Month: March 2014

[Dutch] Ongerichte kabelgebonden interceptie: de deur naar OPTIC NERVE?

UPDATE 2014-03-21: buitenlandse diensten schijnen voor toegang tot glasvezelkabels bepaalde blokjes te plaatsen in de verbindingen waarbij sprake is van een ‘normale’ tap, die read-only is. En dan in het bijzonder de variant die niet kan worden opgemerkt aan toename van attenuatie op de plaats waar de tap zich bevindt (misschien kan dat nog wel aan scattering?). If-and-only-if de Nederlandse diensten bij het krijgen van toegang tot glasvezelkabels uitsluitend read-only taps gebruiken, staat vast dat de hackbevoegdheid daarmee niet kan worden uitgeoefend. Zie ook deze uitleg (.pdf) over glasvezeltaps. (Dit laat naturlijk onverlet dat andere aanvalspaden bestaan of kunnen worden opgezet met of zonder vrijwillige of verplichte medewerking van kabelproviders.)  

Gericht of ongericht?
(foto genomen in Amsterdam)

De AIVD en MIVD hebben een bijzondere bevoegdheid waarop het toezicht al vijf jaar faalt. Wat doe je dan? Juist, die bevoegdheid significant uitbreiden. Begin maart heb ik enkele gedachten uitgeschreven. Deze post is een aanvulling daarop.

CTIVD-rapport 38 vermeldt net als eerdere toezichtrapporten het probleem met de motivering van selectie na ongerichte niet-kabelgebonden interceptie (Art.27 WIV2002):

De Commissie heeft al in eerdere toezichtsrapporten vastgesteld dat zowel de AIVD als de MIVD de inzet van de selectiebevoegdheid onvoldoende motiveerden. Het ging hierbij – kort samengevat – om het onvoldoende toespitsen van de motivering voor de selectie op de personen en/of organisaties die in de selectielijst waren opgenomen. De Commissie blijft nadrukkelijk aandacht vragen en behouden voor deze problematiek.

Dit probleem is bekend sinds de nulmeting die de CTIVD in 2008 uitvoerde (CTIVD-rapport 19). Anno 2014 is er nog niet eens een verklaring voor gegeven. Hoe kan het dat zowel de AIVD als MIVD er al vijf jaar (!) niet in slagen die motivering op orde te krijgen? Wat zijn nu precies de maatregelen waarvan Plasterk in december zei (.pdf) dat ze “zijn en worden genomen” en die “erop [zijn] gericht de CTIVD in staat te stellen in toekomstige rapporten tot een oordeel te komen”? Veronderstellend dat de diensten te goeder trouw handelen, dringt zich zo langzamerhand de vraag op of het misschien eenvoudigweg niet mogelijk is om de manier waarop deze bevoegdheid tot nu toe is ingezet overtuigend te motiveren op een manier waaruit overtuigend blijkt dat de inzet past binnen een democratie, en niet in strijd is met, zeg, het EVRM. Aangezien het recht dient om de macht te beteugelen, is het een probleem als over inzet van de ongerichte bevoegdheid geen uitspraak over rechtmatigheid kan worden gedaan.

En nu dreigt precies die bevoegdheid uitgebreid te worden naar kabelgebonden communicatie; dat volgens Dessens naar schatting 80%-90% van het internationale dataverkeer betreft. De bevoegdheid tot ongerichte interceptie van kabelgebonden communicatie zal inhouden dat telecomaanbieders en internetknooppunten op last van de Minister verplicht worden de diensten toegang te verlenen tot hun kabelnetwerk. Daar schuilt een nog niet besproken onderwerp: de mogelijkheden die die netwerkkoppelingen met zich meebrengen voor het uitoefenen van de hackbevoegdheid van de diensten.

Onder de bevoegdheid tot ongerichte interceptie valt ook de bevoegdheid versleuteling ongedaan te maken. Gaan de diensten daartoe ongerichte c.q. breed gerichte MitM-aanvallen uitvoeren om het verkeer te kunnen doorzoeken op identiteiten van personen en organisaties (Art.27 lid 1), nummers en technische kenmerken (Art.27 lid 2) en trefwoorden (Art.27 lid 3)? Gaan de diensten gericht QUANTUM INSERT-achtige technieken toepassen om targets (en hopelijk zo min mogelijk non-targets) stiekem om te leiden naar valse versies van LinkedIn en Facebook en daar te infecteren met spionagesoftware? Gaan de Nederlandse diensten, in een streven naar de maximaal haalbare informatiepositie, experimenten uitvoeren zoals het Britse OPTIC NERVE, waarbij GCHQ in zes maanden tijd webcambeelden verzamelde van wereldwijd miljoenen gebruikers?

