Wilde Westen van geheime diensten en wettelijke opsporing

Als één ding nog eens duidelijk werd uit de hype rond Prism en Nederlandse discussie over cybercrime zijn het de heersende willekeur en naïviteit. Gedurende discussies over het onderwerp afgelopen donderdag bij het NL IGF Event in de Koninklijke Schouwburg kwam het woord ‘Prism’ totaal niet ter sprake. Door het raam keek ik naar de wapperende vlag van de Amerikaanse ambassade.

De discussies vormden een voorbereiding op een internationaal overleg van regeringsdelegaties over internet aanstaand najaar in Bali. Een forse delegatie vanuit Den Haag vertrekt erheen. Men hoopt er invloed uit te oefenen. Op de website van het IGF forum staan nu niet minder dan 350 voorstellen. In de titels komen ‘geheime diensten’ en ‘Prism’ niet voor. Dergelijke conferenties hebben doorgaans een hoog ‘men deed nog een plas’ gehalte.

Dat wat betreft de concrete uitkomsten. Vruchtbaarder is overleg in de wandelgangen met informele afspraken tot gevolg. Internet is nu eenmaal gebouwd op decentrale technologie, nogal informeel tot stand gekomen standaarden en gefragmenteerd beheer. Bestrijding van cybercrime lijdt eronder/gedijt ermee. Het is veelal ad-hoc coöperatie.

Matte veiligheidsdiscussie

Zo ging de NLIGF-discussie over ‘cyberveiligheid en cyberopsporing’ ten onder aan repeterende plichtmatige uitingen over de noodzaak tot ‘meer samenwerking’ en het ‘doorbreken van silo’s’. Waarmee hetzelfde werd bedoeld.

Online misdaadbestrijding is kennelijk afhankelijk van grote willekeur van verschillende partijen met zeggenschap op onderdelen van internet. Niels Huijbregts van Xs4all haastte zich aan het eind nog te zeggen dat er ook nog zoiets bestaat als wetgeving.

Met dat samenwerken wil het niet zo. In Nederland zouden providers elkaar snel over botnetinfecties informeren via een Abuse Information Exchange. Huijbregts: “Providers zijn onderdeel van beursgenoteerde concerns met grote financiële belangen die op gespannen voet staan met de vereiste investeringen in, en inspanningen voor betere beveiliging.”

Dezelfde teneur stijgt op uit het ECP-verslag over cybercrime met Ivo Opstelten, Alexander Rinnooy Kan en Wim Deetman recent in Des Indes. “Cybercrime gezamenlijk bestrijden”, stond erboven zonder dat, net als donderdag, duidelijk werd wie er wanneer met welke partij bij welke soort misdaad moet samenwerken.

Terwijl internationaal de stukken eraf vliegen met discussie over terreurbestrijding en spionage. De Amerikaanse vlag aan de overkant van de Koninklijke Schouwburg bleef onbesproken wapperen. Of gingen die discussies daar juist wel over, zonder het hardop te zeggen?

Heerlijk debat

Ondertussen vecht de Nederlandse cybercrimebestrijding om criminelen bij te benen met pragmatisch optreden. Bijvoorbeeld het Nationaal Cyber Security Centrum (NCSC) dat aanstaande week in Thailand deelneemt aan een congres van First van de gezamenlijke Cert clubs voor beveiliging die concreet handelen.

Wel enerverend was het volgende NLIGF-debat, over ‘De hackende overheid’, geleid door Simone Halink. Ze is van Bits of Freedom, maar leidde neutraal.

Dit hielp Simon van de Geer (foto), chef Cybercrime van Veiligheid + Justitie om in alle openheid ’zijn’ wetsvoorstel te verdedigen.

Hij werd geholpen door de scherpe doch respectvolle vragen en bezwaren van Gert Wabeke en Jaap-Henk Hoepman. De laatste liet al weten de door Justitie gewenste bevoegdheden absurd vergaand te vinden. (Iedereen kan nog tot 1 juli reageren bij J+V).

Het debat ging diep in op zowel de principiële als pragmatische kant van het voorstel tot het verkrijgen van toegang tot computers (inbreken) bij verdenking van ‘ernstige delicten’ (vier jaar celstraf) of dreigende ‘ernstige inbreuk op de rechtsorde’. Een rechter-commissaris moet toestemming geven. Speurders mogen dan malware plaatsen (bijvoorbeeld keyloggers), gegevens wissen (kinderporno, botnetbeheer) en dwingen om encryptie te verwijderen (zonder marteling).

