De NCTV bracht haar Cybersecuritybeeld 2021 uit met een beeld van toenemende afhankelijkheid van digitale infrastructuur met grote kwetsbaarheid tot gevolg; terwijl de defensie tegen aanvallen tekortschiet. Het rapport beschrijft hoe het ‘zenuwstelsel’ van de maatschappij wordt aangetast, met als hoofdmoot de aanvallen met ransomware en aanvallen van staten als Rusland, China en Iran gericht op spionage en ontwrichting.
Het rapport zelf (pdf) schetst de volwassenwording van ‘cybercrime’. (liever: ‘digimisdaad’). Opvallend is dit risico: ‘Schending van de (veiligheid van de) digitale ruimte, bijvoorbeeld door misbruik van mondiale ICT-leveranciersketens.’ Dit specificeert de NCTV als volgt: ‘…bijvoorbeeld bij de inkoop en aanbesteding van producten en diensten van een leverancier waarbij sprake is van een kwetsbaarheid in een product, of waarbij een (ingehuurde) medewerker toegang heeft tot digitale processen met gevoelige informatie.’
Als voorbeeld geldt de kwetsbaarheid die criminelen aanbracht in een update van Orion-software van SolarWinds, die wordt ingezet om bij overheden en grote bedrijven ICT-omgevingen te monitoren en beheren.
Fysiek met digitaal
Onderdeel van de volwassenwording van digitale criminaliteit die zich meer en meer mengt met – traditionele – fysieke criminaliteit: ‘Anno 2021 is er sprake van een volwassen cybercrimineel ecosysteem. Hierin worden actoren ondersteund door facilitatoren die technische, financiële en juridische dienstverlening aanbieden voor cyberaanvallen.
Professionele en klantvriendelijke dienstverleners brengen ook nieuwe actoren op het toneel: criminelen uit de ‘traditionele’ misdaad (zoals drugs) gaan zich ook bezighouden met cyberaanvallen, zoals door middel van phishing. Cyberaanvallen voor allerlei vormen van criminaliteit kunnen er in de toekomst toe leiden dat cybercriminaliteit ook een fysieke component krijgt, zoals het dreigen met of uitoefenen van geweld na phishing of ransomware of ontoegankelijke processen met fysieke gevolgen.’
Opvallend is dat woordje ‘klantvriendelijk’. Hierdoor kan bijvoorbeeld de Brabantse penose in de drugscriminaliteit, die niet altijd heeft leren lezen en schrijven, zich toch eenvoudig bedienen van digitale middelen om hun fysieke werk te ondersteunen en misdaad digitaal uitbreiden.
Wolkbreuk en viruswapjes
Digimisdaad lijkt inderdaad steeds ‘klantvriendelijk’, voor de boef dan. Een eenvoudig te gebruiken kwetsbaarheid in Citrix trof zo’n dertig grote organisaties. En ondertussen kreeg de AP 24.000 meldingen van datalekken: een open postbus bij Transavia lekte data van 90.000 klanten, idem dito met een lek bij de Wielren Unie, en natuurlijk het alom bekritiseerde GGD-lek. Dat alles schetst een beeld van dweilen met de kraan open.
Een groot risico is de afhankelijkheid van de cloud en verbindingen daarheen. De NCTV schetst een scenario ‘Wolkbreuk’; waarbij dat helemaal misgaat en we vishengels en naaimachines wel uit de kast kunnen halen, omdat digitaal werken er voorlopig een poosje niet inzit, evenmin als netflixen of gamen om de zinnen te verzetten.
Ook kan maatschappelijk protest overgaan in digitale misdaad. Als voorbeeld geeft de NCTV de ‘gelegenheidscoalities’ rond tegenstanders van coronamaatregelen die ‘de drempel om over te gaan tot extremistische gedragingen’ verlaagt. Polarisatie leidt tot verharding, intimidatie en (oproepen tot) geweld. Dit kan ook leiden tot ‘ongenoegen uiten door een digitaal proces te verstoren, zoals DDoS-aanvallen tegen overheidsinstanties of andere partijen met tegengestelde ideeën. Ook kunnen ze proberen instanties te hacken om zo aan informatie die komen die een instantie in een kwaad daglicht kan stellen.’
