Surveillance
Hoe China met de Nederlandse politie meekijkt
Al sinds 2017 rijzen twijfels over de betrouwbaarheid van de Chinese tech-gigant Da Jiang Innovations (DJI), wereldwijd marktleider op het gebied van drones. Toch blijft de politie ze gebruiken, terwijl Defensie ze in de ban deed. Wat is dit voor bedrijf?
Op een industrieterrein aan de rand van het Zuid-Hollandse Barendrecht zit de Europese afdeling van een Chinese dronegigant. Het is een bescheiden kantoor met een klein opslagpand ernaast. Alleen een klein blauw bordje geeft de naam van het bedrijf weg: Da Jiang Innovations (DJI).
DJI is wereldwijd marktleider op het gebied van commerciële drones en het Chinese hoofdkantoor is dan ook iets imposanter dan de Barendrechtse vestiging. In de Chinese techhub Shenzhen, gelegen aan de baai die grenst met Hongkong, wordt een groot futuristisch kantoor gebouwd van bijna tweehonderd meter hoog, bestaande uit twee torens met een luchtbrug.
Het bedrijf werd in 2006 opgericht door Frank Wang, die, naar verluidt, de eerste prototypes van zijn drones in elkaar sleutelde in zijn studentenkamer op de campus van Hongkong University of Science and Technology. Vandaag de dag is DJI een miljardenbedrijf en marktleider op het gebied van drone-innovatie en -productie. Het bedrijf heeft naar schatting zo’n 70 procent van de markt in handen. De dronemaker heeft ook een Europees kantoor in het Duitse Frankfurt, maar alleen al door het Barendrechtse kantoorpandje stroomde in 2019 1,1 miljard euro aan omzet. DJI is met afstand het grootste dronebedrijf in Europa en de wereld.
DJI maakt allerlei verschillende drones. Van mini-apparaten van zo’n honderd euro die in je hand passen en slechts tien minuten kunnen vliegen, tot de Agras-drones, waarmee landbouwbedrijven hun gewassen kunnen besproeien, en bakbeesten met zes propellers die 120 meter de hoogte in kunnen en inspecties kunnen uitvoeren in de zware industrie. Maar in essentie zijn het allemaal onbemande helikopters met een camera eronder. Hun drones zijn over het algemeen goedkoop, gebruiksvriendelijk en voor iedere hobbyist of professional bestuurbaar via een app op smartphone of tablet.
Dronevloot politie
Ook in Nederland zijn de Chinese drones populair, en niet alleen bij hobbypiloten. De Nederlandse politie zette in 2021 tot nu toe meer dan duizend keer een drone in, en inmiddels bestaat de dronevloot uit ruim honderd DJI-toestellen. De drones worden onder andere gebruikt voor opsporing en crowd control, zegt de politie. Zo vloog er na de aanslag op Peter R. de Vries bijvoorbeeld een drone over de plaats delict, en hing er tijdens de lockdown een politiedrone met een megafoon boven de bollenvelden om dagjesmensen eraan te herinneren afstand te houden. Tijdens recente protesten tegen de coronamaatregelen zette de politie een van hun DJI Matrice-drones in om toezicht te houden op de mensenmassa.
Ook de NS gebruiken de Chinese drones, bijvoorbeeld voor de inspectie van het station. Bedrijven in de Rotterdamse en Amsterdamse haven zetten ze in voor inspecties en onderhoud. En Rijkswaterstaat gebruikt de onbemande toestellen van DJI om bijvoorbeeld controles uit te voeren aan bruggen, sluizen en de Oosterscheldekering en andere Deltawerken. “Die inspecties besteden we uit aan verschillende bedrijven”, zegt Arie van Kersen, lid van de werkgroep Drones van Rijkswaterstaat. “De inzet van drones is veiliger, sneller en we hoeven het verkeer niet stil te leggen.” Van Kersen hoort wel eens bezorgde mensen over privacykwesties bij drones, “maar privacy is niet zo belangrijk bij het inspecteren van bruggen. Je zou bij een inspectieronde misschien kentekens van auto’s kunnen zien, maar die worden geblurd.”
