet aangetoond, dus dat weten we niet, zo zegt Investico.
Toch noemt defensiespecialist Patrick Bolder van The Hague Centre of Strategic Studies (HCSS) de bevindingen van Investico zorgelijk: “We moeten bewust zijn dat het Chinese technologie is en dat we niet goed weten wat er achter zit. Welke informatie sturen wij bewust of onbewust naar China? We weten niet of het zo is, maar daar zit een gevaar” zegt hij bij EenVandaag.
Inzicht in onze zwakheden?
Rijkswaterstaat gebruikt de drones voor de inspectie van bruggen, sluizen en zelfs de Deltawerken. De bouwwerken worden zo gecontroleerd op kwetsbaarheden zoals scheuren en breuken. Bolder vraagt zich af of wij wel goed genoeg nadenken over de risico’s hiervan.
“De Nederlandse economie is afhankelijk van een goed functionerende infrastructuur. Als je met inspecties andere mensen inzicht geeft in strategische informatie over je zwakheden, kan dat op langere termijn leiden tot verstoring. Stel dat China meekijkt, dan doet het land er nu misschien niks mee, maar op langere termijn wel. Let wel, het wordt steeds duidelijker dat China een grootmacht wordt. Informatie over onze zwakheden nu, kan ze later wellicht economisch voordeel geven.”
100 drones bij de politie
Niet alleen de informatie van Rijkswaterstaat zou gevaar kunnen lopen, hetzelfde geldt voor politie-informatie. Volgens Investico beschikt de politie over meer dan 100 drones, die alleen al afgelopen jaar meer dan 1000 keer zijn ingezet. Te denken valt aan het filmen van een plaats-delict, maar ook aan het filmen van demonstraties. Bolder wijst op het risico van schenden van privacy als zou blijken dat China de data van die drones zou kunnen meelezen.
Ook het filmen van demonstraties is niet zonder risico: “Misschien zie je daar wel zogenoemde ‘useful idiots’ rondlopen. Dat zijn personen die je kunt targeten om te zorgen voor ontwrichting, voor meer weerstand tegen de overheid. Dat is nu nog niet aan de hand, maar dat kan reëel worden. Ik heb de indruk dat er te weinig wordt nagedacht over de risico’s als je met dit soort apps werkt.”
DJI: conclusies zijn niet waar
DJI laat in een schriftelijke reactie weten dat de conclusies van de onderzoekers onwaar zijn. Al hun producten zijn veilig, zo zegt het bedrijf. Ook hoeven gebruikers volgens het bedrijf geen data te delen.
Bolder denkt er het zijne van: “Ik kan mij voorstellen dat ze dat zeggen, want anders ondermijnen ze hun eigen verkoopstrategie. Het is goed om te vertrouwen, maar naïviteit is dom. Wij weten niet wat er gebeurt met die data die de Chinezen opslaan. En de Chinese wetgeving is zo dat ze bedrijven kunnen verplichten om die data aan de Chinese overheid te geven omdat ze anders gewoon hun vergunning kwijtraken en geen zaken meer kunnen doen.”
Defensie gestopt met DJI
Opvallend is wel dat Defensie recent stopte met het gebruik van DJI-drones bij operationele acties. Defensie zegt tegen Investico het risico te groot te vinden dat de Chinese overheid de data kan inzien.
Een begrijpelijke beslissing, volgens Bolder: “Het laat zien dat Defensie zich bewust is van cyber-onveiligheid. Er zijn iedere dag cyberaanvallen vanuit China. Ook heeft de regering recent grote Chinese bedrijven zoals Huawei uitgesloten van 5G-netwerken, juist vanwege het cybergevaar. Je moet je bewust zijn van de risico’s op spionage bij Chinese producten die aan het internet hangen.”
‘Naïviteit is zorgelijk’
De politie zegt tegen Investico dat ze niet kunnen uitsluiten dat data op Chinese servers belandt, maar zegt de drones niet te gebruiken bij afgeschermde acties. Ook zijn er tot nu toe geen datalekken gevonden. Zou dat wel gebeuren, dan stopt ook de politie met de Chinese drones. Rijkswaterstaat zegt niet precies te weten welke drones ze inzetten, omdat de inspecties worden uitbesteed.