Niet dat hiervan op voorhand kan worden gezegd dat het in strijd is met democratische beginselen: dat hangt af van motivatie (noodzaak/proportionaliteit/subsidiariteit), waarborgen en toezicht. Ik wens de CTIVD veel technisch inzicht toe. Waakzaamheid is geboden. Zo ook bij SIGINT search (Art.26 WIV2002): onder de huidige wet is searchen alleen toegestaan indien afzender en/of ontvanger van de communicatie zich buiten Nederland bevindt. Blijft die eis gehandhaafd bij search van kabelgebonden communicatie?

CTIVD-rapport 38 vermeldt ook dat juridische leemtes zijn ontstaan:

Wel constateert de Commissie dat technologische ontwikkelingen het vandaag de dag mogelijk maken om bestaande bevoegdheden op nieuwe, niet altijd door de wetgever voorziene, manieren in te zetten. Hiermee hangt samen dat door de digitalisering van de samenleving en de daarmee verband houdende sterke intensivering van het communicatieverkeer veel meer gegevens op het gebied van telecommunicatie beschikbaar zijn. De potentiële inbreuk die de diensten met deze methoden kunnen maken op de persoonlijke levenssfeer gaat dan ook veel verder dan in 2002 mogelijk was. Dit heeft tot gevolg dat op een aantal vlakken de werkwijzen van de diensten thans onvoldoende waarborgen bieden voor de bescherming van de persoonlijke levenssfeer, terwijl hierbij strikt genomen de Wiv 2002 niet wordt overschreden.

Wie helpt de wetgever bij het voorzien van onvoorziene leemtes en onvoorziene manieren waarop een vernieuwde Wiv kan worden ingezet? Hoe wordt die worst gedraaid, beste Hennis en Plasterk? Ik acht het uitgesloten dat de wetgever kan voorzien hoe de netwerkkoppelingen over vijf of tien jaar ingezet zullen gaan worden door de diensten. Het Internet of Things zal thans onvoorzienbare nieuwe mogelijkheden en vraagstukken met zich meebrengen. Het is tekenend dat het kabinet in ruim drie maanden nog geen besluit heeft kunnen nemen over het punt van techniekonafhankelijke interceptie. Het beste dat we kunnen verwachten, en waarop we actief moeten aansturen, is dat Nederlandse parlementariërs en regering serieus invulling geven aan deze aanbeveling die het Europees Parlement op 12 maart 2014 heeft aangenomen:

[Het Europees Parlement] neemt nota van de herziening van de Nederlandse Wet op de inlichtingen- veiligheidsdiensten 2002 (verslag van de commissie-Dessens van 2 december 2013); spreekt zijn steun uit voor de aanbevelingen van de commissie die erop zijn gericht de transparantie van en de controle en het toezicht op de Nederlandse inlichtingendiensten te versterken; dringt er bij de Nederlandse regering op aan af te zien van een zodanige uitbreiding van de bevoegdheden van de inlichtingendiensten dat een ongerichte en grootschalige surveillance van kabelgebonden communicatie van onschuldige burgers mogelijk zou worden, met name gezien het feit dat een van de grootste internetknooppunten ter wereld (AMS-IX) in Amsterdam is gevestigd; maant tot voorzichtigheid bij de vaststelling van het mandaat en de capaciteiten van de nieuwe Joint Sigint Cyber Unit, evenals voorzichtigheid met de aanwezigheid en werkzaamheden van medewerkers van Amerikaanse inlichtingendiensten op Nederlands grondgebied;

Wordt vervolgd.

Aanbevolen leesvoer (tips zijn welkom):

Progress of offensive cyber capabilities in the Netherlands’ armed forces

On March 17th 2014, the Dutch Minister of Defense sent a letter (.pdf, in Dutch) to the Parliament concerning the progress of the development of offensive cyber capabilities in the Dutch armed forces. Below is my translation of the main body of that letter. Hyperlinks and parts in [] are mine. Dutch readers: if you have suggestions for improvement of my translation, please contact me, I’ll update this post.

[…]

What is the digital domain?

Original Dutch: “Wat is het digitale domein?”

The National Cyber Security Strategy identifies the digital domain (“cyberspace”) as the set of digital information, information infrastructures, computers, systems, applications and the interaction between information technology and the physical world through which information exchange takes place. Not only the Internet is meant by this, but also all the networks and digital devices that are not connected to the Internet. One can think of (highly classified) networks, but also the digital systems in vehicles, factories, vital infrastructures and sensor, weapon and command and control systems, among others.

Original Dutch: “De Nationale Cybersecurity Strategie duidt het digitale domein (“cyberspace”) aan als het geheel van digitale informatie, informatie-infrastructuren, computers, systemen, toepassingen en de interactie tussen informatietechnologie en de fysieke wereld waarover communicatie en informatie-uitwisseling plaatsvindt. Hiermee wordt dus niet alleen het internet bedoeld, maar ook alle niet met internet verbonden netwerken of andere digitale apparaten. Hierbij kan onder andere worden gedacht aan (hoog gerubriceerde) netwerken, maar ook aan de digitale systemen in voertuigen, fabrieken, vitale infrastructuren en sensor-, wapen- en commandovoeringsystemen.”

