Het Vierde Amendement op de Amerikaanse Grondwet klinkt zo mooi: “Niemand mag worden onderworpen aan een onredelijke doorzoeking of arrestatie, tenzij er een gerede verdenking bestaat”. Vrij vertaald naar het passeren van de Amerikaanse douane: ze mogen wel even naar de apparatuur kijken, maar er zeker niet in gaan wroeten. Advocaat Hofmann: “Het is jammer, maar die vlieger gaat aan de grens niet op. Iedere douanier is per definitie ‘redelijk’ en als hij interesse krijgt voor een bepaald apparaat dan mag hij dat uit en te na bekijken en doorzoeken.” De grenzen hebben in de VS een bijzondere status. Het zijn de plaatsen waar ongewenste personen en goederen geweerd kunnen worden. “Dat is al zo sinds 1776, het jaar waarin de VS hun onafhankelijkheid uitriepen. En sinds de aanslagen van 11 september 2001 zijn de standpunten alleen maar harder geworden”, zegt Hofmann.

Een reiziger die zich in de ogen van de grensbewakers verdacht gedraagt, mag worden gearresteerd. Zijn apparatuur mag worden afgenomen en er mag een complete kopie van de elektronische inhoud worden gemaakt. Die gegevens mogen ook worden geanalyseerd, zonder dat de eigenaar van de apparatuur daar iets tegen kan doen. En verdacht is een rekkelijk begrip. Soms is het voldoende om uit een bepaald land te komen vliegen, zoals China of Rusland, om de achterdocht van de grensbeambten op te wekken.

Duizenden inspecties

Het overkomt maar een fractie van de 340 miljoen reizigers die jaarlijks de Amerikaanse grens passeren. Maar de kans de achterdocht van de douaniers op te wekken, is zeker niet denkbeeldig. De American Civil Liberties Union concludeerde vorig jaar op basis van overheidsdocumenten dat tussen oktober 2008 en juni 2010 smartphones, laptops en mp3-spelers van 6600 reizigers aan de Amerikaanse grens werden doorzocht. In de eerste negen maanden van die periode werden 220 apparaten in beslag genomen voor nadere inspectie. En de belangstelling voor elektronische apparatuur lijkt te groeien. Een woordvoerder van het Amerikaanse agentschap voor Customs and Border Protection sprak in een recent artikel in de Boston Globe van 5000 inspecties van elektronische apparatuur in 2011.

Het bekijken van gegevens op een laptop of smartphone kan moeilijke situaties oproepen, bijvoorbeeld wanneer een arts medische dossiers op zijn systeem heeft staan. Ook werknemers van firma’s die bedrijfsgeheimen meebrengen zijn er niet van gediend dat daar zomaar naar wordt gekeken. “Maar het kan ook eenvoudiger, bijvoorbeeld wanneer iemand foto’s van zijn familie op de laptop heeft staan. Ook daar heeft een wildvreemde niets mee te maken”, zegt Hofmann.

De rechtspraak in de VS heeft wel geprobeerd om het zomaar doorzoeken van een computer aan banden te leggen. Hofmann: “Zo was er de rechtszaak US vs Arnold, waarin een lagere rechtbank de uitspraak deed dat een computer niet te vergelijken is met een koffer. Computerhardware is veel geavanceerder en die kan niet doorzocht worden zoals een stuk bagage. In hoger beroep werd die uitspraak echter van tafel geveegd, met als resultaat dat de grensbeambte met evenveel gemak een koffer als een computer mag doorzoeken.”

In mum van tijd gekopieerd

De technologie om apparatuur te doorzoeken wordt steeds geavanceerder. In een mum van tijd kan een kopie worden gemaakt van de data die in het systeem staat. Hofmann: “Mensen denken wel dat een smartphone moeilijker te doorzoeken is dan een laptop, zodat ze daar hun gevoelige gegevens in opbergen. Ik moet ze dan wel uit die droom helpen, de douane heeft systemen waar je een smartphone alleen maar in hoeft te klikken en alles wordt binnenstebuiten gekeerd.”

Ook met de meeste laptops en tablets hebben de controleurs weinig problemen, tot het moment dat bepaalde gegevens beschermd zijn met een wachtwoord. “In eerste instantie zal de eigenaar worden gevraagd om het systeem met het wachtwoord te openen, zodat alle gegevens zichtbaar zijn.