Sinds 2017 rijzen er echter al twijfels over de betrouwbaarheid van de Chinese tech-gigant. De Amerikaanse cybersecurity-onderzoeker Kevin Finisterre besloot samen met een groep programmeurs eens uit te zoeken hoe goed die drones nu eigenlijk beveiligd zijn. Hij krijgt gemakkelijk toegang tot vertrouwelijke servers van DJI en vindt onversleutelde vluchtgegevens en identiteitsbewijzen van gebruikers. Bovendien ontdekt hij een functie in de DJI-besturingsapp om software te kunnen installeren op de telefoon van de gebruiker van de drone. “Als het bedrijf ervoor kiest om die achterdeur te gebruiken, kunnen ze de gebruiker daarmee langdurig monitoren”, zegt hij.
Hackers kunnen meekijken
Ook in 2018 wordt er een lek gevonden, dan door onderzoekers van het Amerikaanse-Israëlisch IT-beveiligingsbedrijf Check Point. Het platform van DJI is gemakkelijk te hacken, ontdekken zij. Hackers kunnen live meekijken met de dronecamera, en hebben toegang tot beelden van eerdere vluchten. Oded Vanunu, die het onderzoek voor Check Point leidde, waarschuwt dat wanneer overheidsorganisaties gebruik willen maken van DJI er voorzorgsmaatregelen getroffen moeten worden: “Ze moeten bijvoorbeeld hun eigen app ontwikkelen om de drone te besturen, zodat je niet afhankelijk bent van de software van DJI”.
In 2020 is het weer raak. “Ik was echt verbaasd over de hoeveelheid data die DJI verzamelt”, zegt Tiphaine Romand-Latapie. Ze is cybersecurity-onderzoeker bij Synacktiv, een Frans bedrijf dat organisaties helpt met hun digitale beveiliging. Zij ontdekte dat de DJI-besturingsapp voor recreatieve gebruikers grote hoeveelheden data verzamelde en doorstuurde naar Chinese servers. “Dat ging van de helderheid van het telefoonscherm tot het serienummer van de simkaart en dat van alle andere telefoons in hetzelfde wifi-netwerk. Als gebruiker heb je geen idee dat al die persoonlijke gegevens worden verzameld.”
Net als de Amerikaanse onderzoeker Finisterre vond ook zij een functie in de app die allerlei andere software op de telefoon kon installeren zonder dat de gebruiker het doorheeft. Bovendien had DJI een doolhof aan digitale versleuteling opgetrokken om dat achterdeurtje uit het zicht te houden van buitenstaanders als de Franse onderzoekers. “Dat maakt het extra verdacht”, zegt Romand-Latapie. “In theorie zouden dit ontwerpfouten kunnen zijn, maar waarom dan zoveel moeite doen om ze te verbergen?”
Speciale overheidsdrone
DJI laat in een schriftelijke reactie weten dat al hun producten veilig zijn. Ook hoeven gebruikers volgens DJI geen data te delen, ook niet met de tech-gigant zelf. Over kritische onderzoekers die iets anders vinden, zegt DJI: “Hun conclusies zijn simpelweg onwaar”. Daarbij wijst DJI op verschillende onderzoeken die stellen dat de dronedata wel veilig zijn en zegt het bedrijf de uitdaging voor hackers en onderzoekers om “bugs” op te sporen “openhartig” te zijn aangegaan. Overheden kunnen volgens DJI gebruik maken een speciale overheidsdrone, een editie waarvan de data éxtra beveiligd zou zijn.
Opmerkelijk genoeg gebruikt de Nederlandse politie die editie niet, laat ze in een reactie weten. De dronebestuurders bij de politie gebruiken gewoon de meegeleverde DJI-apps en -software, terwijl experts benadrukken dat overheidsorganisaties hun eigen app moeten ontwikkelen om DJI-drones veilig te gebruiken.
