- Timothy H. Edgar was werkzaam bij Amerikaanse inlichtingendiensten onder de presidenten George W. Bush en Barack Obama.
- Het veiligheidsincident waarbij Amerikaanse defensie-functionarissen een journalist toevoegden aan een Signal-chat, getuigt volgens Edgar van roekeloos gedrag.
- Het lijdt volgens Edgar geen enkele twijfel dat de chat de hoogste geheime status had moeten hebben.
- Lees ook: De oprichter van berichten-app Signal vindt het gedoe rond de Amerikaanse militaire groepschat erg grappig
Dit artikel in de ik-vorm is gebaseerd op een gesprek van redacteur Natalie Musumeci met de 53-jarige cybersecurityexpert Timothy H. Edgar. Hij was adviseur voor de nationale veiligheid onder president George W. Bush en adviseerde president Barack Obama over privacy en cybersecurity.
Ik heb in totaal zes jaar voor Amerikaanse inlichtingendiensten gewerkt gedurende het presidentschap van George W. Bush en Barack Obama. Daar adviseerde ik over cyberbeveiliging en privacy.
Toen ik het artikel in The Atlantic las over de Signal-chat waarin topambtenaren van de nationale veiligheidsdienst van de regering-Trump militaire aanvallen op Jemen bespraken, was mijn eerste gedachte dat deze mensen zich opmerkelijk roekeloos en dwaas gedroegen.
Signal is een uitstekende versleutelde app waarmee je allerlei soorten gesprekken kunt voeren, maar hij is niet ontworpen voor geheime gesprekken. We hebben het over de meest gevoelige gesprekken die topambtenaren hebben.
Het hele gesprek had duidelijk een hoogst geheime status. De discussie op Signal geeft namelijk belangrijke informatie over topambtenaren en hoe ze denken over een gevoelige kwestie op het gebied van buitenlands beleid. Het lijdt geen twijfel dat dit geheim is en afgeschermd moet worden. De operationele details zijn uiteraard zeer geheim.
De semantische discussie die volgde tussen het Witte Huis en journalisten over de vraag of dit "oorlogsplannen" of "aanvalsplannen" waren, is volledig irrelevant. In veel opzichten liggen aanvalsplannen gevoeliger dan oorlogsplannen, want oorlogsplannen zijn plannen, toch? Ze kunnen worden uitgevoerd, maar misschien ook niet.
Hier ging het om een bevel aan militairen om direct operaties uit te voeren, waarbij een journalist exacte informatie kreeg twee uur voordat de aanvallen plaatsvonden. Het is overduidelijk dat dit de levens van militair personeel in gevaar had kunnen brengen, als de informatie in verkeerde handen was gevallen.
In dit geval ging het om hoofdredacteur Jeff Goldberg van The Atlantic die per ongeluk was toegevoegd aan de chat. Hij ging verantwoordelijk om met de informatie, maar het had ieder willekeurig persoon kunnen zijn in iemands contactpersonenlijst.
Dit is gewoon volkomen onbestaanbaar. Er worden altijd fouten gemaakt, maar dit gesprek had nooit zo plaats mogen vinden, ongeacht welke app men gebruikte en hoe veilig de app ook was.
Signal is versleuteld, maar het risico ligt bij het gebruik van telefoons
Signal gebruikt dezelfde encryptie die de Amerikaanse overheid gebruikt om geheime informatie te beschermen. Dit is echter niet waar het probleem ligt.
Het punt is dat Signal een commercieel platform is, waardoor de Amerikaanse overheid geen controle heeft over eventuele kwetsbaarheden. Belangrijker nog is dat een chat betekent dat je een telefoon als medium gebruikt en dat is sowieso risicovol.
Normaal gesproken neem je als topambtenaar bij defensie je telefoon mee en leg je hem in een kluisje, voordat je naar de Situation Room in het Witte Huis gaat. Voordat je een geheime ruimte binnengaat in het Old Executive Office Building, haal je je telefoon uit je zak en berg je hem op. Het kan namelijk zo zijn dat een buitenlandse regering er misschien malware op heeft geplaatst, waardoor het een afluisterapparaat wordt. Dat was vijftien jaar geleden al zo en hackers zijn tegenwoordig veel geraffineerder.
Er bestaat zeer geavanceerde malware die telefoons en andere mobiele apparaten kan binnendringen, zonder dat je op een link hoeft te klikken. Dit geeft een tegenstander in feite gewoon volledige toegang tot wat er op je telefoon staat, alsof ze jouw telefoon gebruiken.
Het belangrijkste is dus dat je niet over zeer gevoelige, geheime informatie praat via dergelijke apparaten. Daarom worden er miljoenen dollars geïnvesteerd in het creëren van veilige communicatie voor topambtenaren, zowel via apparaten als door het in acht nemen van bepaalde processen.
Topambtenaren moeten zich ook bekommeren om fysieke beveiliging. Het gaat niet alleen om het apparaat. Het gaat niet alleen om het hacken. Het gaat erom dat je je op een fysiek veilige locatie bevindt. Dat is letterlijk waar de Situation Room in het Witte Huis voor is ontworpen.
Denk aan de beroemde foto van de aanval op Osama Bin Laden met al die kabinetsmedewerkers van president Obama rond de tafel in de Situation Room. Ze keken in realtime toe hoe troepen die operatie uitvoerden. Dit is feite wat de topfunctionarissen van Trump aan het doen waren, alleen deden ze het op Signal.
Het Signal-incident zou gevolgen moeten hebben
Het feit dat dit incident geen gevolgen had, is echt heel vreemd. Het is een beetje alsof ik de nucleaire codes van de VS meeneem en per ongeluk achterlaat in een Starbucks. Vijftien minuten later vind ik ze terug. Godzijdank, niemand heeft ze meegenomen! Vervolgens zeg ik: “Nou, ik denk dat het geen probleem was, omdat niemand anders ze heeft.” Dat is gewoon gestoord.
Hillary Clinton kwam als minister van Buitenlandse Zaken in de problemen, omdat ze een persoonlijk apparaat gebruikte om e-mails te versturen. Een paar daarvan bleken later geheime informatie te bevatten. Mensen uit de veiligheidswereld waren daar boos over, het was niet alleen een ding in rechtse media.
Nu hebben we het over real-time chatten op een commerciële app voor een vergadering van het hoofdcomité van de Nationale Veiligheidsraad. Gevoeliger kan bijna niet.