Defensiespecialist Bolder is vooral verbaasd dat verschillende overheidsdiensten de risico’s anders interpreteren: “Defensie is er mee gestopt, maar de politie gebruikt ze nog steeds en is zich niet bewust van de schade op langere termijn. Die naïviteit vind ik zorgelijk.”
Trouw
Ook bij Trouw.nl bespreekt Patrick Bolder het onderwerp: ‘De vraag is of de Chinese overheid wel geïnteresseerd is in drone-informatie over coronaprotesten hier in Nederlands. Toch moeten we er volgens hem ook niet naïef over zijn wat er allemaal mogelijk is ‘op het gebied van cyber’.
Grotere zorgen heeft de onderzoeker over de inspecties van Rijkswaterstaat. “Nederland is afhankelijk van de waterwegen. Je wilt niet dat een potentiële tegenstander als China precies weet welke sluis of brug ze via een cyberaanval moeten uitschakelen om de scheepvaart te blokkeren.” Rijkswaterstaat besteedt die inspecties weer uit aan andere bedrijven en laat weten dat er “geen signalen zijn van mogelijke onveiligheid bij de partijen die voor ons vliegen”.
De Groene Amsterdammer
De Chinese overheid zal niet per se geïnteresseerd zijn in drone-informatie over coronaprotesten, zegt Bolder ook bij De Groene Amsterdammer. ‘Maar alles is mogelijk op het gebied van cyber, en de Chinezen zijn daar goed in. Daar moeten we niet naïef over zijn.’ Ook Rijkswaterstaat gebruikt bijvoorbeeld deze drones om de Deltawerken mee te inspecteren. ‘Nederland is heel erg afhankelijk van de waterwegen’, zegt Bolder. ‘Je wil niet dat een potentiële tegenstander als China precies weet welke sluis of brug ze bijvoorbeeld via een cyberaanval uit moeten schakelen om de scheepvaart te blokkeren.’
NOS en Radio 1 Journaal
De zorgen over de veiligheid zijn terecht, vervolgt Bolder bij de NOS en het Radio 1 Journaal. “Je weet nooit wat er doorgesluisd wordt naar China. Ze moeten gegevens beschikbaar stellen aan de Chinese overheid. De kans dat dat gebeurt, is wel heel groot.”
Hij vindt het een risico dat gevoelige organisaties technologiesystemen gebruiken die ze niet zelf hebben ontworpen. Dat de politie zegt dat de drones van DJI alleen worden gebruikt voor “afgeschermde operaties” stelt hem niet gerust. “Voordat het beeld wordt weggeschreven naar een server kan het al afgetapt worden.”
Volgens Bolder zijn niet alleen de data die de politie verzamelt interessant voor China, maar zeker ook die van Rijkswaterstaat. “Een groot deel van de Nederlandse handel verloopt via de scheepvaart. Als je op afstand bijvoorbeeld sluizen en bruggen door een cyberaanval onklaar kan maken, heeft dat een grote impact op de economie.”
In 2014 is er al overleg geweest tussen verschillende Nederlandse diensten over het gebruik van Chinese software. Bolder verbaast zich erover dat Defensie daaruit blijkbaar andere conclusies heeft getrokken dan politie en Rijkswaterstaat. Hij roept op om niet naïef te zijn over de bedoelingen van China. “Het is een strategische concurrent met een heel ander staatssysteem, die hebben niet per se het beste met ons voor.”
Bronnen: EenVandaag, Trouw, De Groene Amsterdammer, NOS, Radio 1 Journaal en Investico
UPDATE: het bericht “Mogelijke dataverzameling van Chinese drones” heeft geleid tot Kamervragen; op 30 september diende het Kamerlid Barbara Kathmann schriftelijke vragen in bij de minister van Justitie en Veiligheid Grapperhaus en bij de minister van Infrastructuur en Waterstaat Visser.