Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Zo schuiven we op naar land met staatscybercriminelen

Veiligheidsdiensten ontmantelen sleepwet om zo meer bevoegdheden te krijgen

Dit artikel delen:

Computable Expert

ir. Fred Hage
Director, VIRTUAL RELEASE. Expert van Computable voor het topic Digital Innovation.

AIVD en MIVD grijpen de oorlog in Oekraïne aan om de evaluatie van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) én de in de maak zijnde Europese regelgeving omtrent aftappen van bulkverkeer, niet af te wachten. Meer, als het aan de veiligheidsdiensten ligt, stelt de overheid deze zogeheten sleepwet met een 'tijdelijke wet' gedeeltelijk buiten werking.

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) lieten daarom het kabinet het wetsvoorstel 'Tijdelijke wet onderzoek AIVD en MIVD naar landen met een offensief cyberprogramma' consulteren via internet. Waarom deze consultatie slechts een dag is opengesteld, laat ik hier in het midden.

De aanleiding voor de tijdelijke wet is dat de veiligheidsdiensten op een andere manier onderzoek willen doen 'naar landen met een offensief programma tegen Nederland' dan waar de huidige wet volgens hen voor gemaakt is. Dit moet nu worden ondervangen door - wat in nogal onschuldig klinkend is samengevat als - 'de introductie van de bevoegdheid tot verkennen'. In de praktijk vragen de diensten gewoon om een vrijbrief om 'naar eigen operationeel inzicht' alles te mogen aftappen en te hacken, ook bij commerciële partijen en dit te laten controleren ‘op de vereisten’ tijdens de uitvoering van de werkzaamheden. Bij de beoogde manier van onderzoeken zijn de hackbevoegdheid en de bevoegdheid tot kabelinterceptie complementair aan elkaar, zo wordt nadrukkelijk aangegeven.


Patronen

"Iedere zinnige waarborg wat betreft privacy en bescherming van de persoonlijke levenssfeer vervalt"

Iedere zinnige waarborg wat betreft privacy en bescherming van de persoonlijke levenssfeer, ook van van willekeurige andere en onschuldige gebruikers van de onderschepte verbindingen, vervalt hiermee. Immers, de diensten weten niet precies wat ze zoeken en waar ze dat moeten zoeken, maar willen willekeurig kunnen gaan zoeken naar 'patronen' waaruit bijvoorbeeld blijkt dat de 'cyberactoren' bezig zijn om hun gevirtualiseerde infrastructuur te verplaatsen. Maar wat zijn nu die 'vereisten' om op te toetsen hierbij? Dat wordt niet vermeld.

Ook de technische risico's hoeven volgens deze tijdelijke wet niet meer van te voren worden getoetst: 'Daarom wordt voorgesteld de wettelijke verplichting tot het geven van een omschrijving van technische risico’s (artikel 45, vierde lid, aanhef en onder a, Wiv 2017) in toestemmings- of verlengingsaanvragen voor de hackbevoegdheid die vallen binnen de reikwijdte van deze wet te laten vervallen.'

Dit alleen al is vragen om moeilijkheden en als de gebruikte malware voor zo'n 'onderzoek' van de veiligheidsdiensten verkeerd uitpakt, zijn ze hiermee gevrijwaard omdat er wettelijk gezien geen onafhankelijk getoetste risicoanalyse van tevoren meer gemaakt hoefde te worden voor de inzet ervan. Dat kan echt niet en het moet wettelijk verankerd blijven dat dit wel gebeurt.

De voorgestelde oplossing is bovendien echt onvoldoende, want ze willen nu tijdens het onderzoek (ook de tot dan nog onbekende!) technische risico's inschatten en laten toetsen door de afdeling toezicht van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). De enige manier om die risico’s te ontdekken is dan wanneer ze optreden. Een 'bindend advies' in zo'n situatie kun je dan beter bestempelen als de put dempen als het kalf verdronken is. Of: nee, dit ging bewust onverwacht helemaal mis en had achteraf gezien niet zo uitgevoerd mogen worden, sorry.

Deze afdeling toetst gewoonlijk de door de AIVD en MIVD gehanteerde methoden tegen de Wiv 2017, maar die wordt dus nu juist 'tijdelijk' buiten werking gesteld als er naar de vijand wordt gespeurd. Aldus het voorstel. Eisen dat door een systematische aanpak vóóraf een afweging is te maken van de inbreuk op fundamentele rechten, zoals deze afdeling in een analyse van de inzet van geautomatiseerde OSINT door de AIVD en de MIVD noodzakelijk acht, is in de voorgestelde wet dus niet meer mogelijk.

