FT: Europese Commissie geeft medewerkers die naar VS gaan wegwerptelefoons

Die dingen worden heus niet letterlijk weggegooid na gebruik…

Dat hangt volledig af van het veiligheidsbeleid van de organisatie, de inschatting van het risico, de impact van een mogelijk datalek, en hoe het apparaat precies is gebruikt door de medewerker. Zelf gebruik ik bijvoorbeeld bij reizen naar Oekraïne, in het kader van hulpacties en vrijwilligerswerk, altijd een nieuw toestel dat als wegwerp bedoeld is. Dit doe ik uit overwegingen van dataminimalisatie, maar ook om identificerende metadata (zoals IMEI en MAC-adressen) te vermijden. Daarbij maak ik gebruik van een lokale Oekraïense eSIM, zodat de IMSI niet te herleiden is tot eerdere reizen of accounts. Het toestel wordt bovendien als lokaal herkend, wat belangrijk is wanneer mijn Nederlandse telefoon om veiligheidsredenen uitstaat. Betreft laptop is het ook vrij standaard gebruik om bepaalde zaken en verbindingen af te schermen en gebruik deze alleen voor deze reizen en met de nodige hygiënemaatregelen die gebruikelijk zijn wanneer je zulke gebieden bezoekt.

Ga ervan uit dat u wordt geobserveerd, dat uw gesprekken worden beluisterd en dat uw apparatuur en gegevens kunnen worden gekopieerd

Bron: AIVD, 2017

Wat ik kan vinden over het beleid bij de AIVD en vergelijkbare organisaties, is dat bijvoorbeeld een USB-stick die is aangesloten op apparatuur van derden standaard als ‘besmet’ wordt beschouwd. Bij laptops en telefoons wordt per geval beoordeeld wat ermee moet gebeuren, vaak in overleg met een beveiligingsfunctionaris. Gebruik daarna is 'verboden'.

Laat deze USB-stick achter of neem deze mee terug om deze te laten vernietigen of te schonen.

Bron: AIVD

Even later staat in dezelfde brochure het beleid beschreven voor andere apparatuur:

Het kan zijn dat uw apparatuur ingeleverd moet worden bij uw eigen organisatie voor analyse of opschoning. Soms kan het zelfs nodig zijn om apparatuur te vernietigen bij terugkomst, omdat veilig gebruik niet meer mogelijk is. Per reisbestemming en organisatie kunnen hier specifieke afspraken over bestaan.

Bron: AIVD

In sommige gevallen lijkt het predicaat “wegwerp” vooral te betekenen dat het apparaat geïsoleerd wordt gebruikt en niet direct terugkoppelt in het reguliere netwerk, maar niet per se dat het meteen bij het afval gaat maar door een wasstraat voor analyse en schoonmaak om daarna te bepalen of deze nog gebruikt kan worden. Maar alles hangt af van het land waar je heen wilt gaan en de data. Zie zo ook deze publicatie:

Het ministerie van Buitenlandse Zaken raadt geen vertrouwelijke bedrijfsinformatie op laptops en smartphones mee te nemen naar landen als China, Rusland, Iran en Turkije.

[...]

"Gooi ze daarna weg", adviseert Ralph Moonen, technisch directeur van Secura. "Je weet nooit wat er diep in het BIOS is geïnstalleerd". De mogelijkheden om snel een telefoon of laptop te infecteren zijn legio. Er zijn bekende kwetsbaarheden in Bluetooth en WiFi zoals KRACK en BlueBorne waarmee snel spyware op de apparatuur kan worden gezet. "En ga er maar van uit dat de Chinese veiligheidsdiensten over een aantal zero-day kwetsbaarheden beschikken, dus die nog niet bij anderen bekend zijn." Met die spyware kunnen ze ook na thuiskomst nog waardevolle informatie van de bedrijfsservers halen wanneer de besmette computer of smartphone zich weer aanmeldt op het lokale netwerk.

Bron: Secura

Grappig is trouwens dat Secura ook al in 2018 adviseerde om bij reizen naar de VS wat voorzichtiger te zijn.

Moonen adviseert de voorzorgsmaatregelen niet alleen te nemen bij reizen naar de vier landen die het ministerie heeft genoemd. De Verenigde Staten hoort zeker in dat lijstje thuis, zeker met de nieuwe initiatieven voor 'extreme vetting' van de regering Trump, stelt hij.

Het uitgangspunt die hij aanhaalt vind ik zelf heel gezond:

Het duidelijkst is dat aan de grens waarbij wetten in veel landen gelegenheid bieden onderzoek te doen naar wat het land binnenkomt. "Ga er echter vanuit dat overheden voor wie jij interessante informatie kan hebben, toegang krijgen tot je hotelkamer. Bijvoorbeeld als je even een drankje in de bar gaat halen. [...]

Beveiligingsexperts raden aan apparaten liefst echt eenmalig te gebruiken en daarna nooit meer op interne netwerken aan te sluiten – “Gooi ze daarna weg,” adviseerde bijvoorbeeld Ralph Moonen (Secura) over laptops en telefoons na een reis naar een hoog-risicoland​

Al met al is gebruik dus een (enorm) risico en hangt dus vooral af wat je in het buitenland gaat doen. Personlijk heeft mijn voorkeur op zakenreis een schone laptop waarbij op locatie eerst een vers besturingssysteem geïnstalleerd wordt via een beveiligde verbinding (PXE-boot), en alle werkdata werden uitsluitend via een afgeschermde VPN-omgeving versturen. Ik ken zelfs organisaties die vóór de terugreis de medewerkers vragen om de gebruikte SSD te verwijderen (voor latere forensische controle) en een lege standaard-schijf terug te plaatsten in de laptop.

Je wilt het risico op onzichtbare malware of firmware-exploits, digital sporen zoals metadata (IMEI/IMSI/MAC) of eventuele fysieke manipulatie van hardware voorkomen. 100% uit te sluiten dat je risico loopt bij hergebruik is er namelijk niet. Dus ja, er zijn wel degelijk organisaties waar bepaalde zaken letterlijk weggegooid of vernietigd worden of in mijn geval verkocht (omdat herkenning voorkomen belangrijker is dan de data zelf). Waarbij de overheid naar sommige landen ook een gemiddelde Nederlander aanraad om bepaalde voorzorgsmaatregelen te nemen. Edit: Natuurlijk is de beste voorzorgsmaatregel om er ergens niet heen te gaan als dat niet (strikt) noodzakelijk is en het op een veiligere manier digitaal kan.

Edit: Algemeen advies van het Ministerie van Economische Zaken: https://www.digitaltrustcenter.nl/onderweg-en-op-reis

[Reactie gewijzigd door jdh009 op 15 april 2025 00:08]