Praktische bezwaren behelzen vooral de plaatsing van malware en het ‘technisch afkaderen’ zoals Hoepman het noemde. Van de Geer: “In de meeste systemen zitten heel veel gaten. Natuurlijk zullen we heel prudent omgaan met de bevoegdheden en zien die ook als uiterste middelen om alleen in te zetten bij zware criminaliteit.”

Principieel is de vraag of de overheid criminele methoden toepast terwijl ze tegelijkertijd burgers beschermt tegen inbraak. Kun je overtuigend bewijs verzamelen als nooit zeker is wie er wat op computers plaatst? Maakt de politie straks schromelijk misbruik van de bevoegdheid, zoals gebeurd is met het grasduinen in het Ciot met telecomgegevens?

“Het wordt wel erg demonisch afgeschilderd allemaal”, vond Van de Geer, die echter ook uitte: “Ik moet toegeven dat de politie hierin geen goed track record heeft. Maar met de komst van één politiekorps in plaats van de 26 korpsen zal dat veel beter georganiseerd worden. We mogen geen enge, stiekeme dingen doen.”

AIVD mag veel

De rechterlijke macht wordt bijgeschoold om politieverzoeken voor gebruik van vergaande digitale bevoegdheden beter te kunnen beoordelen. De politie leert snel welke rechter ze voor welke toestemming op welk tijdstip het best om ‘een krabbeltje’ kunnen vragen.

Een zwaar punt van kritiek is het gebrek aan transparantie en rekenschap afleggen. Zijn vergaand methoden nu en straks ‘proportioneel’ en sorteren ze effect? Nog afgezien van het buitenland dat ook hier zal inbreken. Van de Geer: “China werkt ook mee aan internationale opsporing van kinderporno. Dat vinden we leuker dan dat ze De Telegraaf zouden hacken omdat een bericht niet bevalt.”

Over de grens computers hacken is nodig omdat zeker bij digitale criminaliteit nationaal speurwerk vrijwel zinloos is. België mag het wettelijk al, dus ook in Nederlandse computers inbreken. Daar hebben we Nederlandse parlementariërs en Bits of Freedom nog niet over gehoord.

Ook AIVD en MIVD mogen sinds 2002 al in onze computers snuffelen. De AIVD valt onder minister Ronald Plasterk van Binnenlandse Zaken en de MIVD onder  minister Jeanine Hennis-Plasschaert van Defensie. Onder de mythes over de AIVD schrijft de dienst: “Het is niet waar dat de AIVD toegang tot de gegevensbestanden van alle instellingen en organisaties heeft.

Als de AIVD voor een onderzoek toegang wil tot bepaalde data, moet de dienst hiervoor toestemming vragen aan de beheerder van die gegevens. Die beheerder is niet verplicht mee te werken. Die verplichte medewerking geldt wel voor politie, justitie en douane, maar ook voor telecomaanbieders: zij moeten gegevens overdragen als de AIVD vindt dat dat nodig is.”

Hoe vaak dat gebeurt is onbekend. Over tappen: “De AIVD plaatst niet zonder reden afluisterapparatuur of een telefoontap. Hiervoor moet de nationale veiligheid in het geding zijn. Bovendien moet de minister van Binnenlandse Zaken er toestemming voor geven.”

Prism-betekenis onduidelijk

De AIVD publiceert op de website een boeiend stukje over privacy. En toen kwam Prism. Edward Snowden vertelde The Guardian dat de National Security Agency (NSA) de inhoud van vrijwel alle verkeer van Facebook, Apple, Google, Microsoft, AOL, PalTalk, Dropbox en Yahoo kan inzien.

Deze bedrijven ontkenden ervan te weten en mee te werken. Echter, New York Times berichtte over geheime rechtszaken inzake vorderingen voor data. Dat ging om de FISA, de wet op buitenlandse inlichtingen waarvoor een geheime rechtbank is gecreëerd.

De New York Times stelt nu vast: “So Yahoo became part of the National Security Agency’s secret Internet surveillance program, Prism, according to leaked N.S.A. documents, as did seven other Internet companies.”

