[Dutch] Wil NCTV regulier internetverkeer van niet-verdachten monitoren?

UPDATE 2012-06-03: zie ook deze eerdere post van Bits of Freedom en dit van NRC Handelsblad (dank aan Arjan el Fassed voor die links)

In recente jaren is gewerkt aan bescherming van vitale infrastructuur en vitale ICT. De definitie van "vitale infrastructuur" luidt volgens Kamerstuk 26643 nr. 75 (2005):

"(...) producten, diensten en de onderliggende processen die, als zij uitvallen, maatschappelijke ontwrichting kunnen veroorzaken. Dat kan zijn omdat er sprake is van veel slachtoffers en grote economische schade, dan wel wanneer het herstel zeer lang gaat duren en er geen reële alternatieven voorhanden zijn, terwijl we deze producten en diensten niet kunnen missen."

Vrijwel dezelfde definitie is gehanteerd in de 2de inhoudelijke analyse bescherming vitale infrastructuur (.pdf, 2010):

"(...) producten, diensten en processen die, als zij uitvallen, maatschappelijke of economische ontwrichting van (inter-)nationale omvang kunnen veroorzaken, doordat er veel slachtoffers kunnen vallen en/of omdat het herstel zeer lang gaat duren en er geen reële alternatieven voorhanden zijn, terwijl we deze producten en diensten niet kunnen missen."

De volgende tabel uit NCTB-factsheet EBB en NAVI (.pdf, 2009) geeft een overzicht van vitale sectoren en vitale producten/diensten:

Tot zover over "vitale" infrastructuur.

In dit NCTV-persbericht van 1 juni 2012 worden "nieuwe ambities" aangekondigd op het gebied van nationale veiligheid. Er staat:

"(...) Ook de tijdige detectie van aanvallen op informatiesystemen en van mogelijk ontvreemding van gevoelige gegevens is van groot belang om adequaat en slagvaardig te kunnen handelen. Het monitoren van informatiesystemen is daarvoor een hulpmiddel, waarbij rekening wordt gehouden met grondrechten zoals de bescherming van de privacy. De rijksoverheid gaat dit jaar uitwerken op welke manier dergelijke monitoring van de nationale ICT infrastructuur, te beginnen bij de rijksoverheid, het beste kan plaatsvinden. De rijksoverheid wil in gesprek gaan met private partijen en de wetenschap om tot afspraken te komen over de uitwisseling van monitoringsinformatie die deze organisaties zelf verzamelen. (...)"

Hier wordt niet langer gesproken over "[monitoring van de] vitale [ICT-]infrastructuur" maar over "[monitoring van de] nationale ICT-infrastructuur". Voor laatstgenoemde wordt "begonnen" bij de rijksoverheid. Mede door de opmerking over privacy dringt zich de vraag op: waar "eindigt" dat uitwerken van de manier op welke "dergelijke" monitoring het beste kan plaatsvinden? Houdt de NCTV de mogelijkheid open internetverkeer van niet-verdachte burgers dat geen rechtstreekse betrekking heeft op vitale infrastructuur mee te nemen in de monitoring? Worden ISPs in de toekomst wellicht verplicht van overheidswege goedgekeurde intrusion detection sensoren te plaatsen op dat verkeer? Welke verkeersgegevens worden bij de monitoring gebruikt? Wordt de inhoud van het verkeer geanalyseerd, zoals bij DPI?

Measuring and Predicting Anonymity (PhD thesis)

I finished my PhD thesis entitled Measuring and Predicting Anonymity (.pdf, 2.8MB) and will publicly defend it in Amsterdam on June 27th 2012. The thesis is about data anonymity and contributes novel probabilistic methods for the analysis of anonymity.

Abstract:

In our increasingly computer-networked world, more and more personal data is collected, linked and shared. This raises questions about privacy --- i.e. about the feeling and reality of enjoying a private life in terms of being able to exercise control over the disclosure of information about oneself. In attempt to provide privacy, databases containing personal data are sometimes de-identified, meaning that obvious identifiers such as Social Security Numbers, names, addresses and phone numbers are removed. In microdata, where each record maps to a single individual, de-identification might however leave columns that, combined, can be used to re-identify the de-identified data. Such combinations of columns are commonly referred to as Quasi-IDentifiers (QIDs).

Sweeney's model of k-anonymity addresses this problem by requiring that each QID value, i.e., a combination of values of multiple columns, present in a data set must occur at least k times in that data set, asserting that each record in that set maps to at least k individuals, hence making records and individuals unlinkable. Many extensions have been proposed to k-anonymity, but always address the situation in which data has already been collected and must be de-identified afterwards. The question remains: can we predict what information will turn out to be identifiable, so that we may decide what (not) to collect beforehand?

To build a case we first inquired into the (re-)identifiability of hospital intake data and welfare fraud data about Dutch citizens, using large amounts of data collected from municipal registry offices. We show the large differences in (empirical) privacy, depending on where a person lives. Next, we develop a range of novel techniques to predict aspects of anonymity, building on probabilistic theory, and specifically birthday-problem theory and large-deviations theory.

Anonymity can be quantified as the probability that each member of a group can be uniquely identified using a QID. Estimating this uniqueness probability is straightforward when all possible values of a quasi-identifier are equally likely, i.e., when the underlying variable distribution is homogenous. We present an approach to estimate anonymity for the more realistic case where the variables composing a QID follow a non-uniform distribution. We present an efficient and accurate approximation of the uniqueness probability using the group size and a measure of heterogeneity called the Kullback-Leibler distance. The approach is thoroughly validated by comparing the approximation with results from a simulation using the real demographic information we collected in the Netherlands.

We further describe novel techniques for characterizing the number of singletons, i.e., the number of persons have 1-anonymity and are unambiguously (re-)identifiable, in the setting of the generalized birthday problem. That is, the birthday problem in which the birthdays are non-uniformly distributed over the year. Approximations for the mean and variance are presented that explicitly indicate the impact of the heterogeneity, expressed in terms of the Kullback-Leibler distance with respect to the homogeneous distribution. An iterative scheme is presented for determining the distribution of the number of singletons. Here, our formulas are experimentally validated using demographic data that is publicly available (allowing our results to be replicated/reproduced by others).

Next, we study in detail three specific issues in singletons analysis. First, we assess the effect on identifiability of non-uniformity of the possible outcomes. Suppose one has the ages of the members of the group; what is the effect on the identifiability that some ages occur more frequently than others? Again, it turns out that the non-uniformity can be captured well by a single number, the Kullback-Leibler distance, and that the formulas we propose for approximation produce accurate results. Second, we analyze the effect of the granularity chosen in a series of experiments. Clearly, revealing age in months rather than years will result in a higher identifiability. We present a technique to quantify this effect, explicitly in terms of interval. Third, we study the effect of correlation between the quantities revealed by the individuals; the leading example is height and weight, which are positively correlated. For the approximation of the identifiability level we present an explicit formula, that incorporates the correlation coefficient. We experimentally validate our formulae using publicly available data and, in one case, using the non-public data we collected in the early phase of our study.

Lastly, we give preliminary ideas for applying our techniques in real life. We hope these are suitable and useful input to the privacy debate; practical application will depend on competence and willingness of data holders and policy makers to correctly identify quasi-identifiers. In the end, it remains a matter of policy what value of k can be considered sufficiently strong anonymity for particular personal information.

EOF

Notes on Electromagnetic Pulse (EMP) in US, UK, NL

I decided to gather some information on Electromagnetic Pulse (EMP) threats. These are my notes. Feel free to comment.

In 1990, the Engineering and Design - Electromagnetic Pulse (EMP) and Tempest Protection for Facilities  document was published. It focuses on USG facilities.

