AIVD en MIVD grijpen de oorlog in Oekraïne aan om de evaluatie van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) én de in de maak zijnde Europese regelgeving omtrent aftappen van bulkverkeer, niet af te wachten. Meer, als het aan de veiligheidsdiensten ligt, stelt de overheid deze zogeheten sleepwet met een 'tijdelijke wet' gedeeltelijk buiten werking.
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) lieten daarom het kabinet het wetsvoorstel ‘Tijdelijke wet onderzoek AIVD en MIVD naar landen met een offensief cyberprogramma’ consulteren via internet. Waarom deze consultatie slechts een dag is opengesteld, laat ik hier in het midden.
De aanleiding voor de tijdelijke wet is dat de veiligheidsdiensten op een andere manier onderzoek willen doen ‘naar landen met een offensief programma tegen Nederland’ dan waar de huidige wet volgens hen voor gemaakt is. Dit moet nu worden ondervangen door – wat in nogal onschuldig klinkend is samengevat als – ‘de introductie van de bevoegdheid tot verkennen’. In de praktijk vragen de diensten gewoon om een vrijbrief om ‘naar eigen operationeel inzicht’ alles te mogen aftappen en te hacken, ook bij commerciële partijen en dit te laten controleren ‘op de vereisten’ tijdens de uitvoering van de werkzaamheden. Bij de beoogde manier van onderzoeken zijn de hackbevoegdheid en de bevoegdheid tot kabelinterceptie complementair aan elkaar, zo wordt nadrukkelijk aangegeven.
Patronen
Iedere zinnige waarborg wat betreft privacy en bescherming van de persoonlijke levenssfeer, ook van van willekeurige andere en onschuldige gebruikers van de onderschepte verbindingen, vervalt hiermee. Immers, de diensten weten niet precies wat ze zoeken en waar ze dat moeten zoeken, maar willen willekeurig kunnen gaan zoeken naar ‘patronen’ waaruit bijvoorbeeld blijkt dat de ‘cyberactoren’ bezig zijn om hun gevirtualiseerde infrastructuur te verplaatsen. Maar wat zijn nu die ‘vereisten’ om op te toetsen hierbij? Dat wordt niet vermeld.
Ook de technische risico’s hoeven volgens deze tijdelijke wet niet meer van te voren worden getoetst: ‘Daarom wordt voorgesteld de wettelijke verplichting tot het geven van een omschrijving van technische risico’s (artikel 45, vierde lid, aanhef en onder a, Wiv 2017) in toestemmings- of verlengingsaanvragen voor de hackbevoegdheid die vallen binnen de reikwijdte van deze wet te laten vervallen.’
Dit alleen al is vragen om moeilijkheden en als de gebruikte malware voor zo’n ‘onderzoek’ van de veiligheidsdiensten verkeerd uitpakt, zijn ze hiermee gevrijwaard omdat er wettelijk gezien geen onafhankelijk getoetste risicoanalyse van tevoren meer gemaakt hoefde te worden voor de inzet ervan. Dat kan echt niet en het moet wettelijk verankerd blijven dat dit wel gebeurt.
De voorgestelde oplossing is bovendien echt onvoldoende, want ze willen nu tijdens het onderzoek (ook de tot dan nog onbekende!) technische risico’s inschatten en laten toetsen door de afdeling toezicht van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). De enige manier om die risico’s te ontdekken is dan wanneer ze optreden. Een ‘bindend advies’ in zo’n situatie kun je dan beter bestempelen als de put dempen als het kalf verdronken is. Of: nee, dit ging bewust onverwacht helemaal mis en had achteraf gezien niet zo uitgevoerd mogen worden, sorry.
Deze afdeling toetst gewoonlijk de door de AIVD en MIVD gehanteerde methoden tegen de Wiv 2017, maar die wordt dus nu juist ’tijdelijk’ buiten werking gesteld als er naar de vijand wordt gespeurd. Aldus het voorstel. Eisen dat door een systematische aanpak vóóraf een afweging is te maken van de inbreuk op fundamentele rechten, zoals deze afdeling in een analyse van de inzet van geautomatiseerde OSINT door de AIVD en de MIVD noodzakelijk acht, is in de voorgestelde wet dus niet meer mogelijk.
