Nog even over de sleepwet, of de Wet inlichtingen- en veiligheidsdiensten (Wiv) zoals het onding officieel genoemd wordt. Een aantal “cyber” security experts hebben een tekst opgesteld waarin ze heel genuanceerd uitleggen wat de risico’s van de sleepwet zijn en nogal wat terechte vraagtekens zetten bij de effectiviteit van deze wet.
De tekst komt één op één van deze site, waar je ook kunt vragen of je mag mede-ondertekenen. Mocht je dus nog twijfelen (hoewel ik me dat niet kan voorstellen) of je voor of tegen de WIV moet stemmen, lees deze tekst dan even:
Veiligheid versus privacy: een valse tegenstelling
Maakt een nee-stem tegen de Wet inlichtingen- en veiligheidsdiensten (Wiv) de samenleving onveiliger? Voorstanders van de nieuwe wet zeggen zonder voorbehoud “ja”. Maar wij, cybersecurityonderzoekers, computerwetenschappers en security professionals, plaatsen bij die stelligheid vraagtekens.
Het publieke debat over de nieuwe Wiv vinden wij te simpel geframed: veiligheid versus privacy. Ben je voor veiligheid dan stem je “ja”; vind je privacy van groter belang, dan stem je “nee”. Dat de nieuwe wet zelf veiligheidsrisico’s creëert past niet in dit frame, maar dit is helaas toch waar. Deze risico’s moeten worden meegenomen in het debat en vertaald naar juiste afwegingen in de wet.
Het eerste veiligheidsprobleem wordt gevormd door de uitgebreide hackbevoegdheid die de diensten toestaat om via onbekende kwetsbaarheden binnen te dringen op apparatuur en in netwerken. Deze kwetsbaarheden hoeven zij niet te melden bij de producenten en ontwikkelaars van de apparatuur of software. Door dit stilhouden blijft niet alleen het spionagedoelwit kwetsbaar maar ook talloze burgers in binnen- en buitenland. De kans is reëel dat anderen van diezelfde kwetsbaarheid gebruik maken voor andere doeleinden. Cybercriminelen en minder frisse inlichtingendiensten zullen ofwel zelf de kwetsbaarheid vinden ofwel de databank van de diensten hacken om deze informatie te stelen. De meerdaagse cyberaanval op de containerterminal in de Rotterdamse haven van afgelopen zomer wordt in verband gebracht met informatie over kwetsbaarheden die eerder bij de Amerikaanse dienst NSA is buitgemaakt. Het niet melden van kwetsbaarheden is een gevaar dat ernstige economische schade veroorzaakt en moeilijk te verenigen is met de veiligheidstaak van de diensten. Het gebruik van kwetsbaarheden in apparaten en software door de overheid kan ook nieuwe kwetsbaarheden veroorzaken. In Duitsland heeft men dit ondervonden met de Bundestrojaner: opsporingssoftware die de Duitse overheid in het geniep plaatste op computers van verdachten, maar waarvan de controle gemakkelijk door derden was over te nemen. Dit veiligheidsrisico wordt versterkt door een nieuwe bevoegdheid in de Wiv. De wet staat de diensten toe om de apparaten van derden te hacken die zelf geen doelwit van de diensten zijn. Het gaat dan om apparaten die met een doelwit in verbinding staan, bijvoorbeeld de netwerkapparatuur die door een systeembeheerder wordt onderhouden. Personen met een sleutelrol binnen de IT, zoals systeembeheerders, worden door de toevoeging van overheidssoftware nog kwetsbaarder voor aanvallen van buitenaf.
Het tweede veiligheidsprobleem houdt verband met de bulkinterceptie, het fenomeen waaraan de nieuwe wet zijn bijnaam dankt: de sleepwet. Om het dataverkeer in bulk van de kabel op te pikken worden tappunten in het netwerk aangebracht. Binnen de cybersecurity is ieder tappunt een extra kwetsbaarheid. Hoe weten we zeker dat hackers niet ook van die taps gebruik maken? Bovendien kleven aan de opslag van de in bulk verworven data zwaarwegende veiligheidsrisico’s, want die bergen data zijn ook voor andere spionnen en cybercriminelen een goudmijn. Met welke mate van zekerheid kunnen de Nederlandse diensten het niet lekken van deze data garanderen? De dreiging van datalekken wordt groter nu de opgeslagen bulkinformatie (ook zonder dat ernaar gekeken is) gedeeld mag worden met buitenlandse diensten. Dit gaat Nederland naar alle waarschijnlijkheid doen met o.a. de Britten en de Amerikanen. Beide landen hebben echter een rijke geschiedenis van datalekken bij de overheid. Data delen met deze landen is dus niet zonder veiligheidsrisico voor Nederland.
