Onderafdeling GCHQ heeft toegang tot NHS-informatie
Dat beschrijft op 16 december 2015 de Engelse onderzoeksjournalist Duncan Campbell op de website van The Register in een artikel, genaamd: “Big Brother is born. And we find out 15 years too late to stop him”. Het beschrijft hoe zonder dat het parlement er van wist, letterlijk achter hun rug al 15 jaar een telefoon- en internet-aftapdienst bestond met de codenaam Preston. Op de tweede pagina van het artikel geeft hij aan dat de daarvoor verantwoordelijke overheidsdienst NTAC toegang heeft tot informatie binnen de National Health Service(NHC), volgens officiële documenten. De dienst, die het beheert, heet het National Technical Assistance Centre(NTAC). Het systeem was in het geheim door het Home Office opgezet en gehuisvest in het pand van MI5, de Britse binnenlandse veiligheidsdienst. Door deze opmerking van Duncan Campbell getriggerd ben ik op het internet op zoek gegaan naar bemoeienis van Britse geheime diensten met het datatransport in het NHS-netwerk. Dat leverde interessante gegevens op. Ook roept het de vraag op met welke legitimatie geheime diensten mee helpen een beveiliging te ontwikkelen waarmee medische data verstuurd worden. Immers meedenken, betekent automatisch meekijken.
NTAC
Deze dienst is opgezet in 2001 door het Home Office, het departement dat verantwoordelijk is voor immigratie, veiligheid en openbare orde. Met een budget van 25 miljoen pond per jaar was officieel haar taak:
“to give law enforcement agencies the ability to fight crime in the information age and provide a facility for the processing of lawfully intercepted communications and lawfully seized protected electronic data, which can then be used to bring serious criminals to justice”
Toch blijkt er hier sprake van uitgebreide “function creep”, want Duncan Campbell vertelt in zijn artikel dat het al enige jaren ook gaat om in bulk actief afgetapte telefoon-, bank-, vluchtgegevens van luchtvaartmaatschappijen etc. Eigenlijk is deze dienst een grote datastofzuiger. Sinds 2006 is de NTAC ondergebracht bij de GCHQ, de Britse tegenhanger van de Amerikaanse NSA(National Security Agency). GSHQ staat voor Government Communications HeadQuarters en is gevestigd in Cheltenham. De GCHQ raakte door o.a. nogal bekend door het infiltreren van het Belgacom-telefoonnetwerk en het afluisteren van telefoons van de Europese Unie in Brussel. Bij de GSHQ was al langer een dienst actief op het terrein van de elektronische communicatie, de Communications-Electronics Security Group (CESG), die opgezet is om overheidsinstellingen assistentie te verlenen ten aanzien van de veiligheid van de onderlinge verbindingen. Het CESG heeft dus meer de blik naar binnen in de overheidswereld gericht, de NTAC naar buiten.
Red Pike
Rond 1996 werd een uitgebreide studie verricht door een bedrijf van buiten de NHS om te onderzoeken hoe het medische dataverkeer tussen de grote onderdelen van het NHS-netwerk het beste versleuteld kon worden. De opdracht kwam van de Information management Group van de NHS-leiding. Zergo Limited deed het onderzoek en bracht daar een rapport over uit , waarbij je bij het lezen van je stoel valt van verbazing. Bij de stakeholders(zie blz 101 en 102 van deze link) bleken onverwachts de GCHQ en de CEGS te zitten, die daarna in discussies over het te kiezen encryptie-algoritme(=coderingsgrondslag op wiskundige basis) het door henzelf ontwikkelde algoritme “Red Pike” sterk propageerden. Vanuit overheidsperspectief lijkt het misschien logisch om een eigen overheidsinstelling die veel van coderen weet in te schakelen. Het probleem is echter dat men dan tegelijk een overheidsinstelling in huis haalt die van origine nogal nieuwsgierig is en daarbij ook de rondgestuurde data zelf kan ontcijferen en voor andere doeleinden kan gebruiken. Dat gevaar is destijds ook wel onderkend door de British Medical Association(de Britse KNMG) die er forse debatten over voerde. Coderingsexperts leverden ook forse kritiek op dit Red Pike-algoritme en op de hele cryptografie-strategie van de NHS. Het is niet te achterhalen of uiteindelijk het Red Pike-algoritme ingevoerd is, maar het geeft wel aan dat bij het ontwerpen van de beveiliging van het NHS-dataverkeer de veiligheidsdiensten een sterke vinger in de pap hadden. In dat licht is de opmerking van Duncan Campbell in zijn artikel over het kunnen inzien van NHS-informatie door het NTAC zeker geloofwaardig. Zeker met het oog op het verzamelen van “big data” en het gericht uitvoeren van “medical intelligence”(MEDINT) is een dergelijke ontwikkeling zeer ongewenst vanuit het privacy aspect en het medisch beroepsgeheim.
Analogie
Hoewel er niet direct iets over te vinden is, kan men zich de vraag stellen of de Nederlandse overheid niet via de Algemene Inlichtingen en Veiligheidsdienst(AIVD) enige invloed heeft uitgeoefend op het encryptieprotocol of andere vormen van beveiliging die in gebruik zijn bij het medische dataverkeer over het Landelijk SchakelPunt. Het Verenigd Koninkrijk leert ons dat zoiets niet per se onmogelijk is.
W. J. Jongejan
Wellicht is Campbell’s stelling “NTAC has access to NHS information, according to official docs” juist, maar een controleerbare bronvermelding lijkt te ontbreken. Open vragen zijn welke regels precies gelden en om welke informatie het precies gaat.
