Waarom na Signal ook Apple dreigt met een Brexit

Begin dit jaar uitte de versleutelde communicatie-app Signal harde woorden. Topvrouw Meredith Whittaker waarschuwde dat die app de hele markt van het Verenigd Koninkrijk zou verlaten, als een wetsvoorstel voor online veiligheid erdoor komt. Het gaat om de zogeheten Online Safety Bill die bedoeld is om kinderen en volwassenen beter te beschermen. “Het zal ervoor zorgen dat socialmediabedrijven verantwoordelijker zijn voor de veiligheid van hun gebruikers op hun platformen”, stelt de Britse overheid.

‘Privacy juist in gevaar’

Inmiddels zijn we enkele maanden verder en is het niet alleen bij Signal gebleven. Ook het bekende en veelgebruikte WhatsApp plus het grote Apple overwegen een exit uit Groot-Brittannië. Laatstgenoemde komt met die boodschap ongeveer een week nadat Signal-topvrouw Whittaker nogmaals duidelijk heeft gezegd dat Signal zich niet aan de opdoemende Britse wet gaat houden. Want de veiligheidswet zou eigenlijk neerkomen op een wet voor massale surveillance, van alle Britse burgers.

In tegenstelling tot Signal, dat alleen de gelijknamige communicatie-app biedt, heeft Apple niet gedreigd met een algeheel verlaten van de Britse markt. Wel heeft het bedrijf gesteld dat de privacy van iPhone-gebruikers wordt geraakt door het omstreden wetsvoorstel. Want Apple zou door die regulering gedwongen worden om bepaalde beveiligingsvoorzieningen uit te schakelen. En dat zou uiteindelijk kunnen leiden tot het schrappen van iMessage en FaceTime voor Britse gebruikers.

Beveiligd, of niet

Die twee apps zijn respectievelijk een Apple-eigen berichtendienst, die sluw meelift via de sms-functionaliteit voor telefoons, en een Apple-eigen dienst voor videogesprekken. Beide zijn door encryptie beveiligd tegen toegang door onbevoegde derden. Dat omvat niet alleen cybercriminelen, spionnen en andere kwaadwillenden maar ook overheden. Wetshandhavers hebben bij traditionele communicatie, zoals brieven en telefoongesprekken, mogelijkheden om daar op ‘in te breken’. Om communicatie af te tappen, als er bijvoorbeeld een verdenking is van illegale zaken.

Bij moderne digitale communicatie is aftappen een stuk lastiger. Want technisch gezien is end-to-end beveiliging óf echt end-to-end en dus veilig óf niet. Een achterdeur - ook als die alleen voor bevoegden en goedwillende overheden is - is nu eenmaal een aantasting van die security. In reacties bezigen diverse politici en andere voorstanders van aftapmogelijkheden alternatieve termen dan het woord ‘backdoor’. Termen als ‘gouden sleutel’, ‘uitzonderlijke toegang’ (dus alleen voor politie en Justitie), of ‘key escrow’. Bij dat laatste moet een vertrouwde derde partij dan de meestersleutel tot de achterdeur bewaren en bewaken.

Goud waard

Tegenstanders maken zich niet alleen zorgen over het gevaar dat kwaadwillenden zich storten op zo’n sleutel, toegangsmogelijkheid of escrow-bewaker. Simpelweg het feit dat zo’n achterdeur bestáát, betekent dat er een ingang is; dat de beveiliging niet geheel veilig is. Gewapend met die wetenschap kunnen kwaadwillenden zich dus storten op het uitvogelen van de werking, om dan eigen middelen te ontwikkelen zodat zij ook door de achterdeur naar binnen kunnen komen.

Overigens lijkt Apple zich in zijn bezwaren niet te richten op (alleen) de Online Safety Bill, maar ook op de Investigatory Powers Act. Die wet uit 2016 bepaalt de bevoegdheden van de Britse inlichtingendienst GCHQ en is recent gekeurd voor herziening en modernisering. De nu op tafel liggende veranderingen zijn controversieel en stuiten op verzet. Van onder meer Apple dus. Maar ook van Signal en WhatsApp, dat ooit is overgenomen door socialmediareus Facebook.

Securitykeuring door de overheid

Naast de dreigende wettelijke verplichting van een achterdeur speelt er nog wat meer op cybersecuritygebied en de Britse wet. Want het nu liggende voorstel legt techbedrijven ook verplichtingen op om veranderingen in hun beveiligingsvoorzieningen te melden bij de overheid. Dit voorleggen moet dan gebeuren vóórdat zulke veranderingen worden uitgebracht. Verder geeft het wetsvoorstel de Britse regering ook de macht om techaanbieders te dwingen bepaalde securityfeatures uit te schakelen.

