De Nationale Politie maakt gebruik van drones van het omstreden Chinese techbedrijf Da Jiang Innovations (DJI), ondanks verschillende aanwijzingen dat beelden en andere dronedata weg kunnen lekken naar de Chinese overheid. Volgens verschillende experts doet de politie te weinig om dat risico weg te nemen, blijkt uit onderzoek van platform voor onderzoeksjournalistiek Investico voor Trouw, De Groene Amsterdammer en EenVandaag. De politie zegt in een reactie ‘niet uit te kunnen sluiten dat hun data op Chinese servers belandt.’

De politie zette de onbemande vliegtoestellen alleen in 2021 al meer dan duizend keer in voor opsporing en het controleren van de openbare orde. De vloot bestaat inmiddels uit ruim honderd DJI-drones. Uit verschillende internationale onderzoeken bleek de afgelopen jaren dat de besturingsapps grote hoeveelheden persoonsgegevens naar Chinese servers sturen en hackers bijvoorbeeld live konden meekijken met de dronecamera. Als groot Chinees bedrijf is DJI bovendien wettelijk verplicht om data te delen met de Chinese overheid; in 2016 gaf het bedrijf toe bereid te zijn dat ook te doen wanneer Beijing daartoe verzoekt. 

Nieuwsbrief

Volg Investico en ontvang altijd als eerste onze nieuwsverhalen
  • Dit veld is voor validatie doeleinden en moet ongewijzigd blijven.

Precies om die reden zet de Nederlandse Defensie geen DJI-drones in voor operationeel gebruik, zegt een woordvoerder. ‘De data zijn vaak niet afgeschermd, en staan meestal op servers in China. De eigenaren kunnen worden verplicht om data te leveren aan de Chinese overheid.’ Het Amerikaanse leger kwam in 2017 ook tot die conclusie.

In een reactie stelt de politie geen drones te gebruiken voor ‘afgeschermde operaties’. Bovendien, zegt de woordvoerder, worden de dronebeelden versleuteld verstuurd, zodat de data van de drone niet kan weglekken. Maar tegelijkertijd kan de politie niet uitsluiten dat data op Chinese servers belandt: ‘We zijn ons bewust van dit risico. Tot nu toe hebben we geen datalek vastgesteld.’ Ook de overheidseditie die DJI speciaal ontwierp voor éxtra dataveiligheid zegt de politie niet te gebruiken. 

Datalekken en achterdeuren

Ondertussen vonden verschillende internationale cybersecurity-onderzoekers op verschillende momenten datalekken en achterdeuren in de software van DJI. Zo ontdekte een Frans onderzoeksteam in 2020 dat de app die de drone bestuurt grote hoeveelheden persoonsgegevens verzamelde en die vervolgens naar Chinese servers stuurde. ‘Dat ging van de helderheid van het scherm tot het serienummer van de SIM-kaart van het toestel waarop de app stond geïnstalleerd’, zegt Tiphaine Romand-Latapie, die het onderzoek leidde.

En in 2018 ontdekten onderzoekers van het IT-beveiligingsbedrijf Check Point dat hackers live mee konden kijken met de dronecamera en toegang konden krijgen tot eerdere opnames. Overheidsorganisaties als de Nederlandse politie moeten ingrijpende voorzorgsmaatregelen treffen als ze dit soort drones veilig willen gebruiken, zegt Check Point-onderzoeker Oded Vanunu: ‘Ze moeten bijvoorbeeld hun eigen app ontwikkelen om de drone te besturen, zodat je niet afhankelijk bent van de software van DJI.’ De politie geeft aan geen eigen app te hebben en de meegeleverde DJI-software te gebruiken.

Rijkswaterstaat en NS gebruiken zelfde drones

Niet alleen de Nederlandse politie gebruikt DJI. De NS en ProRail gebruiken ze bijvoorbeeld voor spoorinspecties en bedrijven in de Rotterdamse en Amsterdamse havens zetten ze in voor inspecties en onderhoud. Ook Rijkswaterstaat gebruikt de onbemande helikopters om de Deltawerken en andere bruggen te inspecteren. Dat is een risico, zegt Patrick Bolder, die voor The Hague Center for Strategic Studies onderzoek doet naar drones: ‘Nederland is heel erg afhankelijk van de waterwegen. Je wil niet dat een potentiële tegenstander als China precies weet welke sluis of brug ze bijvoorbeeld via een cyberaanval uit moeten schakelen om de scheepvaart te blokkeren.’

DJI stelt in een schriftelijke reactie dat al hun producten veilig zijn. Gebruikers hoeven volgens DJI geen data te delen, ook niet met DJI zelf. Ze zijn zich bewust van kritische onderzoekers en -in eigen woorden- concurrenten en stellen dat de conclusies simpelweg onwaar zijn. Bovendien wijst het bedrijf op de speciale, extra veilige overheidseditie van de dronesoftware.

Zie dit onderzoek ook in De Groene Amsterdammer, Trouw, of EenVandaag. 

Auteurs

210413-Portret Romy Investico_RT-01

Romy van der Burgh

Romy studeerde filosofie aan de Universiteit van Amsterdam. Ze publiceerde eerder in De Groene Amsterdammer. Voor Investico schreef zij …
Profiel-pagina
54-Investico-07-06-201700785

Emiel Woutersen

Emiel studeerde Theoretische Natuurkunde in Amsterdam en Cambridge en werkt ook als docent aan de Universiteit van Amsterdam.
Profiel-pagina