De publieke ophef is flink, de politieke inzet is hoog en de technische details zijn opmerkelijk te noemen. De ict-securityzonde van Hillary Clintons byod-mailserver blijkt meervoudig te zijn.
De Amerikaanse politica Hillary Clinton ligt onder vuur. Dit overkomt politici en zeker presidentskandidaten natuurlijk geregeld, maar in het geval van de voormalige minister van Buitenlandse Zaken speelt de factor ict mee. Het gaat om hete hangijzers als overheids-ict, security, en haar eigenhandige ‘invoering’ van het populaire byod (bring your own device): voor haarzelf. Tijdens de vier jaar van haar ministerschap heeft Hillary Clinton namelijk een eigen mailserver gebruikt voor haar werk.
Speerpunt security
Het is dan ook ironisch dat één van de tech-speerpunten in haar beleidsagenda juist ict-beveiliging is. De eind juni geopenbaarde beleidsplannen van de presidentskandidate richten zich specifiek op technologie en innovatie. Daarbij ontvouwt Hillary Clinton plannen om breedbandtoegang te geven aan alle Amerikaanse huishoudens, om sommige studieleningen kwijt te schelden voor tech start-ups, om investeringen te doen voor ict-onderwijs, en om een nationale commissie voor digital security op te richten, schreef techmagazine Wired al.
Digitale security is nu net de kern van de affaire over haar privémailserver. Deze doodzonde in de ogen van securityprofessionals is namelijk begin vorig jaar aan het licht gekomen. De topvrouw van de regering Obama heeft de officiële ict van haar departement bewust omzeild. In plaats van de officieel verschafte ict-middelen (apparaat, mailaccount en maildienst) heeft ze voor het gemak een eigen mobiele device plus eigen mailserver gekozen.’Ik dacht dat het makkelijker zou zijn om maar één device mee te dragen voor mijn werkmails en mijn persoonlijke mails, in plaats van twee’, luidde haar officiële reactie.
Gemak wint
Let op: het gaat niet alleen om een eigen apparaat en ook niet om alleen een eigen mailaccount. Laatstgenoemde is wat de Nederlandse EZ-minister Henk Kamp ook blijkt te gebruiken voor zijn politieke werk. De Amerikaanse minister Clinton heeft een complete eigen mailserver laten optuigen, door een it-medewerker van het ministerie van Buitenlandse Zaken. Die ‘medeplichtige’ heeft de serverinstallatie geïnstalleerd, beheerd en onderhouden.
Daarbij is de salariëring voor dit ‘buitendienst-werk’ niet gekomen vanuit de werkgever, maar vanuit de gebruiker. De Clinton-familie heeft de it’er betaald voor zijn werk. De man heeft van het ministerie van Justitie immuniteit gekregen voor zijn bijdrage aan de mailserverzondes van Hillary Clinton. De immuniteit lijkt verbonden met zijn medewerking aan het formele onderzoek van de FBI naar de affaire.
FBI: Extreem zorgeloos
De indruk die begin dit jaar leefde, was dat het FBI-onderzoek tot een formele aanklacht zou leiden. Die gedachte is verrassend genoeg onjuist gebleken. Begin juli heeft de Amerikaanse misdaadonderzoeksdienst het onderzoek afgerond. FBI-directeur James Comey sprak van ‘extreem zorgeloze omgang met zeer gevoelige en topgeheime informatie’ door Hillary Clinton en haar stafmedewerkers. Deze conclusie is door de directeur naar buiten gebracht in een uitgebreide verklaring, waarin hij ook het onderzoekswerk heeft uiteengezet.
Onderzoekers van de FBI hebben luttele tienduizenden externe e-mails van Hillary Clinton onderzocht. Een deel daarvan moest eerst nog worden hersteld, onder andere vanaf andere apparaten en eventuele ontvangers. Sommige berichten waren namelijk gewist door Clinton, maar andere ontbraken vanwege migraties van de mailserver. Daarbij is bijvoorbeeld in 2013 de vorige Exchange-versie verwijderd, waardoor mailbestanden als loze puzzelstukjes achterbleven.