Daarnaast wordt steeds meer communicatie effectief versleuteld en metadata wordt gemaskeerd, zeker door criminelen en (potentiële) terroristen. Hierdoor vult het sleepnet zich al snel met data van willekeurige burgers. Dit geeft overheden met een sleepnet de prikkel om beveiligingstechnieken zoals end-to-end versleuteling en VPN’s te verbieden. We zien dit momenteel in China gebeuren. Deze technieken zijn echter broodnodig voor een veilig internet en het verbieden hiervan levert een groot beveiligingsrisico op voor burgers en de maatschappij.
Het derde veiligheidsrisico zit in het verlies van controle op het gebruik van de gedeelde bulkinformatie door buitenlandse diensten. Opgeslagen bulkinformatie, inclusief bijvangst, mag (ook zonder ernaar gekeken te hebben) gedeeld worden met buitenlandse diensten. Misbruik van gunsten door bevriende diensten is in de wereld van spionnen niet ongewoon. Zo verleende de Duitse dienst BND nietsvermoedend toegang aan de Amerikaanse dienst NSA tot haar databases in de strijd tegen het terrorisme. Later bleek dat die toegang werd misbruikt door de Amerikanen voor industriële spionage tegen Duitsland. De nieuwe toetsingscommissie (de TIB) noch de toezichthouder (CTIVD) kan controleren wat er buiten de landsgrenzen met onze gedeelde data gebeurt. Dit veiligheidsrisico verdient een plaats in het debat.
Tot zover een aantal veiligheidsgevaren van de nieuwe wet. Er zijn ook sterke aanwijzingen dat nut en noodzaak van het sleepnet in de strijd tegen terrorisme door de voorstanders worden overdreven. Er is geen bewijs dat ongerichte bulkverzameling en de geautomatiseerde (meta)analyse daarvan het meest geschikte middel is. Niet alleen biedt het geen uitkomst om de zogenaamde “lone wolves” eruit te vissen. Ook blijkt achteraf vaak dat aanslagplegers al bekend waren bij de geheime diensten. Met traditionele en gerichte tapbevoegdheden – waarover de Nederlandse geheime diensten reeds beschikken – zouden zij hen in het vizier moeten kunnen krijgen.
Uit onderzoek uitgevoerd door de New America Foundation naar de effectiviteit van bulkinterceptie bij meer dan 200 strafrechtelijke onderzoeken naar terrorismeverdachten in de Verenigde Staten bleek dan ook dat traditionele onderzoeksmethoden veelal de initiële drijfveer waren, denk aan het gebruik van informanten, tips van lokale gemeenschappen en gerichte surveillanceoperaties. Zelfs het Anderson review report roept scepsis op over de noodzaak van dit zeer ingrijpende middel in de strijd tegen terrorisme. Voorstanders van de wet citeren dit onderzoek omdat het het nut van bulkinterceptie door de Britse inlichtingendiensten aan zou tonen. Van de vijf onderzochte contraterrorisme-casussen – die de diensten zelf hadden aangedragen als succesvoorbeelden – bleek dat het sleepnet vooral toegepast werd in gevallen waarbij de uiteindelijke verdachten al deel uitmaakten van een bestaand terrorismenetwerk of contact hadden met doelwitten, waardoor gericht tappen hetzelfde resultaat zou hebben gehad. De noodzaak van bulkinterceptie is dus op z’n minst discutabel.
In de zoektocht naar veiligheid creëert de Nederlandse wetgever de bovenstaande veiligheidsrisico’s. Deze moeten worden meegenomen in het debat dat helaas een stuk gecompliceerder is dan domweg privacy versus veiligheid. Was het maar zo simpel.
(origineel staat hier)
Even voor de niet techneuten wat vertaald:
Stel twee terroristen willen in een restaurant hun snode plannen bespreken.