Between 2001 and 2010 (and still?), the U.S. had an EMP Commission (excellent resource).

In 2006, the Washington State Department of Health published a factsheet about EMP.

In 2008, the Congressional Research Service published a report on High Altitude Electromagnetic Pulse (HEMP) and High Power Microwave (HPM) Devices: Threat Assessment" (.pdf) (recommended read).

In 2009, there was a discussion on a forum for pilots about a New Scientist article that argued that a commercial aircraft could be brought down by DIY EMP bombs. Also in 2009, the U.S. Patent Application for an Electromagnetic pulse (EMP) hardened information infrastructure was filed.

In 2010, Business Insider had an article "Gauging The Threat Of An Electro-Magnetic Pulse Attack In The US".

In 2011, some items appeared about Newt Gingrich's interest in EMP: this blogpost by Dick Destiny (some profanity there) and this post on decodedscience.com.

In February 2012, the U.K. Defence Committee published the report Developing Threats: Electro-Magnetic Pulses (EMP). It refers to statements made by the U.S. EMP Commission.

In April 2012, the U.K. report, or rather this Telegraph news article about it, led to Parliamentary questions (.pdf) in the Netherlands. In response to those questions, Dutch Secretary of Defense Hans Hillen stated that he sees the EMP threat as "low" for the Netherlands. Here is my (unofficial) translation of the actual questions & answers:

1. Are you aware of the article "Britain at risk from ‘GoldenEye’ electromagnetic pulse attack from space, MPs warn"?
   
   Yes.
   
    
2. Do you still support your relativistic perspective on the threat of EMP that you expressing during the debate on the policy letter "Defence after the credit crisis: a smaller force in a troubled world" on June 6th 2011, in which you suggested that EMP is a remnant of the Cold War, that the EMP instrument is not practically applicable and that the threat can be considered to be low for the Netherlands?
   
   Yes, I consider this threat to be low. Also see the answers to questions 4 and 5.
   
    
3. If so, how do you interpret the warning from the British Defence commission, which contradicts your vision, about the big risks for British national security? Are you aware that also the U.S. EMP commission and several leading U.S. politicians have warned of the great dangers of an EMP attack earlier?
   
   I have taken note of the report of the British Defence commission and the references therein to rulings of the U.S. EMP commission and U.S. politicians. The information that is available to me gives me no reason to change my position. Also see the answers to questions 4 and 5.
   
    
4. How do you assess the specific comments of the President of the British Defence committee, James Arbuthnot, about the probability of an EMP attack considering that it is a convenient way to use a small number of nuclear weapons to create a large devastating effect?
   
   An electromagnetic pulse caused by a nuclear explosion can disrupt or destroy unprotected electronic systems by burning out electronic circuits. To create a nuclear EMP attack that has the greatest possible effect, an explosion of a nuclear weapon at several hundred kilometers height is necessary. This requires a launch vehicle that is only at the disposal of States. The Dutch intelligence services assess the likelihood of a nuclear EMP attack as low.
   
    
5. Do you, like the British parliamentarians, see major risks in the possibility for terrorists to build a primitive non-nuclear EMP weapon that is devastating on a smaller scale? If not, why?
   
   It is possible to build small, improvised non-nuclear EMP-weapons using commercially available componnents. The area in which such a weapon can cause damage, however, is small. The impact of a terrorist attack using an improvised EMP-weapon is, therefore, comparable to that of an attack using a conventional explosive. The main objective of such terrorist attacks is to frighten the population, more than causing damage itself. Prevention is the appropriate protection against such attacks.
   
    
6. What do you think of the criticism of the British Defence Committee that the British Ministry of Defence is unwilling to take these threats seriously? Do you see a similar situation in the Netherlands? If not, why?
7. What do you think of the advice of the British Defence committee that the U.K. ough to immediately protect its critical infrastructure against EMP attacks?
   
   I abstain from commenting on the specific British situation. The Dutch intelligence services monitor the proliferation of nuclear weapons. In addition, the terrorist threat is monitored by the National Coordinator for Counterterrorism (NCTV). The Parliament is a informed quarterly about developments about this in the Terrorist Threat Assessment Netherlands.
   
    
8. Can you support with financial data your earlier claims that protection of critical infrastructure against EMP carries "enormous costs" with it? If not, why?
   
   Given the amount of electronic systems, their applications and the scope of potential measures, the costs of protection will be very high. Considering the answers to the previous questions, I foresee that establishing a detailed estimate will require a disproportionate effort.
   
    
9. Are you willing to promote that an interdepartmental working group is formed to make inventory of the dangers of EMP for the Netherlands and advise about the possibilities to protect the Dutch critical infrastructure against the consequences of EMP? If not, why?
   
   I don't see the need for this.
   
    

Other informative resources:

• Susceptibility of some electronic equipment to HPEM threats ($), August 2004, D. Nitsch et al. (US Armed Forces)
• Electromagnetic Pulse Threats in 2010, November 2005, Colin R. Miller (USAF)
• U.S. Rep. Roscoe Bartlett (R-Maryland) page on Electromagnetic Pulse, May 2006
• EMP: A National-Scale Threat to the U.S. Infrastructure, April 2007, George H. Baker, The Critical Infrastructure Protection Report
• Slides on Electromagnetic Pulse (EMP) (.pdf), April 2009, Joe St Sauver
• The EMP threat: fact, fiction, and response (part 1), January 2010, Yousaf M. Butt, The Space Review
• The EMP threat: fact, fiction, and response (part 2), February 2010, Yousaf M. Butt, The Space Review
• Improvised EMP Devices [Part 1]: Possibilities and Realities, October 2011, Vera Knutsdottir, Defense Media Network
• Improvised EMP Devices [Part 2]: Enabling Technologies and Skills, October 2011, Vera Knutsdottir, Defense Media Network
• Improvised EMP Devices [Part 3]: Operational Concepts and Targets, November 2011, Vera Knutsdottir, Defense Media Network
• Improvised EMP Devices [Part 4]: Weapons Effects and Countermeasures, November 2011, Vera Knutsdottir, Defense Media Network
• Risk-Based Critical Infrastructure Priorities for EMP and Solar Storms, 2011, George H. Baker, Security Analysis and Risk Management Association Newsletter 

EOF

Facebook "Like" Button = Privacy Violation + Security Risk

If you walk into a store, would you appreciate it if the store owner phoned a random stranger to tell him/her that you are at their store? Probably not. Because it's weird. Because it serves no purpose to you. Because you feel it could, in fact, be harmful to you. Or simply because you feel it is none of their frickin' business. To put it more eloquently, it intuitively constitutes a violation of contextual integrity.

Yet, that is exactly what happens when you visit many websites.

To me, Facebook is equivalent to a random stranger. And every time I visit a website that has a Facebook `Like'-button, that website makes my browser disclose that visit to Facebook, despite the fact that I do not have a Facebook profile. When I visit Dutch online bookstore Bol.com, their website makes my browser send the following HTTP request to www.facebook.com:

GET /plugins/likebox.php?href=http%3A%2F%2Fwww.facebook.com%2Fbolpuntcom&width=292&height=260&colorscheme=light&show_faces=true&border_color=%23EEEEEE&stream=false&header=true HTTP/1.1
Host: www.facebook.com User-Agent: Mozilla/5.0 (X11; OpenBSD i386; rv:5.0) Gecko/20100101 Firefox/5.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://www.bol.com/nl/index.html

The Referer-header discloses to Facebook that I'm visiting Bol.com. Chances are that if Facebook would want to, they could easily identify me by matching my IP address + HTTP headers to data collected by themselves or (other) private intelligence agencies (.pdf) during my prior (non-anonymous) online purchases and my (non-anonymous) social media activity.

