Misschien klikt de secretaresse van Michel Barnier – hoofd van de Brexit-onderhandelingen – wel op een verkeerde e-mail. Of is de wifi thuis bij een assistent van Europresident Donald Tusk niet goed beveiligd. Maar het kan ook een Duitse topambtenaar zijn die in een Brussels internetcafé inlogt op de webmail van zijn werk.

Bij de aanstaande onderhandelingen tussen het Verenigd Koninkrijk en de EU over de uittreding van de Britten uit de EU, is informatie goud waard. Wie de onderhandelingspositie van zijn tegenstander kent, komt gegarandeerd tot een beter eindresultaat. Als de Britten bijvoorbeeld gevoelige informatie zouden bemachtigen over onenigheid tussen de 27 overblijvende EU-lidstaten, zouden ze deze landen tijdens de uittredingsonderhandelingen tegen elkaar uit kunnen spelen.

Dat de Britten zulke informatie zouden willen verkrijgen, is evident. Dat ze het kunnen is wel bewezen: zo hackten de Britten de klimaatonderhandelingen in Cancun en Kopenhagen, verzamelden ze tijdens een bijeenkomst van de G20 in Londen mailadressen en wachtwoorden via zelf ingerichte internetcafés, en wisten ze door een hack van een dochter van het Belgische telecombedrijf Belgacom wereldwijd data- en telefoonverkeer af te tappen.

En dat ze het nu weer zullen doen, ligt voor de hand. De Britse inlichtingendiensten behoren tot de beste en agressiefste ter wereld, en hebben de wettelijke taak het „economische welzijn” van het Verenigd Koninkrijk te beschermen.

Goed ingelichte bronnen bij de Nederlandse overheid verwachten dat de Britse diensten zeker hun uiterste best zullen doen om via digitale spionage een onderhandelingsvoordeel te bereiken. En de Britten zijn in het voordeel: het eensgezind ogende EU-bolwerk kent honderden scheurtjes waar de Britse inlichtingendiensten door naar binnen zouden kunnen komen.

Het aantal ‘aanvalsvectoren’, zoals ze in de wereld van cybersecurity graag zeggen, is indrukwekkend. En de kwaliteiten van de Britten om die uit te buiten zijn dat ook. Ronald Prins, directeur van Fox-IT, kent die kwaliteiten goed. Zijn bedrijf ontdekte in 2013 de besmetting van de Belgacom-systemen door te Britten. Regin, zoals de software heet die Fox-IT daar aantrof, „hoort bij het beste wat onze hackers ooit hadden gezien”, zegt Prins.

De software wist zichzelf als een echt virus te muteren, zodat het zich aanpaste aan zijn digitale omgeving en zo moeilijker te vinden en te bestrijden was. De software was ook opgebouwd uit verschillende modules, elk met een eigen rol, waardoor elk slachtoffer op een andere manier werd aangepakt. Prins: „De Britten zijn heel geduldig, bereid zwaar te investeren en blijven langdurig in de door hun gehackte systemen zitten.”

Er zijn zelfs twijfels of de infectie ooit helemaal is opgeruimd. Mocht dat inderdaad niet gebeurd zijn, dan heeft GCHQ wellicht nog steeds de mogelijkheid om het telefoonverkeer en dataverkeer dat via Belgacom loopt af te tappen.

De aanval

De zwakste schakel in een digitaal netwerk is bijna altijd de mens. Een inlichtingendienst die een computernetwerk wil binnendringen zal daarom vooral de mensen bestuderen die ze daarbij, zonder het zelf te weten, kunnen helpen.

Uit de Belgacom-hack blijkt hoe geraffineerd de Britten te werk gaan. De inlichtingendienst zocht eerst uit welke systeembeheerders van Belgacom toegang hadden tot de zogenoemde ‘routers’ van het bedrijf – routers verbinden computernetwerken met elkaar, en treden daarbij op als een soort verkeersagenten, door te bepalen hoe datastromen lopen. Vervolgens selecteerde GCHQ de systeembeheerders die met kwetsbare computers werkten. Drie systeembeheerders die overbleven, werden via malafide software op hun computer omgeleid naar een nagemaakte LinkedIn-pagina. Op dat moment werden hun computers geïnjecteerd met het virus Regin, dat zich zelf een weg baant tot het in de meest geheime systemen van het telecombedrijf is genesteld. Het voorbereiden van deze besmetting duurde bijna een jaar, en werd pas twee jaar later ontdekt.

Dat de Britten – en de Amerikaanse inlichtingendienst NSA waar zij nauw mee samenwerken – blijven werken aan nieuwe manieren om beschermde netwerken binnen te dringen, blijkt uit de meest recente gelekte documenten van Wikileaks. Die tonen aan dat de inlichtingendiensten een buitengewone belangstelling hebben voor manieren om mobiele apparatuur te kraken, en daarvoor ook allerlei gereedschap hebben ontwikkeld.

