Grenzen aan de aftapbaarheid?

Stratix Consultancy heeft in opdracht van het Ministerie van Economische Zaken een rapport opgesteld over moeilijkheden bij het aftappen van telefonie en internet. Veel gaat goed, maar bij het aftappen van internetverbinding, zijn er genoeg zaken onduidelijk of onmogelijk.

Stratix Consultancy heeft in opdracht van het Ministerie van Economische Zaken een rapport opgesteld over moeilijkheden bij het aftappen van telefonie en internet. Het rapport Grenzen aan de aftapbaarheid? werd gepubliceerd op bigwobber.nl. Stratix ziet vooral technische en juridische problemen bij het aftappen van internetverbindingen.

Het aftappen van mobiele en vaste telefonie is een goed ingeregeld proces, waarmee een groot deel van de gewenste aftapbaarheid al geregeld is. Dat wil niet zeggen dat het aftappen altijd succesvol is; ook in de operatie kunnen fouten optreden. Er zijn op dit gebied echter geen structurele knelpunten [uit oogpunt van behoeftestellers] waardoor communicatievormen niet afgetapt zouden kunnen worden. Op het gebied van nieuwere, op internet gebaseerde diensten is de situatie anders. Het aftappen van internet toegang is bij de grote ISP’s wel op orde, en bij de kleinere zijn processen ingericht om het aftappen mogelijk te maken. Wel komen er bij sommige middelgrote ISP’s nog operationele problemen voor; van de kant van de behoeftestellers is dan ook aangegeven dat de handhaving op dit gebied nog versterking behoeft.

Een van de problemen die men noemt is de scheiding tussen dienst en toegang, met als gevolg dat de bepaalde gegevensstromen niet langer in het bereik van de aanbieder zijn:

Via internet wordt het eenvoudiger om, los van de internet toegangsdienst (routing laag), communicatiediensten op de applicatielaag te leveren. Een gevolg hiervan kan zijn dat er geen directe relatie meer bestaat tussen de aanbieder van een internet toegangsdienst en de aanbieder van de diensten via internet (webmail, websites, chatten, unmanaged VoIP). Voor het aftappen betekent dit dat er niet langer sprake is van één integrale dienst, die afgetapt zou kunnen worden. De benodigde gegevens kunnen verspreid zijn over de twee genoemde aanbieders.

De gevolgen hiervan komen ook aan bod in het tweede hoofdstuk, waarin de huidige trends worden beschreven:

Met de toenemende rekenkracht van PC’s en andere apparatuur wordt het steeds eenvoudiger om de communicatie te versleutelen. Veel communicatiediensten maken gebruik van een vorm van versleuteling tussen de eindgebruiker en de platformaanbieder, waardoor de aanbieder van het onderliggende netwerk geen toegang meer heeft tot de feitelijke communicatie. Sommige programma’s, zoals Skype, werken zelfs met een “end-to-end” versleuteling, waardoor alleen de PC’s aan beide uiteinden van de communicatie over de sleutels beschikken. Er zijn ook vaste en mobiele telefoons beschikbaar met ingebouwde versleuteling, met name gericht op specifieke segmenten waarbij de beveiliging een belangrijke rol speelt. De verwachting is dat dergelijke telefoons steeds breder beschikbaar zullen komen.

De andere problemen die Stratix ziet:

Identificerende gegevens. Veel van de diensten op de applicatielaag worden gratis aangeboden. De aanbieder heeft er dan ook geen belang bij de identiteit van de gebruiker te kennen; de meeste van deze diensten zijn daarom anoniem, of maken alleen gebruik van een ‘nickname’, dus geen echte naam. Als de aanbieder al om verdere gegevens vraagt, worden deze meestal niet geverifieerd. Voor de aftapbaarheid zal dit betekenen dat het traditionele identificerend gegeven, waarop een taplast wordt gegeven, minder bruikbaar zal worden. […] Snelheid van ontwikkelingen. Technische ontwikkelingen gaan snel, en het opzetten van de benodigde systemen en processen voor het aftappen loopt niet altijd gelijke tred. Bovendien is het bij nieuwe diensten, met name op de applicatielaag, voor de aanbieder niet altijd duidelijk of de dienst binnen de definitie van openbare telecommunicatiedienst valt. […] Operationele problemen. Aangezien de aanbieder de afgetapte informatie zelf niet opslaat, is het belangrijk dat eventuele fouten snel gesignaleerd worden. In de praktijk komt het namelijk voor dat er door een fout (in de last, of in de uitvoering van de last) geen gegevens doorkomen of een deel van de gegevens ontbreekt, en dat de behoeftesteller dit pas na enkele dagen of zelfs weken ontdekt, dit verschilt per behoeftesteller. Op dat moment is de communicatie die in die tijd heeft plaatsgevonden, niet meer te achterhalen. Een deel van de behoeftestellers analyseert de gegevens wel direct, en meldt eventuele problemen meteen aan de aanbieder. […] Definities. De definities in de Telecommunicatiewet leiden, vooral bij de nieuwste telecommunicatiediensten, in veel gevallen tot discussie. Met name op de applicatielaag is het niet altijd duidelijk wat precies een dienst is, wat een telecommunicatiedienst is, wat openbaar is, en wat als gevolg van de combinatie van die aspecten aftapplichtig is. […] Onduidelijkheid over de te volgen standaarden. De standaarden voor de overdracht van afgetapte signalen, en met name de TIIT en bijbehorende operationele afspraken, zijn niet bij wet geregeld. […] Internetaanbieders houden zich bijvoorbeeld aan de TIIT, aangezien zij anders geen mogelijkheden hebben om aan de aftapplicht te voldoen, maar het is niet duidelijk dat zij bij de introductie van een nieuwe versie van de TIIT ook verplicht kunnen worden om naar die versie over te stappen. Overlappende verplichtingen. Volgens de Tw moeten alle openbare telecommunicatienetwerken en –diensten aftapbaar zijn. Consequentie daarvan is dat in sommige gevallen de verplichting om dezelfde communicatie af te tappen, bij meerdere partijen ligt. In een aantal gevallen lijkt dat weinig effectief te zijn, zeker als de last altijd bij één van de partijen gelegd wordt en de ander dus investeert in faciliteiten die nooit gebruikt worden.

Zie verder ook het artikel Geheim rapport legt problemen Nederlands aftapbeleid bloot van Bits of Freedom.