“Een enorm veiligheidsincident”, “achteloos” en “buitengewoon kwalijk”. Cybersecurity- en defensiedeskundigen kunnen hun ogen nauwelijks geloven na de onthullingen van het Amerikaanse tijdschrift The Atlantic over de manier waarop de Amerikaanse regering omgaat met staatsgeheimen.
De hoofdredacteur van het tijdschrift, Jeffrey Goldberg, werd aan een appgroep op chatapp Signal toegevoegd met allerlei hooggeplaatste functionarissen onder wie vicepresident Vance, minister Hegseth van Defensie en nationale veiligheidsadviseur Waltz.
In de appgroep werd topgeheime informatie gedeeld over aankomende luchtaanvallen op de Houthi-rebellen in Jemen, inclusief locaties die aangevallen zouden worden, wapens die gebruikt zouden worden en de volgorde van de aanvallen.
‘Alsof het schooljongens zijn’
Het is schandalig en buitengewoon kwalijk dat er zo met staatsgeheimen wordt omgesprongen, zegt cybersecurity-expert Inge Bryan. Volgens haar is het overduidelijk dat de deelnemers aan de appgroep “totaal niet gewend zijn” aan communiceren over gevoelige informatie. “Aan de woordkeuze kun je zien dat ze heel onervaren zijn, bijna alsof het schooljongens zijn die het hebben over bommen droppen.”
Dat er een beschrijving is gegeven van de precieze oorlogshandelingen, is volgens Bryan misschien nog wel de grootste zorg.
Defensiespecialist Peter Wijninga van de Haagse denktank HCSS sluit zich daarbij aan. “Het is een enorme blunder, want je geeft eigenlijk een aanvalsplan vrij op een openbaar medium. Gelukkig was de journalist verantwoordelijk genoeg om niet alle details te delen.”
Signal heeft net als WhatsApp zogeheten end-to-end-encryptie. Dat betekent dat de communicatie volledig is versleuteld, vanaf de afzender van een bericht tot de ontvanger. Signal kan niet meelezen met de berichten, maar dat betekent niet dat het berichtenverkeer dan ook automatisch helemaal veilig is.
“Via dit soort apps topgeheime informatie uitwisselen, mag absoluut niet”, legt Bryan uit. “De reden is dat de verzender geen controle heeft over de server: die is niet volledig in eigen beheer. En dat is wel een van de verplichtingen waar je aan moet voldoen als je gevoelige informatie wil bespreken.” Het risico bestaat dat externe mensen kunnen meelezen, wat dus is gebeurd met de journalist van The Atlantic.
Overigens had Waltz in Signal de functie aangezet dat sommige berichten na enige tijd weer verwijderd worden. Bryan wijst erop dat dit een overtreding is van de Amerikaanse archiefwet, omdat dit soort gevoelige berichten volgens de wet bewaard moeten blijven.
Versleuteld communiceren
Veilig over dit soort staatsgeheime informatie communiceren kan wel, maar daar zijn speciale systemen voor. “Al deze veiligheidsfunctionarissen hebben een kastje in huis waarmee ze volkomen versleuteld kunnen communiceren”, zegt Wijninga. “Of je communiceert daarmee, of fysiek op het Pentagon binnen een afgesloten en beveiligde ruimte die niet afluisterbaar is.”
Normaal gesproken zijn telefoons niet toegestaan in zo’n speciale ruimte. Journalist Goldberg suggereert in zijn artikel dat de betrokken topfunctionarissen zich mogelijk in het openbaar voortbewogen, terwijl ze de informatie deelden. “Als ze hun telefoons hadden verloren, of als die waren gestolen, was het potentiële risico voor de nationale veiligheid enorm geweest.”
Chinese hackers
Een recente ontwikkeling maakt de zaak nog kwalijker, vindt cybersecurity-deskundige Bryan. In december maakte het Witte Huis bekend dat het Chinese hackers was gelukt om zeker acht Amerikaanse telecomproviders te hacken, in de hoop informatie los te weken bij politici.
Onder meer de telecomreuzen AT&T en Verizon waren slachtoffer. Het was op dat moment ook nog niet gelukt om alle hackers uit de systemen te weren, zei de toenmalige plaatsvervangend nationaal veiligheidsadviseur Neuberger.
Met andere woorden: dat zou betekenen dat het Witte Huis zich bewust zou moeten zijn van de gevaren van communiceren via een onbeveiligd netwerk, maar dat risico toch heeft genomen. “Daarmee vervalt ook iedere claim op naïviteit”, concludeert Bryan.
Dat verbaast Wijninga niet. “Als er één ding is dat deze regering kenmerkt, is dat alles anders moet dan onder Biden het geval was. Zo zijn er veel ambtenaren weggestuurd waarvan de nieuwe regering vond dat die te dicht bij de Democraten stonden of te ‘woke’ waren. Daarmee is een belangrijk deel van de kennis binnen de veiligheidsorganisaties ook weg. De lessen die onder de regering van Biden zijn geleerd, zijn nu niets meer waard.”
Schade aan inlichtingenpositie
De gevolgen van dit veiligheidslek lijken vooralsnog beperkt, maar als de Houthi’s de informatie hadden kunnen bemachtigen, was dat anders geweest, schetst Wijninga. “Zij hadden zich dan kunnen voorbereiden op de aanval. Ze hadden dan grote schade aan gevechtsvliegtuigen en eenheden kunnen toebrengen, voordat de Amerikanen goed en wel met de aanval waren begonnen.”
Al met al was het “geen vertrouwenwekkend incident”, vindt de defensiespecialist. “Landen die inlichtingen delen met de VS zouden voortaan voorzichtiger kunnen zijn daarmee. Als je ziet dat er door de hoogste ambtenaren zo achteloos mee wordt omgegaan, denk je nog wel even twee keer na voordat je nieuwe informatie deelt.”
President Trump heeft het inmiddels opgenomen voor Waltz. Er was discussie ontstaan over de positie van de nationaal veiligheidsadviseur, maar Trump zegt tegen NBC News dat daarvan geen sprake is: “Waltz heeft zijn lesje geleerd en hij is een goede vent.”
Toch denkt Wijninga dat men intern op de hoogste veiligheidsniveaus verbijsterd zal zijn geweest door dit lek. “Ik denk ook wel dat ze inmiddels hun lesje hebben geleerd, maar naar buiten toe zullen ze dat nooit toegeven.”
