Wilde Westen van geheime diensten en wettelijke opsporing

Heftige bezwaren rijzen er tegen online bevoegdheden voor de politie, die NSA en AIVD al gebruiken of zich toe-eigenen. Over de maan praten terwijl de sterren glinsteren.

Als één ding nog eens duidelijk werd uit de hype rond Prism en Nederlandse discussie over cybercrime zijn het de heersende willekeur en naïviteit. Gedurende discussies over het onderwerp afgelopen donderdag bij het NL IGF Event in de Koninklijke Schouwburg kwam het woord ‘Prism’ totaal niet ter sprake. Door het raam keek ik naar de wapperende vlag van de Amerikaanse ambassade.

De discussies vormden een voorbereiding op een internationaal overleg van regeringsdelegaties over internet aanstaand najaar in Bali. Een forse delegatie vanuit Den Haag vertrekt erheen. Men hoopt er invloed uit te oefenen. Op de website van het IGF forum staan nu niet minder dan 350 voorstellen. In de titels komen ‘geheime diensten’ en ‘Prism’ niet voor. Dergelijke conferenties hebben doorgaans een hoog ‘men deed nog een plas’ gehalte.

Dat wat betreft de concrete uitkomsten. Vruchtbaarder is overleg in de wandelgangen met informele afspraken tot gevolg. Internet is nu eenmaal gebouwd op decentrale technologie, nogal informeel tot stand gekomen standaarden en gefragmenteerd beheer. Bestrijding van cybercrime lijdt eronder/gedijt ermee. Het is veelal ad-hoc coöperatie.

Matte veiligheidsdiscussie

Zo ging de NLIGF-discussie over ‘cyberveiligheid en cyberopsporing’ ten onder aan repeterende plichtmatige uitingen over de noodzaak tot ‘meer samenwerking’ en het ‘doorbreken van silo’s’. Waarmee hetzelfde werd bedoeld.

Online misdaadbestrijding is kennelijk afhankelijk van grote willekeur van verschillende partijen met zeggenschap op onderdelen van internet. Niels Huijbregts van Xs4all haastte zich aan het eind nog te zeggen dat er ook nog zoiets bestaat als wetgeving.

Met dat samenwerken wil het niet zo. In Nederland zouden providers elkaar snel over botnetinfecties informeren via een Abuse Information Exchange. Huijbregts: “Providers zijn onderdeel van beursgenoteerde concerns met grote financiële belangen die op gespannen voet staan met de vereiste investeringen in, en inspanningen voor betere beveiliging.”

Dezelfde teneur stijgt op uit het ECP-verslag over cybercrime met Ivo Opstelten, Alexander Rinnooy Kan en Wim Deetman recent in Des Indes. “Cybercrime gezamenlijk bestrijden”, stond erboven zonder dat, net als donderdag, duidelijk werd wie er wanneer met welke partij bij welke soort misdaad moet samenwerken.

Terwijl internationaal de stukken eraf vliegen met discussie over terreurbestrijding en spionage. De Amerikaanse vlag aan de overkant van de Koninklijke Schouwburg bleef onbesproken wapperen. Of gingen die discussies daar juist wel over, zonder het hardop te zeggen?

Heerlijk debat

Ondertussen vecht de Nederlandse cybercrimebestrijding om criminelen bij te benen met pragmatisch optreden. Bijvoorbeeld het Nationaal Cyber Security Centrum (NCSC) dat aanstaande week in Thailand deelneemt aan een congres van First van de gezamenlijke Cert clubs voor beveiliging die concreet handelen.

Wel enerverend was het volgende NLIGF-debat, over ‘De hackende overheid’, geleid door Simone Halink. Ze is van Bits of Freedom, maar leidde neutraal.

Dit hielp Simon van de Geer (foto), chef Cybercrime van Veiligheid + Justitie om in alle openheid ’zijn’ wetsvoorstel te verdedigen.

Hij werd geholpen door de scherpe doch respectvolle vragen en bezwaren van Gert Wabeke en Jaap-Henk Hoepman. De laatste liet al weten de door Justitie gewenste bevoegdheden absurd vergaand te vinden. (Iedereen kan nog tot 1 juli reageren bij J+V).