When I visit Dutch take-away food ordering webshop ThuisBezorgd.nl, my browser fetches a page from Facebook, Twitter, Google and Hyves (Hyves is a Dutch/Belgian social network):

So, effectively, ThuisBezorgd.nl makes my browser tell four random strangers my identity and that I'm interested in take-away dinners.

In case of ThuisBezorgd.nl there is another subtlety. Whenever I visit the website, I have to fill in my postal code:

When clicking the `Search'-button, my browser opens http://www.thuisbezorgd.nl/en/order-food-amsterdam-1098 :

...that URL contains the four numbers of my postal code at the end. Indeed, that page too makes my browser fetch content from Google's systems. Now, thanks to the Referer-header, the postal code I provided is disclosed to Google as well. Specifically, it is disclosed to www.googleadservices.com, www.google-analytics.com and googleads.g.doubleclick.net:

GET /pagead/conversion/1071768439/?random=1337601791571&cv=7&fst=1337601791571&num=1&fmt=3&label=HMtdCNrcuAEQ98aH_wM&bg=666666&hl=en&guid=ON&u_h=1080&u_w=1920&u_ah=1080&u_aw=1920&u_cd=24&u_his=6&u_tz=120&u_java=true&u_nplug=8&u_nmime=81&ref=http%3A//www.thuisbezorgd.nl/en/&url=http%3A//www.thuisbezorgd.nl/en/order-food-amsterdam-1098&frm=0 HTTP/1.1
Host: www.googleadservices.com
User-Agent: Mozilla/5.0 (X11; OpenBSD i386; rv:5.0) Gecko/20100101 Firefox/5.0
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://www.thuisbezorgd.nl/en/order-food-amsterdam-1098



GET /__utm.gif?utmwv=5.3.1&utms=4&utmn=1587224412&utmhn=www.thuisbezorgd.nl&utmcs=UTF-8&utmsr=1920x1080&utmvp=1024x605&utmsc=24-bit&utmul=en-us&utmje=1&utmfl=11.2%20r202&utmdt=Order%20food%20online%20in%20Amsterdam%201098%20-%20Thuisbezorgd.nl&utmhid=1647671063&utmr=0&utmp=%2Fen%2Forder-food-amsterdam-1098&utmac=UA-2290863-1&utmcc=__utma%3D251997388.1444340185.1337593125.1337599450.1337601573.4%3B%2B__utmz%3D251997388.1337593125.1.1.utmcsr%3D(direct)%7Cutmccn%3D(direct)%7Cutmcmd%3D(none)%3B&utmu=q~ HTTP/1.1
Host: www.google-analytics.com
User-Agent: Mozilla/5.0 (X11; OpenBSD i386; rv:5.0) Gecko/20100101 Firefox/5.0
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://www.thuisbezorgd.nl/en/order-food-amsterdam-1098


GET /pagead/viewthroughconversion/1071768439/?random=1337601791571&cv=7&fst=1337601791571&num=1&fmt=3&label=HMtdCNrcuAEQ98aH_wM&bg=666666&hl=en&guid=ON&u_h=1080&u_w=1920&u_ah=1080&u_aw=1920&u_cd=24&u_his=6&u_tz=120&u_java=true&u_nplug=8&u_nmime=81&ref=http%3A//www.thuisbezorgd.nl/en/&url=http%3A//www.thuisbezorgd.nl/en/order-food-amsterdam-1098&frm=0&ctc_id=CAIVAgAAAB0CAAAA&ct_cookie_present=false HTTP/1.1
Host: googleads.g.doubleclick.net
User-Agent: Mozilla/5.0 (X11; OpenBSD i386; rv:5.0) Gecko/20100101 Firefox/5.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://www.thuisbezorgd.nl/en/order-food-amsterdam-1098
Cookie: id=ccfc97b450000c1||t=1337591014|et=730|cs=002213fd4815288209299939c3

(Yes, GeoIP services may already reveal the geographical location of an IP address with more precision and accuracy, but that is besides the point.)

Information disclosure via these types of web bugs is old and well-known. In fact, EFF's The Web Bug FAQ dates back to 1999. But the problem is becoming more relevant now that those third parties are used by 100M+ people and more and more personal data is collected and sold in the market.

Besides a violation of your visitors' privacy, loading external content may also pose a security risk to your visitors: every system that your website requires your visitors' browser to load content from can get compromised and serve malware. That also holds for Google, Facebook and Twitter. The more systems you make your visitors' browser load content from, the more risk you expose your visitors to.

`Browser-Reflected Information Disclosure" might be an appropriate label for these types of privacy violations. (If you have a better suggestion, please comment.)

The solution is very simple: instead of including a `Like'-button e.g. via an IFRAME that loads likebox.php from Facebook's systems, put up a hyperlink to the Facebook page you want your visitors to `Like'. Instead of including a `+1'-button, put up a hyperlink to your Google Plus page. Instead of including a Paypal `Donate'-button from Paypal's systems, make a local copy of that button image and link to that image in your <img>-tags.

Dutch MoD Innovation Competition 2012: "CYBER Operations 2.0"

The Dutch Ministry of Defense (MoD) annually issues a "Defense Innovation Competition", a competition that is intended to get input from and foster relations with Dutch industry and SME. This year's theme is "CYBER Operations 2.0". The project document (.pdf, in Dutch) describes it as follows:

For operations and command, the Dutch MoD relies on radio and satellite connections and the internet. But developments such as WiFi, smartphones and tablets will eventually make their appearance in the armed forces. The difference between military radio networks and the internet is therefore becoming more diffuse. And cyber is therewith definitively added to the domain of Defense.

Guided by the Dutch National Cyber Security Strategy, the government, industry and knowledge institutions join forces. Externally, the MoD closely cooperates with these other players in the cyber security chain. But internally, the MoD must guarantee the integrity of its own information provisioning, networks and IT infrastructure. Therefore, the MoD is actively pursuing enhanced digital defensibility and the development of cyber as an operation capability. Regarding cyber, the MoD is expeditious and innovative; under the motto "Cyber, more than Defense!", the MoD must be able to operate in the same way it does in other dimensions (land, sea, air, space), in other words, the MoD must also defend, delay, maneuver, attack and gather intelligence in the cyber dimension. Cyber Security thus entails more than Cyber Defence: for the MoD, it means: Cyber Operations. To this end, the MoD founded the Taskforce Cyber in January 2012.

In order to guarantee its future military capability (power) in the cyber domain, the MoD is in need of new technologies and innovations. With the Defense Innovation Competition 2012, the MoD is challenging the SME and Dutch industry. Use your innovation, your creativity and technological ingenuity to make a tangible contribution to the future of cyber operations.

The proposals are judged by seven criteria:

1. Applicability/implementability
2. Innovation
3. Feasibility
4. Quality (in terms of language, argumentation)
5. Competence, reputation of submitting entity
6. Risk analysis of follow-up phase 

The MoD has reserved EUR 200k to make the winning idea become reality. The deadline for submitting proposals is August 22nd 2012. Participation is restricted to Dutch industry and SME.

Dutch govt response to AIV/CAVV Advice On Digital Warfare

On April 6th 2012, the Dutch government responded (.pdf, in Dutch) to the Dutch Council on Int'l Affairs' Advice On Digital Warfare. Unfortunately, that response is currently only available in Dutch. I decided to translate it to English myself: see below. Hyperlinks are mine.

WARNING: this is an unauthorized translation.

