Month: November 2015

[Dutch] Kabinetsstandpunt over encryptie — daar is ie dan

UPDATE 2016-01-20: staatssecretaris Dijkhoff stelde vandaag tijdens het AO over cybersecurity: “(…) Ik kom op het encryptiestandpunt. Dat is naar de Kamer gestuurd. De meeste vragen kwamen, samengevat, neer op de vraag of wij wat daarin stond, echt menen. Mijn antwoord is: ja, dat menen we echt. (…)” (bron).

UPDATE 2016-01-04: en daar is ie: het kabinetsstandpunt encryptie. TL;DR: “Derhalve is het kabinet van mening dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland.”.

UPDATE 2015-12-15: post van Bits of Freedom: Hoogwaardige encryptie essentieel voor vrijheid en economie

Minister Van der Steur stelt in de uitstelbrief van 23 november over de beloofde toezending van kabinetsstandpunt op het gebied van encryptie dat ernaar wordt gestreefd dat standpunt nog dit jaar aan de Tweede Kamer toe te sturen:

“Op 8 oktober jl. tijdens het AO JBZ heb ik u toegezegd te komen met een kabinetsstandpunt op het gebied van encryptie. Het afronden van dit standpunt blijkt meer tijd te vergen dan de maand die ik had voorzien. De complexiteit van het vraagstuk, de dilemma’s en de afstemming die hiermee samenhangt vragen een zorgvuldige behandeling en weging.

Wij streven ernaar u voor het einde van dit jaar het kabinetsstandpunt toe te sturen.

Hiermee zal tevens aan de toezegging worden voldaan van de Minister van Economische Zaken, gedaan tijdens het AO Telecomraad op 10 juni jl., om te komen met een gezamenlijke notitie over de dilemma’s rondom encryptie (Kamerstuk 21 501-33, nr. 552).”

Dat een kabinetsstandpunt over encryptie wordt vastgesteld volgt op de agendering van het onderwerp tijdens de informele JBZ-Raad in Riga op 31 januari 2015, waar EU-contraterrorismecoördinator Gilles de Kerchove dit onder de aandacht van lidstaten heeft gebracht. Diens precieze woorden staan hier (.pdf) op p.10 onder ” f) Encryption/interception”:

Since the Snowden revelations, internet and telecommunications companies have started to use often de-centralized encryption which increasingly makes lawful interception by the relevant national authorities technically difficult or even impossible. The Commission should be invited to explore rules obliging internet and telecommunications companies operating in the EU to provide under certain conditions as set out in the relevant national laws and in full compliance with fundamental rights access of the relevant national authorities to communications (i.e. share encryption keys).

Hoewel in de geannoteerde agenda (.pdf) voor de JBZ-Raad van 8 & 9 oktober 2015 niet werd gerefereerd aan encryptie, gebeurde dat wél in de begeleidende brief:

Naar aanleiding van het verslag van de op 9 en 10 juli 2015 gehouden informele Raad Justitie en Binnenlandse Zaken heeft de vaste commissie voor Veiligheid en Justitie van uw Kamer verzocht om nader te worden geïnformeerd over wat wordt bedoeld met het in dat verslag genoemde probleem van encryptie.

Het gaat hier om encryptie van data, gebruikt en/of aangeboden door de industrie, over internet en in telecommunicatie. Die encryptie belemmert het werk van politie en diensten om gelegitimeerde toegang te krijgen tot communicatie van terroristen. Tijdens de informele JBZ-Raad in Riga op 29 en 30 januari 2015 is dit probleem nadrukkelijk door de EU-contraterrorisme coördinator onder de aandacht gebracht van de lidstaten.

Volgens het verslag van het algemeen overleg op 7 oktober 2015 van de vaste cie-V&J en de vaste cie-Europese Zaken met minister Van der Steur stelde mevrouw Berndsen-Jansen (D66) hierover het volgende:

(…) In een begeleidend briefje bij de geannoteerde agenda schrijft de minister dat encryptie van data, gebruikt en/of aangeboden door de industrie, over internet en in telecomcommunicatie het werk van politie en diensten belemmert om gelegitimeerde toegang te krijgen tot communicatie van terroristen. Dat heeft de aandacht van mijn fractie getrokken, want wat bedoelt de minister hier nu eigenlijk te zeggen? Bedoelt hij dat alle encryptie een achterdeur moet hebben voor politie en justitie? Is dat niet een herhaling van de discussie over de bewaarplicht telecomgegevens? Is het verder een nadrukkelijk thema op de cybersecurityconferentie die Nederland tijdens het voorzitterschap zal organiseren?

Daarop antwoordde minister Van der Steur:

(…) encryptie: is dat onderdeel van de cyberconferentie of een speerpunt tijdens het Nederlands voorzitterschap? Het onderwerp van de encryptie zal niet op de agenda van de cyberconferentie staan en is geen speerpunt van het kabinet en het voorzitterschap. Nationaal hebben we namelijk nog geen standpunt ingenomen over encryptie. Het is wel duidelijk dat de georganiseerde misdaad en terroristen in toenemende mate gebruikmaken van encryptie. Dat is een actueel probleem voor politie en de inlichtingen- en veiligheidsdiensten. Het debat daarover gaan we binnenkort voeren, maar er is nog geen kabinetsstandpunt over geformuleerd.

We kijken met belangstelling uit naar het standpunt van het Nederlandse kabinet — met in het achterhoofd:

  1. het concept-wetsvoorstel voor de Wiv20xx, waarin onder meer de reikwijdte van bestaande ontsleutelplichten wordt uitgebreid naar (nader te bepalen) “aanbieders van een communicatiedienst” (internetproviders, hosting-/cloudproviders, etc.), en:
  2. het nog te verschijnen concept-wetsvoorstel voor de wet bestrijding cybercrime, met ontsleutelplicht voor personen die worden verdachten van een strafbaar feit waarvoor voorlopige hechtenis mogelijk is (grofweg: feiten waar 4 jaar celstraf op staat)
  3. ontwikkelingen inzake Europese privacywetgeving (waarbij de JBZ-Raad overigens betrokken is).

