Month: October 2014

[Dutch] De voordelen en nadelen van signals intelligence (Wiebes, 2002)

Dr. Cees Wiebes geeft in Intelligence en de oorlog in Bosnië 1992-1995 (2002) een duiding van de voordelen en nadelen van signals intelligence. De Engelstalige versie van dat boek — een bijlage bij het Srebrenica-rapport van het NIOD — is vrij/open op internet beschikbaar: hier (.pdf). Van de Nederlandstalige versie is geen digitale versie beschikbaar. Ik heb de betrokken pagina’s 234-242 uit het gedrukte boek ingescand, geOCR’d en vervolgens handmatig gecorrigeerd: zie hieronder het resultaat (~3700 woorden). Ook beschikbaar als platte tekst: hier. En de scan: hier (.pdf). In Introduction on The Importance of Signals Intelligence in the Cold War (2001) schreven Matthew Aid en Cees Wiebes trouwens ook over dit onderwerp: zie hier enkele fragmenten uit die Engelstalige publicatie.

[…]2. De voor- en nadelen van Signals intelligence

Over Signals intelligence tijdens de Koude Oorlog en na de val van de muur is weinig bekend. Signals intelligence is namelijk nogal technisch van aard, en daardoor is vaak moeilijk uit te leggen wat het belang ervan is. Mede hierdoor hebben wetenschappers en journalisten het onderwerp veelal gemeden.

De schaarse aandacht die er wel voor was had meestal betrekking op de Tweede Wereldoorlog. Toch was Signals intelligence door de specifieke informatie die dit opleverde de belangrijkste bron van intelligence bij militaire conflicten tijdens en na de Koude Oorlog. Sinds mensenheugenis hebben regeringen immers altijd willen weten wat hun vijanden, maar ook hun vrienden in hun schild voerden. De gemakkelijkste manier daarvoor is om gewoon naar hun communicatieverkeer te luisteren. Het voormalige hoofd van de US Navy Communications Intelligence Organization schreef bijvoorbeeld: ‘The ambition of every nation has been to develop unbreakable ciphers for its own use and to solve every cipher in use by its actual or potential enemies.’

Voordelen van Signals Intelligence

Door het specifieke karakter van de verkregen informatie heeft Signals intelligence een aantal eigen kwaliteiten, waardoor dit een zeer effectieve methode is om intelligence te vergaren. In oktober 1998 beschreef John Millis, wijlen staff director van het House Permanent Select Committee on Intelligence, dat Signals intelligence ‘has been and continues to be the intelligence of choice of the policy maker and the military commander’. Hij voegde hieraan toe: ‘the fact of the matter is, it’s there quickly when needed. It’s always there. Or it has always been there.’ Hierna komen een negental voordelen aan de orde.

Een eerste voordeel van deze vorm van intelligence is dat het hiereen passieve methode betreft, in het algemeen uitgevoerd zonder dat het doelwit daar weet van heeft. Verder kan Signals intelligence gebruikt worden tegen een doel dat soms honderden of zelfs duizenden kilometers ver ligt; het is vaak niet nodig om onderscheppingenapparatuur dichtbij het doel te hebben. Signals intelligence kent daarom weinig politieke of fysieke risico’s; een uitzondering hierop vormde de vergaring van deze informatie vanuit vliegtuigen langs de kust van verschillende staten.

In de tweede plaats is Signals intelligence objectief; de betrouwbaarheid ervan is groot, en dat kan soms een perfect intelligence-product opleveren. Het zal, in tegenstelling tot inlichtingen vergaard door menselijke bronnen, Human intelligence, altijd vrij zijn van politieke vooringenomenheid en zal niet worden beïnvloed door de politieke perceptie van de bronnen van de agent. Human intelligence kan soms politiek gekleurd zijn, omdat deze wordt aangeleverd door verraders, of vanwege chantage, corruptie, politiek of financieel gewin. Maar Signals intelligence levert in ruwe vorm precies wat er geregistreerd wordt in een onverbloemde, niet-gekleurde en onverdraaide gedaante. Signals intelligence verwierf hierdoor een belangrijke status bij de afnemers van intelligence. Zo stelde een voormalige CIA-agent: ‘You know the origin and you know that this is genuine. It’s not like a clandestine [Human intelligence] report where you don’t know if this is a good agent or a weak agent or a bad agent or a double agent.’ Een andere CIA-medewerker noemde hierbij meteen ook de schaduwzijde: ‘Electronic intercepts are great, but you don’t know if you’ve got two idiots talking on the phone.’

Een derde voordeel is dat sommige – zeker niet aIle – intercepts een zelfstandig intelligen- ce-product kunnen zijn, zonder dat het nodig is om de informatie te verifieren via andere bronnen. De voormalige directeur van de CIA, Stansfield Turner, schreef in 1991:

“Electronic intercepts may be even more useful [than agents] in discerning intentions. For instance, if a foreign official writes about plans in a message and the United States intercepts it, or if he discusses it and we record it with a listening device, those verbatim intercepts are likely to be more reliable than second-hand reports from an agent.”

Een intercept kan dus unieke intelligence opleveren. Daarom krijgt de Amerikaanse president elke morgen, naast een Top Secret intelligence summary, een zogeheten Black Book met daarin de belangrijkste intercepts van de afgelopen 24 uur. In Den Haag wordt onder de hoogste ambtelijke beleidsmakers een soortgelijke op Nederland gerichte publicatie verspreid, de zogeheten ‘Groene Editie’ .

In de vierde plaats is Signals intelligence voor de intelligence-afnemer meestal de snelst beschikbare vorm van intelligence. Vooral de National Security Agency kan dankzij zijn wereldwijde afluisternetwerk Signals intelligence sneller aanleveren dan iedere andere vorm van intelligence. Tijdens de Cuba-crisis in 1962 duurde het bijvoorbeeld gemiddeld meer dan een week voordat een Human intelligence-rapport de CIA bereikte. Intercepts daarentegen waren voor de beleidsmakers direct beschikbaar. Hierdoor ging Signals intelligence (en Imagery Intelligence, beelden vanuit de lucht) een steeds belangrijkere rol vervullen bij waarschuwingen voor een vijandelijke aanval.

In de vijfde plaats levert Signals intelligence veel meer intelligence op over een breed scala van onderwerpen dan iedere andere vorm van intelligence. Aan het eind van de jaren zestig van de vorige eeuw produceerde de National Security Agency al meer dan 400.000 intelligence- rapporten per jaar, dus meer dan duizend rapporten per dag.”