Meerdere mailservers
‘Ik heb de enkelvoudige term ‘e-mail server’ gebruikt in de omschrijving van de oorzaak voor ons onderzoek. Het blijkt echter gecompliceerder te zijn’, aldus FBI-directeur Comey in zijn verklaring. ‘Minister Clinton gebruikte diverse verschillende servers en beheerders van die servers in haar vier jaar bij het ministerie van Buitenlandse Zaken.’ Daarnaast heeft ze vele mobiele apparaten gebruikt om e-mails op dat persoonlijke maildomein te bekijken en te versturen.
Hierbij zijn ook migraties in de back-end aan de orde geweest, wat het mailonderzoek van de FBI heeft bemoeilijkt. Zodra nieuwe servers en apparatuur in gebruik werden genomen, werden oudere servers offline gehaald en opgeslagen of ontmanteld. Het bij elkaar sprokkelen van al deze puzzelstukjes was een moeizame onderneming, die duizenden uren werk heeft gekost, vertelt Comey. De formeel door Clinton overgedragen mails betrof dertigduizend stuks, maar de daadwerkelijke hoeveelheid was dus groter.
Vervolgens is deze berg berichten doorgespit en is de status van de informatie daarin gecontroleerd bij Amerikaanse overheidsinstanties. Van de dertigduizend mails is bepaald dat er 110 stuks in 52 mailconversaties geheime informatie bevatten. Die status van geheim of zelfs topgeheim gold op het moment dat die mails waren verzonden of ontvangen. Acht van de mailconversaties bevatten topgeheime informatie, 36 waren geheim, en acht waren vertrouwelijk. Daarnaast is de informatie in ongeveer tweeduizend e-mails naderhand hoger ingeschaald naar de status van ‘vertrouwelijk’.
Hackgevaar
Verder hebben de FBI-onderzoekers ook gekeken naar mogelijke inbraak op de mailserver door kwaadwillenden, zoals ook buitenlandse mogendheden. ‘ We hebben geen direct bewijs gevonden van een succesvolle hack op het persoonlijke e-maildomein van minister Clinton, in de diverse configuraties sinds 2009’, verklaart Comey. Security-experts reageren met scepsis op deze woorden, maar zij zijn niet de enigen.
De FBI houdt zelf ook een belangrijke slag om de arm: ‘Gezien de aard van het systeem en van de mogelijke aanvallers, schatten we in dat het onwaarschijnlijk is dat we zulk direct bewijs zouden zien.’ Comey zegt dat zijn dienst inschat dat kwaadwillenden zich toegang hebben verschaft tot de mailaccounts van mensen waarmee de toenmalige minister communiceerde vanaf haar persoonlijke account. Ook heeft Clinton haar persoonlijke mailserver gebruikt wanneer ze buiten de VS was. ‘Gezien deze combinatie van factoren, schatten wij in dat het mogelijk is dat kwaadwillenden toegang hebben verkregen tot het persoonlijke mailaccount van minister Clinton’, zegt de FBI-topman.
Advies: niet vervolgen
Ondanks deze en andere opvallende bevindingen is de FBI van mening dat er geen basis is voor een aanklacht tegen presidentskandidaat Hillary Clinton. Directeur Comey heeft dit als formeel advies gegeven, waar het ministerie van Justitie gehoor aan heeft gegeven. Daarover speelt nu weer ophef. Zo is de publieke respons op deze ‘amnestie’ negatief, blijkt uit een peiling naar het FBI-advies voor geen vervolging.
Daarnaast wil een onderzoekscommissie van het Amerikaanse Congres weten waarom Justitie geen aanklacht tegen Hillary Clinton wil doen. Een gewone ambtenaar zou namelijk flink bestraft worden voor het omzeilen van regels die gelden voor overheids-ict, zoals de presidentskandidate heeft gedaan. Ontslag, het intrekken van beveiligingsbevoegdheden en mogelijk strafrechtelijke vervolging zou dan aan de orde zijn.
De openbaar aanklager stelt in een formele hoorzitting dat het ministerie alle relevante feiten heeft overwogen en grondig onderzocht, voordat het advies van de FBI is geaccepteerd. Verder commentaar geven zou ongepast zijn, verklaart de openbaar aanklager. De vraag is of de kous hiermee af is en of de ict-zondes van Clinton haar worden vergeven.