Verontrustend

Ook het onbeperkt gebruik willen kunnen maken van 'onbekende kwetsbaarheden' door de veiligheidsdiensten is verontrustend. De ook in de Memorie van Toelichting als mondiaal impactvol beschreven digitale sabotagecampagne van Rusland met NonPetya kon plaatsvinden omdat eerder hackers de 'onbekende kwetsbaarheid' EthernalBlue in Windows bij de Amerikaanse veiligheidsdienst NSA te pakken hadden weten te krijgen. Die zwakte had deze dienst waarschijnlijk zelf ontwikkeld en niet tijdig aan Microsoft gemeld om te patchen. Die kant wil Nederland nu dus ook op.

Anders: dat onze veiligheidsdiensten er belang bij krijgen dat kwetsbaarheden niet tijdig worden opgelost, zodat ze deze zelf kunnen blijven benutten. Op deze wijze worden we dus steeds meer ook een land met staatscybercriminelen, met deze 'tijdelijk wet' als volgende stap. Het terugdraaien van dit soort bevoegdheden en eenmaal in gebruik genomen 'flexibiliteit voor het doen van onderzoek en uitvoering van wettelijke taken' gebeurt in praktijk niet snel of is een proces dat langdurig getraineerd kan worden. Dat weten deze overheidsdiensten maar al te goed.

Staatsgeheim

"Op deze wijze worden we dus steeds meer een land met staatscybercriminelen, met deze 'tijdelijk wet' als volgende stap"

Ook zorgwekkend is dat de kosten die gemaakt worden voor de kabelgebonden aftapverplichting op dit moment bij een aanbieder worden vergoed en de hoogte hiervan staatsgeheim is. 'De inzet van de bijzondere bevoegdheid van artikel 48 Wiv 2017 op de kabelgebonden infrastructuur en daarmee ook de toepassing van artikel 7 van het wetsvoorstel is vooralsnog beperkt tot een enkele aanbieder. De daaraan verbonden kosten zijn operationele kosten voor de diensten die uit de geheime begroting van de diensten worden bekostigd en daarmee als staatsgeheim gekwalificeerd. De omvang van deze kosten zijn evenwel inzichtelijk voor de Commissie voor de Inlichtingen en Veiligheidsdiensten van de Tweede Kamer.'

Dat zijn nu niet bepaald de praktijkmensen die kunnen weten hoe de operationele aftapkosten bij een gemiddelde netwerkaanbieder in elkaar zitten. Trouwens, omdat er maar bij één commerciële partij om specificatie van die kosten wordt gevraagd, kan deze in praktijk vragen wat ervoor binnen te halen valt. Oftewel: in praktijk oncontroleerbare staatssteun onder het mom staatsveiligheid wordt zo mogelijk gemaakt en er is hier boven op een toenemend belang bij de overheid om een commerciële partij centraal en dominant te houden in onze kabelinfrastructuur.

Daar gaan de dromen van de ceo van T-Mobile om de grootste glasvezelaanbieder van Nederland te worden. Het staatsbelang verzet zich er in toenemende mate tegen dat T-Mobile als virtuele glasoperator op commerciële gronden van zoveel mogelijk netwerkaanbieders gebruik gaat maken, omdat het aftappen anders veel te duur wordt.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

https://www.nrc.nl/nieuws/2022/04/25/overdaad-aan-toezicht-schaadt-inlichtingenwerk-a4118474

Ha, huur een freelance journalist in en plaats je tegenreactie in het NRC! Ik ben benieuwd of er ook een zinnige discussie ontstaat over dit onderwerp of dat het blijft bij algemeenheden als "in dit tijdperk waarin dreigingen zich steeds vaker manifesteren in een oneindige digitale datastroom, is een persoonsgerichte aanpak helaas definitief verleden tijd." Privacy gaat nu eenmaal over personen, sorry, en je wilt juist niet vermalen worden in een oneindige digitale datastroom, maar in staat zijn er controle op te houden als het over jou zelf gaat. Digitale soevereiniteit op zowel nationaal als persoonlijk niveau in evenwicht houden en niet alleen "goed en kwaad", lijkt me een beter uitgangspunt dan dit zielige verhaal over een dubbel toezicht regime.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-04-08T14:15:00.000Z Fred Hage
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.