Al met al ziet Apple dit dus juist als ondermijning van beveiliging en veiligheid online. Het bedrijf heeft dan ook verklaard dat het niet voor één land veranderingen gaat doorvoeren die voor alle gebruikers de beveiliging verzwakken. Dus dreigt er dan een exit van iMessage en FaceTime voor Britse gebruikers. Dit dreigement kan overkomen als overdreven dramatisch en simpelweg een onderhandelingstactiek, maar zo’n inschatting kan wel eens veel te optimistisch zijn.

Geen loos dreigement

Terwijl Facebook eerder met een EU-exit heeft gedreigd, en toen toch weer niet, is het niet geheel ondenkbaar dat een groot techbedrijf een dienst of app zou terugtrekken vanwege beperkende wetgeving. In het hier genoemde geval van Facebook ging het om Europese privacywetgeving plus handhaving daarvan die de socialmediareus als te streng ervaart. In het nu actuele geval van Signal, Apple en WhatsApp gaat het om Britse wetgeving die er nog niet is.

De dreiging van die Britse vereisten is veel breder dan alleen van dat ene land. Het inbouwen van een backdoor raakt immers het hele platform, wereldwijd. Dat heeft hoge kosten ten gevolge, voor de aanbieders en voor alle gebruikers, wereldwijd. Bovendien is er nog de misvatting van financieel verlies bij terugtrekken van beveiligde communicatie-apps. Zulke communicatiediensten zijn namelijk niet zo winstgevend - of zelfs geheel niet - als veel mensen denken.

Het zijn zogeheten loss-leaders; producten die een bedrijf tegen verlies verkoopt of levert, maar die leiden naar andere producten of diensten waar dan wél geld aan wordt verdiend.  Zoals dus een iPhone of het hele Facebook-platform. Het verlaten van de Britse markt, waar dus geldkostende maatregelen dreigen voor techaanbieders, zou die bedrijven zelfs geld kunnen besparen, speculeert beveiligingsexpert Alec Muffett op (het openbaar te lezen communicatieplatform) Twitter.

Strategisch essentieel

Openbare communicatie valt financieel te stutten met bijvoorbeeld (gerichte) advertenties. Besloten communicatie, zoals end-to-end versleuteld verkeer, kan veel minder goed of geheel niet van inhoudelijk passende advertenties worden voorzien. De financiële fundering moet dan dus van andere, wel winstgevende activiteiten komen. Die kunnen dan direct of indirect verbonden zijn met de communicatiedienst in kwestie.

Daarbij kunnen logisch lijkende strategieën voor bijvoorbeeld marktuitbreiding juist contraproductief zijn. En kan een negatief lijkende strategie zoals terugtrekking uit een land juist essentieel zijn. Een voorbeeld van dat eerste is het uitblijven van iMessage voor Android. Apple heeft daar helemaal geen belang bij, wat Apple-topman Phil Schiller tien jaar terug al heeft aangegeven in een interne mailwisseling (die in het kader van de Epic-rechtszaak naar buiten is gekomen). Schillers boodschap aan zijn medetopmanagers was dat iMessage voor Android geen nut heeft, aangezien Apple er toch helemaal niets aan verdient.

Tech VS net als Duitse auto’s

Voor Britse gebruikers zou doordrukken van de wetgeving door de overheid en uitvoeren van de terugtrekking door techaanbieders betekenen dat ze geen volledig beveiligde communicatieplatformen meer hebben. Vooralsnog lijkt Groot-Brittannië de omstreden regulering voor online veiligheid en voor inlichtingendiensten door te willen zetten. De waarschijnlijk geachte gevolgen worden niet gezien, of genegeerd.

De parallel met de oorspronkelijke Brexit uit de Europese Unie is opvallend. Toen was er ook sprake van grote, ernstige gevolgen voor Groot-Brittannië qua bedrijvigheid, economie en werkgelegenheid. Een gedachte die onder Brexit-voorstanders leefde, was dat individuele landen, bedrijven en sectoren wel door de knieën zouden gaan. Dat ze zouden aankloppen voor een deal, om de oh zo belangrijk geachte Britse markt te kunnen blijven bedienen. Zoals de Duitse auto-industrie, die jaren vóór de daadwerkelijke Brexit-voltrekking al heeft gesteld niet te zwichten. Nu in 2023 is de huidige Britse premier nog altijd bezig met dit hoofdpijndossier.