Offensive cyber capabilities

Original Dutch: “Offensieve cybercapaciteiten”

The Ministry of Defense must have the knowledge and capabilities to act offensively in the digital domain in support of military operations. This involves the development of (knowledge of) complex, highly technical means and techniques that are aimed at increasing military capability.

Original Dutch: “Defensie moet over de kennis en capaciteiten beschikken om ter ondersteuning van militaire operaties offensief te kunnen optreden in het digitale domein. Het gaat hierbij om het ontwikkelen van (kennis over) complexe en hoogtechnologische middelen en technieken die er specifiek op zijn gericht het eigen militaire vermogen te vergroten.”

Offensive cyber capabilities are the digital means intended to influence or deny the opponent’s actions. These capabilities can be used to support conventional military capabilities. The use of such capabilities is subject to the relevant mandate and Rules of Engagement. The legal framework is no different from those concerning the use of conventional military means. Offensive cyber capabilities are distinguished from conventional means in that they can often be deployed only once, are developed for one specific purpose and have a limited lifetime. The development and use often require extensive and longterm intelligence gathering. Advanced (offensive) cyber capabilities are hardly comparable to the widespread, relatively accessible tools for cybercrime. It often concerns complex means that are knowledge-intensive and time-consuming to develop, mostly because cyber capabilities must be very accurate in order to prevent collateral damage. This does not mean that less complex and possibly more accessible cyber capabilities cannot be used during operations. But this, too, requires a good intelligence position.”

Original Dutch: “Offensieve cybercapaciteiten zijn de digitale middelen die tot doel hebben het handelen van de tegenstander te beïnvloeden of onmogelijk te maken. Deze capaciteiten kunnen in een militaire operatie worden ingezet ter ondersteuning van conventionele militaire capaciteiten. De inzet valt onder het desbetreffende mandaat en de geldende Rules of Engagement. De juridische kaders zijn niet anders dan die voor de inzet van conventionele middelen. Offensieve cybercapaciteiten onderscheiden zich van conventionele capaciteiten omdat ze vaak eenmalig inzetbaar zijn, specifiek voor één doel worden ontwikkeld en een beperkte levensduur hebben. Voor de ontwikkeling en inzet is veelal uitgebreide en langdurige inlichtingenvergaring noodzakelijk. Hoogwaardige (offensieve) cybercapaciteiten zijn nauwelijks vergelijkbaar met de wijd verbreide, relatief laagdrempelige instrumenten voor cybercrime. Het gaat veelal om complexe middelen waarvan de ontwikkeling kennisintensief en tijdrovend is, vooral omdat offensieve cybercapaciteiten zeer nauwkeurig moeten zijn om onbedoelde nevenschade te voorkomen. Dit laat onverlet dat in operaties ook kan worden gebruikgemaakt van minder complexe en mogelijk laagdrempelige cybercapaciteiten. Maar ook hiervoor is een goede inlichtingenpositie onontbeerlijk.”

Offensive cyber capabilities distinguish themselves from cyber means involved in and used for the protection of networks. They also differ from digital intelligence gathering and counter-intelligence activities. In the development of various types of cyber capabilities (defensive, offensive and intelligence) the consistency must be kept in mind. For offensive cyber operations and digital intelligence gathering, similar techniques and methods are often used, albeit with a different purpose and within a different legal framework. Therefore, intensive cooperation with the Military Intelligence and Security Service (MIVD) is necessary in the development of offensive cyber capabilities. A challenge in the deployment of offensive means is that at any time the adversary can discover and mitigate their own vulnerability, and that account must be taken of side effects for our own systems and those of allies or third parties.

Original Dutch: “Offensieve cybercapaciteiten onderscheiden zich van cybermiddelen die worden ingezet op en ter bescherming van de eigen netwerken. Ook verschillen zij van digitale inlichtingenvergaring en van contra-inlichtingenactiviteiten. Bij de ontwikkeling van verschillende typen cybercapaciteiten (defensief, offensief en inlichtingen) moet wel de samenhang in het oog worden gehouden. Voor offensieve cyberoperaties en digitale inlichtingenvergaring worden veelal vergelijkbare technieken en methoden gebruikt, zij het met een ander oogmerk en binnen een ander wettelijk kader. Daarom is bij de ontwikkeling van offensieve cybercapaciteiten intensieve samenwerking met de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) noodzakelijk. Een uitdaging bij de inzet van offensieve middelen is dat de tegenstander op elk moment zijn eigen kwetsbaarheid kan ontdekken en beperken, en dat rekening moet worden gehouden met neveneffecten voor eigen systemen en die van bondgenoten of derden.”