In de zesde plaats: Signals intelligence ‘slaapt nooit’. Agenten en hun bronnen moeten immers van tijd tot tijd rusten en Imagery intelligence is soms niet inzendbaar vanwege duisternis, zandstormen of meteorologische omstandigheden. Signals intelligence kan echter dag en nacht worden ingezet: 24 uur per dag en 365 dagen per jaar.

In de zevende plaats is Signals intelligence flexibeler en meer gericht op de afnemer dan de meeste andere vormen van intelligence. Daarom stelde een rapport van het Amerikaanse Congres uit 1998: ‘much of the National Security Agency’s past strength has come from its localised creativity and quick-reaction capability’.” Vooral de grotere Signals intelligence organisaties zijn in staat om snel nieuwe doelen af te luisteren. Inlichtingendiensten kunnen nu eenmaal niet binnen 24 uur een heel nieuw netwerk van agenten en spionnen opbouwen. Ook Imagery intelligence is niet flexibel genoeg, want er zijn enorme kosten aan verbonden om een spionagesatelliet in een nieuwe baan te brengen.

Ten achtste is het potentieel van Signals intelligence veel groter dan iedere andere vorm van intelligence. Een succesvolle doorbraak bij het breken van een buitenlandse code kan waardevollere informatie opleveren dan alle andere intelligence-bronnen bij elkaar. Het kraken van een code is soms het ‘equivalent not of one but of a thousand spies, all ideally placed, all secure, and all reporting instantaneously’.”Zelfs de meest fervente voorstander van Human intelligence, de legendarische CIA-directeur van 1953 tot 1961 Allen W. Dulles, moest toegeven dat Signals intelligence ‘the best and “hottest” intelligence’ opleverde ‘that one government can gather about another’.

Ten slotte zou Signals intelligence de effectiefste manier zijn (vergeleken met andere methoden) om intelligence te verzamelen: het biedt, ondanks de hoge kosten, over het algemeen ‘meer waar voor zijn geld’.” Signals intelligence is inderdaad prijzig. Tijdens de Koude Oorlog besteedde de Amerikaanse overheid vier tot vijf keer zoveel geld aan Signals intelligence als aan Human intelligence. Sinds 1945 heeft de National Security Agency er waarschijnlijk meer dan $ 100 miljard aan uitgegeven, waarvan 75 procent aan Signals intelligence, en het overige aan de beveiliging van verbindingen (Communications Security).

Signals intelligence was en is kortom waarschijnlijk een van de meest productieve technieken om intelligence te vergaren.

Sinds de val van de Muur is het relatieve belang van Signals intelligence aIleen maar toegenomen. Dit geldt niet aIleen voor de Verenigde Staten, maar ook voor hun Europese bondgenoten. Die werden waarschijnlijk door het ontbreken van goede capaciteiten voor Imagery intelligence (beelden vanuit de lucht) zelfs nog afhankelijker van Signals intelligence.

Een voorbeeld hiervan zijn de banden tussen de Verenigde Staten en het Verenigd Koninkrijk: al gedurende de jaren tachtig was het grootste deel (tachtig á negentig procent) van de ruwe intelligence die elke dag naar het Britse Joint Intelligence Committee toevloeide afkomstig uit Signals intelligence, en in mei 1999 verklaarde de Britse minister van Buitenlandse Zaken, Robin Cook, over de Britse afluisterdienst dat ‘the Government Communications Headquarters work is vital in supporting our foreign and defence policies’. Ook het jaarverslag over 2000 van de Intelligence and Security Committee van het Britse Parlement gaf het belang van Signals intelligence aan: ‘The quality of the [Government Communications Headquarters-intelligence gathered clearly reflects the value of the close co-ordination under the UK-USAagreement.’ Hiermee werd verwezen naar een verdrag dat in juni 1948 werd ondertekend door Londen en Washington, genaamd het UK-USA Communications Intelligence Agreement. Dit legde de verdeling vast van de Communications intelligence- inspanning die toen gericht was tegen Moskou en zijn bondgenoten. Later gingen ook Canada, Australie en Nieuw-Zeeland van deze UK-USA-overeenkomst deel uitmaken.

Ook voor andere landen was Signals Intelligence van groot belang, zoals voor Canada, een belangrijke troepenleverend land van UNPROFOR. De nationale Signals intelligence- organisatie, de Communications Security Establishment, was de belangrijkste leverancier van intelligence in de Canadese hoofdstad Ottawa. En ook in Nederland speelden verbindingsinlichtingen in het verleden een belangrijke rol, zoals tijdens de oliecrisis. Ook in latere jaren heeft de, thans genoemde Afdeling Verbindingsinlichtingen (AVI) van de MID belangrijke intelligence aangeleverd.

Nadelen van Signals Intelligence

Tegenover de voordelen van Signals intelligence staat ook een aantal nadelen. Die zwakke kanten en beperkingen zijn overigens soms ook van toepassing op andere intelligence-

Allereerst gaan intercepts altijd gepaard met de grootste geheimhouding. De distributie van het Signals intelligence-product is daarom altijd zeer beperkt. Slechts een zeer kleine kring van de allerhoogste politieke en militaire beleidsmakers heeft toegang tot ruwe Signals intelligence. Deze geheimhouding is ook belangrijk in de context van de intelligence-sharing tussen de Verenigde Staten en hun westerse bondgenoten: vaak wordt Signals intelligence wel verwerkt in intelligence-rapportages, maar de ruwe Signals intelligence is aan weinigen voorbehouden, en dan meestal nog aIleen op een ‘need to know’-basis. De belangrijkste reden daarvoor is dat uitgelekte Signals intelligence grote schade kan veroorzaken. Als degene die afgeluisterd is, de ‘target’ in intelligence-jargon, dat ontdekt, kan deze namelijk snel codes of sleutels veranderen, waardoor de inspanning die geleverd is in de voorafgaande periode om die code of sleutel te breken in één klap waardeloos wordt.