Is dat juist? De Fisa behelst het verkrijgen van informatie over buitenlandse bedreigingen, ook geheim agenten. Dit is zeer specifiek. Met Prism is juist de indruk gewekt dat ongeveer de hele wereld onder het vergrootglas van de Verenigde Staten ligt.

Overigens is de toegang tot grote online datastromen niet zo opzienbarend, want Prism fungeert al sinds 2009 zonder dat we er last van ondervinden. Prism kende een voorloper onder de naam Echelon. Een journalist van diezelfde Guardian, Duncan Campbell, deed er 15 jaar uitstekend onderzoek naar, ook voor het Europees Parlement. Met eveneens huiveringwekkende conclusies, Zie hier een destijds gepubliceerd artikel over Echelon.

Wel nieuw is uiteraard enorm toegenomen effectiviteit van speurwerk in de databergen. De datamining onder de naam Boundless Informant vormt een gevaarlijker onthulling voor de NSA: hoe haal je de speld uit de hooiberg? Die methoden moeten zeker geheim blijven.

Telegraaf en Wired

Bij het noodzakelijke bekorten van m’n opiniebijdrage door NRC vrijdag verviel het volgende belangrijke deel: “…Diezelfde AIVD die via programma’s als Sigint en Echelon al lang internationaal samenwerkt. Toch bracht De Telegraaf er in chocoladeletters nu een ‘onthulling’ over. En geheel volgens de mores van de hype kwetterden veel media dit na.

Overheden hanteren dus twee datastromen, die binnen wettelijke kaders en die van geheime diensten. Als Opstelten’s diender geen bevoegdheid heeft, kan hij Plasterk’s AIVD even bellen. Voor de rechtszaak telt dat niet, maar gedurende opsporing is het reuze handig. Ook cynisme, ja.”

In de hele wereld verwarren media die beide stromen en daarin valt ze niet zoveel te verwijten, want scheiden overheden ze wel? En zo ja, hoe schizofreen zijn ze dan? Een leidraad vormen de sublieme verhalen in Wired van James Bamford over de betekenis van Prism en het geheime cyberleger in Utah, waarover hij in maart 2012 al berichtte.

‘Geestig’ is bijvoorbeeld dat de VS met de eerste onthulling over spionage via Verizon zich eerste enorm opwonden over het lekken van data wie er met wie hoe lang had gebeld. Precies, wat Europa en Nederland voorop zo eenvoudig invoerden als bewaarplicht telecomdata’!

Terug even naar het Ciot met die data en het snuffelen door nieuwsgierige politiemensen om privéredenen: de grote vraag is die naar de omgang met data, de periode van bewaren, profilering etc.

En hoe zijn de persoonlijke banden? In m’n boeken over Facebook staat, en dat was geen geheim, dat zijn beide veiligheidschefs voorheen gediend hebben voor de Amerikaanse regering in Washington op belangrijke posten. Lijntjes zijn dan kort. Daar past deze Onion-satire prachtig bij. Die steeds minder satirisch wordt.

Sleepnetten hanteren

Boeiend dit weekeinde zijn twee stukken over de Nederlandse kant in NRC Handelsblad, helaas los van elkaar. Tom-Jan Meeus noemt – na een tip van ex-kamerlid Arjan Al Fassed (GroenLinks) - ook Sigint en een rapport uit 2011 van de CTIVD, de toezichthouder op inlichtingendiensten over de MIVD en Sigint. Nederland ontvangt data van bondgenoten zoals de VS.

Daar is zo veel aan toe te voegen uit rapporten van de CTIVD. Zoals uit rapport 22A uit 2009: “Samenwerking met buitenlandse diensten vindt plaats volgens het quid pro quo of wederkerigheidsbeginsel. Het uitgangspunt is kort gezegd: ‘voor wat, hoort wat’, en vormt een stelregel in de inlichtingen- en veiligheidswereld.”

En deze dan: “Hierbij heeft de AIVD onder meer geconstateerd dat er dienstbreed onvoldoende consistentie bestaat in de samenwerking met verscheidene buitenlandse inlichtingen- en veiligheidsdiensten.” Daar staat dat iedere digitale gleufhoed doet wat hij goed acht. Alles zou moeten lopen via de afdeling Buitenlandse Relaties van de AIVD, maar die werd niet altijd ingelicht.

