Voorstel nieuwe bewaarplicht door Carrier Grade NAT vertraagd
Het voorstel voor een nieuwe bewaarplicht telecomgegevens heeft vanwege Carrier Grade Network Address Translation (CGN) vertraging opgelopen, zo heeft Minister Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer laten weten.
Het kabinet wil een bewaarplicht invoeren waarbij providers worden verplicht om ip-adressen en telefoonnummers van gebruikers op te slaan. Het Europees Hof van Justitie oordeelde in 2016 dat EU-landen niet zomaar op grote schaal de locatie- en telecomgegevens van mensen mogen opslaan. In 2014 werd de Nederlandse bewaarplicht al na een gerechtelijke uitspraak buiten werking gesteld. Daarop kwam het kabinet met een nieuw wetsvoorstel. De uitspraak van het hof eind 2016 zorgde ervoor dat dit nieuwe voorstel moest worden aangepast.
Grapperhaus was van plan om het aangepaste voorstel nog dit voorjaar voor advies naar de afdeling advisering van de Raad van State te sturen. Dat heeft echter door CGN niet kunnen plaatsvinden, aldus de minister. Via CGN delen meerdere telecomabonnees één ip-adres. Hierdoor kan niet worden bepaald welke van de tientallen tot honderden gebruikers van het ip-adres op een bepaalde datum en tijdstip een specifieke website of internetadres hebben bezocht, stelt Grapperhaus.
"Hierdoor kan de politie of andere opsporingsinstantie niet herleiden welke van de personen/gebruikers in casu het opsporingsonderzoek van belang zijn. Daarnaast is het opleveren van een grote hoeveelheid gebruikers per ip-adres aan de opsporing mogelijk ook een onevenredige inbreuk op de privacy van deze personen, waarvan het overgrote deel niets met het opsporingsonderzoek te maken heeft", schrijft de minister in zijn brief.
Om een oplossing te vinden heeft Grapperhaus het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) gevraagd om een onderzoek uit te voeren. Wanneer de uitkomsten bekend zijn zal de minister de kamer hierover informeren. Vorig jaar sprak Europol zich al uit tegen Carrier Grade NAT en vond dat telecomproviders hiermee moesten stoppen.
"CGN-technologie heeft voor een serieus gat gezorgd in de online mogelijkheden van opsporingsdiensten om misdrijven te onderzoeken en toe te kennen. Het is met name alarmerend dat individuen die via mobiele telefoons verbinding met internet maken om criminele activiteiten te faciliteren niet kunnen worden geïdentificeerd omdat 90 procent van de mobiele internetproviders een technologie heeft uitgerold waardoor ze niet aan de gerechtelijke verplichtingen kunnen voldoen om individuele abonnees te identificeren", zo liet de toenmalige Europol-directeur Rob Wainwright destijds weten.
Dan is er tenminste de kans om bij CGN de connectie naar de goede betrokkene te herleiden.
Het betere alternatief is natuurlijk als telecomproviders een stoppen met een GCN en iedereen gewoon een handje vol IPv6 adressen gaat geven.
Maar laten we vooral meer geld steken in onderzoek!
Het is een prettige bijkomstigheid, maar de 'eis' van Europol geeft wel weer precies aan waar het schoentje wringt: de Roverheid wil ten alle tijden met alles kunnen mee kijken en als de agentjes dat niet kunnen dan beginnen ze te dreinen en moet de technologie die hen in de weg zit maar 'verboden' worden... Tuurlijk.
En hoe deed je dat dan vroeger met een brief? Afgezien van dat het best lastig was om die ongezien mee te lezen, was het aan de afzender om zich bekend te maken of niet. Toen kon oom Agent het ook zonder - of heb ik de wet die de toenmalige PTT verplichtte bij elke brief een copietje van het paspoort van de afzender te maken ff gemist?
Uhu, overheid en ICT. Blijft een mooie combinatie. Allemaal dingen verzinnen die niet kunnen qua techniek. Maar op papier staat het allemaal stoer. Maar in werkelijkheid te duur of niet realiseerbaar. In dit geval vind ik het niet erg. Ik hoef niet getracked te worden. Ben niet PER DEFINITIE een crimineel!
TheYOSH
Kom maar weer terug als allerlei dingen niet bij je werken wegens een extra NAT stap (of geen protocol support in de CGN gateway) , en als je her en der geweigerd wordt omdat er "al" ingelogd is vanaf "dat" IP - want CGN.
Doe trouwens niet de aanname dat CGN beperkt is of blijft tot "mobiele operators" . Die zijn er alleen de eersten mee.
In plaats van dat ze nou eens wakker worden en merken dat eigenlijk niemand dat gesleepnet prettig of zelfs maar wenselijk vindt... behalve zijzelf dan.
Doe trouwens niet de aanname dat CGN beperkt is of blijft tot "mobiele operators" . Die zijn er alleen de eersten mee.
Tenzij iedereen naar een op dit moment kleine partij loopt zonder dat dit door middel van overname's gebeurt is er weinig te vrezen.
Dat is ook helemaal niet de bedoeling. IP-adressen zijn voor routering, niet voor identificatie. TCP/IP functioneert voor de meeste topepassingen nog prima als mensen ip-adressen hergebruiken en routes en schijnbare herkomst steeds veranderen. Het internet is geen opsporingshulpje.
Uhu, overheid en ICT. Blijft een mooie combinatie. Allemaal dingen verzinnen die niet kunnen qua techniek. Maar op papier staat het allemaal stoer. Maar in werkelijkheid te duur of niet realiseerbaar. In dit geval vind ik het niet erg. Ik hoef niet getracked te worden. Ben niet PER DEFINITIE een crimineel!
TheYOSH
Beste Yoshi,
Je bent niet per definitie een crimineel. De ambtenaren verzinnen wel krankzinnige oplossingen. Het is aan de technische partij, het bedrijfsleven om daar aan te voldoen c.q. tegemoet te komen. En dit zonder de repercussies ervan te overzien. Denk ook aan de zeitgeist van dit moment in het politieke landschap van landen en de steeds meer extremistische tendensen in landen om ons heen, als ook in ons land.
De verantwoordelijkheid is dan ook een gedeelde verantwoordelijkheid. De krankzinnige drang naar traceerbaarheid van informatie door overheden en instituties wordt steeds draconischer.
Nu is de reden om na te gaan wie er op welk tijdstip een belletje had gepleegd, en alleen voor een persoon. Zonder inhoud van het gesprek. Straks gaat er ook nog de inhoud/opname van het gesprek bij.
En dan wordt het eng in mijn beleving. Retentie van alles, voor bepaalde en erger nog onbepaalde tijd? Ik begrijp de behoefte van de ambtenaar, maar niet meer zijn ethiek wanneer deze opdracht geeft voor dit soort bewaarplichten. Vaak is het zo dat wanneer het technisch mogelijk blijkt, het ook mis/ge-bruikt gaat worden.
Het blijft een balans tussen enerzijds vrijheid en anderzijds traceerbaarheid en het gemak. Maar goed, de techniek CGN geeft overheden kopzorgen, als ook encryptie maar dit is een andere discussie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.