Het nadeel van deze extreme geheimhouding is dat Signals intelligence vaak de juiste personen op de lagere niveaus niet bereikt. Soms bereikt Signals intelligence de commandanten op de grond niet, omdat besloten werd dat deze een need-to-know-classificatiehad, waardoor het intelligence-productgeen verdere verspreiding kreeg. Dit was bijvoorbeeld het geval tijdens de oorlog in Korea: de Communications intelligence bereikte niet aIleen de Amerikaanse troepen op de grond niet, maar evenmin de Amerikaanse marine en luchtmacht. Hierdoor bleef zeer waardevolle tactische en strategische intelligence ongebruikt.

De Amerikanen leerden niet veel van de Korea-oorlog, want tijdens de Vietnam-oorlog gebeurde nagenoeg hetzelfde. Belangrijke Signals intelligence over locaties van NoordVietnamese afweersystemen en MIG-gevechtsvliegtuigen, bleef bij de National Security Agency ‘hangen’, en bereikte de Amerikaanse luchtmacht en marine nooit. De gevolgen daarvan waren verstrekkend: er werden meer Amerikaanse vliegtuigen neergeschoten en er kwamen meer piloten om dan no dig was.

In het midden van de jaren tachtig, onder de regering-Reagan, weigerde de National Security Agency aanvankelijk zelfs om intercepts over steun uit Cuba en Nicaragua aan het gewapende verzet in El Salvador door te geven aan de CIA.

Ook in andere landen dan de Verenigde Staten gelden dergelijke beperkingen: in Moskou gaven KGB en de militaire inlichtingendienst GRU hun Signals intelligence slechts door aan een kleine groep binnen het Politbureau. Het delen van deze inlichtingen met leden van het Warschaupact was zelfs officieel verboden. En ook in Europese landen, als het Verenigd Koninkrijk, Duitsland, Frankrijk en Nederland, is de toegang tot Signals intelligence beperkt tot een selecte groep van beleidsmakers en militairen.

Naast de extreme geheimhouding en daardoor beperkte distributie is een tweede nadeel van Signals intelligence de rem op het gebruik ervan. Gedurende de jaren vijftig en zestig had elk Amerikaans Communications intelligence-rapportde volgende vaste beginregel: ‘No action is to be taken on information herein reported, regardless of temporary advantage, if such action might have the effect of revealing the existence and nature of the source.’ Waarschijhlijk wordt die beginregel nog steeds genoemd.

Deze beperking heeft tot zeer bizarre situaties geleid. Zo onderschepte de Australische Signals intelligence-organisatie (Defence Signals Directorate) in oktober 1995 Indonesische militaire berichten, waaruit bleek dat er plannen waren om vijf gearresteerde Australische journalisten op Oost-Timor te executeren. De dienst besloot om deze inlichtingen niet door te geven aan de Australische premier Gough Whitlam, omdat men vreesde dat deze vervolgens zou handelen op basis van deze onderschepte berichten, of zelfs zou openbaren. Dit zou de capaciteit van de Defence Signals Directorate om het Indonesische militaire verkeer mee te lezen, kunnen verraden, zo was de redenering. Vervolgens werden alle vijf journalisten vermoord door Indonesische Special Forces.

Een derde nadeel is dat Signals intelligence vaak niet op waarde wordt geschat of zelfs soms niet wordt geloofd. Signals intelligence als bron werd bijvoorbeeld tijdens de Koude Oorlog niet betrouwbaar genoeg geacht. Ook al tijdens de oorlog in Korea hechtte de top van de Amerikaanse krijgsmacht geen waarde aan Communications intelligence over de werkelijke sterkte van Mao’s Rode Leger. En tijdens de oorlog in Indochina weigerden Franse commandanten aandacht te schenken aan intercepts van vijandelijk verkeer, omdat deze niet pasten in hun eigen analyse van de militaire situatie.

Een volgend nadeel bestaat er omgekeerd juist uit dat veel landen tijdens de Koude Oorlog te afhankelijk waren van Signals intelligence. In 1978 was de Amerikaanse intelligence- gemeenschap daarvan zo afhankelijk geworden dat president Carter een duidelijke waarschuwing afgaf: ‘Recently (… ) I have been concerned that the trend that was established about 15 years ago to get intelligence from electronic means might have been overemphasized.’ Ook de militaire leiding van de Sovjet-Unie bleek volstrekt van Signals intelligence afhankelijk te zijn geworden waar het ging om een tijdige waarschuwing voor een nucleaire of conventionele aanval. Dat had zeer onaangename gevolgen, zoals bleek in de herfst van 1983. Er dreigde toen een serieuze nucleaire crisis, als gevolg van misverstanden: Soviet- en Warschaupact-grondstations interpreteerden een NAVO-oefening volstrekt foutief, op grond van Signals intelligence: ze dachten dat er een verrassingsaanval met Pershingraketten ging komen. En in mei 1998 leidde een verkeerde interpretatie van intercepts bij de Signals intelligence-organisatie van het leger van India bijna tot een nucleaire confrontatie tusscu India en Pakistan.

Hiermee hangt het vijfde nadeel samen: blind vertrouwen in verbindingsinlichtingen kan leiden tot een soort Signals intelligence snobbery. Zo werd tijdens de Koude Oorlog en daarna het belang dat men aan Signals intelligence hechtte steeds groter. Vooral de introductie van spionagesatellieten en het spionagevliegtuig U-2 leidde tot een verwaarlozing van Human intelligence. Er ontstond een soort intelligence-elitisme, ook wel bekend als het ‘Groene-Deur-syndroom’: het idee dat alleen Signals intelligence (en in zekere mate ook Imagery intelligence) nog betrouwbaar zou zijn. Human intelligence werd dan veelal afgedaan als onbetrouwbaar. De zogeheten BrixMis-spionagemissies in de DDR hadden hieronder te lijdcn; hun missierapporten weken namelijk soms af van de Signals intelligencerapportages over hetzelfde onderwerp. Dan werd meestal de Signals intelligence geloofd, omdat rapportages van het Government Communications Headquarters nu eenmaal veel hoger geclassificeerd waren (‘Secret’ of ‘Top Secret’), terwijl dezelfde intelligence in het BrixMis-rapportslechts ‘UK Confidential’ als classificatie meekreeg.