Het debat ging diep in op zowel de principiële als pragmatische kant van het voorstel tot het verkrijgen van toegang tot computers (inbreken) bij verdenking van ‘ernstige delicten’ (vier jaar celstraf) of dreigende ‘ernstige inbreuk op de rechtsorde’. Een rechter-commissaris moet toestemming geven. Speurders mogen dan malware plaatsen (bijvoorbeeld keyloggers), gegevens wissen (kinderporno, botnetbeheer) en dwingen om encryptie te verwijderen (zonder marteling).

Praktische bezwaren behelzen vooral de plaatsing van malware en het ‘technisch afkaderen’ zoals Hoepman het noemde. Van de Geer: “In de meeste systemen zitten heel veel gaten. Natuurlijk zullen we heel prudent omgaan met de bevoegdheden en zien die ook als uiterste middelen om alleen in te zetten bij zware criminaliteit.”

Principieel is de vraag of de overheid criminele methoden toepast terwijl ze tegelijkertijd burgers beschermt tegen inbraak. Kun je overtuigend bewijs verzamelen als nooit zeker is wie er wat op computers plaatst? Maakt de politie straks schromelijk misbruik van de bevoegdheid, zoals gebeurd is met het grasduinen in het Ciot met telecomgegevens?

“Het wordt wel erg demonisch afgeschilderd allemaal”, vond Van de Geer, die echter ook uitte: “Ik moet toegeven dat de politie hierin geen goed track record heeft. Maar met de komst van één politiekorps in plaats van de 26 korpsen zal dat veel beter georganiseerd worden. We mogen geen enge, stiekeme dingen doen.”

AIVD mag veel

De rechterlijke macht wordt bijgeschoold om politieverzoeken voor gebruik van vergaande digitale bevoegdheden beter te kunnen beoordelen. De politie leert snel welke rechter ze voor welke toestemming op welk tijdstip het best om ‘een krabbeltje’ kunnen vragen.

Een zwaar punt van kritiek is het gebrek aan transparantie en rekenschap afleggen. Zijn vergaand methoden nu en straks ‘proportioneel’ en sorteren ze effect? Nog afgezien van het buitenland dat ook hier zal inbreken. Van de Geer: “China werkt ook mee aan internationale opsporing van kinderporno. Dat vinden we leuker dan dat ze De Telegraaf zouden hacken omdat een bericht niet bevalt.”

Over de grens computers hacken is nodig omdat zeker bij digitale criminaliteit nationaal speurwerk vrijwel zinloos is. België mag het wettelijk al, dus ook in Nederlandse computers inbreken. Daar hebben we Nederlandse parlementariërs en Bits of Freedom nog niet over gehoord.

Ook AIVD en MIVD mogen sinds 2002 al in onze computers snuffelen. De AIVD valt onder minister Ronald Plasterk van Binnenlandse Zaken en de MIVD onder  minister Jeanine Hennis-Plasschaert van Defensie. Onder de mythes over de AIVD schrijft de dienst: “Het is niet waar dat de AIVD toegang tot de gegevensbestanden van alle instellingen en organisaties heeft.

Als de AIVD voor een onderzoek toegang wil tot bepaalde data, moet de dienst hiervoor toestemming vragen aan de beheerder van die gegevens. Die beheerder is niet verplicht mee te werken. Die verplichte medewerking geldt wel voor politie, justitie en douane, maar ook voor telecomaanbieders: zij moeten gegevens overdragen als de AIVD vindt dat dat nodig is.”

Hoe vaak dat gebeurt is onbekend. Over tappen: “De AIVD plaatst niet zonder reden afluisterapparatuur of een telefoontap. Hiervoor moet de nationale veiligheid in het geding zijn. Bovendien moet de minister van Binnenlandse Zaken er toestemming voor geven.”

Prism-betekenis onduidelijk

De AIVD publiceert op de website een boeiend stukje over privacy. En toen kwam Prism. Edward Snowden vertelde The Guardian dat de National Security Agency (NSA) de inhoud van vrijwel alle verkeer van Facebook, Apple, Google, Microsoft, AOL, PalTalk, Dropbox en Yahoo kan inzien.