Offensive cyber in military operation

Original Dutch: “Offensieve cyber in militaire operaties”

Cyber capabilities wwill be an integral part of the overall military capability of the Dutch armed forces. They can not replace conventional military capabilities. The combined use of conventional and cyber capabilities can improve the effectiveness of the overall military operation, and thus the military capability to act.

Original Dutch: “Cybercapaciteiten zullen integraal deel uitmaken van het totale militaire vermogen van de Nederlandse krijgsmacht. Zij kunnen conventionele militaire capaciteiten niet vervangen. De gecombineerde inzet van conventionele en cybercapaciteiten kan de effectiviteit van de totale militaire operatie, en dus het militaire handelingsvermogen, vergroten.”

The planning and execution of operations in the cyber domain are largely similar to those of conventional military operations. In general, an operation begins with an exploratory phase in which intelligence is collected, among others on the digital capabilities of a potential adversary. Then, the likeliness of the intended effect and the possible risks and side effects are analyzed. By means of this the necessary offensive cyber capabilities are designed and developed. This concerns, for instance, very complex software that could disable an enemy weapon system or military communication systems. It may also involve relatively simple software. If the opponent has systems connected to the internet, the operation could be carried out via this way. If not, access to the opponent’s digital environment will have to be obtained by different means. Then, the phase of influencing, disruption or destruction of the opponent systems can begin.

Original Dutch: “De planning en uitvoering van operaties in het cyberdomein komen grotendeels overeen met die van traditionele militaire operaties. In het algemeen begint een operatie met een verkennende fase waarin inlichtingen worden verzameld, onder andere over de digitale capaciteiten van een potentiële tegenstander. Vervolgens worden de kansen op het beoogde effect alsmede mogelijke risico’s en neveneffecten geanalyseerd. Aan de hand hiervan worden de benodigde offensieve cybercapaciteiten ontworpen en ontwikkeld. Het gaat hierbij bijvoorbeeld om zeer complexe software die een vijandelijk wapensysteem of militaire communicatiesystemen zou kunnen uitschakelen. Het kan ook gaan om relatief eenvoudige programmatuur. Indien de opponent systemen aan het internet heeft gekoppeld, kan de operatie via deze weg worden ingezet. Zo niet, dan zal eerst op andere wijze toegang tot de desbetreffende digitale omgeving moeten worden verkregen. Vervolgens kan de fase van beïnvloeding, verstoring of destructie van het systeem van de tegenstander beginnen.”

Prior to the deployment of an offensive cyber capability, it is important to extensively test for efficacy and undesirable side effects. This takes place in a shielded digital practice environment.

Original Dutch: “Voorafgaand aan de inzet van een offensieve cybercapaciteit is het belangrijk deze uitvoerig te testen op effectiviteit en ongewenste neveneffecten. Dit gebeurt in een afgeschermde digitale oefenomgeving.”

A doctrine for military operations in the digital domain has been established last year in general terms. This year, the doctrine will be further developed and assessed during exercises where cyber is integrated. It is expected that the doctrine will be completed in the course of 2015. The doctrine will address, among other things, integration of cyber resources in the planning of military operations. The Defense Cyber Command (DCC) will appoint a cyber adviser to operational commanders who advises on the possibilities and vulnerabilities of systems, and the possible use of cyber means and the desired effects. These effects may be across the entire spectrum of military operations.”

Original Dutch: “Een doctrine voor het militair optreden in het digitale domein is vorig jaar op hoofdlijnen tot stand gekomen. Dit jaar wordt de doctrine verder uitgewerkt en getoetst tijdens oefeningen waarin cyber wordt geïntegreerd. Naar verwachting is de doctrine in de loop van 2015 gereed. De doctrine zal onder andere ingaan op het integreren van cybermiddelen in de operationele planning van militaire operaties. Zo zal het Defensie Cyber Commando (DCC) een cyberadviseur aan operationele commandanten ter beschikking stellen die adviseert over de mogelijkheden en kwetsbaarheden van de eigen systemen en de mogelijke wijze van inzet van cybermiddelen en de beoogde effecten. Dit kunnen effecten zijn in het gehele spectrum van militair optreden.”

State of affairs

Original Dutch: “Stand van zaken”

Last August, I informed you about the status of the Defense Cyber Strategy (Parliamentary Papers 33321, No.2). In that letter I reported that the focus of the Defense Cyber Strategy initially lies with the defensive cyber capabilities (protection of networks, systems and information) and the expansion of the information capacity of the digital domain. The development of these two components proceeds as planned and will continue in 2014 and 2015. As reported in the note ‘In the interest of the Netherlands’, the Ministry of Defense will put more emphasis on developing the ability to conduct cyber operations, including by accelerated establishment of the DCC.