Dit kan ongewenst zijn, maar het is beslist onverstandig om daar over te liegen. Zeg bijvoorbeeld niet dat je het wachtwoord niet kent als dat wel zo is. Met valse antwoorden maak je de zaak voor jezelf alleen maar erger. Het is beter om ervoor te zorgen dat het wachtwoord inderdaad onbekend is. Dat kan, door de hardware te beschermen met een wachtwoord dat de bezitter pas op de plaats van bestemming kan downloaden. Je loopt wel het risico dat de grensbeambte je niet gelooft en dat hij besluit om je gedurende enige tijd in een apart kamertje te verhoren”, zegt Hofmann.

Het helpt soms te zeggen dat het een ‘company policy’ is om werknemers met gesloten hardware op pad te sturen die pas op de plaats van bestemming geopend kan worden. “En”, zegt Hofmann, “het is een goed idee om bepaalde dingen juist niet mee te nemen op een internationale trip. Dat is iets dat veel mensen zichzelf zullen moeten aanleren.”

Eveneens zou je de data die je in de VS nodig hebt ter plekke kunnen downloaden. Bij binnenkomst in het land bevat het systeem geen gevoelige gegevens en mag er gerust een inspectie plaatsvinden. Er is echter nog een andere manier om je gegevens de grens over te krijgen, door een datadrager of zelfs een hele telefoon apart via de post te versturen. “Het is dan nog steeds mogelijk dat de zending wordt geopend door de posterijen, maar je bent er dan zelf niet bij. Er kunnen dus niet direct lastige vragen worden gesteld over bepaalde gegevens die worden aangetroffen”, zegt Hofmann.

Niet alleen maar kijken

Rondneuzen in de apparatuur is niet de enige zorg van de reiziger. Zeker zakelijke reizigers moeten er rekening mee houden dat ze aan de grens slachtoffer van spionageactiviteiten kunnen worden. Het plaatsen van een klein programma dat allerlei gegevens verzamelt en doorstuurt is zo gebeurd.

Hoewel officieel door alle landen wordt ontkend dat er spyware op systemen wordt gezet bij een grenscontrole, is het toch een zaak om rekening mee te houden. Zeker wanneer een reis wordt ondernomen naar landen als Rusland en China. Tweede Kamerlid Andre Elissen van de PVV vond dit onderwerp belangrijk genoeg om er vragen over te stellen aan minister Opstelten van Veiligheid en Justitie. Elissen noemt het de “digitale spionage van China en Rusland” en hij wil weten of het waar is dat reizigers met waardevolle digitale informatie in hun systeem het risico lopen dat hun systemen bij de grens gemanipuleerd kunnen worden.

"Er is inderdaad een reële kans dat dergelijke informatie op die manier gestolen wordt door buitenlandse inlichtingendiensten. Dergelijke diensten beschikken over een breed scala aan middelen om aan informatie te komen. Niet alleen aan de grens maar ook door het afluisteren van telefoonverkeer en het plaatsen van camera's in hotelkamers. De AIVD en MIVD hebben hierover brochures uitgebracht, met tips om zo veilig mogelijk te reizen”, reageerde Opstelten op de Kamervragen. De eerste druk van die brochures dateert overigens al uit 2004.

Twee jaar geleden is een hernieuwde versie verschenen. In de brochure wordt ook gewaarschuwd voor ‘toevallige ontmoetingen’ met mensen die behoorlijk op de hoogte zijn van het wel en wee van de reiziger. Informatie kan worden gehaald van sociale media, soms al voordat de reiziger in kwestie vertrokken is. Volgens de AIVD kan een buitenlandse inlichtingendienst interesse in iemand krijgen na het lezen van zijn of haar visumaanvraag.

“In hoeverre treft de overheid speciale maatregelen bij het adviseren van reizigers naar China en Rusland? Geldt dat alleen voor ambtenaren of ook voor mensen uit het bedrijfsleven”, wilde Elissen van de minister weten. Deze antwoordde dat er steeds onderzoek plaatsvindt naar ongewenste inlichtingenactiviteiten van vreemde mogendheden. “In specifieke gevallen kan dat leiden tot een advies aan ambtenaren of mensen uit het bedrijfsleven”, aldus Opstelten.

In quarantaine
Beveiligingsbedrijf McAfee hanteert een ijzeren regel: wanneer een computersysteem onderworpen is geweest aan een inspectie bij de Russische of Chinese grens, dan mag dat nooit meer verbinding maken met het bedrijfsnetwerk. Elissen wilde weten of de Nederlandse overheid een soortgelijke regel hanteert. Opstelten in zijn antwoord: “Er bestaat altijd een risico dat apparaten die worden afgegeven aan derden worden voorzien van middelen om heimelijk informatie te vergaren. Organisaties en overheden zijn zelf verantwoordelijk en ze moeten ook zelf een risico-inschatting maken.”