Zo kan ik pagina’s doorgaan met proza die op zich wenkbrauwen doet fronsen maar de AIVD’ers zelf bij tijd en wijle doet gruwelen dan wel proesten over zoveel pogingen tot braafheid. Krijgen we ooit zicht op deze schimmige wereld? Is dat dan wenselijk?

Uit alles blijkt dat toezicht en rapportage een evenwichtskunst vormen tussen politieke verantwoording afleggen en misdaad en terrorisme voorkomen. De toezichthouder kondigde eind maart 2013 nog een vervolgonderzoek aan naar de rechtmatigheid van de samenwerking van de AIVD

Volgens Meeus en de CTIVD gebruikt de MIVD de datastromen (zoals van Prism) met wat we ‘sleepnetten’ noemen. “Want terwijl Amerikanen daaruit pas details mogen gebruiken nadat tegen een individu een verdenking rijst, bleken de Nederlanders in Big Data te „searchen” om zo „potentiële targets” te identificeren. Precies dus wat het Congres niet toestaat. En ook in Nederland is deze werkwijze volgens het rapport „niet toelaatbaar”.

Is het werkelijk zo dat Amerikanen de data pas gebruiken bij concrete verdenkingen? Dat is de kernvraag in deze. Ik zou haar niet een-twee-drie met ‘ja’ beantwoorden. En is het werkelijk beperkt tot een individu? Of komen jongemannen van een bepaalde religie en bepaald communicatiegedrag eerst als geselecteerde groep in beeld?

Europese verdragen en de VS

NRC-collega Folkert Jensma schrijft in dezelfde krant juist: “De NSA analyseert alles wat in tekst, beeld en geluid met het buitenland wordt gewisseld, via een achterdeurtje dat toepasselijk ‘Prism’ heet.”

Wat is precies ‘alles analyseren’? Is dat ‘pas details mogen gebruiken nadat tegen een individu een verdenking rijst’, zoals collega Meeus beweert? Jensma ook: “De samenwerking binnen Prism produceert echter verdenkingen alleen op basis van door niemand te controleren algoritmen „en die kunnen lelijk voor je uitpakken”. (laatste citaatdeel van Victor Toom). Hier beweren de twee redacteuren evident het tegengestelde.

Jensma schrijft vervolgens boeiend over een Kamervoorstel om het PCSC-verdrag (Prevention and Combating of Serious Crime) te accepteren, een kopie van het Verdrag van Prüm ofwel Schengen Plus: vingerafdrukken, DNA en online en offline verkeersdata uitwisselen, gericht tegen terrorisme, criminaliteit en – in één adem - illegale immigratie.

Doet Nederland niet mee met dit verdrag dan moeten we voortaan met een visum de Verenigde Staten binnen. Maakt het PCSC-verdrag nog wat uit als de VS al data overnemen van vliegpassagiers en financieel verkeer (Swift).

(Genoemde Toom publiceerde over Prüm, een mooie beschouwing over de vóór- en nadelen van technologie en opsporing.  In dit geval betreft het biotechnologie (DNA) maar hetzelfde is van toepassing op Big Data.)

Het gekke is natuurlijk dat Prism al sinds 2009 intensief draait zonder dat we er kennelijk hinder van ondervinden. Dat de AIVD al elf jaar in je pc mag komen en internationaal veel uitwisselt terwijl we daar rustig bij slapen. Dus is niet ineens in juni 2013 de privacy naar de gallemiezen.

Dat is de ratio, het gaat zelfs goed en het helpt ons tegen boeven. Zo denkt de meerderheid van de Amerikanen over Prism, dat overigens ook legaal is in de opzet. Van de uitvoering weten we net zo weinig als van de AIVD, en ongetwijfeld waren individuen het haasje …

Het gevoel zegt: stop, dit kan niet goed gaan. Een tekst die me al decennia bijgebleven is, van de Rolling Stones uit 1974 in Fingerprint File al: “these days it's all secrecy; no privacy…some little jerk in the FBI, keeping papers on me six feet high, it gets me down…”

Maar wat dan nog? Voortaan – ook uit protest – collectief die visumplicht voor de VS aanvaarden? Google, Facebook en Apple niet meer gebruiken? En wat roepen we dan bij een volgende niet voorkomen aanslag? Moeluk, moeluk…