Original Dutch: “In augustus jl. heb ik u geïnformeerd over de stand van zaken van de Defensie Cyber Strategie (kamerstuk 33321, nr. 2). In die brief heb ik gemeld dat het zwaartepunt van de Defensie Cyber Strategie aanvankelijk ligt bij de defensieve cybercapaciteiten (de bescherming van netwerken, systemen en informatie) en de uitbreiding van de inlichtingencapaciteit voor het digitale domein. De ontwikkeling van deze twee componenten verloopt zoals voorzien en zal voortgaan in 2014 en 2015. Zoals gemeld in de nota ‘In het belang van Nederland’ zal Defensie zich nadrukkelijker richten op het ontwikkelen van het vermogen cyberoperaties uit te voeren, onder andere door het versneld oprichten van het DCC.”

The DCC will begin in Q3/2014 with a staff element, an operations department, a technology department and the Defense Cyber Expertise Center (DCEC). The operations department will build capabilities to support units during deployment and exercises. The technology department will develop cyber capabilities in close cooperation with the MIVD. These will not yet be available in 2014, beceause the recruitment and training of the necessary personnel has not yet been completed.

Original Dutch: “Het DCC zal al in het derde kwartaal van 2014 beginnen met een stafelement, een afdeling operaties, een afdeling technologie en het Defensie Cyber Expertise Centrum (DCEC). De afdeling operaties zal de capaciteit opbouwen om eenheden gedurende de inzet en oefeningen te ondersteunen. De technische afdeling zal in nauwe samenwerking met de MIVD offensieve cybercapaciteiten ontwikkelen. In 2014 zullen die nog niet beschikbaar zijn omdat de werving en opleiding van het hiervoor noodzakelijke personeel nog niet is afgerond.”

To achieve the desired acceleration, the Taskforce Cyber will merge into the DCC. In addition, the DCC, within the existing financial framework, will be extend with additional staff, including a number of training places and functions for cyber reservists. [Some 150 cyber reservist positions are expected.]  It is expected that the DCC will be operational by the end of 2015.

Original Dutch: “Om de beoogde versnelling te bereiken zal de Taskforce Cyber opgaan in het DCC. Daarnaast wordt het DCC, binnen de huidige financiële kaders, uitgebreid met extra personeel, waaronder een aantal opleidingsplaatsen en functies voor cyberreservisten. Naar verwachting zal het DCC eind 2015 operationeel zijn.”

[…]

EOF

[Dutch] Enkele gedachten bij ongerichte interceptie door IVD-en

UPDATE 2014-03-11: today, a new CTIVD oversight report was published, together with the Dutch cabinet’s response to the Dessens report. The report covers exercises of various telecom-related powers by the AIVD and MIVD. Concerning the undirected (bulk) collection of phone metadata from wireless sources, the CTIVD has now established that it has not been motivated as required by law: nothing is known about necessity, proportionality or subsidiarity of such collection. IMHO the new report — which only exists as a result of Snowden’s revelations — reemphasizes that up until today, oversight on Dutch SIGINT is broken.  

UPDATE 2014-03-09: Bart Jacobs schrijft in zijn essay Gerichtheid moet in het DNA van inlichtingendiensten zitten (.pdf, 6 maart 2014): “[…] Waarom is er wereldwijd zoveel onrust ontstaan over de onthullingen van Edward Snowden? Ik denk in essentie omdat ze aantonen dat de Amerikaanse en Britse inlichtingendiensten NSA en GCHQ deze gerichtheid uit het oog verloren hebben. De techniek lijkt ze te benevelen, waardoor ze het gevoel verloren hebben voor wat gepast, geaccepteerd, of zelfs gerechtvaardigd is. […]”. Gegeven wat in het ruwe bronmateriaal van Snowden is te vinden is Jacobs’ analyse moeilijk te weerspreken.

Noodzakelijkheid, proportionaliteit en subsidiariteit: dat zijn de drie voorwaarden waaraan moet worden voldaan voordat de inzet door de AIVD en MIVD van bijzondere bevoegdheden zoals gerichte interceptie (‘aftappen’), ongerichte interceptie (‘sleepnettaps’) en binnendringen in geautomatiseerd werk (‘hacken’) door toezichthouder CTIVD als rechtmatig wordt beoordeeld. Is de inzet van de bevoegdheid noodzakelijk voor het onderzoek waarbinnen de inzet plaatsvindt? Weegt de privacyinbreuk op tegen het belang van het onderzoek? Is er een minder inbreukmakend alternatief om hetzelfde doel te bereiken? Deze afwegingen moeten, in beginsel, voorafgaand aan elke inzet van een bijzondere bevoegdheid worden gemaakt door de AIVD en de MIVD. Bij enkele van de onthulde programma’s van de NSA en GCHQ kunnen vragen worden gesteld over noodzakelijkheid, proportionaliteit en subsidiariteit.

Scheidend CTIVD-voorzitter Bert van Delden werd in december 2013 geciteerd op Nu.nl:

De toezichthouder deed de afgelopen tijd onderzoek naar de activiteiten van de Nederlandse diensten. ‘NSA-achtige praktijken’ kwam Van Delden daarbij niet tegen. (…) De werkwijze van de Amerikanen is volgens hem niet vergelijkbaar met die van de Nederlanders. Dat verschil is niet alleen een kwestie van cultuur, maar komt volgens hem ook door het ‘bijna onbeperkte budget’ van de Amerikaanse afluisterdienst NSA.