Op 9 december 2015 vindt een algemeen overleg van de vaste cie-V&J plaats over terrorismebestrijding. Leestip voor de tussentijd: Who’s right on crypto: An American prosecutor or a Lebanese coder? (el Reg, 24 november 2015).

EOF

Summary of Cyber Security Assessment Netherlands 2015 (CSAN-2015, aka CSBN-5)

On October 14th 2014, the Dutch government published (in Dutch) the fifth edition of the “Cyber Security Assessment Netherlands” trend report, aka “CSAN-2015” (in Dutch: “CSBN-5”) . Its aim is “to offer insight into developments, interests, threats and resilience in the field of cyber security over the period from April 2014 to April 2015”. The publication was established using information from the following sources:

  • The various ministries
  • Military Intelligence and Security Service (MIVD)
  • Defence Computer Emergency Response Team (DefCERT)
  • General Intelligence and Security Service (AIVD)
  • National High Tech Crime Unit, Dutch National Police
  • Public Prosecution Service
  • Representatives of the critical infrastructure sectors and NCSC partner organisations
  • National Coordinator for Security and Counterterrorism (NCTV)
  • National Management Organisation for Internet Providers (NBIP)
  • Internet Standards Platform (Dutch: “Platform Internetstandaarden”)
  • Bits of Freedom
  • ICT Netherlands
  • Dutch Payments Association
  • Confederation of Netherlands Industry and Employers (VNO-NCW)
  • Scientific institutions
  • Universities
  • Experts in the field of cyber security

On November 17th, the government published an English translation. Here is the updated threat matrix table (click image to enlarge):

CSAN2015-threatmatrix

And here is the summary (~2300 words):

Summary

The Cyber Security Assessment Netherlands (CSAN) is published annually by the National Cyber Security Centre and drawn up in close collaboration between public and private parties. The aim is to offer insight into developments, interests, threats and resilience in the field of cyber security over the period from April 2014 to April 2015.

The focus of the CSAN lies on the developments in the Netherlands, but important developments abroad have also been included. The CSAN is a factual description, with guidance based on insights and expertise from government departments, critical infrastructure sectors and the academic community. For this CSAN, the NCSC has renewed its collaboration with a large number of parties, both public parties (e.g. the police, intelligence and security services and the Public Prosecution Service), academic institutions and private parties (such as the critical infrastructure sectors).

Over the past few years, more attention has been paid to the dependence on IT. Countries attach increasing importance to the internet and IT becomes indispensable. More and more insight is gained into the number of incidents, which also allows for more targeted measures being taken to increase cyber security, for larger and smaller organisations. Phishing and cryptoware, however, continue to pose a threat to the Netherlands as a whole.

Core findings

Cryptoware and other ransomware constitute the preferred business model for cyber criminals

Criminals use cryptoware (ransomware) increasingly often in order to achieve their goals. Unlike other common malware, such as Remote Access Tools (RATs), criminals use cryptoware to block access to data using encryption. The willingness of people and organisations to pay the criminals results in high average proceeds per target for criminals. That is why they can make relatively large investments per infection. More advanced forms, for example aimed at web applications, have also been identified. The popularity of the use of ransomware and, in particular, cryptoware will further increase in the next few years.

Geopolitical tensions manifest themselves increasingly often in (impending) digital security breaches

States and other actors that seem to act in line with the interests of these states increasingly use digital attacks and cyber operations. The aim is to represent their interests and to influence geopolitical relations or developments. Digital attacks are an attractive alternative and addition to conventional military and espionage means. Their scope and impact are large and the costs and risks are low. In the past year, conflicts, attacks or political issues were often the reason for digital attacks. It is often difficult to trace back the actor who carried out the actual attack, and to determine the extent to which a state actor played a leading role in the attack.

Phishing is often used in targeted attacks and can barely be recognised by users

Phishing (‘fishing’ for login and other user data) plays a key role in carrying out targeted digital attacks. Users are hardly able to recognise phishing e-mails in targeted attacks. A successful phishing campaign gives attackers access to internal networks of organisations and the information stored on these networks. Means to make authentic e-mail recognisable as such (e.g. digital signatures, Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) and Domain-based Message Authentication, Reporting and Conformance (DMARC)) are only used in practice to a limited extent. This ensures that phishing continues to be a low-threshold and effective method of attack for attackers.10

Availability becomes more important as alternatives to IT systems are disappearing

Important social processes come to a standstill if the corresponding IT systems and analogue alternatives are unavailable. The phasing out of analogue alternatives to IT systems therefore makes the availability of these systems even more important. This is especially true if these IT systems support important social processes such as transport, financial transactions or energy supply. The measures that banks have taken against DDoS attacks show that it is possible to take effective measures in order to increase availability of digital facilities. However, organisations often wait to take such measures until IT systems have already experienced availability problems.

Vulnerabilities in software are still the Achilles heel of digital security

Software is a crucial part of our digital infrastructure, because software opens up the possibilities of hardware and the ever growing amount of data. Software suppliers in 2014 again released thousands of updates in order to repair vulnerabilities in their software. Organisations sometimes do not install updates due to the obstacles they encounter when installing them. As long as the updates have not been installed, parts of their network will continue to be vulnerable. Such vulnerabilities allow actors penetrating networks via phishing or zero-day

Key questions

The key questions of this CSAN 2015 are:

  1. What events or what activities by which actors could affect IT interests, what tools do they use and what are the developments in this respect? (threats)
  2. To what extent is the Netherlands resilient to vulnerabilities in IT, could these lead to an impact on IT interests and what are the developments in this respect? (resilience)
  3. Which Dutch interests are being adversely affected and to what degree, by restrictions of the availability and reliability of IT, breach of the confidentiality of information stored in IT or damage to the integrity of that information, and what are the developments in this respect? (interests)

Insight into threats and actors

Table 1 provides insight into the threats that the various actors have posed over the period between April 2014 and April 2015 to the targeted ‘governments’, ‘private organisations’ and ‘citizens’.