Dutch Government response to the Dutch AIV / CAVV advice on Digital Warfare
Original Dutch: "Kabinetsreactie op het AIV/CAVV-advies Digitale Oorlogvoering"

On January 17th a joint committee of the Dutch Advisory Council on International Affairs (AIV) and the Dutch Advisory Committee on Issues of Public International Law presented the advice 'Digital warfare'. The government acknowledges the committee for the sound advice. It is a valuable contribution to the debate on digital security and helps the government to clarify and strengthen the policy on this terrain. The advice is an addition to the Dutch National Cyber Security Strategy, that focused on protection of national security and the fight against cybercrime (Kamerstuk 26643, nr. 174). Also, it is an addition to the legal framework for cybersecurity that was sent to the Parliament on December 23rd (Kamerstuk 26643, nr. 220).
Original Dutch: "Op 17 januari heeft een gezamenlijke commissie van de Adviesraad voor Internationale Vraagstukken (AIV) en de Commissie van Advies inzake Volkenrechtelijke Vraagstukken (CAVV) het advies ‘Digitale oorlogvoering’ gepresenteerd. Het kabinet is de commissie erkentelijk voor het gedegen advies. Het levert een waardevolle bijdrage aan de discussie over digitale veiligheid en helpt het kabinet het beleid op dit terrein te verhelderen en te versterken. Het advies vormt een aanvulling op de Nationale Cyber Security Strategie, waarin de bescherming van de nationale veiligheid en de bestrijding van cybercrime centraal staan (Kamerstuk 26643, nr. 174). Het vormt tevens een aanvulling op het juridisch kader cyber security zoals dat op 23 december aan de Tweede Kamer is gezonden (Kamerstuk 26643, nr. 220)."

1. Summary
Original Dutch: "1. Samenvatting"

The main points of the cabinet response are as follows:

• The digital threat requires an integrated approach. The advice is an addition to the national approach. The current crisis management structure will be held against this light; 

• The digital domain is a new operational domain for the armed forces. The Ministry of Defense is investing to significantly strengthen existing capabilities and develop new ones (including offensive); 

• The right to self-defense also applies to cyberattacks; 

• The Dutch administration does not see necessity of a new global cybertreaty. However, it will pursue practical implementation of the application of international law in the digital domain; 

• The NATO cyberpolicy is defensive, but eventually a debate is needed about the use of offensive capabilities. Article 5 also applies to cyberattacks;

• An integrated EU-approach is necessary.

Original Dutch: "De hoofdpunten van de kabinetsreactie zijn als volgt:
-  De digitale dreiging vereist een integrale aanpak. Het advies betreft een aanvulling op de nationale aanpak. De huidige crisisbeheersingsstructuur zal hiertoe tegen het licht worden gehouden;
-  Het digitale domein is een nieuw operationeel domein voor de krijgsmacht. Defensie investeert om bestaande capaciteiten aanzienlijk te versterken en nieuwe (waaronder offensieve) te ontwikkelen;
-  Het recht op zelfverdediging is ook van toepassing op cyberaanvallen.
-  Het kabinet ziet geen noodzaak tot een nieuw wereldwijd cyberverdrag. Wel zal het kabinet inzetten
op praktische uitwerking van de toepassing van internationaalrechtelijke bepalingen in het digitale
domein;
-  Het NAVO cyberbeleid is defensief, maar op termijn is een discussie over het gebruik van offensieve
capaciteiten nodig. Artikel 5 is ook van toepassing op cyberaanvallen.
-  Een integrale EU-aanpak is noodzakelijk. "

2. The digital threat
Original Dutch: "2. De digitale dreiging"

The increasing threat against national stakes in the digital domain and the rise of the number of (complex) digital attacks worries the government. Espionage, sabotage, crime and terrorism using digital means are a direct threat to national security. This was established in, among others, the first Cyber Security Assessment Netherlands (CSBN) that was published in December 2011 (Kamerstuk 26 643, nr. 220). Without playing down the severity of the threat, the government endorses the committee's observation that further research on the digital threat is necessary. The CSBN is an important instrument for this, developed under coordination of the Dutch National Cyber Security Centre. The CSBN will be developed further in the coming years, with emphasis on quantitative and qualitative improvement of this instrument.
Original Dutch: "De toenemende dreiging tegen nationale belangen in het digitale domein en de stijging van het aantal (complexe) digitale aanvallen baren het kabinet zorgen. Spionage, sabotage, misdaad en terrorisme langs digitale weg vormen een directe bedreiging voor de nationale veiligheid. Dit werd onder meer geconstateerd in het eerste Cyber Security Beeld Nederland (CSBN) van december 2011 (Kamerstuk 26 643, nr. 220). Zonder af te doen aan de ernst van de dreiging, onderschrijft het kabinet de constatering van de commissie dat nader onderzoek naar de digitale dreiging wenselijk is. Het CSBN is hiervoor een belangrijk instrument, dat onder coördinatie van het Nationaal Cyber Security Centrum wordt opgesteld. Het CSBN zal de komende jaren verder worden ontwikkeld, waarbij nadrukkelijk wordt ingezet op een kwantitatieve en kwalitatieve verbetering van dit instrument." 

For the Netherlands, with its open and internationally oriented economy and a strong services sector, a safe and proper functioning digital infrastructure is essential. The integrated approach documented in the National Cyber Security Strategy remains the starting point for government policy. On that ground the National Cyber Security Centre was established, where public and private parties collaborate. A joint public-private and civil-military approach is necessary because the nature of a digital attack will not always be clear, nor how extensive and sophisticated it is, nor what the end goal of the attack is (criminal, ideological, military or political). This makes it difficult to determine the (legal) ground and means of response. In organizing a joint approach, it is of importance that roles, tasks and responsibilities are clear. Here, at initiative of the National Coordinator Counterterrorism (NCTV), it will be considered whether the current crisis management structure suffices for quickly and effectively making a large-scale digital disturbance manageable. As the committee rightly states, it is of importance to also invest in a coherent cyberdiplomacy.
Original Dutch: "Voor Nederland, met een open en internationaal georiënteerde economie en een sterke dienstensector, is een veilige en goed functionerende digitale infrastructuur essentieel. Uitgangspunt voor het kabinetsbeleid blijft de integrale benadering zoals vastgelegd in de Nationale Cyber Security Strategie. Op grond hiervan is onder andere het Nationaal Cyber Security Centrum opgericht, waarbinnen publieke en private partijen samenwerken. Een gezamenlijke, publiek-private en civiel-militaire aanpak is noodzakelijk aangezien niet altijd duidelijk zal zijn wat de aard van een digitale aanval is, hoe uitgebreid en geraffineerd deze is en wat het uiteindelijke doel van de aanvaller is (crimineel, ideologisch, militair of politiek). Dit maakt het moeilijk te bepalen op welke (juridische) grond en met welke middelen moet worden gereageerd. Bij het organiseren van een gezamenlijke aanpak is het van belang dat rollen, taken en verantwoordelijkheden helder zijn. In dit kader zal, op initiatief van de NCTV, worden bezien of de huidige crisisbeheersingsstructuur afdoende is voor het snel en effectief beheersbaar maken van een grootschalige digitale verstoring. Zoals de commissie terecht stelt, is het daarnaast van belang te investeren in een samenhangende cyberdiplomatie."