In een te groot vertrouwen in Signals intelligence schuilt nog een extra risico, dat als het zesde nadeel geldt: dit intelligence-product moet namelijk vaak bekeken worden in samenhang met Human intelligence en Imagery intelligence. Op Signals intelligence als exclusief intelligence-productvalt slechts in speciale gevallen te bouwen: Signals intelligence geeft veelal alleen een stukje van de puzzel, en zelden de gehele puzzel. Veel verbindingsinlichtingen zijn namelijk fragmentarisch en indirect. Dat betekent ook dat op intelligence van de National Security Agency niet valt te bouwen, omdat deze alleen ruwe verbindingsinlichtingen produceert en geen finished intelligence. De verantwoordelijkheid om tot een afgerond intelligence-productte komen, ligt bij de afnemers (de consumenten) van het ruwe materiaal van de National Security Agency. Analisten binnen die Amerikaanse intelligence- gemeenschap moeten dan ook vaak honderden of zelfs duizenden verbindingsinlichtingen analyseren, wil het ‘plaatje’ duidelijk worden. Een medewerker van een Amerikaanse inlichtingendienst verklaarde in dit verband: ‘You rarely get a Signals intelligence smoking gun. It’s usually very fragmentary (…) Very often you don’t even know who you’re listening to.’ Dat is een bevestiging dat ook Signals intelligence niet alle antwoorden geeft; toepassing daarvan is zeker niet voldoende om de politieke voornemens of de interne politieke machinaties binnen een buitenlandse overheidsadministratie bloot te leggen. Overigens zijn ook Imagery intelligence en Human intelligence daar zelden toe in staat,

Een zevende nadeel bestaat erin dat Signals intelligence weliswaar snel is, maar desondanks soms toch te laat arriveert. Tijdens de Suez-crisis in 1956 en de invasie van Tsjechoslowakije in 1968 was er bijvoorbeeld voldoende Signals intelligence beschikbaar, maar de verwerking, analyse en rapportage bleek te tijdrovend. Pas dagen na beide invasies was de Signals intelligence beschikbaar.

Dit hangt weer samen met het achtste nadeel, dat waarschijnlijk het belangrijkste is: de stroom informatie is enorm, maar de analysecapaciteit is onvoldoende. Krachtige computers kunnen een snelle voorselectie uitvoeren en het kaf van het koren scheiden, maar de analist moet uiteindelijk toch bepalen of een bericht waardevol is. Signals intelligence- organisaties worden tijdens een crisis overspoeld met massa’s intercepts. CIA-analisten waren niet in staat om de oorlog in het Midden-Oosten in 1973 te voorspellen, omdat er honderden Communications intelligence-rapportenvan de National Security Agency op hun bureau landden: daardoor werd het overzicht verloren.

De directeur van National Security Agency in 1995, admiraal McConnell, verklaarde bijvoorbeeld dat de ‘National Security Agency’s capability to intercept far exceeds its capability to decode, analyze and report. The goods news is the agency can decode and analyze a million messages a day; the bad news is the agency must decide which million, of the billions of messages sent globally, to decode.’ Omstreeks 1995 verwerkte de National Security Agency inderdaad slechts ongeveer één procent van alle intercepts die het hoofkwartier in Fort Meade bereikten; in de jaren tachtig was dat nog twintig procent. Tekenend voor de verhouding tussen binnenkomende intercepts en uitgaande intelligence bij de National Security Agency is daarbij dat de huidige directeur van de National Security Agency, generaal Hayden, moest toegeven dat de National Security Agency inmiddels weI minder produceerde aan intelligence dan tien jaar geleden. Bij de intelligence-productievan de National Security Agency hielp ook niet – zoals een interne studie in het voorjaar van 1995 onthulde dat er voortdurend bureaucratische gevechten binnen de National Security Agency plaatsvonden, tussen de militaire en de civiele delen van de Divisie Operaties van deze organisatie. Dat vertraagde de stroom van intelligence naar andere diensten aanzienlijk; veel afnemers van het intelligence-productvan de National Security Agency klaagden midden 1995 dat de National Security Agency niet in staat bleek te zijn om aan hun behoefte te voldoen.

Een negende nadeel is de inherente kwetsbaarheid van verbindingsinlichtingen. Verbindingen worden beveiligd, codes kunnen plotseling veranderd worden, er kan frequency hopping plaatsvinden bij de zenders; daarbij springt de zender volgens een, aIleen bij de legitieme ontvanger bekend, patroon tussen verschillende frequenties. Ook kunnen er zogeheten bursttransmissies optreden, waarbij in enkele seconden enorme hoeveelheden informatie wordt verzonden. En er kan sprake zijn van spread spectrum, waarbij de te verzenden informatie verdeeld over simultaan uitgezonden frequenties wordt uitgezonden. Een andere voor de hand liggende manier om de verbindingsinlichtingen te storen door degene wiens berichtenverkeer wordt onderschept, is om opzettelijk valse berichten te verspreiden, in de hoop dat die opgevangen worden. Ook cryptografie is een uitstekend middel om het berichtenverkeer te beschermen. Millis noemde dit een van de grotere bedreigingen voor de inspanningen van de National Security Agency: Signals intelligence verkeerde volgens hem door deze factoren in een crisis, en de wereld van het communicatieverkeer was niet langer Signals intelligence-vriendelijk te noemen.

AIle inspanningen kunnen natuurlijk ook tenietgedaan worden door spionage of verraad. Sovjet-spionnen als William Weisband, William H. Martin en Bernon F. Mitchell hebben enorme schade toegebracht aan de Amerikaanse pogingen om verbindingsinlichtingen te verwerven. Versprekingen van de Amerikaanse president kunnen hetzelfde resultaat opleveren. Zo onthulde president Richard M. Nixon in 1969 tijdens een persconferentie dat de National Security Agency in staat was om het communicatieverkeer van de Sovjet-Unie en Noord-Korea te lezen. Na die verklaring veranderden Moskou en Pyongyang hun cryptografische systernen, en was de National Security Agency direct ‘doof’. De National Security Agency had maanden nodig om de schade die veroorzaakt was door Nixons verspreking te herstellen.

Een tiende nadeel is dat Signals intelligence vanwege de beperkte verspreiding ook voor eigen politieke doeleinden aangewend kan worden. Dat deed Henry Kissinger als National Security Advisor van Nixon; bepaalde gevoelige intercepts werden niet met de ministers van Defensie en Buitenlandse Zaken gedeeld. En in 1986 weigerde de National Security Agency zelfs Signals intelligence over de Iran-Contra-affaire te delen met de minister van Defensie, Weinberger: de redenering was dat het Pentagon geen ‘need-to-know’ had.