Criminal organisations and state actors continue to pose a threat to these three target categories. This threat has become more specific. For most organisations, the manifestations of less advanced actors form a smaller part of the total than before. In some cases, the red colour conceals that a high threat level can increase as well. The paragraphs on criminals and state actors in Chapter 2 discuss this in more detail.

Manifestations

Growth in number of incidents with ransomware and cryptoware continues

The rise of ransomware and cryptoware in 2013 continued in 2014 and 2015, also in the Netherlands. Ransomware and cryptoware is malware that holds IT systems ‘hostage’ by making them unavailable and demands a ransom. Cryptoware also encrypts the data that is stored. Various cryptoware variants caused many incidents over the past period. Infections were caused by, for example, Cryptolocker, CryptoFortress, Cryptowall and CTB locker. In the Netherlands, organisations are often affected by such infections.

DDoS attacks continue to take place, but measures prevent disruptions more often

DDoS attacks remain a concern in the Netherlands. After the wave of DDoS attacks in early 2013, service providers have invested in measures to prevent these attacks. Frequent and serious DDoS attacks on websites of governments and private organisations are still being detected. The origin of the problems is therefore still in place. As a result of the increased attention to anti-DDoS measures, however, services are often not disrupted.

Espionage attacks, which become more and more frequent, start with spearphishing

In the past year, the Netherlands was dealing much more often with digital espionage attacks that posed a threat to national security and economic interests. Research conducted by the AIVD and MIVD showed that, in 2014, Dutch government institutions were often the target of advanced digital espionage attacks. Most of these attacks were carried out using spearphishing e-mails containing attachments infected with malware or links to malware websites.

Threats: actors

The biggest threat continues to be posed by professional criminals and state actors

The digital skills of criminals continue to develop. Last year saw, for example, several digital attacks by criminals which were notable for their good organisation, accurate implementation and technical sophistication. Moreover, more countries carry out digital attacks on or via the infrastructure of Dutch organisations. The biggest digital espionage threat is posed by foreign intelligence services.

Terrorists do not yet pose a serious threat, but their capabilities are, however, growing

Although the potential of terrorist actors in the digital field is growing, they do not yet pose a serious threat due to their limited technical capabilities. There are no indications of a specific threat against the Netherlands. In the context of digital attacks carried out by terrorists, the biggest threat is currently posed by jihadism. So far, digital attacks with jihadist motives in the Netherlands were limited to small-scale attacks that required little knowledge and manpower.

Conflicts, attacks and incidents provide a context for digital attacks

Various actors use national and international conflicts, attacks and incidents as a reason to carry out digital attacks. In the past year, for example, many digital attacks and cyber operations were observed which can be placed in a geopolitical context, such as the malware attacks related to the conflict in the Ukraine. It is often very difficult to link these attacks to parties. Both state actors and activist hackers with patriotic motives have the intentions and tools to carry out these attacks.

Threats: Tools

Dissemination of cryptoware is a lucrative criminal activity

The proceeds generated by criminals using cryptoware are high. Approximately 10 percent of Dutch reporting parties say they have paid criminals in order to regain access to files. The proceeds probably amount to several hundreds of euros per person per payment. The relevant criminals do their best to expand their market by looking for other means to infect (such as SD cards, USB sticks and network sources) and by using other encryption methods (for example by corrupting systems over a long period).

Phishing, or spearphishing in particular, is the most frequently used tool for targeted attacks

The parties who carried out various targeted attacks that were discovered in the past period often succeeded in their efforts by making use of spearphishing, with a phishing e-mail being sent to one person or a limited group of persons. Apart from spearphishing, actors also still use classic phishing as a tool. The Netherlands is a particularly popular target for phishers. This may have to do with the relatively good economic situation and the strong euro.

Malvertising continues to pose a danger to internet users

Advertisements have been incorporated in many websites, which sometimes have a high number of visitors. One malicious ad may therefore have a large impact in a short period of time. If a user opens a website that contains a malicious ad, this will often result in all kinds of vulnerabilities in the user’s system being exploited fully automatically, so without any further user interaction. Nowadays, cyber criminals also abuse advertisement networks to attack specific user groups. They use on-line advertising auctions to this end.

Resilience: vulnerabilities

Publicity campaigns for vulnerabilities make prioritising more difficult

The past reporting period shows a development with much more publicity regarding technical vulnerabilities. Various sectors have reported that these publicity campaigns involve a risk: due to the great deal of attention that is paid to individual vulnerabilities, the issues of the day may divert attention from structural solutions. In that case, management will not always make decisions based on the correct information and will receive the impression that security officers are insufficient prepared.

Raising awareness alone will not help prevent phishing

The quality of phishing texts has become even better. Individual users can hardly be blamed for falling victim to them. Technical measures to prevent phishing are, however, still used up to a limited extent. For example, less than 10 percent of government domain names are protected against phishing attacks using the open standards DKIM, SPF and DMARC.

Resilience: measures

Security of open source software comes at a price

The Heartbleed vulnerability showed that open source software is not automatically safer, even if it is used frequently. The publicity surrounding this bug resulted in large internet companies joining forces in April 2014 in the Core Infrastructure Initiative. The initiative invests in the open source basic infrastructure of the internet and improves the basic security of the internet. However, it currently only covers a small part of the open source projects responsible for the infrastructure of the internet. This kind of financing is not available for other projects.

Recruitment in cyber security: many vacancies, few people

The labour market for cyber security professionals has, for some time now, been characterised by a large difference between the supply of and demand for (technical) cyber security professionals. The number of vacancies is increasing; the government has also actively recruited staff members in this area over the past period. Organisations often experience difficulties in filling job vacancies. This applies to technical cyber security positions in particular.

Detection capacity is essential for the discovery of advanced attacks

Advanced attacks, so-called Advanced Persistent Threats (APTs), are difficult to detect. These attacks, aimed at organisations in various sectors, often circumvent existing security measures. It often takes months or years before the attacks are discovered, which may result in a serious extent and impact of the damage for the organisations affected. Although an increasing number of organisations have special software to protect them against APTs, it appears that the prevention of such attacks is mostly unexplored territory for many organisations.