Verontrustend
Ook het onbeperkt gebruik willen kunnen maken van ‘onbekende kwetsbaarheden’ door de veiligheidsdiensten is verontrustend. De ook in de Memorie van Toelichting als mondiaal impactvol beschreven digitale sabotagecampagne van Rusland met NonPetya kon plaatsvinden omdat eerder hackers de ‘onbekende kwetsbaarheid’ EthernalBlue in Windows bij de Amerikaanse veiligheidsdienst NSA te pakken hadden weten te krijgen. Die zwakte had deze dienst waarschijnlijk zelf ontwikkeld en niet tijdig aan Microsoft gemeld om te patchen. Die kant wil Nederland nu dus ook op.
Anders: dat onze veiligheidsdiensten er belang bij krijgen dat kwetsbaarheden niet tijdig worden opgelost, zodat ze deze zelf kunnen blijven benutten. Op deze wijze worden we dus steeds meer ook een land met staatscybercriminelen, met deze ’tijdelijk wet’ als volgende stap. Het terugdraaien van dit soort bevoegdheden en eenmaal in gebruik genomen ‘flexibiliteit voor het doen van onderzoek en uitvoering van wettelijke taken’ gebeurt in praktijk niet snel of is een proces dat langdurig getraineerd kan worden. Dat weten deze overheidsdiensten maar al te goed.
Staatsgeheim
Ook zorgwekkend is dat de kosten die gemaakt worden voor de kabelgebonden aftapverplichting op dit moment bij een aanbieder worden vergoed en de hoogte hiervan staatsgeheim is. ‘De inzet van de bijzondere bevoegdheid van artikel 48 Wiv 2017 op de kabelgebonden infrastructuur en daarmee ook de toepassing van artikel 7 van het wetsvoorstel is vooralsnog beperkt tot een enkele aanbieder. De daaraan verbonden kosten zijn operationele kosten voor de diensten die uit de geheime begroting van de diensten worden bekostigd en daarmee als staatsgeheim gekwalificeerd. De omvang van deze kosten zijn evenwel inzichtelijk voor de Commissie voor de Inlichtingen en Veiligheidsdiensten van de Tweede Kamer.’
Dat zijn nu niet bepaald de praktijkmensen die kunnen weten hoe de operationele aftapkosten bij een gemiddelde netwerkaanbieder in elkaar zitten. Trouwens, omdat er maar bij één commerciële partij om specificatie van die kosten wordt gevraagd, kan deze in praktijk vragen wat ervoor binnen te halen valt. Oftewel: in praktijk oncontroleerbare staatssteun onder het mom staatsveiligheid wordt zo mogelijk gemaakt en er is hier boven op een toenemend belang bij de overheid om een commerciële partij centraal en dominant te houden in onze kabelinfrastructuur.
Daar gaan de dromen van de ceo van T-Mobile om de grootste glasvezelaanbieder van Nederland te worden. Het staatsbelang verzet zich er in toenemende mate tegen dat T-Mobile als virtuele glasoperator op commerciële gronden van zoveel mogelijk netwerkaanbieders gebruik gaat maken, omdat het aftappen anders veel te duur wordt.
https://www.nrc.nl/nieuws/2022/04/25/overdaad-aan-toezicht-schaadt-inlichtingenwerk-a4118474
Ha, huur een freelance journalist in en plaats je tegenreactie in het NRC! Ik ben benieuwd of er ook een zinnige discussie ontstaat over dit onderwerp of dat het blijft bij algemeenheden als “in dit tijdperk waarin dreigingen zich steeds vaker manifesteren in een oneindige digitale datastroom, is een persoonsgerichte aanpak helaas definitief verleden tijd.” Privacy gaat nu eenmaal over personen, sorry, en je wilt juist niet vermalen worden in een oneindige digitale datastroom, maar in staat zijn er controle op te houden als het over jou zelf gaat. Digitale soevereiniteit op zowel nationaal als persoonlijk niveau in evenwicht houden en niet alleen “goed en kwaad”, lijkt me een beter uitgangspunt dan dit zielige verhaal over een dubbel toezicht regime.