Een uurtje internetarcheologie brengt me in elk geval tot de overtuiging dat Red Pike (al lang) out of the picture is en dat, wat betreft block ciphers, wordt gebruikgemaakt van open en scrutinized algoritmen als AES, 3DES en Twofish. Daarom vermoed ik dat de geclaimde toegang tot NHS-informatie niet zal zijn gebaseerd op backdoored cryptografie. (Er zijn natuurlijk legio andere mogelijkheden te bedenken, waaronder in termen van opgelegde medewerkingsplichten het stelen of manipuleren van sleutels, manipulatie van hardware, enz.)
Ten eerste, Red Pike dateert van 1996 is, getuige de stukken waar je naar linkt, in de late jaren ’90 door de mangel gehaald en (uiteindelijk) weinig robuust bevonden. Het lijkt me onwaarschijnlijk dat men bewust een zwak algoritme blijft propageren voor gebruik door de eigen overheid inclusief NHS.
Ten tweede, de huidige lijst van CESG-goedgekeurde crypto-algoritmen (v3, dd 2012: http://systems.hscic.gov.uk/infogov/security/infrasec/gpg/acs.pdf ) vermeldt uitsluitend algoritmen die open en, naar huidige stand van zaken, de toets van scrutiny doorstaan.
Ten derde, Red Pike werd vroeger genoemd in relatie tot door CESG gecertificeerde producten, maar in het laatste decennium nergens meer. Ik zie geen aanwijzing om te vermoeden dat heimelijk toch ondersteuning voor Red Pike (of een variant zoals het nog altijd onbekende Thames Bridge-algoritme of nieuwe varianten) aanwezig zou zijn. Red Pike is geïmplementeerd in o.a. de CESG-applicatie Kilgetty (199x – ~2007). De vroegste archiefkopie van de webpagina van Kilgetty, van april 2004, vermeldt reeds dat “All of the current versions use the Advanced Encryption Standard (AES) algorithm”:
https://web.archive.org/web/20040426135744/http://www.cesg.gov.uk/site/caps/Kilgetty/index.cfm
Dat sterkt het vermoeden van wat in de eerste stelling is verwoord.
Voorbeelden van commerciële producten uit de jaren ’90 en ’00 die Red Pike ondersteunden zijn Portcullis Guardian Angel (disk encryptie), TopSoft CyberLock Data (file encryption) en Reflex Data Vault. Guardian Angel is in 1998 door CESG gecertificeerd, maar is ergens tussen oktober 2010 (https://www.ia.nato.int/documents/cc-directory.pdf) van status “Certified” gewijzigd naar de huidige status “Certified – Archived”, en wordt niet langer ondersteund:
https://www.cesg.gov.uk/finda/Pages/CCITSECProduct.aspx?PID=14&backpage=CCITSECResults.aspx?post=1&name=guardian+angel&status=Certified+-+Archived&sort=name
Ook van de andere producten die Red Pike ondersteunden is geen aanwijzing te vinden dat ze nog bestaan c.q. dat nog ondersteuning bieden voor Red Pike.
Ik hoop dat Campbell alsnog met een bronverwijzing komt. Hetgeen staat verwoord in dat document van Engelse cie-Stiekem ( https://b1cba9b3-a-5e6631fd-s-sites.googlegroups.com/a/independent.gov.uk/isc/files/20150312_ISC_P%2BS%2BRpt%28web%29.pdf?attachauth=ANoY7cpN71pGGJ43iHxv3Fbv9RDb6IGIiAeVHE1nQ3k4CyHtlxwF-39V_lkST_NPUXI_ToCV1qAh0DikiFJMEKb2m8NcMZI4Rj4vMTnIAWzY3VHrioqlErruiYdVvP3MxrRpmbTWsU2ZlK_JC4HTcf7U8scamfo4X0KgeBV8rXSIt9CwLU-jmF4tUkTA5mOahM-zSxuhhL3aR3n07dQ6-7CX7pER7iuFJeugcuviv-p_gUaGy-5VttBL9c1Wk-7I3Zd3tU0rlPmF&attredirects=0 ) roept veel vragen op.
Wat betreft de Nederlandse diensten geldt overigens dat zij door Artikel 13 Wiv2002 wat betreft medische gegevens zijn beperkt verwerking die naast “noodzakelijk” ook “onvermijdelijk” is, en uitsluitend op aanvulling op andere data. Citerend uit http://wetten.overheid.nl/BWBR0013409/Hoofdstuk3/Paragraaf31/Artikel13/geldigheidsdatum_09-01-2016/ :
“[…]
3. De verwerking van persoonsgegevens wegens iemands godsdienst of levensovertuiging, ras, gezondheid en seksuele leven vindt niet plaats.
4. De verwerking van persoonsgegevens die betrekking hebben op de in het derde lid bedoelde kenmerken vindt slechts plaats in aanvulling op de verwerking van andere gegevens en slechts voor zover dat voor het doel van de gegevensverwerking onvermijdelijk is.”
In hoeverre die bewoording toch nog ruimte laat voor, zeg, het gericht opvragen van het GGZ-dossier van een radicaliserende jongere, weet ik niet. Misschien een mooie vraag voor een Wiv-jurist.
Bedankt voor de uitgebreide aanvulling die ten aanzien van Red Pike geruststellend overkomt. Het blijft vreemd in mijn ogen, dat bij de elektronische communicatie van medische data in een nationale gezondheidszorgorganisatie, een nationale veiligheidsdienst mee aan tafel zit om een encryptiealgoritme te kiezen en daarbij een product uit de eigen koker promoot. Mee ontwikkelen betekent dan ook mee lezen.