Deze bedrijven ontkenden ervan te weten en mee te werken. Echter, New York Times berichtte over geheime rechtszaken inzake vorderingen voor data. Dat ging om de FISA, de wet op buitenlandse inlichtingen waarvoor een geheime rechtbank is gecreëerd.

De New York Times stelt nu vast: “So Yahoo became part of the National Security Agency’s secret Internet surveillance program, Prism, according to leaked N.S.A. documents, as did seven other Internet companies.”

Is dat juist? De Fisa behelst het verkrijgen van informatie over buitenlandse bedreigingen, ook geheim agenten. Dit is zeer specifiek. Met Prism is juist de indruk gewekt dat ongeveer de hele wereld onder het vergrootglas van de Verenigde Staten ligt.

Overigens is de toegang tot grote online datastromen niet zo opzienbarend, want Prism fungeert al sinds 2009 zonder dat we er last van ondervinden. Prism kende een voorloper onder de naam Echelon. Een journalist van diezelfde Guardian, Duncan Campbell, deed er 15 jaar uitstekend onderzoek naar, ook voor het Europees Parlement. Met eveneens huiveringwekkende conclusies, Zie hier een destijds gepubliceerd artikel over Echelon.

Wel nieuw is uiteraard enorm toegenomen effectiviteit van speurwerk in de databergen. De datamining onder de naam Boundless Informant vormt een gevaarlijker onthulling voor de NSA: hoe haal je de speld uit de hooiberg? Die methoden moeten zeker geheim blijven.

Telegraaf en Wired

Bij het noodzakelijke bekorten van m’n opiniebijdrage door NRC vrijdag verviel het volgende belangrijke deel: “…Diezelfde AIVD die via programma’s als Sigint en Echelon al lang internationaal samenwerkt. Toch bracht De Telegraaf er in chocoladeletters nu een ‘onthulling’ over. En geheel volgens de mores van de hype kwetterden veel media dit na.

Overheden hanteren dus twee datastromen, die binnen wettelijke kaders en die van geheime diensten. Als Opstelten’s diender geen bevoegdheid heeft, kan hij Plasterk’s AIVD even bellen. Voor de rechtszaak telt dat niet, maar gedurende opsporing is het reuze handig. Ook cynisme, ja.”

In de hele wereld verwarren media die beide stromen en daarin valt ze niet zoveel te verwijten, want scheiden overheden ze wel? En zo ja, hoe schizofreen zijn ze dan? Een leidraad vormen de sublieme verhalen in Wired van James Bamford over de betekenis van Prism en het geheime cyberleger in Utah, waarover hij in maart 2012 al berichtte.

‘Geestig’ is bijvoorbeeld dat de VS met de eerste onthulling over spionage via Verizon zich eerste enorm opwonden over het lekken van data wie er met wie hoe lang had gebeld. Precies, wat Europa en Nederland voorop zo eenvoudig invoerden als bewaarplicht telecomdata’!

Terug even naar het Ciot met die data en het snuffelen door nieuwsgierige politiemensen om privéredenen: de grote vraag is die naar de omgang met data, de periode van bewaren, profilering etc.

En hoe zijn de persoonlijke banden? In m’n boeken over Facebook staat, en dat was geen geheim, dat zijn beide veiligheidschefs voorheen gediend hebben voor de Amerikaanse regering in Washington op belangrijke posten. Lijntjes zijn dan kort. Daar past deze Onion-satire prachtig bij. Die steeds minder satirisch wordt.

Sleepnetten hanteren

Boeiend dit weekeinde zijn twee stukken over de Nederlandse kant in NRC Handelsblad, helaas los van elkaar. Tom-Jan Meeus noemt – na een tip van ex-kamerlid Arjan Al Fassed (GroenLinks) - ook Sigint en een rapport uit 2011 van de CTIVD, de toezichthouder op inlichtingendiensten over de MIVD en Sigint. Nederland ontvangt data van bondgenoten zoals de VS.