De nieuwe wet staat inlichtingendiensten toe om straks alle tafels van een restaurant af te luisteren en alle gesprekken van iedereen op te schrijven.
Dat is nodig omdat de AIVD vooraf niet weet aan welk tafeltje de heren gaan zitten.
Alle overgetikte gesprekken worden vervolgens per post naar andere inlichtingendiensten gestuurd. Om te zorgen dat niemand die post leest is de post dichtgeplakt en staat er met grote letters op “Geheim; verboden open te maken”.
Als jij toevallig ook in dat restaurant een zakenlunch had om een mogelijke grote order te bespreken, dan loop je de volgende risico’s.
De AIVD lekt jouw plannen naar de concurrent; die kans is gering.
De CIA lekt jouw plannen naar een bevriende Amerikaanse concurrent (America first; je weet toch..); die kans is minder gering.
Iemand stoomt de post naar de CIA open en verpatst jouw plannen aan de concurrent. Die kans zit er een beetje tussen in
Iemand anders maakt dankbaar van de AIVD microfoons in het restaurant gebruik om jour plannen af te luisteren. De AIVD kan bovendien de muziek in het restaurant uitzetten zodat jouw gesprek beter hoorbaar is.
Nu zal de regering zeggen dat het alternatief is dat je de volgende maand in datzelfde restaurant opgeblazen wordt om dat de terro’s hun snode plannen geheim konden houden. Als je denkt dat het risico hierop stukken kleiner is dan de bovenvermelde risico’s dan moet je tegen de wet stemmen.
+1 Voor het bovenstaande, maar vervang ‘lekt’ door ‘verkoopt’.
Plus dat de AIVD de vingerafdrukken en DNA uit speekselresten mag afnemen van al het gebruikte serviesgoed, en dat ook mag doorverpatsen.
/Over 14 jaar zal de laatst overgebleven zorgverzekeraar een DNA-databank bezitten van alle Nederlandse inwoners, met onbeperkt exploitatierecht.
Met de foute genen resulteert dat in een dure ziektekosten-verzekering en een hele lage pensioenpremie.
Je kunt het zo tegen elkaar wegstrepen.
Hou verder in gedachten dat de AIVD bovendien wél weet aan welk tafeltje de terroristen (gaan) zitten en er dus ook voor kan kiezen alleen daar een microfoontje neer te zetten (dat recht hebben ze immers al onder de huidige wet).
Ik moet de eerste nog tegenkomen die goed uitleggen waarom alle andere gesprekken tussen niet-terroristen in dat restaurant zo nodig ook afgeluisterd moeten worden.
Het sleepwet zouden ze alleen inzetten bij een verdenking waar nog niet duidelijk is hoe en wat. Dus wanneer je contact hebt met een bekende mogelijke terrorist zou in principe die nu al in de gaten gehouden kunnen worden en zou je daarmee al in het zicht komen. Als je in de directe omgeving van een bekende terrorist zit maar geen contact met hem hebt en dan met een aantal anderen die ook geen contact met een bekende terrorist hebben een nieuwe terroristische organisatie begint zou je met het sleepnet gepakt kunnen worden, maar alleen als je dan het via telefoon of internet of zo bespreekt. Als je het in persoon bespreekt moeten ze heel Nederland gaan afluisteren. Ook als je niet in de directe omgeving van een terrorist zit moeten ze iedereen afluisteren om kans te hebben een nieuwe/onbekende groepering te ontdekken.
En dan heb je nog de ‘lone wolves’. Tenzij die persoon zichzelf gaat bellen en dan tegen zichzelf het plan gaat uitleggen kan je deze niet met een sleepnet ontdekken, alleen als je iedereen die in NL in een auto stapt direct met 4 agenten neer haalt, in een stoel vastbindt en aansluit op een leugendetector om te achterhalen of ze misschien van plan zijn om een mensenmenigte in te rijden.
Kortom, de kans dat de sleepwet ooit iets nuttigs zal opleveren is kleiner dan de kans dat iedere Nederlander het komende jaar zonder er aan mee te doen elk 300 miljoen US dollar in de Powerball wint.
De kans dat het fout zal gaan en de data uitlekt of misbruikt wordt is 100%, en de kans dat er ook maar 1 voor-stemmende politicus voor landsverraad wordt veroordeeld nadat er iets flink fout gaat is ook nul.