Als elfde nadeel geldt soms het ontbreken van gecoordineerde Signals intelligence-verzamelactiviteiten. Tijdens de Koude Oorlog waren de verschillende Signals intelligenceorganisaties van de drie Amerikaanse krijgsmachtonderdelen en van de diverse inlichtingendiensten vaak bezig met hetzelfde doel. Er ontstond zo een enorme verdubbeling van verbindingsinlichtingen. Ook na de Koude Oorlog kwam dat voor, bijvoorbeeld bij de jacht op drugskoning Pablo Escobar in 1992-1993: de National Security Agency, de Signals intelli- gence-eenhedenvan de CIA en de Amerikaanse krijgsmacht opereerden toen volstrekt onafhankelijkvan elkaar, om aan te tonen dat hun personeel en materieel ‘beter’ waren dan die van de andere organisatie. Ook in de Sovjet-Unie werkten de KGB en de militaire inlichtingendienst GRU vaak langs elkaar heen, en dit fenomeen deed zich niet aIleen voor bij deze twee grote mogendheden: in Duitsland vochten de Bundesnachrichtendienst en de Duitse militaire inlichtingendienst meer dan twintig jaar over de vraag wie er zeggenschap over Signals intelligence zou krijgen. In hoofdstuk 3 kwam al aan de orde dat er ook in Nederland drie afzonderlijke militaire organisaties bestonden voor verbindingsinlichtingen; van samenwerking of serieuze pogingen tot integratie was amper sprake. Pas in 1996 werden deze drie diensten geintegreerd tot de Afdeling Verbindingsinlichtingen.

Tot slot zijn ook technische obstakels een zekere belemmering bij Signals intelligence. Atmosferische storingen, ruis, zwakke ontvangst en het af en toe wegvallen van verbindingen kunnen een goede onderschepping in de weg staan. De gesteldheid van het terrein kan eveneens een belemmerende factor zijn. Dichtbewoonde gebieden, maar ook bergen en vaIleien, maken een goede interceptie van veraf vaak onmogelijk. Ten slotte kunnen storingen worden veroorzaakt door industriele activiteiten die de interceptie onmogelijk maken.

Samengevat: Signals intelligence is een belangrijke, veilige, sneIle, permanent inzetbare, kostbare, productieve en zeer betrouwbare methode om intelligence in de vorm van verbindingsinlichtingen te vergaren. Er kleven evenwel ook nadelen aan waarvan de belangrijkste zijn: de stortvloed aan onderschepte gegevens, het ontbreken van voldoende analysecapaciteit, de beperkte mogelijkheden van interceptie vanwege cryptografie, beveiligde verbindingen via landlijnen, de terreingesteldheid en atmosferische omstandigheden.

[…]

EOF

‘Chief of NSA/USCYBERCOM Eyes Deterrence in Cyberspace’ — here is a list of readings on deterrence

According to a report by DefenceTalk, the chief of the NSA and USCYBERCOM, Mike Rogers, is eyeing deterrence to fight adversarial behavior in cyberspace. The article quotes from Rogers’ response to the newly revealed reports that allege malicious behavior from Chinese and Russian actors: “Right now, if you are a nation-state, if you are a group, if you are an individual, my assessment is that most (hackers) come to the conclusion that [attacking U.S. targets in cyberspace] is incredibly low-risk, that there is little price to pay for the actions that they are taking”. Furthermore: “[it is] not in our best interests in the long term as a nation to have that perception”. No information is provided concerning a strategy for such deterrence. For inspiration, here is a list of readings on deterrence in cyberspace (covers various kinds of actors):

EOF

The Dutch Defense Cyber Command: A New Operational Capability

UPDATE 2016-11-30: the Dutch MoD announces that the DCC will be mission-ready in the first part of 2017; it has some 80 personnel, spanning defensive and offensive capabilities. (Note: that number represent just the DCC; obviously, more personnel with IT security knowledge and skills is present throughout the MoD, e.g. at DefCERT, Ivent and military intelligence.)

UPDATE 2016-06-xx: article, in Dutch, about the DCC: Defensie Cyber Commando, een nieuwe loot aan de defensieboom (.pdf, by BGen Hans Folmer, published in Intercom 2016-1, i.e., the magazine of the association of Dutch army signals officers)

UPDATE 2016-05-03: the Dutch MoD reports that it works with Thales to set up an advanced cyber training & test facility in the Du Moulin Barracks in Soesterberg.

UPDATE 2014-11-05: for illustrative purposes I added two tables on cyber vs physical/conventional topics from Cyberspace: The Ultimate Complex Adaptive System (.pdf, 2011) by Dr. Paul W. Phister Jr. (AF Research Laboratory, USA).

UPDATE 2014-10-23: added budget data, more context, and a chart from 2011 visualizing the implementation the Dutch Defense Cyber Strategy of 2012.

Colonel Hans Folmer, the Commander of the newly established Dutch Defense Cyber Command (DCC), wrote a short article (.pdf, in Dutch) for “Magazine Nationale veiligheid en crisisbeheersing 2014, nr. 5” entitled “The Dutch Defense Cyber Command: A New Operational Capability” (my translation). The magazine was published online by the Dutch government on October 22nd 2014. A translation of Folmer’s article follows in the body of this post.

Cyber can be used by the military to carry out — with varying cost/risk/yield ratios — defense, attack and intelligence. For instance, to deny, disrupt, degrade or destroy enemy capability involving digital systems; whether on land, sea, air, space, or in the digital domain itself. To illustrate the use of cyber in the conventional military objective of antiaccess/area-denial, consider the following table published by Harry Foster, Deputy Director of the USAF Center for Strategy and Technology at Air University, in JFQ-72 (4.2MB .pdf, 2014):

usaf-cyber-example

Two other illustrations can be found in Table 1 and Table 2 in Cyberspace: The Ultimate Complex Adaptive System (.pdf, 2011) by Dr. Paul W. Phister Jr. First, Table 1 maps the conventional domains — sea, ground, air and space — to the cyber domain:

phister2011-table-1-cyber-vs-conventional

Second, Table 2 maps attributes of the physical environment to those of the cyber environment:

phister2011-table-2-cyber-vs-physical

Now, on to the Dutch DCC. The Dutch DCC formally resides within the Royal Netherlands Army, the land forces element of the Dutch armed forces (in Dutch: “Commando Landstrijdkrachten” (CLAS)), but involves officers from all military domains. The DCC is primarily tasked with defense, but will also work on offense and, to a lesser extent, intelligence. The DCC will cooperate with the MIVD and the Joint Sigint Cyber Unit (JSCU). The JSCU is a joint organization of the General Intelligence & Security Service (AIVD) and the Military Intelligence & Security Service (MIVD) that is tasked with the collection of data from technical sources, making it accessible and searchable, perform analysis (correlation, data mining), and delivering sigint and cyber capability in support of the intelligence requirements of the AIVD and MIVD (possibly on-site in military deployment areas). Roughly put, the DCC is the Dutch smaller equivalent of USCYBERCOM, and the JSCU is the Dutch smaller equivalent of the NSA.