Daar is zo veel aan toe te voegen uit rapporten van de CTIVD. Zoals uit rapport 22A uit 2009: “Samenwerking met buitenlandse diensten vindt plaats volgens het quid pro quo of wederkerigheidsbeginsel. Het uitgangspunt is kort gezegd: ‘voor wat, hoort wat’, en vormt een stelregel in de inlichtingen- en veiligheidswereld.”

En deze dan: “Hierbij heeft de AIVD onder meer geconstateerd dat er dienstbreed onvoldoende consistentie bestaat in de samenwerking met verscheidene buitenlandse inlichtingen- en veiligheidsdiensten.” Daar staat dat iedere digitale gleufhoed doet wat hij goed acht. Alles zou moeten lopen via de afdeling Buitenlandse Relaties van de AIVD, maar die werd niet altijd ingelicht.

Zo kan ik pagina’s doorgaan met proza die op zich wenkbrauwen doet fronsen maar de AIVD’ers zelf bij tijd en wijle doet gruwelen dan wel proesten over zoveel pogingen tot braafheid. Krijgen we ooit zicht op deze schimmige wereld? Is dat dan wenselijk?

Uit alles blijkt dat toezicht en rapportage een evenwichtskunst vormen tussen politieke verantwoording afleggen en misdaad en terrorisme voorkomen. De toezichthouder kondigde eind maart 2013 nog een vervolgonderzoek aan naar de rechtmatigheid van de samenwerking van de AIVD

Volgens Meeus en de CTIVD gebruikt de MIVD de datastromen (zoals van Prism) met wat we ‘sleepnetten’ noemen. “Want terwijl Amerikanen daaruit pas details mogen gebruiken nadat tegen een individu een verdenking rijst, bleken de Nederlanders in Big Data te „searchen” om zo „potentiële targets” te identificeren. Precies dus wat het Congres niet toestaat. En ook in Nederland is deze werkwijze volgens het rapport „niet toelaatbaar”.

Is het werkelijk zo dat Amerikanen de data pas gebruiken bij concrete verdenkingen? Dat is de kernvraag in deze. Ik zou haar niet een-twee-drie met ‘ja’ beantwoorden. En is het werkelijk beperkt tot een individu? Of komen jongemannen van een bepaalde religie en bepaald communicatiegedrag eerst als geselecteerde groep in beeld?

Europese verdragen en de VS

NRC-collega Folkert Jensma schrijft in dezelfde krant juist: “De NSA analyseert alles wat in tekst, beeld en geluid met het buitenland wordt gewisseld, via een achterdeurtje dat toepasselijk ‘Prism’ heet.”

Wat is precies ‘alles analyseren’? Is dat ‘pas details mogen gebruiken nadat tegen een individu een verdenking rijst’, zoals collega Meeus beweert? Jensma ook: “De samenwerking binnen Prism produceert echter verdenkingen alleen op basis van door niemand te controleren algoritmen „en die kunnen lelijk voor je uitpakken”. (laatste citaatdeel van Victor Toom). Hier beweren de twee redacteuren evident het tegengestelde.

Jensma schrijft vervolgens boeiend over een Kamervoorstel om het PCSC-verdrag (Prevention and Combating of Serious Crime) te accepteren, een kopie van het Verdrag van Prüm ofwel Schengen Plus: vingerafdrukken, DNA en online en offline verkeersdata uitwisselen, gericht tegen terrorisme, criminaliteit en – in één adem - illegale immigratie.

Doet Nederland niet mee met dit verdrag dan moeten we voortaan met een visum de Verenigde Staten binnen. Maakt het PCSC-verdrag nog wat uit als de VS al data overnemen van vliegpassagiers en financieel verkeer (Swift).

(Genoemde Toom publiceerde over Prüm, een mooie beschouwing over de vóór- en nadelen van technologie en opsporing.  In dit geval betreft het biotechnologie (DNA) maar hetzelfde is van toepassing op Big Data.)

Het gekke is natuurlijk dat Prism al sinds 2009 intensief draait zonder dat we er kennelijk hinder van ondervinden. Dat de AIVD al elf jaar in je pc mag komen en internationaal veel uitwisselt terwijl we daar rustig bij slapen. Dus is niet ineens in juni 2013 de privacy naar de gallemiezen.