Inspraak is voor watjes
De weerbaarheid schiet tekort, ook van de NCTV, die dus meer bevoogdheden wil hebben. Dat is het haakje naar een wetsvoorstel dat snel even door de inspraakronde gejast moest worden, zo waarschuwde Bits of Freedom een week geleden. De periode om te reageren was van een maand tot een week bekort.
Jan Jaap Oerlemans, Bijzonder hoogleraar Inlichtingen en Recht aan de Universiteit Utrecht: ‘Nog nooit heb ik zo’n korte reactietermijn gezien voor het reguleren van een nieuwe bevoegdheid voor een overheidsinstantie, waarvan het uitoefenen van de bevoegdheid ingrijpend kan zijn voorbetrokkenen. Het is een schande dat niet meer tijd wordt genomen voor het schrijven van een fatsoenlijk wetsvoorstel en toelichting (zonder spelfouten).’
Het effect is averechts. Nu let het parlement goed op. Ook kreeg deze ‘Wet verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid’ op Internetconsultatie alsnog bijna 400 reacties. Die zijn niet enkel vrijwel allemaal negatief, maar ook voor het grootste deel anoniem. De uitoefening vrijheid van meningsuiting gaat niet gepaard met de moed die daarbij hoort.
Fenomenen of personen?
Het wetsvoorstel met Memorie van Toelichting (en Afwegingskader) zijn gericht op het vergroten van de ‘weerbaarheid’ van de NCTV, met meer bevoegdheden: ‘Het signaleren, analyseren en duiden van trends en fenomenen op het gebied van terrorisme en andere dreigingen en risico’s voor de nationale veiligheid in het kader van het verhogen van de weerbaarheid van de samenleving.’
Dit behelst het wettelijk verankeren van twee reeds in gebruik zijnde ‘taken’ waarbij de NCTV inbreuk op de persoonlijke levenssfeer pleegt, de AVG overtreedt. De NCTV wil openbare informatie verwerken tot analyses over trends en fenomenen die ‘de stabiliteit van Nederland kunnen ontwrichten’. Dat is niet direct gericht op personen, maar profilering lijkt onontkoombaar:
‘Bij een beoordeling of openbare uitingen passen in een bepaalde trend is het onvermijdelijk dat ook informatie over personen (vaak in combinatie met organisaties) wordt verwerkt aangezien uitingen altijd door personen worden gedaan. Dit gebeurt juist om situaties en dreigingen goed in te schatten…De dreiging op het gebied van terrorisme en extremisme komt immers direct voort uit het gedrag en de ideologische, levensbeschouwelijke of politieke opvattingen van individuen…Dit wordt overigens niet geautomatiseerd verricht, maar vindt handmatig plaats…’
De grens voor het gebruik van ‘voor een ieder toegankelijke bronnen’ legt de minister bij ‘een min of meer volledig beeld van bepaalde aspecten van iemand privéleven’ dat ook in de jurisprudentie van de opsporing wordt gehanteerd. ‘Het gebruik van een bevoegdheid vormt een meer dan geringe inbreuk’.
AIVD en journalistiek
Als voorbeeld wordt genoemd een ‘Nederlandse uitreiziger die met het oog op terugkeer zich meldt bij een Nederlandse diplomatieke vertegenwoordiging’. Maar in principe is elke Nederlander weer verdacht, uiteraard ook de genoemde viruswappies in het NCTV-verslag over 2021, die een criminele organisatie kunnen vormen om sabotage te plegen, wetenschappers te bedreigen of zelfs aanslagen voor te bereiden.
De analyses wil de dienst kunnen delen met politie, burgemeesters, inlichtingendiensten, OM en ‘de Minister die het aangaat’. Opvallend is de AIVD/MIVD als afnemer van NCTV-analyses. Je zou wellicht eerder andersom verwachten, maar de wet helpt uiteindelijk bij nauwere samenwerking.