Interests

New areas of application result in vulnerabilities and debate

More IT is installed in cars, aircraft and other means of conveyance. This requires attention for the security of this IT. For a security problem in an entertainment system should not affect the operation of the vehicle. A lack of security may, in such a case, even have fatal consequences. Such risks may also arise if the software used contains bugs, a licence expires or a network service is no longer available. Security often has no priority in the development of such new applications.

Interests of critical infrastructure are large but stable

The interests protected by the critical infrastructure remain large but show little change. Consultations with representatives of organisations in those sectors have made this evident. Although the security of information and systems each time creates new challenges, the underlying motivations for security have hardly changed.

Alternatives to IT systems are disappearing

If IT systems that support social processes are not available, it is, in a growing number of cases, no longer possible to rely on analogue alternatives. The availability of these IT systems thus becomes more important: failure is not an option. At the same time, the underlying technology is more complex than with analogue systems. Moreover, these systems can be attacked more easily if they can be accessed via the internet.

EOF

[Dutch] CTIVD over Wiv20xx: ‘hacking van non-target als zelfstandige informatiebron niet toestaan’

De CTIVD stelt in hoofdstuk 3.5 van haar reactie op het Wiv-voorstel (genummerde p.44-45) dat de hackbevoegdheid niet tegen een non-target zou moeten mogen worden ingezet om dat non-target vervolgens als zelfstandige bron van informatie te gebruiken:

De CTIVD plaatst enkele kanttekeningen bij de bevoegdheid via het geautomatiseerde werk van een derde binnen te dringen in het geautomatiseerde werk van het onderzoekssubject (artikel 30, lid 1, onder b). Hiermee is in feite sprake van het toepassen van een bijzondere bevoegdheid tegen een non-target. Dit is vergelijkbaar met het toepassen van een telefoontap tegen iemand in de omgeving van een target omdat het target zelf niet beschikt over een telefoon. De CTIVD heeft onder omstandigheden toegestaan dat een bijzondere bevoegdheid wordt ingezet tegen een non-target. Hierbij komt wel extra gewicht toe aan het noodzakelijkheids-, proportionaliteits- en subsidiariteitsvereiste. Een non-target mag slechts dan het onderwerp van onderzoek zijn indien het redelijkerwijs niet mogelijk is op een andere wijze zicht te krijgen op het target.

Uit het concept-wetsvoorstel en de memorie van toelichting kan de CTIVD niet afleiden dat het binnendringen in het geautomatiseerde werk van een derde voor de diensten slechts mogelijk wordt geacht indien het target zelf onbereikbaar is. Het uitgangspunt zou moeten zijn dat het geautomatiseerde werk van het target het doelwit is. Volgens de CTIVD zou het concept-wetsvoorstel dit uitgangspunt expliciet moeten maken. Slechts in uitzonderingsgevallen kan hiervan worden afgeweken. In de aanvraag moet gemotiveerd worden aangegeven waarom hiertoe is overgegaan zodat deze overweging kan worden getoetst.

De CTIVD mist de noodzakelijke waarborgen die ervoor dienen te zorgen dat het binnendringen in het geautomatiseerde werk van een derde enkel dient om binnen te dringen in het werk van het onderzoekssubject. En dus bijvoorbeeld niet om te dienen als zelfstandige bron van informatie.

In de MvT heet het dat zich “operationele kansen tot het benutten van zwakheden kunnen voordoen bij technische randgebruikers”. Inbreken op systemen van een non-target, mogelijk een ISP, telco of hosting provider, om die als zelfstandige bron van informatie (of als springplank voor toekomstige digitale aanvallen?) te gebruiken, vindt de CTIVD dus alleen in (niet nader omschreven) uitzonderingsgevallen toelaatbaar. Maar als eenmaal in het kader van operatie X toegang is verkregen tot een non-target, dan zal die toegang allicht mogen worden hergebruikt voor lopende operatie Y — zoals dat volgens CTIVD-toezichtsrapporten ook gebeurt en toelaatbaar is bij sigint-opbrengsten (dwz: opbrengsten die ihkv een bepaalde operatie zijn verworven en relevantie hebben voor andere operaties, mogen ook voor die andere operaties worden gebruikt; niet onlogisch). Het zal bij derdensystemen in de regel gaan om computers van individuen in de sociale nabijheid van het target (educated guess). Maar ook infrastructuur van een ISP of telco die in regio X veel gebruikers heeft zijn derdensystemen, en het kan voor een dienst tandenknarsen zijn om eenmaal verworven toegang direct na een kortlopende operatie ongedaan te maken (backdoor verwijderen, verworven sleutels/wachtwoorden/etc. vergeten van het non-target en de N-1 non-targets onder diens gebruikers, etc.).

EOF

[Dutch] CTIVD: ‘Wiv20xx biedt geen oplossing voor structureel probleem met motivering van sigint search & selectie’

De CTIVD stelt in hoofdstuk 2.3.2 van haar reactie op het Wiv-voorstel (genummerde p.30-32) opnieuw vast dat er een structureel probleem is met de motivering van sigint search en sigint selectie. De diensten moeten in de toestemmingsverzoeken aan hun Minister de noodzaak, proportionaliteit en subsidiariteit van de inzet van bevoegdheden motiveren, maar de CTIVD stelt jaar op jaar vast dat die motivatie vaak niet voldoet — zie hier (.pdf) citaten uit CTIVD-toezichtsrapporten 19, 26, 28, 31 en 35. De CTIVD stelt ook in latere rapporten onrechtmatigheden vast. Die onrechtmatigheden komen soms voort uit wat de CTIVD in haar reactie “de noodzakelijke praktijk” noemt.