Dat is de ratio, het gaat zelfs goed en het helpt ons tegen boeven. Zo denkt de meerderheid van de Amerikanen over Prism, dat overigens ook legaal is in de opzet. Van de uitvoering weten we net zo weinig als van de AIVD, en ongetwijfeld waren individuen het haasje …

Het gevoel zegt: stop, dit kan niet goed gaan. Een tekst die me al decennia bijgebleven is, van de Rolling Stones uit 1974 in Fingerprint File al: “these days it's all secrecy; no privacy…some little jerk in the FBI, keeping papers on me six feet high, it gets me down…”

Maar wat dan nog? Voortaan – ook uit protest – collectief die visumplicht voor de VS aanvaarden? Google, Facebook en Apple niet meer gebruiken? En wat roepen we dan bij een volgende niet voorkomen aanslag? Moeluk, moeluk…

Wat vinden de experts?

Gerrit-Jan Zwenne
20 jun 2013
Privacy en veiligheid geen tegenstelling

Je kunt vrijheid en veiligheid niet eendimensionaal tegenover elkaar zetten. Uiteraard kan er sprake zijn van een spanningsveld tussen privacy en vrijheid enerzijds en surveillance en veiligheid anderzijds.

Maar de essentie is: je kunt een rechtsstaat niet beschermen door de controle op de macht af te schaffen. Geen privacybescherming zorgt juist voor een onveiliger samenleving.

In een rechtsstaat zou als uitgangspunt moeten gelden, dat de burger alles mag tenzij dat is verboden. En dat de overheid niets mag, tenzij dat door de burgers is toegestaan.

Maar wat de inlichtingendiensten en de staat dan precies doen, weten we niet. Het grootste probleem met het spionageprogramma Prism en vergelijkbare systemen is dat we er niets van wisten. In Nederland is het ook zeer onduidelijk wat de inlichtingendiensten precies doen.

Natuurlijk kun je als inlichtingendienst niet overal open over zijn. Je kunt niet mensen van de Hofstadgroep oppakken als je van te voren precies zegt hoe je hen in de gaten houdt.

Het gaat er dus om dat de staat, ten minste, achteraf voldoende transparantie biedt. Minister Ivo Opstelten en staatssecretaris Fred Teeven zouden periodiek veel meer inzicht kunnen geven over de omvang van het inlichtingenwerk en de effectiviteit ervan.

Hoe vaak er is getapt? Hoeveel mensen zijn er gevolgd in hoeveel onderzoeken? Wat heeft allemaal opgeleverd?

De door de overheid geheim verzamelde inlichtingen kunnen nu - volgens de rapportages van de AIVD zoals genoemd in dit artikel - een ruilmiddel zijn om van de VS en andere landen informatie te verkrijgen.

Deze dynamiek vind ik ongezond en zeer zorgelijk. Ook daarom minstens een keer per jaar een serieuze en zo volledig mogelijke verslaglegging van wat er is gebeurd, met welk doel en effect.

Erik Huizer
20 jun 2013
Cruciaal: wie heeft er toegang

Goed overzicht. Wat ik mis is: Wie heeft toegang tot de opgeslagen data? Bij Prism <A HREF="http://www.policymic.com/articles/47899/edward-snowden-prism-how-hundreds-of-thousands-of-private-citizens-have-access-to-your-private-data ">honderdduizenden personen</A> volgens Snowden. Dat betekent een enorme kans op misbruik van die data, ook zonder dat dit direct zichtbaar is voor de buitenwereld.

Het kan dan voor te veel verkeerde doeleinden worden gebruikt, zoals voor handel met voorkennis (<A HREF="http://www.nrc.nl/joris/2013/06/13/handel-met-voorkennis/">Joris Luyendijk in NRC</A>) om er ongezien schathemeltjerijk van te worden, of om eens flink wraak te nemen.