No organizational chart is available of the current situation (AFAIK), but in 2011, the following chart was used to visualize the implementation of the Dutch Defense Cyber Strategy, and still seems applicable:

dcc-ontwerp-organogram-2011

As of 2016, the annual budget of the DCC is estimated to be some EUR 21M. According to the budget (2.2MB .pdf, in Dutch) of the Ministry of Defense (MoD) for 2015, the investment budget for “cyber weapons” is EUR 5M in 2015, EUR 7M in 2016 and EUR 9M from 2017 onward. (Note: the document does not define “cyber weapons”.) The annual budget is divided in investments, exploitation and personnel as follows (in million euro):

defensie-budget-cyber-2015

Some 40% of this budget is assigned to the MIVD, some 40% to the DCC (including DCEC), and the remainder to Joint IV Command (JIVC), the Netherlands Defence Academy (NLDA) and Directorate of Operations (DOPS). The MIVD has some 800 employees, the AIVD has some 1500 employees. The JSCU will have 350 employees, mostly from the AIVD and MIVD. The number of employees residing under the DCC and DCEC is not known (to me), but it is reported that sixty new employees were acquired, and that fourteen military officers are will be trained in hacking by Fox IT.

Just like other parts of the armed forces, the operational use of the DCC will be controlled by the Chief of Defence (CHOD), the highest ranking military officer in the Dutch armed forces. This position is currently held by Tom Middendorp. (His predecessor, Dick Berlijn, has been Cybersecurity Advisor at Deloitte Netherlands since resigning in 2008.)

Here is a translation of Folmer’s article about the DCC (hyperlinks are mine):

The Defense Cyber Command, a new operational capability
By Colonel Hans Folmer
Commander of the Dutch Defense Cyber Command

On September 25th 2014, the Minister of Defense, Jeanine Hennis-Plasschaert, established the Defense Cyber Command in The Hague. She rightfully called [.pdf, in Dutch] the launch of a new operational unit and the final addition of the cyber weapon to the toolkit of the Dutch armed forces a historic event.

The nature and character of conflicts change. Maximum disruption of societies increasingly is the objective of malicious actors. Increasingly, better use is made of modern, easy to obtain technical digital means.

In military operations, the cyber domain is used effectively by all parties both for command and control, and propaganda. Weapons and sensory systems are digital systems. Attacks can now occur globally and in real time. The enemy does not even have to physically cross a border to attack us. On the other hand, the enemy can be grabbed at large distance, or disruptive activities can be counteracted. It is of crucial importance to recognize, understand and control this, and also to deploy cyber weapons ourselves. The Dutch armed forces draws conclusions from this and wants to play the prominent role that suits our country. To guarantee the ability to deploy the armed forces and to increase its effectiveness, the Ministry of Defense has been working on strengthening its digital defensibility for several years, and will in the coming years be developing the capability to carry out cyber operations.

The establishment of the Defense Cyber Command (DCC) was the final step toward embedding all cyber capabilities within the Ministry of Defense. In June 2012, the Minister of Defense, Hans Hillen, presented the Defense Cyber Strategy. The core of the strategy is that the digital domain, next to land, air, sea and space, has now become the fifth domain for military action. Digital means as weapon or means of intelligence will increasingly be an integral part of military action. However, the dependence on digital means also results in vulnerabilities that require urgent attention.

The strategy includes six priorities that will guide the Ministry of Defense in effectuating hear goals in the digital domain:

  1. the establishment of an integral approach;
  2. the strengthening of the digital defensibility of the Ministry of Defense (“defensive”);
  3. the development of the military capability to carry out cyber operations (“offensive”);
  4. the strengthening of intelligence in the digital domain (“intelligence”);
  5. the strengthening of knowledge position and innovative capability of the Ministry of Defense in the digital domain, including the acquisition and retaining of qualified personnel (“adaptive and innovative”);
  6. the intensification of national and international cooperation (“cooperation”).

In the establishment of the strategy, the strengthening of our own protection was prioritized (by the establishment of DefCERT, the Computer Emergency Response Team of the Ministry of Defense) and expanding the intelligence capability. In addition, the knowledge position has been worked on energetically, with the establishment of the Defense Cyber Expertise Center [as per May 214], and of course on the cooperation with public, private and international partners. The establishment of an operational capability was originally planned for the end of 2015, but in the memorandum “In het belang van Nederland” the urgency was recognized and the establishment of the DCC accelerated.

The Defense Cyber Command is the central entity within the Ministry of Defense for the development and use of military operational and offensive capability. For that purpose, the DCC, in addition to a small staff, has three departments.

  1. The Operations department consists of a pool of cyber advisers for the support of operational units. These cyber advisers will be used in small teams during actual operational deployment and exercises, and are tasked with advising the operational commander on the use of digital means, dependency, vulnerabilities and capabilities of the enemies and our own troops. They will also advise on the protection of our own means. The cyber advisers are the link between the operational unit in the deployment area and the cyber units in the Netherlands (DCC and DefCERT). These teams will be trained jointly with operational units, as preparation for cooperation during an operational deployment.
  2. The Technology department consists of cyber specialists that have the technical knowledge and skills to act offensively in the cyber domain, both to carry out an effective defense as well as to support operations. Offensive cyber capabilities are capabilities aimed at influences or disrupting enemy actions. This concerns the development of (knowledge about) complex and high-tech means and techniques specifically aimed at increasing our own military capability. A cyber attack on an air defense system, for instance, can increase the effectiveness of an air raid, while limiting the risk to collateral damage.
  3. The Defense Cyber Expertise Center (DCEC) is the central entity within the Ministry of Defense for strengthening our own knowledge position, and as a result the innovative capability in the cyber domain. The DCEC will supply practically applicable cyber knowledge, concepts/doctrines and Education&Training support to all parts of the Ministry of Defense, and thereby contributes to the strengthening of the three cyber capabilities. The DCEC cooperates with knowledge institutions, universities and other (international) knowledge centers.