Agenten gebruiken soms zelfs de recreatieve DJI-app, waarvan het Franse onderzoeksteam ontdekte dat die gevoelige data naar Chinese servers stuurde. De politie stelt zelf ook dat ze niet kan uitsluiten dat data van politiedrones belandt op servers in China. “We zijn ons bewust van dat risico. Tot nu toe hebben we zelf geen datalek vastgesteld.”
Data naar Chinese overheid
Een miljardenbedrijf als DJI kan in China alleen maar bestaan als het samenwerkt met de overheid: volgens de Chinese wet zijn bedrijven zelfs verplicht om hun data af te staan. In 2016 gaf DJI tegenover Bloomberg al toe bereid te zijn dat te doen. Voor het Amerikaanse leger was het al in 2017 reden om DJI in de ban te doen, het Congres bereidt daar wetgeving voor om dat overheidsbreed te regelen. Ook het Nederlandse ministerie van defensie wil geen risico’s nemen en zet DJI niet meer in voor operationeel gebruik. “De data zijn vaak niet afgeschermd, en staan meestal op servers in China. De eigenaren kunnen worden verplicht om data te leveren aan de Chinese overheid.”
Dat laatste is de reden dat het gebruik van Chinese technologie vaker ter discussie staat. Zo werd eerder dit jaar bekend dat het Chinese telecombedrijf Huawei vrije toegang had tot de gesprekken van alle klanten van KPN Mobiel. De Nederlandse overheid besloot Huawei daarom “definitief te weren uit de kern van het telecomnetwerk”.
Het zou goed zijn als de overheid met heldere criteria komt bij het gebruik van Chinese technologie in het algemeen, vindt Frans-Paul van der Putten, coördinator van het China Centre bij onderzoeksinstituut Clingendael. Volgens hem is het voor organisaties als de politie en Rijkswaterstaat moeilijk om de voordelen en de risico’s van het gebruik van DJI-apparaten tegen elkaar af te wegen.
Concurrent, tegenstander of vijand?
Nederland moet sowieso een duidelijkere strategie formuleren om met een snel groeiende, niet-democratische supermacht als China om te gaan, zegt Van der Putten. “We weten nog steeds niet wat we willen met China. Is het een concurrent, een tegenstander, of zelfs een vijand? En hoe zit dat in de toekomst? De Nederlandse overheid heeft daar geen duidelijk idee over. En de EU eigenlijk ook niet.”
Chinese surveillance
De discussie rond het gebruik van Chinese technologie gaat niet alleen over de vraag of de data wel veilig zijn in Chinese handen. Ook de rol van de techreuzen bij de Oeigoerse strafkampen maakt samenwerking omstreden. Zo berichtte The Washington Post eind vorig jaar dat telecombedrijf Huawei gezichtsherkenningssoftware zou testen die een alarm zou sturen naar de Chinese veiligheidsdienst als er een Oeigoers uitziend gezicht werd gescand.
En eerder dit jaar bleek het Europees parlement vol te hangen met camera’s en temperatuurmeters van het Chinese bedrijf Hikvision, dat ook de bewakingscamera’s levert voor de West-Chinese strafkampen. Het bedrijf werd daarom door de Amerikaanse overheid op een zwarte lijst geplaatst voor het bijdragen aan massadetentie van minderheden.
DJI staat ook op die lijst. In 2019 doken er dronebeelden op van grote aantallen geboeide en geblinddoekte mensen naast een treinstation. Volgens deskundigen gaat het om een gevangenentransport van Oeigoeren. In de linkerbovenhoek van de beelden staat het logo van DJI.
Lees ook:
Met de groei van de blauwe dronevloot, neemt ook het aantal vragen over de privacy toe
Wanneer je een demonstratie of festival bezoekt, wordt de kans steeds groter dat een politiedrone met camera boven je hoofd vliegt. Het dronegebruik bij de politie neemt een vlucht, maar hoe wenselijk is dat?