3. Operational domain for the armed forces
Original Dutch: "3. Operationeel domein voor de krijgsmacht"

The extensive use of IT enables the Ministry of Defense to fulfill its tasks more effectively and efficiently, but also entails increased vulnerability. The digital domain is therefore fundamental for the armed forces. Without proper functioning IT infrastructure, the armed forces simply cannot fulfill its tasks. Nearly all weapons and sensory systems function thanks to the use of IT components, and command and logistical support depend on digital systems too. Hence, a disturbance of the IT infrastructure of the armed forces will endanger striking force and continuity. Therefore, in the digital domain, the Ministry of Defense must guarantee reliability of own networks, (weapons and control) systems and information, as well as prevent theft of information.
Original Dutch: "Het grootschalig gebruik van ICT stelt Defensie in staat haar taken effectiever en efficiënter uit te voeren maar zorgt ook voor een grotere kwetsbaarheid. Het digitale domein is derhalve van fundamenteel belang voor de krijgsmacht. Zonder goed functionerende ICT-infrastructuur kan de krijgsmacht haar taken eenvoudigweg niet meer uitvoeren. Vrijwel alle wapen- en sensorsystemen functioneren dankzij het gebruik van ICT-componenten en ook de commandovoering en de logistieke ondersteuning zijn afhankelijk van digitale systemen. Een verstoring van de ICT-infrastructuur van de krijgsmacht zal de slagkracht en het voorzettingsvermogen dan ook in gevaar brengen. In het digitale domein moet Defensie daarom de betrouwbaarheid van eigen netwerken, (wapen- en regel)systemen en informatie waarborgen en ontvreemding van informatie voorkomen."

At the same time, the digital domain is a new operational domain for the armed forces, that, as the committee rightly observes, "is expected to play and important role in every future conflict." Considering that not only our own networks are vulnerable but also those of potential opponents, the digital domain can also be used to strengthen the own intelligence position and to carry out military operations. The emergence of cyberspace as operational domain strengthens the development where classical warfare is replaced with more hybrid and pluriform conflict model where the use of IT means plays an increasingly large role. The outlook is further complicated by the difficulty of establishing where they originate from and who is behind them. In addition, the committee rightly observes that the chance of a pure 'cyberwar', exclusively fought in the digital domain, is currently small. However, it is likely that operational cybercapabilities will be used extensively in the near future. These can be both autonomous as well as in support of conventional warfare. Herewith, it is necessary that operational (offensive) cybercapabilities become part of the total military capacity of the Dutch armed forces. The armed forces must have the capabilities to respond effectively and adequately under all circumstances and against every opponent."
Original Dutch: "Het digitale domein vormt tegelijkertijd een nieuw operationeel domein voor de krijgsmacht dat, zoals de commissie terecht constateert, “naar verwachting in elk toekomstig conflict een belangrijke rol zal spelen.” Aangezien niet alleen onze eigen netwerken kwetsbaar zijn maar ook die van potentiële tegenstanders kan het digitale domein ook worden gebruikt voor het versterken van de eigen inlichtingenpositie en het uitvoeren van militaire operaties. De opkomst van cyber space als operationeel domein versterkt de ontwikkeling waarbij klassieke oorlogvoering plaatsmaakt voor een meer hybride en veelvormig conflictmodel waar de inzet van ICT-middelen een steeds grotere rol speelt. Het beeld wordt verder gecompliceerd doordat bij digitale aanvallen moeilijk vast te stellen is waar deze vandaan komen en wie er achter zit. Daarnaast constateert de commissie terecht dat de kans op een zuivere ‘cyberoorlog’, die uitsluitend in het digitale domein wordt uitgevochten, momenteel gering is. Het is echter wel waarschijnlijk dat operationele cybercapaciteiten in de nabije toekomst veelvuldig zullen worden ingezet. Deze kunnen zowel zelfstandig als ter ondersteuning van het regulier optreden van krijgsmachten worden ingezet. Hiermee is het noodzakelijk dat operationele (offensieve) cybercapaciteiten onderdeel worden van het totale militaire vermogen van de Nederlandse krijgsmacht. De krijgsmacht moet daarbij over de capaciteiten beschikken om onder alle omstandigheden en tegen elke tegenstander doeltreffend en afdoende te kunnen reageren."

Intelligence position
Original Dutch: "Inlichtingenpositie"

An outstanding intelligence position is a precondition for the functioning and operating of Defense in the digital domain. Considering the problem of attribution, the committee rightly observes that intelligence and security services have an important role. The gathering of intelligence and carrying out counterintelligence by the Dutch Military Intelligence and Security Service (MIVD) is not offensive activity. This concerns the gathering of intelligence from closed sources, within the legal framework of the Dutch Intelligence and Security Act of 2002 (.pdf, Wiv 2002).
Original Dutch: "Een uitstekende inlichtingenpositie is een randvoorwaarde voor het functioneren en opereren van Defensie in het digitale domein. Ten aanzien van het adresseren van de attributieproblematiek constateert de commissie terecht dat hier een belangrijke rol is weggelegd voor de inlichtingen- en veiligheidsdiensten. Het vergaren van inlichtingen en het uitvoeren van contra-inlichtingen activiteiten door de MIVD is geen offensieve activiteit. Het gaat hier om het, binnen de kaders van de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002), vergaren van inlichtingen uit gesloten bronnen."

The committee believes that the technological developments render it desirable to consider whether the distinction between wired and wireless interception needs to be maintained. This observation is endorsed by the Review Committee on the Intelligence and Security Services (CTIVD) in the recent report nr.28 about SIGINT (.pdf). The government believes that this distinction cannot be maintained. A change of Wiv 2002 is being prepared, that also needs to involve a careful consideration regarding privacy protection and regarding effects  on providers of electronic communication. In the course of 2012, the Parliament will be informed about this.
Original Dutch: "De commissie is van mening dat de technologische ontwikkelingen het wenselijk maken dat wordt bezien of het onderscheid tussen kabelgebonden en niet-kabelgebonden interceptie gehandhaafd moet blijven. Deze constatering wordt onderschreven door de conclusie van de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD) in het recente toezichtsrapport nr. 28 over SIGINT. Het kabinet is van mening dat dit onderscheid niet gehandhaafd kan blijven. Daartoe wordt een wijziging van de Wiv 2002 voorbereid, waarbij ook een zorgvuldige afweging gemaakt moet worden met betrekking tot de privacybescherming en rekening wordt gehouden met de effecten op de aanbieders van elektronische communicatienetwerken. In de loop van 2012 zal uw Kamer hieromtrent worden geïnformeerd."

Strengthening digital capacities of Dutch Ministry of Defense
Original Dutch: "Versterken digitale capaciteiten van Defensie"

Due to the WGO-Materiaal of November 7th 2011, it has been promised to MP Hernandez that this response considers the activities of Defense. This promise is hereby fulfilled. The degree to which the described activities can be given substance depends on available financial means. In order to give direction to policy development, a defense strategy is being drafted in close consultation with national and international partners. This will be established before the summer and sent to the Parliament.
Original Dutch: "Naar aanleiding van het WGO-Materieel van 7 november 2011 is aan het lid Hernandez toegezegd in deze reactie in te gaan op de activiteiten van Defensie. Deze toezegging wordt hierbij gestand gedaan. De mate waarin invulling kan worden gegeven aan de beschreven activiteiten is afhankelijk van de beschikbare financiële ruimte. Teneinde richting te geven aan de beleidsontwikkeling wordt, in nauw overleg met nationale en internationale partners, een defensiestrategie voor cyber operations opgesteld. Deze wordt nog voor de zomer vastgesteld en aan de Kamer aangeboden."