The mere establishment of the DCC does not yet achieve our goals. The establishment of this command will take time. In this domain, a new world is still to be discovered and developed. Much is yet unclear, and we are but at the beginning of the development of new capabilities. Existing tactics and methods of acting must be reshaped in the cyber domain. To that end, a cyber doctrine is currently being developed. Learn, experiment and apply, that is the motto for the coming years.

Summarizing, it must be possible to support military operations with offensive cyber capabilities. For that purpose, the Defense Cyber Command has been established. Offensive cyber capabilities can be a force multiplier, and thereby increase the effectiveness of the armed forces. By developing a robust cyber capability, the Netherlands can play an important role on this area within NATO. It is important that it is not a silver bullet to our all-encompassing vulnerability. It is, however, a crucial addition to our existing conventional capabilities on land, sea and air. Not a substitute, but a very important force multiplier.

Folmer states that the Netherlands “can play an important [cyber] role within NATO”. DefCERT has an existing covenant with NATO Computer Incident Response Capability (NCIRC). Also, one of the three NATO Communications and Information Agencies (NCI Agencies) is located in The Hague, adjacent to the business unit Defence, Safety & Security of knowledge institute TNO. According to some Parliamentary Papers, the MoD cooperates with TNO on the area of big data.

Furthermore, the MoD is a funding partner in Small Business Innovation Research Programs (SBIR) on cyber security. So far, two such calls exist: SBIR Cyber Security I (Sep 2012 – Dec 2014) and SBIR Cyber Security II (May 2014 – Jul 2016). Both involving some EUR 2-3M in available funding. A list of projects funded during the first call is available here. One of the example requirements the Dutch MoD expressed (.pdf, Jan 2014, in Dutch) in a pitch for SBIR-II is Linux/Python-built software for network reconnaissance against target networks for the purpose of identification, localization and detection; specifically also soliciting ideas for IPv6-based explorations.

Related:

EOF

Dutch IRS uses the Dutch police’s (nearly) nation-wide ANPR camera network for state tax collection

UPDATE 2017-02-24: NRC Handelsblad reports that the Dutch supreme court (“Hoge Raad”) granted an appeal seeking that the Dutch IRS can, for privacy reasons not further explained in the news report, can not use the nation-wide ANPR camera network for the purposes of checking whether or drivers of leased company vehicles drive more than 500km per year privately (conceivably, that mass processing of nation-wide ANPR data is claimed to be disproportionate for that purpose). Persons who drive more than 500km per year for private reasons in a leased company care (effectively) have to pay more tax. The final ruling by the supreme court is expected later this year.

UPDATE 2014-10-22 #2: build your own vehicle license plate recognition using the DTK ANPR SDK v2.0 (kudos to unnamed person for the tip).

UPDATE 2014-10-22: similar news was covered several weeks ago in length by Maurits Martijn (De Correspondent). His reports have the attention of national politics. In 2013, Wilmer Heck (NRC Handelsblad) first reported on the existence of a covenant (.pdf, in Dutch) between police and IRS on the use of ANPR, a cooperation that turned out to exist since (at least?) 2011. Also see this document (.pdf, in Dutch).

Yesterday, Dutch news site GeenStijl reported (in Dutch) on information (.pdf, in Dutch) obtained through a FOIA request revealing that the Dutch police allows the Dutch IRS to use all Automatic Number Plate Recognition (ANPR) camera footage and data that is “fiscally relevant” to collection of state taxes. ANPR cameras are installed throughout the Netherlands: it essentially is a (nearly) nation-wide network of traffic cameras. The camera footage will be used to enforce, among others, the following Dutch tax laws:

Since journalist Wilmer Heck’s report in 2013 it is known that the IRS uses ANPR data since at least 2011. But up until last month, that “only” involved the 200ish camera’s on main traffic axes. This cooperation is now extended so that the IRS may use data collected through all ANPR camera’s. Here’s a translation of the report on GeenStijl (note: I rephrased bits to make it more clear for people not familiar with Dutch media & politics):

IRS will be fully watching ANPR camera footage

At the end of September, the Dutch Minister of Security & Justice, Ivo Opstelten, wrote that it is “technically and administratively feasible” to use the Dutch police’s ANPR cameras “more extensively” [in Dutch]. The letter was written in a way that suggests that expansion still had to take place. This was another creative view on the Hague reality of the senile old bastard: the month before, a covenant had already been signed between the police and the IRS. That covenant states that the IRS can “co-use” the “ANPR cameras that are in use by the police atmain thoroughfares“, but also that the IRS can extend this co-use to “other ANPR cameras that belong to the police’s ANPR network”. So, ALL of them. It’s very friendly of the police to allow the IRS to browse through number plate data of all Dutch citizens. Especially taking into account that the police really cannot store & retain the data, according the a law they have been violating for years [in Dutch]. And as opposed to car drivers who exceeded the speed limit by three kilometers per hour, the IRS does not even have to pay administrative costs to the police for using their stasi-cams. More friendly collegiality, that enables the government to more easily see behind the car doors of the unwitting driver. We asked the police and IRS for the implications regarding privacy. Their response, singing all together: “Privacy? Hahaha LOL!” Duly noted. (h/t)

The police and IRS are also legally allowed to carry out tasks on behalf of the Dutch intelligence & security services, such as the General Intelligence & Security Service (AIVD). If one can think of a plausible use of ANPR data to intelligence services, it can be safely assumed they use it as well (note: no specific evidence for that is known to me).

EOF

In early 2015, Dutch govt will ask parliament to grant hacking power to law enforcement

UPDATE 2015-12-22: and here they are: the new cybercrime bill and MoU (in Dutch) as submitted by the cabinet to the House. Notably, the cabinet cancelled compelled decryption because of the right not to self-incriminate (nemo tenetur principle). Thus, the final bill, that will be discussed in the House, does not contain a power for LE to compel suspects of certain “very serious criminal offenses” to decrypt their data under penalty three years imprisonment or a fine of up to ~20k euro.

UPDATE 2015-11-27: the cabinet announced today that it submitted the cybercrime bill to the House of Representatives, as part of a series of bills relevant to counterterrorism. The bill should become available in the not-too-distant future; I’ll add the link here. The bill’s status has moved from “Raad van State” (Council of State) to “Tweede Kamer” (House of Representatives). NOS has a report (in Dutch).