Het gaat hier om een punt van belang. Bij search ex Art.34 Wiv20xx gaat het ook om experimenteren: naast het testen en beheren van DPI-systemen (bijv. voor malwaredetectie; maar zie ter inspiratie ook de Canadese Joint Cyber Sensor Architecture) gaat het bijvoorbeeld om het testen en fine-tunen van trefwoorden voor selectie ex Art.35 Wiv20xx en om het zoeken naar potentiële nieuwe targets. (NB: de eisen van noodzaak, proportionaliteit en subsidiariteit zijn van toepassing, en de Wiv20xx creëert functiescheiding tussen searchactiviteiten en het verdere inlichtingenproces en operationele teams.) De ondergrens van “doelgericht” in de collectiefase (Art.33 Wiv20xx) en searchfase (Art.34 Wiv20xx) is onduidelijk, waardoor de voorgestelde bevoegdheden in samenhang ruimte voor bieden voor grootschalige experimenten a la OPTIC NERVE. Art. 34 Wiv20xx lid 1 (search gericht op interceptie) en lid 2 (search gericht op selectie) geven volgens de CTIVD ruimte voor “inhoudelijk onderzoek gericht op het identificeren of de identificatie van personen of organisaties die in aanmerking komen voor (toekomstig) onderzoek”. Ruimte voor experimenten met communicatie dus. Bij in elk geval NSA en GCHQ lijkt full take van glasvezelkabels de norm (zie DANCING OASIS / RAMPART-A, Tempora, etc.). Dat zegt niets over het wel of niet toepassen van die werkwijze door de Nederlandse diensten, maar het zou goed zijn om helder te krijgen of full takes van kabelverbindingen zijn uitgesloten — en zo nee, of er filters worden toegepast om, bijvoorbeeld, binnenlandse communicatie uit full takes van Nederlandse kabelnetwerken te (proberen te) filteren. Het is hoe dan ook belangrijk dat de motivering van search en selectie op orde komt. Zoals blijkt uit onderstaande tekst verwacht de CTIVD dat het wetsvoorstel weinig verandert aan de huidige situatie.

Hier is hoofdstuk 2.3.2 uit de reactie van de CTIVD (markering binnen alinea’s is van mij):

2.3.2 Voorzienbaarheid van de bepalingen

De waarborg van voorzienbaarheid

De voorzienbaarheid is een belangrijke waarborg tegen ongeoorloofde inbreuken op de persoonlijke levenssfeer. De wet moet voldoende duidelijk en nauwkeurig zijn. Het moet inzichtelijk zijn in welke gevallen de diensten een bevoegdheid mogen uitoefenen en wat hierbij de randvoorwaarden zijn.

Voor het EHRM weegt de eis van voorzienbaarheid extra zwaar in het geval van heimelijk onderzoek. Dit in verband met het risico van misbruik van bevoegdheden. De omstandigheid dat technologie steeds geavanceerder wordt draagt hier volgens het EHRM aan bij.

Samenhang tussen de search- en selectiebevoegdheid

De CTIVD heeft in verschillende toezichtsrapporten problemen geconstateerd in het proces van de verwerving en verwerking van satellietcommunicatie. Deze problemen zagen onder meer op het ontbreken van een wettelijke basis voor bepaalde vormen van search en het ontbreken van een regeling voor metadata-analyse. In beide gevallen kan sprake zijn van een inbreuk op de persoonlijke levenssfeer. In het concept-wetsvoorstel zijn deze bevoegdheden opgenomen in artikel 34 resp. artikel 35. Er is daarmee een wettelijke basis voor deze vormen van search en een regeling voor metadata-analyse gecreëerd. De inhoudelijke waarde hiervan komt later aan de orde.

De CTIVD heeft daarnaast in haar toezichtsrapporten bij herhaling geconstateerd dat de selectiebevoegdheid in de praktijk minder specifiek of gericht is dan waar de huidige wet van uitgaat. Dit komt onder meer tot uiting in het gebruik van (te) generiek geformuleerde verzoeken om toestemming aan de minister. Hierbij worden zogeheten generieke identiteiten gebruikt. Daaronder vallen bepaald ‘soorten’ personen of organisaties. Wanneer een persoon of organisatie in beeld komt die onder een generieke identiteit valt, kunnen selectiecriteria met betrekking tot die persoon of organisatie direct in selectie worden gezet zonder dat nadere toestemming wordt verkregen. De toestemming voor de generieke identiteit is immers al verkregen. Deze werkwijze is niet in overeenstemming met de Wiv 2002. Naar het oordeel van de CTIVD lopen de huidige wettelijke regeling en de noodzakelijke praktijk op dit punt echter uiteen.36 Daarnaast is sprake van een grote mate van ‘uitproberen’: selectie wordt breed ingezet aan de hand van criteria (persoonsgegevens) waarvan de relevantie niet altijd vaststaat. Als gevolg van deze praktijk, wordt selectie in veel gevallen onvoldoende (concreet) gemotiveerd door de diensten. Dit is een al jarenlang aanwezig en door de CTIVD geconstateerd (structureel) probleem.

De bevoegdheid tot selectie is in het concept-wetsvoorstel opgenomen in artikel 35 (rode blok in schema). Het verschil met de huidige regeling is dat de selectiecriteria (technische kenmerken als een telefoonnummer of e-mailadres) aan de hand waarvan selectie plaatsvindt niet langer gemotiveerd aan de minister moeten worden voorgelegd. Deze selectiecriteria betreffen persoonsgegevens. De toestemming van de minister voor de inzet van selectie moet worden verkregen aan de hand van, voor zover van toepassing, een omschrijving van het onderwerp, de identiteit van de persoon of organisatie. In de memorie van toelichting wordt uitgelegd dat hier de systematiek van de huidige trefwoorden selectie wordt toegepast voor het onderwerp (bijvoorbeeld het onderzoek naar organisatie X) wordt toestemming gevraagd, maar voor de concrete selectiecriteria (nummers die toebehoren aan targets A, B en C) niet. Deze selectiecriteria kunnen in mandaat worden vastgesteld, maar moeten (intern) wel worden voorzien van een toereikende motivering in relatie tot het onderzoek, volgens het concept-wetsvoorstel. Het vaststellen van selectiecriteria wordt gezien als een uitvoeringshandeling.