De dienst wil op internet dossiers van personen kunnen samenstellen die een mogelijk risico vormen. Dat deed de dienst eerder min of meer illegaal wat NRC onthulde. ‘NCTV volgt heimelijk burgers op sociale media’, zo stond als kop boven het verhaal. Dat ‘heimelijk volgen’ doen ook velen van ons, brave burgers: of we nu een potentieel vriendje hebben ontmoet op een festival of een nieuwe collega. We ‘googelen’ en neuzen op Instagram, Facebook en LinkedIn om te kijken met wat voor snuiter we te maken hebben.
De beroepsgroep die dit buitengewoon vaak doet, is de journalistiek, die bovenstaande kop tikte. En dat hangen wij echt niet aan de grote klok; alles gaat heimelijk als het even kan. Elke journalist die een beetje onderzoekt heeft mappen vol van dat materiaal. Ondertussen predikt journalistenbond NVJ de privacy.
Dus is het logisch dat de speurdiensten dit ook willen, maar dat gaat zomaar niet. Want binnen de kortste keren zijn we verdachten zonder het te weten en zonder dan rechten te kunnen uitoefenen. Genoemde Oerlemans, geen vijand van inlichtingenwerk, soms een reeks bezwaren op in zijn reactie op het wetsvoorstel. Die hebben vooral betrekking op de vaagheid van formuleringen. En dit is scherp:
‘Het gebruik van het ICT-systeem voor openbronnenonderzoek, zoals genoemd inde toelichting van het concept wetsvoorstel, verdient meer toelichting. Waarom is een ICT-systeem nodig als slechts ‘handmatig’ open bronnenonderzoek wordt uitgevoerd?’
Of, zo mogelijk nog scherper: ‘Hoewel u stelt dat de NCTV geen inlichtingen-en veiligheidsdienst is (maar wel klaarblijkelijk producten verstuurd die (deels) zijn gemaakt op basis van openbronnenonderzoek naar afnemers), weet u gelukkig wel elementen uit artikel 24 Wiv 2017 in het wetsvoorstel te kopiëren.’
Bovendien vraagt Oerlemans zich af of personen conform de AVG hun inzage-, correctie- en verwijderrecht mogen uitoefenen. En kan de AP afdoende toezicht uitoefenen als het om staatsgeheimen gaat?
‘Veel te vaag’
Bits of Freedom doet geen moeite voor inhoudelijk commentaar: ‘Bits of Freedom adviseert u het concept wetsvoorstel niet in te dienen en met de Tweede Kamer in debat te gaan over de taakstelling van de NCTV.’
J. Terstegge formuleert dit met argumenten: ‘Gelet op zijn taken ‘zou de NCTV helemaal geen gegevens over individuele personen hoeven te verwerken. De gegevensverwerking moet immers “noodzakelijk” zijn voor de taak. De genoemde taken zijn veel te vaag om de noodzaak van de verwerking van persoonsgegevens door de NCTV vast te kunnen stellen…Het onderhavige wetsvoorstel ademt een haastklus en is grondrechtelijk broddelwerk. Dus begin met een behoorlijk gesprek over de taken en bevoegdheden van de NCTV zelf en ga dán pas over de gegevensverwerking praten. Blijf niet doorgaan op het pad van Joustra dat zo min mogelijk moet worden geregeld.’
Blijft de vraag, vanuit de speurders gezien: mag iedereen het openbare internet afstruinen voor informatie, behalve wij? Straks gaat de speurneus ’s avonds naar huis om als brave burger de asociale media en forums te bekijken, wat zij op het werk niet mag.
Uiteindelijk gaat het om de verwerking en stiekeme verdenkingen. Is er een evenwicht te bereiken tussen de terechte wens van de speurders om openbare informatie te verwerken en de terechte angst voor een volgend wettelijk verankerd element van een gluurstaat?
*) Beeld: Netkwesties