Under responsibility of Chief of the Netherlands Defense Staff, a program manager Cyber has been appointed and the Taskforce Cyber has been established. The program manager is responsible for the coordination of all cyberrelated activities within Defense. At short term, the priority of Defense is in strengthening the defensive and intelligence capabilities. At medium term, attention is given to establishing a Defense Cyber Expertise Centre (DCEC) at the end of 2013 and a Defense Cyber Command (DCC) at the end of 2014. The DCC coordinates cyberoperations within Defense and provides connections between the various cybercapabilities of different Defense departments. In the operational domain, an important executive role is played by the Land Forces Command.
Original Dutch: "Onder verantwoordelijkheid van de CDS is een programmamanager Cyber aangetreden en is de Taskforce Cyber opgericht. De programmamanager is verantwoordelijk voor de coördinatie van alle cybergerelateerde activiteiten binnen Defensie. Op korte termijn ligt de prioriteit van Defensie bij het versterken van de defensieve en inlichtingenvermogens. Op de middellange termijn gaat de aandacht uit naar het oprichten van een Defensie Cyber Expertise Centrum (DCEC) eind 2013 en een Defensie Cyber Commando (DCC) eind 2014. Het DCC coördineert cyber operations binnen Defensie en zorgt voor de verbinding tussen de verschillende cybervermogens van de defensieonderdelen. In het operationele domein is een belangrijke, uitvoerende rol weggelegd voor het Commando Landstrijdkrachten (CLAS)."

As also observed by the committee, finding and keeping sufficiently qualified personal will be a big challenge for Defense. Considering the need for qualified specialists in general, intensive collaboration with other public and private parties will be needed, so as to jointly achieve the most effective use of scarce capacity. To this end, talks are taking place between departments and with industry and universities. Also, possibilities to create a pool of cyberreserves are being inquired into.
Original Dutch: "Zoals ook de commissie constateert wordt het vinden en vasthouden van voldoende gekwalificeerd personeel een grote uitdaging voor Defensie. Gezien de algemene behoefte aan gekwalificeerde specialisten moet ook hier intensief worden samengewerkt met andere publieke en private partijen om gezamenlijk te komen tot een zo effectief mogelijke benutting van schaarse capaciteiten. Daartoe vindt overleg plaats tussen departementen en met bedrijfsleven en universiteiten. Ook wordt onderzocht welke mogelijkheden er zijn om een pool van cyberreservisten te creëren."

The defensive measures are aimed at strengthening the protection of networks and weapons and control systems. The Defense Computer Emergy Response Team (DefCERT) is partly responsible for the security of these networks and systems and must be operational 24x7 by mid-2013 to protect the most critical defense networks. Until 2016, capacity is being increased to other networks and weapons and control systems. DefCERT will shortly agree on a covenant with NCSC that establishes the framework for intensive collaboration for information sharing and support in case of calamities.
Original Dutch: "De defensieve maatregelen richten zich op het versterken van de bescherming van netwerken en wapen- en regelsystemen. Het Defensie Computer Emergency Response Team (DefCERT) is mede verantwoordelijk voor de beveiliging van deze netwerken en systemen en moet medio 2013 volledig operationeel zijn om 24 uur per dag, zeven dagen per week de meest kritieke defensienetwerken te beschermen. De capaciteit wordt in de periode tot 2016 verder uitgebreid naar de overige netwerken en wapen- en regelsystemen. DefCERT zal binnenkort een convenant afsluiten met het NCSC waarin de kaders voor intensieve samenwerking worden vastgelegd voor informatie-uitwisseling en ondersteuning bij calamiteiten."

The Taskfore Cyber will also establish offensive capabilities and a cyberdoctrine for Defense. The committee observed that offensive acts often use the same techniques as intelligence acts. To achieve offensive capabilities, an efficient use of all scarce cybercapabilities (including intelligence capabilities) within Defense is necessary. In designing offensive capabilities, the recommended separation of duties between the CDS and the directory of the MIVD is being considered.
Original Dutch: "Vanuit de Taskforce Cyber zal tevens vorm worden gegeven aan een offensieve capaciteit en wordt een Defensie cyberdoctrine opgesteld. De commissie constateert dat voor offensief optreden vaak dezelfde technieken worden gebruikt als voor inlichtingendoeleinden. Voor de realisatie van een offensieve capaciteit is een efficiënte inzet van alle schaarse cybercapaciteiten (waaronder inlichtingencapaciteiten) binnen Defensie dan ook noodzakelijk. Bij de vormgeving van offensieve capaciteit wordt rekening gehouden met de aanbeveling van de commissie over de functiescheiding tussen de CDS en de directeur van de MIVD."

During 2012-2015, the MIVD will strengthen its cyberintelligence capabilities. A first step has been taken by expanding the capacity with nine FTE's as of January 1st 2012. Furthermore, the MIVD and AIVD intensive the collaboration regarding cyber and signals intelligence, and that should result in a joint unit for the gathering of SIGINT and cyberintelligence.
Original Dutch: "De MIVD zal in de periode 2012-2015 de cyber inlichtingencapaciteit versterken. Een eerste stap is gezet door de uitbreiding van de capaciteit met negen vte’n per 1 januari 2012. Verder intensiveren de MIVD en de AIVD de samenwerking op het gebied van cyber en signals intelligence (SIGINT) wat moet leiden tot een gezamenlijke eenheid voor de verwerving van SIGINT en cyberinlichtingen."

Within Defense, knowledge development and assurance will primarily be done by the DCEC. Priority is given to increasing Defense' personnel awareness of cyberthreats. An interactive practice environment comprising e-learning modules, a simulation and a knowledge base will be delivered soon. There will also be invested in research. In 2012, an Associate Professor Cyber is appointed at the NLDA and a research group is equipped. As of January 1st 2014 a chair of Cyber Defense will be set. In January 2012, a wide cyber research program started at TNO. The research program of Defense is part of a national research agenda cybersecurity that aims effective use of available financial means for research.
Original Dutch: "Binnen Defensie zal de kennisontwikkeling en –borging primair vorm worden gegeven door het DCEC. In eerste instantie heeft het vergroten van de bewustwording bij het personeel over de cyberdreiging prioriteit. Een interactieve oefenomgeving bestaande uit e-learning modules, een simulatie en een kennisbank wordt binnenkort opgeleverd. Ook wordt in onderzoek geïnvesteerd. In 2012 wordt aan de NLDA een Universitair Hoofddocent Cyber aangesteld en een onderzoeksgroep ingericht. Per 1 januari 2014 wordt een leerstoel cyber defence ingesteld. Bij TNO is in januari 2012 een breed cyber onderzoeksprogramma gestart. Het onderzoeksprogramma van Defensie is onderdeel van een nationale onderzoeksagenda cyber security die tot doel heeft de beschikbare onderzoeksbudgetten zo effectief mogelijk te besteden."

4. The international legal framework
Original Dutch: "4. Het internationaalrechtelijk kader"

Use of violence and right to self-defense (jus ad vellum)
Original Dutch: "Gebruik van geweld en recht op zelfverdediging (jus ad bellum)"

The findings of the committee regarding the use of violence and the right to self-defense broadly match the standpoint of the government. The government considers the committee's observation that no different regime applies to the digital domain than for the physical domain, to be important. In the advice, existing rules of international law on the use of violence is applied strictly to digital attacks, which is consistent with the views of the government. The committee finds that, except States, also non-state actors can carry out an armed attack within the meaning of the UN Charter, against which violence may be used in self-defense. The government endorses this view and stresses that this is an important legal development.
Original Dutch: "De bevindingen van de commissie ten aanzien van het gebruik van geweld en het recht op zelfverdediging komen in grote lijnen overeen met het standpunt van het kabinet (jus ad bellum). De constatering van de commissie dat ten aanzien van digitale aanvallen geen ander regime geldt dan voor het gebruik van geweld in het fysieke domein, acht het kabinet van belang. In het advies worden de bestaande volkenrechtelijke regels inzake het gebruik van geweld strikt toegepast op digitale aanvallen, dit strookt met opvattingen van het kabinet. De commissie oordeelt dat, behalve Staten, ook niet-statelijke actoren een gewapende aanval in de zin van het VN Handvest kunnen plegen, waartegen geweld ter zelfverdediging mag worden aangewend. Het kabinet onderschrijft dit en benadrukt dat dit een belangrijke rechtsontwikkeling vormt."