Deze wijze waarop volgens het concept-wetsvoorstel toestemming dient te worden verkregen voor selectie (artikel 35 van het concept-wetsvoorstel) en de wijze waarop de toestemming dient te worden gemotiveerd biedt op zichzelf nauwelijks een oplossing voor de geconstateerde problemen. Het lijkt de diensten een juridische basis te geven voor het hanteren van generiek geformuleerde (dat wil zeggen weinig specifieke of begrensde) aanvragen aan de minister. (In de fictieve casus zou het bijvoorbeeld gaan om een verzoek om toestemming voor de inzet van de selectiebevoegdheid ten aanzien van de communicatie van personen gerelateerd aan organisatie X). Een ministeriële toestemming is noodzakelijk voor het inzetten van de selectiebevoegdheid in een onderzoek maar niet voor de selectiecriteria die gerelateerd zijn aan dit onderzoek. Er wordt meer flexibiliteit bewerkstelligd bij het toevoegen van selectiecriteria aangezien de gang naar de minister hiervoor niet noodzakelijk is.

Aan het eerder door de CTIVD geconstateerde motiveringsprobleem verandert het concept-wetsvoorstel echter weinig. Volgens het concept-wetsvoorstel moet ieder selectiecriterium intern immers nog steeds worden voorzien van een toereikende motivering. Het verschil is enkel gelegen in het niveau waarop toestemming dient te worden verkregen. In het verleden heeft de CTIVD geconstateerd dat een deugdelijke motivering bij veel selectiecriteria (te gebruiken persoonsgegevens) ontbrak en dat deze in veel gevallen ook niet mogelijk is. (Bijvoorbeeld wanneer telefoonnummers in selectie worden gezet waarvan op dat moment nog niet duidelijk is of en op welke wijze deze relevant zijn voor het onderzoek. In de fictieve casus zou het kunnen gaan om de kring van personen met wie targets A, B en C in contact staan). Dit probleem zal zich ook voordoen indien de selectiecriteria intern worden vastgesteld. Ook dan is een toereikende motivering immers terecht vereist. Volgens de CTIVD moet de oplossing voor dit probleem overigens niet gezocht worden in het loslaten van deze motiveringseis.

Het concept-wetsvoorstel biedt in artikel 34 (blauwe blok in schema) de diensten de mogelijkheid de relevantie van selectiecriteria door middel van de searchbevoegdheid te onderzoeken (lid 2 van artikel 34, rode stippellijn in schema). Door middel van deze bevoegdheden kunnen de diensten vooraf uitzoeken of selectiecriteria waarvan de relevantie nog niet vaststaat inderdaad relevant zijn, onder meer door personen te identificeren die in aanmerking komen voor onderzoek. Selectiecriteria die op basis hiervan niet relevant worden beoordeeld, dienen volgens de CTIVD niet in selectie te worden geplaatst. Selectiecriteria die wel relevant zijn, kunnen vervolgens afdoende gemotiveerd worden bij het in selectie plaatsen. Een dergelijk onderzoek op basis van artikel 34 kan als noodzakelijk “vooronderzoek” dienen voor toepassing van de selectiebevoegdheid. Het ten onrechte achterwege laten van deze stap zal volgens de CTIVD van invloed zijn op de rechtmatigheid van de selectie. De CTIVD wijst erop dat een minder grote inbreuk wordt gemaakt op de persoonlijke levenssfeer bij toepassing van de searchbevoegdheid dan bij de selectiebevoegdheid. In beide gevallen wordt weliswaar kennisgenomen van de inhoud van communicatie, maar het toegestane doel bij de searchbevoegdheid is beperkt tot de identificatie van bekende en nieuwe onderzoekssubjecten. Dit leidt ertoe dat een beperkte inbreuk op de persoonlijke levenssfeer mag worden gemaakt zodat een verdergaande inbreuk zoveel als mogelijk wordt voorkomen.

De CTIVD merkt op dat het voorgestelde artikel 34 op onderdelen hieronder wordt besproken. Zij ziet op verschillende punten aanleiding het voorgestelde artikel 34 aan te passen dan wel te verduidelijken, onder meer op het punt van de voorzienbaarheid van de bepaling. In de huidige vorm biedt artikel 34 naar het oordeel van de CTIVD onvoldoende waarborgen om betiteld te kunnen worden als minder inbreukmakend vooronderzoek.

Onderscheid technisch en inhoudelijk onderzoek aan gegevens

Het concept-wetsvoorstel en de memorie van toelichting maken onvoldoende duidelijk wat het onderscheid is tussen de verschillende vormen van technisch en inhoudelijk onderzoek aan gegevens. Zo lijkt sprake te zijn van een overlap tussen technische analyse (artikel 33, lid 1; groene blok in schema) en search gericht op interceptie (artikel 34, lid 1, onder a; linker paarse lijn in schema). Beide bevoegdheden geven ruimte voor de technische verkenning van gegevens, bijvoorbeeld het vaststellen van de aard van het verkeer of de geografische afbakening daarvan, eventueel door het inhoudelijk kennisnemen van de verworven communicatie. Het wordt niet duidelijk waarin deze bevoegdheden van elkaar verschillen. Het mogen verrichten van technische analyse onder artikel 33 ligt besloten in de toestemming voor interceptie. Voor technische analyse onder artikel 33 hoeft geen separate toestemming te worden verkregen van de minister. Dit volgt in ieder geval niet uit het concept-wetsvoorstel of de memorie van toelichting. In het geval van search gericht op interceptie (artikel 34, lid 1) dient hier wel expliciet toestemming voor te worden verkregen. Hierin ligt een extra waarborg besloten die bij artikel 33 ontbreekt.

Advies

De CTIVD adviseert duidelijkheid te bieden over het onderscheid tussen technische analyse (artikel 33) en search gericht op interceptie (artikel 34).