UPDATE 2015-06-11: it is reported that the cabinet will submit the proposal after the parliamentary summer break, which ends on August 31st 2015.

In October 2012, the Dutch government announced its initiative to grant law enforcement the power to covertly and remotely access “automated works” (computers, phones, etc.), under certain circumstances. In 2013, draft legislation (Memorandum of Understanding) was published. The proposal concerning covert and remote access is part of a larger text — unofficial English summary available here — that criminalizes the trade in stolen (digital) data and that proposes the following powers:

  • Remote entry of automated works and the placement of technical means (such as software) for the purpose of investigation of severe forms of cybercrime. (Note 1: this applies to “serious criminal offenses”. Note 2: some hacking has already been carried out by Dutch police, for instance to take down Bredolab (2010) and to fight child porn on Tor (2011), under authorization of a magistrate.)
  • Remote search of data that is accessible from an automated work, regardless of the location of the automated work on which the data is stored and taking into consideration agreements and rules of international legal assistance;
  • Remotely making data inaccessible that is accessible from an automated work, regardless of the geographical location of the automated work on which the data is stored and taking into consideration agreements and rules of international legal assistance;
  • Compelling suspects of certain “very serious criminal offenses” to decrypt their data under penalty three years imprisonment or a fine of up to ~20k euro (at odds with nemo tenetur).

All of the proposed powers require authorization from a magistrate. The proposal was covered on Slashdot and criticized by Bits of Freedom. In May 2013, the Dutch government submitted the proposal for public consultation (in Dutch). Bits of Freedom submitted criticism, as many others did, including me (in Dutch). The government also submitted the proposal to the Dutch Data Protection Agency (CBP), who in February 2014 expressed concerns relating to the requirements of necessity and proportionality imposed by the European Convention on Human Rights (ECHR). That same month, the government submitted its proposal to the Dutch Council of State for further consultation.

It is publicly known that the Dutch national police (KLPD) had, and still has, active licenses for FinSpy (trojan horse that runs on Windows, OS X and Linux) and FinSpy Mobile (that runs on Android, Blackberry, iOS and Windows Phone): this was observed in WikiLeaks’ SpyFiles 4. The use of such methods is confirmed through the answers (in Dutch) given on October 6th 2014 to Parliamentary questions on this topic (h/t @rejozenger).

On October 18th 2014, the Dutch Minister of Security & Justice answered (.pdf, in Dutch) Parliamentary questions by MP’s Berndsen-Jansen and Verhoeven (both affiliated with the D66 party) concerning this proposal. The last answer indicates that the govt will submit its proposal to the Dutch Parliament in early 2015. Here is a translation of all six questions and answers:

Question 1:
Are the reports correct that a large international investigation is ongoing into Blackshades, software that can be used to create malware, among others? [Footnote 1: http://www.nu.nl/weekend/3858563/huiszoeking-aanschaffen-omstreden-software.html]
Answer 1:
The reports are correct to the extent that the US and Canada have ongoing criminal investigations in various European countries against buyers, sellers, distributors and/or creators of software primarily designed to commit, in short, computer crime as meant in Articles 138ab (first section), 138b and 139c of the Penal Code.

Question 2:
Does the Public Prosecution, in the context of investigation into Blackshades, commissioned the hacking of the Blackshades server? If so, can you explain the legal basis for that, and the grounds on which it is permissible?
Answer 2:
The Public Prosecution did not commission the accessing of the Blackshades server. Dutch law enforcement has, under the responsibility of the Public Prosecution, and after authorization of a magistrate, remotely accessed a server and searched this server to record data on the basis of Article 125i of the Code of Criminal Procedure.
Under certain circumstances, Article 125i, after authorization of a magistrate, permits remote access of a computer, for the sole purpose of searching the computer for predetermined data files and if necessary seize those by recording them. This occurred in two criminal cases involving very serious offenses. I refer to the answers to the questions by MP Gesthuizen (Socialist Party) to the Minister of Security & Justice on the use of controversial spying software by Dutch law enforcement (2014Z13948, submitted August 11th 2014).

Question 3:
How often did the Public Prosecution so far commissioned the police to hack servers and computers in the context of an investigation and what was the basis for the authority to hack?
Answer 3:
Police carries out investigations on the basis of the Code of Criminal Procedure. The term “hacking” is not present there. The police has, as mentioned in the previous answer, on the basis of Article 125i, only in several (exceptional) cases, with authorization from the magistrate, accessed an automated system and secured data from a server whose location and ownership were unknown. One of those investigations concerns Blackshades.

Question 4:
To what extent is the current Penal Code sufficient as a legal ground for the police to access servers and computers of suspects?
Question 5:
Is it true that your proposal to “Change the Penal Code and the Code of Criminal Procedure in relation to the improvement and strengthening of investigation and prosecution of computer crime (Computer Crime III)” aims to provide a legal basis for Justice to hack servers and computers for the purpose of an investigation? If so, how does the current practice of commissioning hacking for the purpose an investigation relate to this proposal?
Answers 4 and 5:
As explained in answer 2, the current legislation must be supplemented, which the Computer Crime III proposal aims to do. The purpose of that legislative proposal is to tailor the legal framework for investigation and prosecution of cybercrime towards the investigation and prosecution of computer crime and new methods used by criminals. Today’s society and the fast changes of technology for communicating and sharing or storing information globally require that law enforcement keeps pace (also see my letter to Parliament of October 15th 2012 concerning legislation for fighting cybercrime).

Besides various changes and supplements, the legislative proposal provides a new power that allows an investigating officer, following an order of a prosecutor, to covertly and remotely access an automated work to exercise certain investigatory powers in that automated work. Accessing an automated work is a more infringing power than searching an automated work, and necessary for the investigation of many forms of internet crime.

Question 6:
When do you expect to submit the Computer Crime III proposal, that has been in consultation since May 2013, to Parliament?
Answer 6:
The legislative proposal will be submitted to Parliament in early 2015.

One important aspect will be to what extent the government addressed the concerns expressed by the Dutch Data Protection Authority (CBP). Notably, the CBP advised that logging of police actions through malware for the purpose of accountability requires that the precise way in which the software works must be known — including the source code (although that probably won’t fly IRL).

EOF