The government also endorses the finding of the committee that attribution is a key challenge in attacks in the digital domain. The committee believes that violence may be used in self-defense only if the source of the attack and the identity of the attackers can be established with a sufficient degree of certainty. The government also endorses the committee's finding that use of force in response to an armed digital attack must meet the requirements of 'necessity' and 'proportionality'.
Original Dutch: "Het kabinet onderschrijft tevens de constatering van de commissie dat attributie een belangrijke uitdaging vormt bij aanvallen in het digitale domein. Met de commissie is het kabinet van mening dat alleen gebruik mag worden gemaakt van geweld ter zelfverdediging indien de herkomst van de aanval en de identiteit van de aanvallers met een voldoende mate van zekerheid kan worden vastgesteld. Het kabinet onderschrijft tevens de bevinding van de commissie dat, bij gebruik van geweld in reactie op een gewapende digitale aanval, moet worden voldaan aan de volkenrechtelijke eisen van ‘noodzakelijkheid’ en ‘proportionaliteit’."

Humanitarian law (jus in bello)
Original Dutch: "Humanitair oorlogsrecht (jus in bello)"

The government agrees with the conclusion of the committee that the application of the rules of international humanitarian law (jus in bello) to hostilities in the digital domain is "technically feasible and a legally required". However, in agreement with the commission, the government believes that law of war only applies to digital acts of violence if those acts are committed in the context of armed conflict, by parties involved in that conflict. This is an important distinction from other acts of digital violence. The advice further specifies the beginning of an "armed conflict" by a digital attack, and provides some useful examples of the practical application of the basic principles of humanitarian law to digital warfare.
Original Dutch: "Het kabinet deelt de conclusie van de commissie dat toepassing van de regels van het humanitair oorlogsrecht (jus in bello) op vijandelijkheden in het digitale domein “technisch gezien haalbaar en juridisch gezien ook een vereiste” is. Echter, met de commissie is het kabinet van mening dat digitale daden van geweld alleen onder het oorlogsrecht vallen wanneer ze worden gepleegd in de context van een gewapend conflict, door de partijen bij dat conflict. Dit vormt een belangrijke afbakening ten opzichte van andere daden van digitaal geweld. Het advies geeft nadere invulling aan het ontstaan van een ‘gewapend conflict’ door een digitale aanval, als ook een aantal nuttige voorbeelden van de praktische toepassing van de basisprincipes van het oorlogsrecht op digitale oorlogvoering."

Neutrality
Original Dutch: "Neutraliteit"

The government considers the elaboration of the committee of the concept of neutrality in relation to the use of digital weapons as a useful starting point for further thinking in this area. The Netherlands can protect its neutrality in an armed conflict from other parties by preventing the use by such parties of infrastructure and systems (e.g. botnets) on Dutch territory. This requires permanent vigilance. A good intelligence position and continuous scanning are a necessity.
Original Dutch: "Het kabinet beschouwt de uitwerking van de commissie van het begrip neutraliteit in relatie tot de inzet van digitale wapens als een nuttig startpunt voor nadere gedachtevorming op dit gebied. Nederland kan bij een gewapend conflict van andere partijen zijn neutraliteit beschermen door het verhinderen van het gebruik door deze partijen van infrastructuur en systemen (bijv. botnets) op Nederlands grondgebied. Hierbij is permanente waakzaamheid geboden. Een goede inlichtingenpositie en een permanente scanfunctie zijn hierbij noodzakelijk."

Cybertreaty
Original Dutch: "Cyberverdrag"

In agreement with the committee, the government currently does not believe a new global cybertreaty is needed. The government believes that existing rules of international and European law regarding the use of digital violence are sufficient. The government supports the recommendation of the committee to reinforce political and practical effects of international law in the digital domain by means of a code of conduct.
Original Dutch: "Met de commissie ziet het kabinet op dit moment geen noodzaak tot een nieuw wereldwijd cyberverdrag. Het kabinet is van mening dat bestaande regels van internationaal en Europees recht voldoen ten aanzien van het gebruik van digitaal geweld. Het kabinet ondersteunt wel de aanbeveling van de commissie om door middel van een code of conduct meer politiek gewicht en praktische uitwerking te geven aan de toepassing van internationaal rechtelijke bepalingen in het digitale domein."

International cooperation
Original Dutch: "5. Internationale samenwerking"

Due to the extensive global interconnectedness and interdependence of IT systems, international civil-military and public-private collaboration is essential. Intensive bilateral contact is taking place with the United States, United Kingdom, Germany, Australia and the Benelux. It also being examined what the possibilities are for intensified cooperation with e.g. the Scandinavian countries, Canada and France.
Original Dutch: "Door de wereldwijd verregaande onderlinge verbondenheid en wederzijdse afhankelijkheid van ICT- systemen, is internationale civiel-militaire en publiek-private samenwerking essentieel. Bilateraal vindt hiertoe intensief contact plaats met de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Australië en de Benelux-landen. Tevens worden mogelijkheden bezien voor geïntensiveerde samenwerking met o.a. de Scandinavische landen, Canada en Frankrijk."
As the committee points out, the Netherlands is actively taking part in the debate about ethics in the digital domain, firstly to maintain an open and free internet and counterbalance countries that want to restrict free use of internet and media in name of security and fighting cybercrime. At the same time the government recognizes the importance of preventing potential conflicts between countries due to cyber incidents. The Netherlands will carry this out via the appropriate fora. The Netherlands also considers it important that companies take responsibility for the export of dual-use technology. In addition to self-restriction by companies, The Netherlands will also commit to expanding the EU export regulation regarding dual-use technology. This would enable imposing ad-hoc license requirements in individual cases where evidence exists that the goods in whole or in part will be used for to violate human rights.
Original Dutch: "Zoals de commissie opmerkt, neemt Nederland actief deel aan de discussie over gedragsnormen in het digitale domein, allereerst om een open en vrij internet te behouden en tegenwicht te bieden aan landen die het vrije gebruik van internet en media aan banden willen leggen in naam van veiligheid en bestrijden van cybercriminaliteit. Tegelijkertijd onderkent het kabinet het belang om potentiële conflicten tussen landen als gevolg van cyberincidenten te voorkomen. Nederland zal zich hiervoor via geëigende fora inzetten. Nederland acht het daarnaast van groot belang dat bedrijven hun verantwoordelijkheid nemen voor de uitvoer van technologie die zowel goed als kwaadschiks kan worden gebruikt door overheden. Omdat Nederland er ter bescherming van mensenrechten belang aan hecht dat bedrijven naast zelfrestrictie ook een kader hebben om besluiten te nemen over export van hun producten, zet Nederland zich er voor in om de dual-use verordening van de EU uit te breiden. Hierdoor zou het mogelijk worden een ad-hoc vergunningplicht op te leggen voor individuele gevallen indien er aanwijzingen zijn dat de goederen geheel of gedeeltelijk zullen worden gebruikt voor mensenrechtenschendingen."