De centrale overheid treedt niet regelend op, maar heeft wel een brochure onder de titel Kwetsbaarheidsanalyse Spionage, kortweg Kwas. Dit document is opgesteld door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en het is in april 2010 aangeboden aan de Tweede Kamer. “Bedrijven kunnen met behulp van Kwas hun risico-analyse maken”, aldus Opstelten. De reiziger moet dus grotendeels zelf zorgen voor een bescherming tegen spyware. De optie om een Spartaans ingerichte pc te gebruiken voor reisdoeleinden lijkt hier de beste mogelijkheid. Eventuele spyware zit dan opgesloten in een systeem dat buiten de reizen om niet gebruikt wordt en dus ook geen toegang biedt tot netwerken en gevoelige data.

Extreme maatregelen

China-expert Kenneth G. Lieberthal van de Amerikaanse Brookings Institution laat niets aan het toeval over als hij naar China reist. In het artikel Traveling Light in a Time of Digital Thievery - dat aanleiding was voor de Kamervragen van PVV-Kamerlid Elisen aan minister Opstelten van Veiligheid en Justitie - somt Lieberthal de maatregel op die hij neemt:

•   Lieberthal neemt geen eigen telefoon of laptop mee, maar gebruikt leentoestellen.
• Hij wist de inhoud van de leentoestellen voor vertrek volledig en doet dat ook na thuiskomst.
• Hij maakt in China geen gebruik van wifi of Bluetooth.
  
• Hij houdt zijn mobieltje te allen tijde binnen zijn gezichtsveld.
• Hij zet zijn telefoon tijdens vergaderingen uit en verwijdert ook de oplaadbare batterij om te voorkomen dat de microfoon ervan op afstand wordt ingeschakeld.
• Hij maakt alleen maar gebruik van versleutelde en met wachtwoord beveiligde kanalen als hij internet gebruikt.
• Wachtwoorden tikt hij niet in maar kopieert hij van een USB-stick, om te voorkomen dat die gegevens afgeluisterd worden met een key logger.

Lieberthals maatregelen lijken paranoïde, maar volgens de New York Times - waarin het genoemde artikel verscheen - zijn ze nu standaard voorgeschreven voor medewerkers van Amerikaanse overheidsorganisaties, onderzoeksinstellingen en bedrijven die China bezoeken. Aanleiding daarvoor was naar verluidt een hack vanuit China op de systemen van de Amerikaanse Kamer van Koophandel in 2010. Hoe die hack is uitgevoerd, is niet bekendgemaakt; maar opvallend is wel dat een verbod voor medewerkers om elektronische apparaten mee te nemen naar bepaalde landen één van de eerste maatregelen was die de Chambre of Commerce na de hack uitvaardigde.

Technische oplossingen

“ Als je niet wil dat derden inzage krijgen in bepaalde gegevens, dan zul je ervoor moeten zorgen dat ze die gegevens nooit te zien krijgen. Reis dus met zo ‘kaal’ mogelijke hardware, waar alleen de meest noodzakelijke gegevens op staan. Wat je niet bij je hebt, kan je ook niet in een moeilijk parket brengen”, zegt Seth Schoen, Senior Staff Technologist van de Electronic Frontier Foundation.

Er zijn diverse mogelijkheden, bijvoorbeeld de aanschaf van twee laptops. Eentje voor gebruik in het eigen land, een ander voor reizen naar de Verenigde Staten. Op de reislaptop staan alleen geselecteerde gegevens. “Houd er wel rekening mee, dat data aan je aandacht kunnen ontsnappen. Vooral de Auto-Savefunctie van sommige pakketten is berucht. Een tekstverwerker zet bijvoorbeeld versies van een document weg op de harde schijf zonder dat je daar erg in hebt”, zegt Schoen.

Wie geen twee laptops wil kopen kan ook een totale kopie van de harde schijf maken en de laptop vervolgens voorzien van een nieuwe installatie van het OS. “Maar ook dan moet je weer oppassen, want zo’n installatie vernietigt niet automatisch de oude gegevens. Een forensisch specialist - en die hebben ze in de VS op afroep beschikbaar - kan de oude data met weinig moeite van de disk halen”, aldus Schoen.

De cloud kan ook een uitkomst bieden doordat de reiziger een goedkope netbook gebruikt waar geen data op wordt opgeslagen. In plaats daarvan wordt gebruik gemaakt van een techniek als SkyDrive. Data staat dan ergens in de cloud en de gegevens worden binnengehaald op het moment dat ze nodig zijn. “Bij een netbook zul je de opslag handmatig moeten regelen, kies je voor een Chromebook met ChromeOS, dan gaat het vanzelf”, zegt Schoen.