Bij de klimaatconferenties, zo blijkt uit door Edward Snowden gelekte documenten, waren de Britten op zoek naar „red lines” (uiterste onderhandelingsposities), allianties tussen andere landen, onderhandelingsdoelen en strategieën. Bij de G20 in Londen probeerden ze hun eigen onderhandelaars een ‘real-time’ overzicht te bieden van wie met wie belde. Bij de Brexit-onderhandelingen ligt het voor de hand dat ze ook zullen zoeken naar manieren om EU-landen tegen elkaar uit te spelen.

Zelf waren de Britten in het verleden tevreden over de resultaten van hun speurwerk. „A succes”, zo noemde GCHQ in een interne presentatie haar activiteiten op de mislukte klimaatconferentie van 2009 in Kopenhagen. Overigens is niet bekend welke invloed deze Britse spionage had op de uitkomst van de conferentie. De „very successful” penetratie van Belgacom leverde volgens GCHQ zelf een „huge extent of opportunity” op.

De verdediging

Binnen de inlichtingenwereld bestaat het adagium dat er ‘geen bevriende diensten zijn, alleen diensten van bevriende landen’. Dat maakt het digitaal beveiligen van locaties complexer: geen enkele inlichtingendienst zal accepteren dat de dienst van een ander land dat op zich neemt. Je moet als verdediging namelijk al het dataverkeer aftappen en onderzoeken om te weten of je wordt gehackt.

Het is onwaarschijnlijk, zo zeggen deskundigen, dat de EU en haar lidstaten een binnendringen van de Britten geheel kunnen voorkomen. Wat wel kan, is bemoeilijken en vertragen. Door bijvoorbeeld onderhandelingslocaties pas op het laatst prijs te geven, of onverwacht te veranderen. Door geen mobiele apparatuur toe te staan in de vergaderzaal – of onbeveiligde digitale communicatie van gevoelige zaken te verbieden. Dan zouden gevoelige documenten bijvoorbeeld alleen op papier en genummerd worden verspreid.

Maar het belangrijkst is: alle bezitters van gevoelige informatie aan EU-zijde ervan te doordingen dat ze voorzichtig moeten zijn. Maar dat is lastig. Technisch is er veel mogelijk, maar bestuurders en ambtenaren moeten die technieken ook gebruiken, en zich bewust zijn van andere kwetsbaarheden.

Een beveiligingsexpert: „Nederlandse bewindspersonen en topambtenaren kunnen bijvoorbeeld in het buitenland via Sectra Tiger-mobieltjes veilig communiceren. Maar als ze vervolgens de hotelreceptie vragen om het bestand uit te printen dat ze net via die telefoon hebben ontvangen, dan ben je natuurlijk niet beveiligd.” Een goed beveiligde topfunctionaris die zijn mailwachtwoord uit het oogpunt van efficiëntie aan zijn secretaresse geeft, is al gecompromitteerd.

Het is een gebrek aan digitaal veiligheidsbesef waar veel cyberspecialisten, ook bij de overheid, voor waarschuwen. Door die bril bezien is bijvoorbeeld ook een gepland bezoek van Commissievoorzitter Jean-Claude Juncker en hoofdonderhandelaar Barnier aan de Britse premier Theresa May aanstaande woensdag al een risico.

Doelwitten voor de Britse inlichtingendienst zijn er genoeg. De logistiek en het proces van de Brexit-onderhandelingen is nog onduidelijk. Maar het ligt voor de hand dat vertrouwelijke informatie over de onderhandelingspositie van de EU zeer wijd verspreid zal worden. De Europese Commissie heeft van de Europese Raad van regeringsleiders het mandaat gekregen om te onderhandelen, maar kan geen posities innemen zonder medeweten van die Raad en dus van bewindspersonen en topambtenaren van 27 landen. Tegelijk heeft de Commissie ook het Europees Parlement beloofd dat het op de hoogte zal worden gehouden van de voortgang van de onderhandelingen.

Een netwerk is zo kwetsbaar als de zwakste schakel. Te horen valt dat landen als Malta en Cyprus simpelweg nog niet zo ver zijn met hun cyberveiligheid. Wie de mailaccount van pakweg een medewerker een relevante Maltese minister weet te hacken, kan zich vervolgens als die minister voordoen, en op die manier weer binnendringen bij beter beveiligde landen.

Ronald Prins twijfelt er niet aan dat het de Britten bij de Brexit-onderhandelingen zal lukken digitaal te spioneren. „De mogelijkheid dat de Britten de Brexit-onderhandelingen hacken staat hoog op mijn lijstje. Ik ben er zeker van dat zij overal bij kunnen komen, en dat wij dat niet kunnen tegenhouden.”

Een versie van dit artikel verscheen ook in NRC Handelsblad van 22 april 2017