Corien Prins
27 jun 2013
Veiligheid weer beschouwen als geborgenheid

Het gaat al lang niet meer zozeer om het verzamelen van gegevens. Velen maakt het inderdaad niet veel uit of anderen – of dat nu medeburgers, bedrijven of overheden zijn – op de hoogte zijn van hun dagelijks doen en laten.
Het prangende punt is veeleer informatiemacht. Macht van instituties over wat er na het verzamelen met al die gegevens gebeurt. En daarmee de onmacht van burgers hier nog enig zicht, laat staan controle of zeggenschap op te hebben. Overheden en bedrijven hebben zich een welhaast tijdloze en mateloze heerschappij over gegevens van burgers aangemeten.
Over hoe lang ze worden bewaard en waar ze vrijwel oncontroleerbaar voor mogen worden hergebruikt. De paradox van de wens de burgers veiligheid te garanderen is dat zij de veiligheid van hun persoonlijke gegevens volledig kwijt zijn.
Het is deze situatie en de veranderende machtsrelatie tussen individuen en instituties die daarmee samenhangt, waar het debat over dient te gaan. Geagendeerd wordt daarmee niet alleen de relatie die burgers hebben met de instituties (bedrijven of overheden) die aan de hand van gegevens belangrijke beslissingen over hen nemen, maar uiteindelijk ook de sociale structuren in onze samenleving. De NSA is in dit opzicht slechts een illustratie van de wijze waarop de instituties met burgers omgaan. Bovendien is de huidige consternatie – voor wie het nieuws volgt – overdreven: Pulitzer Prize winnaar James Risen schreef er al in 2006 over.
We behoeven ons geen illusies te maken: ook in ons land hebben opsporingsinstanties zich een grotendeels oncontroleerbare macht aangemeten wat betreft opvragingen van persoonsgegevens op sociale media. Burgerrechten-organisatie Bits of Freedom probeert al langer cijfers over deze politie-opvragingen boven tafel te krijgen. Tot op heden zonder succes.
Waar ieder jaar wel een overzicht wordt vrijgegeven van het aantal vorderingen bij aanbieders van internet en telefonie, blijft onbekend om hoeveel vorderingen bij aanbieders van sociale media het gaat. Alleen politiekorps Limburg-Zuid maakte na een Wob-verzoek bekend dat ieder jaar persoonsgegevens van veertig tot tachtig accounts worden opgevraagd. Soms zijn dat alleen contactgegevens, maar soms ook alle informatie over de communicatie van een gebruiker.
Als het aan staatssecretaris Teeven ligt blijven de aantallen geheim. In antwoord op vragen van Tweede Kamerlid El Fassed (GroenLinks), stelde hij vorig jaar: “Publicatie van deze aantallen zou inzicht geven in de mate waarin communicatie via sociale media door de opsporingsautoriteiten gevolgd wordt. Het is niet in het belang van de opsporing om dit inzicht te verschaffen, ondermeer omdat het risico bestaat dat personen hun gedrag op deze informatie gaan afstemmen.”

Juist vanwege het ogenschijnlijk ontbreken van tegenstanders, wordt het argument van veiligheid nauwelijks kritisch bevraagd. Ook nu weer lijken voorstanders van Prism er redelijk eenvoudig mee weg te komen. Maar door die dominante positie in het maatschappelijke en politieke debat krijgt het argument van veiligheid steeds meer last van onaangename trekjes. Trekjes van heimelijkheid en zelfs superioriteit.
En dat terwijl veiligheid een warm woord zou moeten zijn. Althans voor degenen die het wordt geboden. Veiligheid in de zin van geborgenheid. Een toevluchtsoord voor rust en je door medemensen gedragen te weten.
In de discussie over Prism toont het woord zich echter wederom van een totaal andere kant. Veiligheid werd in alles een woord van macht. Daarmee roept het steeds vaker associaties op die het tot een hard en koud woord maken. Als we proberen de noodzaak tot veiligheid weer eens vanuit de wens tot geborgenheid op te vatten. Als we veiligheid verbinden met de wens tot maatvoering bij de instrumenten die we inzetten om dat belang te dienen.
Zou dat niet een veel productiever vertrekpunt voor discussie zijn?

Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0