NATO
Original Dutch: "NAVO"

In June 2011, the new strategic concept of NATO for cyber defense has been followed up by a policy plan. As the committee notes, NATO primarily focuses on strengthening the defensive capability regarding cyber threats. Partly due to insistence of the Netherlands, the need for enhanced information sharing, the development of a joint threat assessment and the importance of EU-NATO cooperation was included in the NATO policy. The government also believes that NATO should eventually develop a doctrine for the use of offensive cyber capabilities. A possible joint response to an attack will be decided upon through existing procedures. In the digital domain too it is not always straightforward to determine when Article 5 comes into force. This is always subject to political decisionmaking.
Original Dutch: "Het nieuwe strategisch concept van de NAVO heeft navolging gekregen in een in juni 2011 vastgesteld beleidsplan voor cyber defence. Zoals de commissie constateert, richt de NAVO zich vooral op het  versterken van het defensieve vermogen ten aanzien van cyberdreigingen. Mede op aandringen van Nederland is de noodzaak van intensievere informatie-uitwisseling, het ontwikkelen van een gezamenlijke dreigingsanalyse en het belang van EU-NAVO samenwerking in het NAVO-beleid opgenomen. Het kabinet is daarnaast van mening dat de NAVO op termijn een doctrine voor de inzet van offensieve cybercapaciteiten zou moeten ontwikkelen. Ten aanzien van een eventuele collectieve reactie op een aanval geldt dat een beslissing hierover via de bestaande procedures genomen zal worden. Ook in het digitale domein is niet altijd eenduidig vast te stellen wanneer artikel 5 in werking treedt. Dit is altijd onderwerp van politieke besluitvorming."

European Union
Original Dutch: "Europese Unie"

The government shares the vision of the committee that the EU will benefit from an integrated, coordinated approach to digital security. Last year, the European Commission launched its internal security strategy, which identified the increasing of the level of security for citizens and business in cyberspace as one of its five strategic goals. The Dutch Parliament was informed about this on January 19th 2011 (Kamerstuk 32317 nr.32). Earlier this year, European Commissioner Kroes announced a proposal for a European internet safety strategy. The Netherlands supports these developments and will brings its expertise, for example in the area of ​​threat analysis and public-private partnership. In addition, The Netherlands advocates at the European Commission that external geopolitical aspects are given a clear place in the EU approach to digital security.
Original Dutch: "Het kabinet deelt de visie van de commissie dat de EU gebaat is bij een integrale, gecoördineerde aanpak van digitale veiligheid. Vorig jaar heeft de Europese Commissie haar interne veiligheidsstrategie gelanceerd, waarin het verhogen van het niveau van veiligheid voor burgers en bedrijfsleven in cyber space geïdentificeerd is als een van de vijf strategische doelen. Uw Kamer is hierover op 19 januari 2011 geïnformeerd (Kamerstuk 32317 nr. 32). Begin dit jaar heeft Eurocommissaris Kroes aangekondigd een voorstel te doen voor een Europese internetveiligheidsstrategie. Nederland steunt deze ontwikkelingen en zal haar expertise inbrengen, bijvoorbeeld op het gebied van dreigingsanalyse en publiek-private samenwerking. Daarnaast bepleit Nederland bij de Europese Commissie dat externe, geopolitieke aspecten een duidelijke plek krijgen bij de EU-aanpak van digitale veiligheid."

EOF

EXIF Hall of Shame: Overheid.nl (=Dutch govt)

Another case of too much information being present in files published online: the main website of the Dutch government, overheid.nl. Running FOCA Free on site:overheid.nl and filetype:{pdf,odt,doc,docx,xls,xlsx,ppt,pptx} yields 1527 documents (.txt), containing 350 users (.txt), 184 folders (.txt), 14 printers (.txt), 166 pieces of software (.txt) 4 operating systems (.txt) and a few email addresses. Furthermore, FOCA inferred 311 clients and 21 servers (.jpg): most with their OS identified, many with additional software identified. (Note that FOCA can infer, albeit imperfect, information about a single client or server from multiple documents.)

Great example of yet more low risk --- otherwise I would not have published the results here --- but nonetheless needless information disclosure.

For more, see the previous post about the U.S. Cyber Security Act 2012.

For more, here is a partial translation of this post in Dutch from April 2011:

Once upon a time, the Dutch National Communication Security Agency (NL-NCSA) was located at Cistron, a Dutch ISP in Twente. In 2001, the NL-NCSA was physically and administratively moved to the Dutch General Security & Intelligence Agency, the AIVD. In a monkey-see-monkey-do imitation of this original finding by Henk van Ess (WebWereld, 2010-02-05), I downloaded all .pdf news bulletins issued by NL-NCSA from here and applied exiftool to examine the data. Result: the old bulletins (still) contain too much needless metadata. I educated-guess that these documents were -really- created on AIVD computers. If true, the metadata probably gives some clues about those systems. For example, Author and Creator reveal (assuming that this is not disinformation):
  
P1140    Nieuwsbrief -4 NBV aug. 2006.doc - Microsoft Word
P1140    G:\DIRECTIE.3\NBV\NBV - Nieuwsbrieven\Oktober 2006\Nieuwsbrief NBV okt. 2006.doc - Microsoft Word
P1140    G:\DIRECTIE.3\NBV\NBV - Nieuwsbrieven\December 2006\Nieuwsbrief NBV dec. 2006.doc - Microsoft Word
P1140    G:\DIRECTIE.3\NBV\NBV - Nieuwsbrieven\April 2007\Nieuwsbrief NBV apr. 2007.doc - Microsoft Word
P1140    G:\DIRECTIE.3\NBV\NBV - Nieuwsbrieven\Juni 2007\Nieuwsbrief NBV jun. 2007.doc - Microsoft Word
P1140    NBV nieuwsbrief aug_2007_wijzCO7HE.doc - Microsoft Word
P1140    N:\NBV - Nieuwsbrieven\2007 Oktober\NBV nieuwsbrief okt 2007.doc - Microsoft Word
p648    C:\DOCUME~1\p648\LOCALS~1\Temp\notesE259CD\NBV nieuwsbrief dec. 2007.doc - Microsoft Word
P1140    N:\Algemeen\Nieuwsbrieven\2008 Maart\NBV nieuwsbrief mrt. 2008.doc - Microsoft Word
P1140    NBV nieuwsbrief juni 2008.doc - Microsoft Word
P1140    N:\Algemeen\Nieuwsbrieven\2008 Augustus\NBV nieuwsbrief aug. 2008.doc - Microsoft Word
P1140    NBV nieuwsbrief okt. 2008 v0.8.doc - Microsoft Word
P1385    C:\DOCUME~1\P1385\LOCALS~1\Temp\notesE259CD\NBV nieuwsbrief dec. 2008 v0.5.doc - Microsoft Word
P1140    N:\Algemeen\Nieuwsbrieven\2009 Februari\NBV nieuwsbrief feb. 09 v0.3.doc - Microsoft Word
P1140    NBV nieuwsbrief apr. 09 v0.3.doc - Microsoft Word
P1140    N:\Algemeen\Nieuwsbrieven\2009 Juli\NBV nieuwsbrief juli 09 v0.3.doc - Microsoft Word
P1140    N:\Algemeen\Nieuwsbrieven\2009 september\NBV nieuwsbrief sept. 09 v0.3.doc - Microsoft Word
P1140    N:\Algemeen\Nieuwsbrieven\2009 November\NBV nieuwsbrief nov. 09 v0.4.doc - Microsoft Word

Mind that Author (probably NT-username or computer name) is always P1140 except in December 2007 (p648) and 2008 (P1385). Did computer P1140 break or had user P1140 taken a Christmas holiday, as opposed to December 2006? If P1140 is a user, this possibly is a clue for finding matching Facebook/Hyves-profiles to reveal P1140's identity. Here is the raw metadata: 20110416_NBVnbmeta.txt (I left out documents that did not contain metadata). The Producer-field suggests that the news bulletins between 2006 and 2009 have been authored using Acrobat PDFWriter 4.05 voor Windows NT. For some other AIVD .pdf publications,  exiftool shows this metadata: 20110416_AIVDmeta.txt. All metadata combined in one CSV file: 20110416_exifAIVD-csv.txt. Furthermore, Author and Last Modified By  are present in a Word document: 20110416_AIVDWorddoc.txt.

EOF.