Bij selectie op “generieke identiteiten” kan volgens toezichtsrapport 44 (.pdf, genummerde p.13, voetnoot 17) worden gedacht aan “piraten actief in de territoriale wateren van Somalië”. Hoe zo’n selectie wordt geoperationaliseerd is niet bekend. (Theoretische mogelijkheden zijn bijvoorbeeld selectie op tijdstip en (geo)locatie; selectie op delen van een persoonsnaam; selectie van telefoongesprekken op netnummer; selectie op kenmerkend taalgebruik, zoals benoeming van een organisatienaam of verwijzing naar een plaats die wordt geassocieerd met terroristische activiteiten; selectie op domeinnaam of IP-adres(reeks); etc.)

Ten aanzien van de gegevens die mogen worden vastgelegd tijdens searchactiviteiten, waarin geen sprake mag zijn van dossiervorming, merkt de CTIVD op pagina 36-37 het volgende op:

Functiescheiding bij search

Aan het vastleggen van de resultaten van onderzoek aan gegevens (search, artikel 34 lid 3, blauwe blok in schema) moeten, in het verlengde van de functiescheiding, duidelijke beperkingen worden gebracht. De waarborg van de functiescheiding is essentieel bij de uitvoering van de searchbevoegdheid. Dit dient ook zijn weerslag te krijgen in de wettelijke bepaling over het vastleggen van de searchresultaten. In voorgesteld artikel 34 lid 3 is opgenomen dat van de resultaten van search aantekening mag worden gemaakt indien dat noodzakelijk is voor de goede taakuitvoering. In de memorie van toelichting wordt aangegeven dat deze resultaten verder gebruikt kunnen worden voor het doel waarvoor deze zijn opgetekend. Dat betekent dat kennisneming van de resultaten door medewerkers van de dienst is beperkt volgens het need-to-know-principe. Er worden geen verdere beperkingen aangebracht op het vastleggen van de resultaten. Het is onvoldoende duidelijk welke gegevens wel en niet mogen worden vastgelegd. Noodzakelijkheid voor de taakuitvoering is daarin een te algemeen begrip en geeft te veel ruimte. Het gevaar bestaat dat de waarborg van functiescheiding in de praktijk wordt uitgehold door uitgebreide vastlegging van de resultaten van search.

Advies

De CTIVD adviseert in het concept-wetsvoorstel adequate waarborgen in te bouwen voor het vastleggen en (nader) verwerken van de searchresultaten.

De CTIVD merkt op pagina 13 van de reactie overigens ook iets op over rubber-stamping-effecten:

De CTIVD onderschrijft de in het concept-wetsvoorstel neergelegde waarborg van toestemmingsverlening door de minister voor de inzet van bepaalde bijzondere bevoegdheden. Hierbij onderkent de CTIVD overigens dat op dit punt alleen sprake kan zijn van een waarborg indien het vereiste van ministeriële toestemming niet in zoveel gevallen wordt gesteld, dat een aanvraag vooral een administratieve invuloefening voor de diensten wordt en de inhoudelijke toets van de minister aan waarde verliest. Hierbij is het van belang dat sprake is van duidelijke toetsbare elementen, die de noodzakelijkheid, proportionaliteit en subsidiariteit van de inzet van de bevoegdheid inzichtelijk maken.

Want naast de searchbevoegdheid, komen ook de (bestaande) hackbevoegdheid en de (nieuwe) metadata-analyse-bevoegdheid onder Ministeriële toestemming te vallen, naast o.a. gerichte interceptie en selectie na ongerichte interceptie. Mede daarom wordt ook voorgesteld de Minister van ondersteuning te voorzien bij de afhandeling van toestemmingsverzoeken.

EOF

[Dutch] KPN over netwerkbeveiliging vs. ontsleutelplicht in Wiv20xx-wetsvoorstel

Hoofdstuk 13 van KPN’s reactie op het Wiv20xx-wetsvoorstel (24 pagina’s) onderzoekt enkele praktische implicaties van de voorgestelde ontsleutelplicht voor aanbieders van communicatiediensten:

13. Netwerkbeveiliging versus medewerkingsplichten

Het uitgangspunt van het voorontwerp is de (mede in par. 8 hierboven al besproken) medewerkingsplicht tot ontsleuteling en/of de methode te delen van versleuteling. Deze medewerkingsplicht is voor aanbieders van communicatiediensten niet goed na te leven en zeker niet zonder hun overige verplichtingen ten aanzien van de beveiliging van netwerken, diensten en persoonsgegevens, die zij hebben ‘naar de stand van de techniek’. De medewerkingsplichten maken de mogelijkheden om hieraan te voldoen onmogelijk of onredelijk complex. Daarmee wordt het primaire doel van telecommunicatiediensten ten behoeve van de economische voortuitgang en de ontwikkeling naar een te vertrouwen ‘e-economy’ geweld aangedaan. Het wetsvoorstel lijkt de ‘veiligheidsfunctie’ van communicatienetwerken te zeer boven de primaire functie ervan te stellen.
Dit geldt ook voor de taak die wordt aangegeven voor de diensten tot het beschermen tegen digitale aanvallen. Zoals in par. 1 al aangegeven kan hierin worden gelezen dat de diensten bij aanvallen daadwerkelijk zouden mogen ingrijpen in netwerkverkeer. Technische toegang tot kabelgebonden telecommunicatie zou echter op zo’n manier moeten gebeuren zodat de diensten geen mogelijkheid hebben op welke manier dan ook om het verkeer te kunnen manipuleren of daarop zelf in te grijpen. De verantwoordelijkheid van de telecom aanbieders mag niet beïnvloed worden, om te voorkomen dat buiten hun invloed om zij niet meer de kwaliteit en continuïteit van hun dienstverlening zelf kunnen garanderen.

Hiervoor gelden mede technische redenen die zich als volgt laten samenvatten.