Geen ‘NSA-achtige praktijken’ door de Nederlandse diensten, dus? Hierover het volgende. Ten eerste: de notie van ‘budgetgrootte’ is relatief. Gegevensverwerking wordt steeds goedkoper, en dus kun je met gelijkblijvend budget steeds meer doen. Het plaatje hieronder uit het AIVD-jaarverslag over 2012 geeft de ontwikkeling van het budget weer: van 50 miljoen euro in 2000 tot 200 miljoen euro in 2012; en thans wat gecorrigeerd door bezuinigingen (als die gehandhaafd blijven).

Van Delden werd in hetzelfde artikel nogmaals geciteerd:

‘Je moet niet bezuinigingen op onze veiligheidsdiensten, maar je moet ze ook geen honderden miljoenen geven, want dan gaan ze zulke dingen doen‘, waarschuwt de vertrekkende CTIVD-voorzitter.

Budgetgrootte als bepalende factor voor de interne cultuur, dus.

Ten tweede is het begrip ‘NSA-achtige praktijken’ natuurlijk vaag. De AIVD zal behoeften en ambities hebben die — naar verhouding — vergelijkbaar zijn met die van de NSA: al was het maar om quid pro quo te kunnen blijven spelen met buitenlandse diensten. Zo blijkt uit het boek The Snowden Files nogmaals dat GCHQ zich zorgen maakt over de eigen informatiepositie in relatie tot behoud van het Britse “lidmaatschap” van de Five Eyes community. GCHQ c.s. blijven daarom zoeken naar verbetering en uitbreiding van methoden voor digitale spionage onder programma’s als Mastering The Internet en Global Telecoms Exploitation. Zoals Constant Hijzen opmerkt over wat via Snowden is onthuld:

Dit is geen schandaal, maar een praktijk die het gevolg is van de recente technologisering en groei van het inlichtingen- en veiligheidsapparaat.

Bekend is dat GCHQ de AIVD in 2008 adviseerde over de juridische aspecten van bulkinterceptie:

The Dutch have some legislative issues that they need to work through before their legal environment would allow them to operate in the way that GCHQ does. We are providing legal advice on how we have tackled some of these issues to Dutch lawyers.

Uit deze woorden blijkt strikt genomen niet dat de AIVD zou willen werken “in the way that GCHQ does”. De aanschaf van ARGO II, zie ook hier (de supercomputer waarover de MIVD+AIVD nu beschikken voor de verwerking van grote hoeveelheden data, naar verluidt geleverd door het Israëlische NICE Systems), het uitzicht op een bevoegdheid voor ongerichte interceptie van kabelgebonden communicatie (die het tappen van glasvezelverbindingen mogelijk zal maken) en de verwijzingen naar grote gegevensstromen in recente AIVD-jaarverslagen geven echter evenwel een aanwijzing dat de te verwachten werkwijzen nu toch ook weer niet volledig buiten het spectrum vallen van de werkwijzen van de NSA en GCHQ waarover nieuwsberichten zijn verschenen. Het AIVD-jaarverslag over 2010 vermeldt:

(…) Op een aantal ICT-gebieden moet de AIVD excelleren om het verdergaande technologiegebruik door onderzoekssubjecten het hoofd te kunnen bieden. Dit geldt in het bijzonder voor de strategisch-operationele doelen waarbij ook internationale informatiestromen verwerkt moeten worden. Op deze gebieden moet innovatieve technologie worden ingezet om te kunnen omgaan met de uitdagingen van cryptotechnologie, grootschalige data-analyse en cyberwarfare. De AIVD verwacht dat deze uitdagingen de komende jaren de ICT-ontwikkelagenda zullen blijven bepalen.

Het AIVD-jaarverslag over 2011 vermeldt:

Het werk van de AIVD is in hoge mate afhankelijk van het vermogen om snel grote hoeveelheden informatie te verwerken en te analyseren. Zo kunnen vroegtijdig bedreigingen van de nationale veiligheid worden onderkend. De AIVD moet daarom kunnen beschikken over moderne, kostenefficiënte en goedwerkende informatiesystemen die ten aanzien van de ondersteuning van operationeel inlichtingenwerk internationaal voorop lopen. Om dit te realiseren heeft de AIVD in 2011 een structurele ICT-investeringsimpuls gekregen die wordt aangewend voor het versterken van de capaciteit van Signals intelligence (Sigint), het verwerken van omvangrijke internationale datastromen, ICT-voorzieningen voor Regionale Inlichtingendiensten en waarborgen voor de continuïteit van de informatiesystemen van de dienst. (…) Een nieuwe versie van het AIVD-systeem voor de verwerking en analyse van Sigint-opbrengsten is opgeleverd.

