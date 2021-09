Er zijn verschillende aanwijzingen dat beelden en andere dronedata van onbemande toestellen van het Chinese bedrijf Da Jiang Innovations (DJI) kunnen weglekken naar de Chinese overheid, blijkt uit onderzoek van platform voor onderzoeksjournalistiek Investico voor Trouw, De Groene Amsterdammer en EenVandaag.

De politie zegt in een reactie ‘niet uit te kunnen sluiten dat hun data op Chinese servers belandt’. Eenmaal op een Chinese server, is de politie de grip op de data kwijt. Voor Defensie is dat reden om de apparaten van DJI niet in te zetten voor operationeel gebruik. “De data zijn vaak niet afgeschermd en staan meestal op servers in China. De eigenaren kunnen worden verplicht om data te leveren aan de Chinese overheid.” Het Amerikaanse leger kwam in 2017 ook tot die conclusie.

Dit jaar heeft de politie de drones tot nu toe meer dan duizend keer ingezet voor opsporing en het controleren van de openbare orde, bijvoorbeeld tijdens demonstraties.

Niet naïef

De vraag is of de Chinese overheid wel geïnteresseerd is in drone-informatie over coronaprotesten hier in Nederland, zegt Patrick Bolder, die voor The Hague Centre for Strategic Studies onderzoek doet naar de militaire toepassingen van drones. Toch moeten we er volgens hem ook niet naïef over zijn wat er allemaal mogelijk is ‘op het gebied van cyber’.

Grotere zorgen heeft de onderzoeker over de inspecties van Rijkswaterstaat. “Nederland is afhankelijk van de waterwegen. Je wilt niet dat een potentiële tegenstander als China precies weet welke sluis of brug ze via een cyberaanval moeten uitschakelen om de scheepvaart te blokkeren.” Rijkswaterstaat besteedt die inspecties weer uit aan andere bedrijven en laat weten dat er “geen signalen zijn van mogelijke onveiligheid bij de partijen die voor ons vliegen”.

Verschillende internationale cybersecurity-onderzoekers ontdekten de afgelopen jaren datalekken en achterdeuren in de software van DJI. Zo zag een Frans onderzoeksteam van het bedrijf Synacktiv in 2020 dat de app die de drone bestuurt, grote hoeveelheden gegevens verzamelde en die vervolgens naar Chinese servers stuurde. Ook ontdekte het team een functie in de app die allerlei andere software op de telefoon kon installeren zonder dat de gebruiker het doorheeft.

Voorzorgsmaatregelen

Het IT-beveiligingsbedrijf Check Point concludeerde in 2018 dat hackers live konden meekijken met de dronecamera en toegang konden krijgen tot eerdere opnames. Overheidsorganisaties als de Nederlandse politie moeten ingrijpende voorzorgsmaatregelen treffen als ze dergelijke drones veilig willen gebruiken, vindt Check Point-onderzoeker Oded Vanunu.

De politie zegt zich bewust te zijn van het risico dat data van de drones op Chinese servers belanden. De ruim honderd DJI-toestellen van de politie worden daarom niet ingezet bij ‘afgeschermde operaties’. De overheidseditie van de dronesoftware, die DJI speciaal heeft ontworpen voor extra dataveiligheid, zegt de politie niet te gebruiken.

DJI stelt in een schriftelijke reactie dat al hun producten veilig zijn. Gebruikers hoeven volgens DJI geen data te delen, ook niet met DJI zelf. DJI is zich bewust van kritische onderzoekers en stelt dat de conclusies simpelweg onwaar zijn. Bovendien wijst het bedrijf op de speciale overheidseditie van de dronesoftware.