(a) Voor transportsleutels is de informatie onmogelijk op televeren:

  • Transportsleutels zijn per definitie sessie-gebonden en in veel gevallen vluchtige informatie die enkel tijdelijk in het geheugen leven van de end-to-end oplossing. Daarna zijn ze weg. Dit is de moderne internationale standaard hiervoor (Elliptic Curve) Diffie-Hellman Key Exchange met Emphimeral (=vluchtige) sleutels.
  • Oudere transport versleuteltechnieken (RSA key exchange) kunnen met een capture van de data worden teruggerekend te samen met de private key van het certificaat.
    • Dit veronderstelt dat er een volledige unsampled capture bestaat van een sessie en dat de private key opgeleverd kan worden. Deze captures kunnen alleen op selectieve momenten gemaakt worden om het netwerk te debuggen. Er is geen enkele voorziening getroffen om hier meer mee te doen.
    • Dit vereist dat er selectieve specifieke nieuwe oplossingen gemaakt worden, omdat er geen enkele noodzaak is voor de aanbieder van communicatiediensten om hierin te moeten voorzien. Dit zou betekenen dat alle netwerkverkeer opgeslagen moet worden. De kosten hiervoor zijn buiten proportioneel hoog en in strijd met de wettelijke regels voor de verwerking van persoonsgegevens.
  • Private keys delen, in welke vorm van door, is volgens de internationale standaarden per definitie gelijk aan een ‘key-compromise’.
    • Appliances met en zonder Hardware Security Module (HSM) oplossingen bieden geen private key exportfunctie, maar alleen importfuncties. Dit is een veel voorkomende bescherming. Bij een HSM oplossing is een private key zelfs ‘tamper-proof’ opgeslagen en zijn er buiten dit systeem enkel mogelijkheden om de key’s te vervangen, niet te exporteren.
    • Operationeel gericht beleid eist dat een beheerder in een appliance, HSM en op het uiteindelijke doelsysteem de sleutels aanmaakt en nergens anders. Transport van een private key wordt hiermee uitgesloten om de privacy, security en soevereiniteit van de aanbieder te kunnen handhaven.

(b) Storage gerelateerde keys:

  • Er zijn sleutels voor systemen en gebruikers die betrekking hebben op disk-volumes,
    databases, tabellen in databases, rijen en data-velden.

    • De keys zijn van verschillende typen, omvang, techniek, en hebben betrekking op
      uiteenlopende toepassingen.
    • Er is geen peil op te trekken hoe alle verschillende oplossingen op verschillende
      deelgebieden en verschillende implementaties met sleutels werken en in welke vorm. Aanbieders pentesten per oplossing of dit goed gebeurt en letten op de certificeringen wanneer het interne systemen/back-end systemen zijn. Dit zijn de waarborgen die aangeven hoe de status van de beveiliging is. De oplevering van een key is in al deze kwesties geen onderdeel van de vraagstelling geweest, behalve dan hoe te voorkomen dat anderen bij de sleutels zouden kunnen. Dit is in het belang van de soevereiniteit van de aanbieder.

(c) Algemene toevoegingen ten aanzien van geheime sleutels, zoals private keys of andere geheime sleutels:

  • Het delen van een private key zou de privacy en security zorgplicht van aanbieders schenden. Het delen van een private key staat gelijk het delen van de identiteit van de aanbieder met de partij die de key heeft. De partij die de private key krijgt kan zich voordoen als de aanbieder. Dit is een aanvalsscenario van hackers en cyber-criminelen om ongezien man-in-the-middle attacks uit te voeren. Zoals in de volgende par. nader uitgewerkt acht KPN het uiterst onwenselijk dat de diensten deze rol zou kunnen vervullen zonder transparantie naar de aanbieders toe.
  • Als collateral damage zou het mogelijk moeten maken van het delen van de private key betekenen dat alle beheerders moeten worden geïnstrueerd om met cryptografisch materiaal te moeten omgaan. Dit is specialistisch werk en het cryptografisch materiaal moet met diverse waarborgen worden getransporteerd. Iedere beheerder binnen een aanbieder zal een key ceremonie cursus moeten krijgen om dit te kunnen uitvoeren.
    • Het mogelijk maken van de oplevering van cryptografisch materiaal, zelfs tussen afdelingen binnen een aanbieder, zorgt ervoor dat de security en privacy zorgplicht wordt ondermijnd.

(d) Algemene toevoeging voor ‘one-way’ encryptie technieken:

  • Volgens industry-best practices zijn er vele one-way encryptie technieken om bijvoorbeeld wachtwoorden op te slaan. Deze zijn nooit meer terug te halen, omdat er alleen een hash/digest wordt gemaakt van een wachtwoord en deze wordt dan vaak nog een aantal malen complexer opgeslagen om decryptie door aanvallers die de gehele database of harddisk zouden stelen te kunnen voorkomen.
    • Deze techniek wordt ook gebruikt om data te anonimiseren.
    • Deze techniek wordt ook gebruikt om cryptografische bewijslasten te vormen wanneer er challenge-response technieken of digitale handtekeningen moeten worden gezet.
    • Het gebruik van deze techniek is fundamenteel voor onze digitale samenleving.
    • In lekentermen betekent dat simpelweg: ‘wij (de aanbieder) weten meestal ook niet wat het wachtwoord is en wat er als data staat opgeslagen’. Dit is volledig aan de verantwoordelijkheid van de eindgebruikers overgelaten.

De conclusie hieruit is dat de primaire functie van adequaat beveiligde communicatiediensten in alle gevallen zonder inbreuk in stand moet blijven. Daarbij past het niet om aan aanbieders van die diensten verplichtingen op te leggen die daaraan afbreuk zouden kunnen doen. Als het gaat om doorbreken van beveiligde communicatie dient dat veelal niet gezocht te worden bij de aanbieders van de communicatiediensten, maar bij aan de zijde van de gebruikers zelf, omdat die veelal aan zet zijn, zowel wanneer data versleuteld is als voor het ontsleutelen hun wachtwoorden.

De bevoegdheden van de diensten dienen dan ook primair gericht te worden op de doorbreking van de beveiliging op het niveau van te onderzoeken eindgebruikers en niet op die van de diensten waarvan ook talloze ‘niet targets’ beveiligd gebruik maken. Alleen in zoverre in het kader van het bevoegd gerichte aftappen ontsleutelde communicatie kan worden geleverd zouden aanbieders daartoe gehouden moeten zijn, maar dat is in het huidige wettelijke kader al geregeld.

EOF