Het AIVD-jaarverslag over 2012 vermeldt:

Overheden moeten kunnen inspelen op de snelle veranderingen in de digitale infrastructuur en de voortdurende aanwas van nieuwe communicatiekanalen: discussiefora, sociale media, ‘cloud computing’. Terroristen, extremisten en inlichtingendiensten van andere landen maken gebruik van deze communicatiekanalen, en beveiligen hun communicatie bovendien met steeds betere encryptie. hierdoor wordt het gemakkelijker om activiteiten aan het oog van opsporingsinstanties en inlichtingen- en veiligheidsdiensten te onttrekken.

Deze ontwikkelingen van digitale technologieën en de groeiende omvang van datastromen (‘big data’) nopen tot permanente investeringen, zowel in materiaal als in kennis en expertise. de investeringsimpuls van de afgelopen jaren is in 2012 voortgezet. er zijn investeringen gedaan voor het onderscheppen, beheren, verwerken en bewerken van grote informatiestromen. Bij deze investeringen kiest de aivd doelbewust voor het aangaan en uitbouwen van strategische samenwerkingsallianties met nationale en internationale partners.

[…]
De aivd heeft een systeem ontwikkeld waarin zeer snel nieuwe bronnen ontsloten en doorzoekbaar gemaakt kunnen worden. hoewel het systeem opgezet is voor sigint-data, is het zo ontworpen dat het ook gebruikt kan worden om grote hoeveelheden data uit andere bronnen snel op te slaan en doorzoekbaar te maken.
Voor nadere analyse van deze grote hoeveelheden data heeft de aivd applicaties ontwikkeld die rapportages en statistieken over specifieke trends kunnen produceren. Op het gebied van de analyse van sigint-data zijn wij samenwerkingsverbanden aangegaan met buitenlandse collega-diensten.

De AIVD en MIVD zijn dus, net als de NSA en GCHQ, bezig met grote gegevensstromen. Dat waren ze al binnen de in 2003 opgerichte Nationale Sigint Organisatie (NSO) met ARGO I, maar dat wordt dankzij ARGO II en nieuwe bevoegdheden straks uitgebreid binnen de Joint Sigint Cyber Unit (JSCU).

Ze kunnen niet anders, waarschijnlijk. In het Dessens-rapport wordt losjes geschat dat 80%-90% van het digitale maatschappelijke verkeer momenteel buiten het ongerichte blikveld van de diensten valt. Het toestaan van ongerichte kabelgebonden interceptie betekent wel dat ook in Nederland waakzaamheid is geboden tegen ‘NSA-achtige praktijken’. De Nederlandse wetgeving is al redelijk ruim; hoewel ik moet toegeven dat ik niet tot in detail weet in hoeverre ‘NSA-achtige praktijken’ in Nederland juridisch mogelijk zijn zoals in de VS mogelijk zijn dankzij FISA Section 702 (de juridische basis voor PRISM), PATRIOT Section 215 (de juridische basis voor bulkverzameling van metadata van telefoongesprekken) en Executive Order 12333 (dat de president de bevoegdheid geeft foreign intelligence programma’s uit te laten voeren buiten het zicht van het in de VS gebruikelijke rechterlijke toezicht en waarover de VS informatie weigert te verstrekken aan de EU). Heeft Ashkan Soltani’s betoog dat technologie, niet wetgeving, de remmende factor is voor Amerikaanse spionage ook relevantie voor Nederland?

In het Tempora-programma heeft GCHQ zich vanaf 2008 toegang verschaft tot inmiddels zo’n 200 glasvezelverbindingen. Ze zouden anno 2011 van 46 verbindingen gelijktijdig (alle?) data kunnen verzamelen en de volledige data tot drie dagen bewaren, de metadata tot dertig dagen. Het mag worden verondersteld dat de Nederlandse diensten een gelijksoortig programma opbouwen zodra ze de wettelijke bevoegdheid krijgen. Selectie uit ongericht verzamelde gegevens mag onder het huidige Artikel 27 derde lid WIV2002 op identiteit (persoon of organisatie), nummer, technisch kenmerk of trefwoorden. “Nut en noodzaak moeten altijd worden aangetoond”, vindt de cie-Dessens.

In het OPTIC NERVE programma heeft GCHQ in zes maanden tijd webcambeelden verzameld van wereldwijd 1.8 miljoen gebruikers van Yahoo webcam chat zonder dat die gebruikers ergens van werden verdacht. GCHQ wil er nieuwe targets mee ontdekken, en experimenteren met gezichtsherkenning om bestaande targets te vinden in de gegevensstromen. Gaan de Nederlandse diensten ook dit soort dingen doen? Is dat noodzakelijk? Is het proportioneel? Is er een minder inbreukmakend alternatief om het (niet nader bekende) doel te bereiken?

Het ontbreekt aan informatie waarmee de buitenstaander dat kan bepalen. Dat bemoeilijkt een eerlijk debat — de andere kant van het verhaal, die van de diensten, mist. Het ontbreken van informatie houdt dystopische straw man argumenten overeind: redeneringen van het type “ik wil niet in een wereld leven waar X”, waarbij X gewoon simpelweg niet aan de orde is, maar dat niet kenbaar is voor wie het argument maakt. Het zou goed kunnen zijn dat ongerichte kabelgebonden interceptie “onder de streep” volstrekt redelijk en wenselijk is, gegeven de taakstellingen van de diensten en de actuele situatie in de wereld: dat die nieuwe bevoegdheid aantoonbaar bijdraagt aan de veiligheid van onze strijdkrachten in het buitenland, aan het voorkomen van terroristische aanslagen in het binnenland, en nimmer wordt gebruikt op een manier die in strijd is met democratische beginselen.

Van de MIVD is bekend dat ze “generieke identiteiten” gebruikte om binnen ongericht geïntercepteerde niet-kabelgebonden data nieuwe targets te ontdekken: een praktijk die de CTIVD niet rechtmatig achtte, en vervolgens de facto adviseerde te legaliseren. [De exacte bewoording van de CTIVD luidde (.pdf): “De Commissie geeft in overweging te bezien of het, met inachtneming van de privacybescherming, noodzakelijk is dat aan de MIVD (en de AIVD) ruimere bevoegdheden worden toegekend die beter aansluiten op deze (gewenste) praktijk”).] Hoe sterk is onze democratie op dat punt? Het gebruik van generieke identiteiten als sleepnet zal in elk geval één van de onderdelen van de nieuwe Wiv zijn die op gespannen voet staat met democratische beginselen. Het hangt natuurlijk allemaal samen met wat de samenleving van de diensten verwacht: zie ook de betogen van Constant Hijzen.

Bij bevoegdheden die toestemming van de Minister van BZK of Defensie eisen wordt de afweging over noodzakelijkheid, proportionaliteit en subsidiariteit (als het goed is) verwoord in het toestemmingsverzoek. Het rechtmatigheidstoezicht op deze bevoegdheden door de CTIVD vindt primair plaats op basis van die toestemmingsverzoeken. Uit de toezichtsrapporten blijkt dat dit mechanisme in praktijk bij de AIVD goed werkt voor de inzet voor gerichte interceptie. Uit die rapporten blijkt ook dat dit mechanisme vooralsnog niet goed werkt voor ongerichte interceptie: de CTIVD onthoudt zich al jarenlang van een rechtmatigheidsuitspraak als gevolg van gebrekkige motivatie in de toestemmingsverzoeken. (Over de inzet van de hackbevoegdheid is weinig bekend; er is geen CTIVD-rapport dat in enige omvang ziet op de inzet van dat artikel.)

Voor het gericht monitoren van jihadistische fora hebben onze diensten in elk geval geen bevoegdheid tot ongerichte interceptie nodig, daartoe volstaat de hackbevoegdheid (Artikel 24 WIV2002) in combinatie met andere bestaande bevoegdheden. Misschien zou de hackbevoegdheid  een nieuw juridisch jasje kunnen krijgen dat beter rekening houdt met de aard van systemen en infrastructuur die zowel door (enkele) targets als (heel veel) non-targets wordt gebruik. En waarin nader wordt geregeld wat onze diensten mogen doen met gehackte systemen. Of de diensten Computer Network Exploitation (CNE) mogen bedrijven in de vorm van het achterlaten van malware op computernetwerken, zoals de NSA al op >50,000 netwerken heeft gedaan en zoals bij Belgacom is aangetroffen. Of de diensten ongerichte MitM-aanvallen mogen uitvoeren.

Iets dat juridisch mag (c.q. juridisch kan worden rechtgepraat met taalspelletjes) is niet automatisch moreel goed. De AIVD moet vooral onderscheid maken tussen targets en non-targets, ook al in de fase van verzameling: het principe van discriminatie in de Just Intelligence Principles van Ross Bellaby. Hoe zit het, in het licht van de opkomst van intelligencegestuurd politiewerk (.pdf), eigenlijk met de vervagende grens tussen inlichtingen en opsporing, de scheiding die bewust na WOII is ingevoerd en in Artikel 9 WIV2002 is vastgelegd? Welke juridisch nét toegestane gegevensverzamelingen, -koppelingen en -verrijkingen liggen in het verschiet, indachtig Travel Intelligence en het (destijds weliswaar verworpen) post-Madrid voorstel om gegevens te kunnen vorderen bij private partijen? Vragen genoeg. Voor nu moeten we allemaal met belangstelling uitkijken naar de kabinetsreactie op het Dessens-rapport (die verschijnt mogelijk op 10 maart) en het nieuwe Wiv-wetsvoorstel.

EOF