UPDATE 2018-02-27: hoogleraar inlichtingen & veiligheid Bas Rietjens en hoogleraar cyberoperaties BGen Paul Ducheine, beide verbonden aan de Nederlandse Defensie Academie (NLDA), stellen in het Reformatorisch Dagblad dat het maatschappelijk debat over de Wiv2017 een valse voorstelling van zaken geeft: “Omdat er alleen wordt gefocust op de inperking van vrijheden, zonder oog voor de báten van veiligheid, is het Wiv-debat misleidend, […]” (Een terecht tegengeluid — wat onverlet laat dat ik óók vind dat inperking van vrijheden een primaire focus hoort te zijn.)
UPDATE 2016-08-19: toegevoegd aan het lijstje met leesvoer onderaan deze post: het Britse Report of the bulk powers review, (.pdf, Aug 2016; mirror), de uitkomst van het “Independent Bulk Powers Review” dat ziet op de Draft Investigatory Powers Bill, die vier bulkbevoegdheden bevat t.b.v. GCHQ, MI5 en MI6: “bulk interception, bulk acquisition, bulk equipment interference and bulk personal datasets”.
UPDATE 2016-06-18: Inlichtingen achilleshiel bij terreurbestrijding (NOS). Citaat: “Nederland moet meer geld steken in het verzamelen en analyseren van informatie over potentiële terroristen. Dat zeggen diverse terreurbestrijders op anonieme basis tegen de NOS. Volgens hen ligt de focus te veel op politie-eenheden die snel reageren op dreigingen, en is de inlichtingenpositie de achilleshiel van de Nederlandse terreurbestrijding. (…)”
Privacy en veiligheid zijn complexe thema’s. Dat bewijst zich in debat over de Nederlandse inlichtingen- en veiligheidsdiensten, zoals over het concept-wetsvoorstel Wiv20xx. In het zeer leeswaardige rapport Veiligheid en privacy – Een zoektocht naar een nieuwe balans (.pdf, 2007, Muller, Kummeling en Bron) staan tien handvatten voor debat over vraagstukken die zowel vanuit privacyperspectief als veiligheidsperspectief kunnen worden bezien. Twee van die handvatten luiden “betrek beide thema’s in het debat” en “durf elkaars ambassadeur te zijn”. Dat betekent (bijvoorbeeld) dat bij een debat over uitbreiding van bevoegdheden niet alleen aandacht nodig is voor de mogelijke ongewenste effecten van die uitbreiding, maar ook voor de mogelijke ongewenste effecten van het uitblijven daarvan. Posts op dit blog zijn relatief vaak opgesteld vanuit het eerste perspectief. In deze post wordt vanuit het veiligheidsperspectief gekeken in de vorm van twee citaten: één van Bob de Graaff uit zijn artikel De Nederlandse inlichtingen- en veiligheidsdiensten: nooit te oud om te leren (2011; mirror) en één van minister van defensie Jeanine Hennis-Plasschaert uit een commissievergadering die in februari 2015 plaatsvond.
De Graaff beschrijft in zijn artikel beknopt de geschiedenis van de Nederlandse inlichtingen- en veiligheidsdiensten. De laatste twee paragrafen beschrijven ontwikkelingen bij de diensten en hun werkveld in de periode 1990-2011. In het licht van het concept-wetsvoorstel Wiv20xx vind ik de afsluitende alinea een belangrijke:
Het grootste gevaar is dat in het huidige veiligheidsklimaat de diensten te star en bureaucratisch opereren tegen tegenstanders die voor een deel in staat zijn tot een veel grotere organisatorische flexibiliteit, die profiteren van het feit dat zij sneller leren van de zich wijzigende omstandigheden en die steeds minder mensen nodig hebben om een steeds grotere mate van vernietiging teweeg te brengen.
Hierbij de twee laatste alinea’s uit het artikel van De Graaff:
[…]
1990-nu: dynamiek en onzekerheidHet was duidelijk dat de dienst aan verandering toe was. Het koppel minister Dales (van Binnenlandse Zaken) en BVD-hoofd Docters van Leeuwen schudde begin jaren negentig de dienst op. Onderdeel daarvan was een grotere transparantie blijkende uit jaarverslagen en incidentele rapporten. Aan het begin van het volgende decennium, in 2002 kwam een nieuwe wet op de inlichtingen- en veiligheidsdiensten tot stand, die tot de dag van vandaag geldt. Deze wet was onder meer noodzakelijk doordat het Europese Hof van Justitie had bepaald dat de klachtprocedure ten aanzien van inlichtingen- en veiligheidsdiensten in Nederland onvoldoende geregeld was en onvoldoende duidelijk was wie wanneer welke inzet van bijzondere inlichtingenmiddelen tegen zijn of haar persoon kon verwachten. De wet bezegelde voorts de inmiddels tot stand gekomen samenwerking van de afzonderlijke militaire inlichtingen- en veiligheidsdiensten in de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Omdat gebleken was dat Nederland het toch niet zonder een civiele inlichtingendienst kon stellen, werd bovendien de inlichtingendienst voor het buitenland geïntegreerd in de veiligheidsdienst, waardoor de BVD veranderde in Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Dat was een weinig gelukkige combinatie gezien de geheel verschillende disciplines die inlichtingen en veiligheidswerk vergen.
Niettemin leek dit alsnog goed uit te pakken aangezien de dreiging van het islamistisch terrorisme zich manifesteerde. Internationaal gezien opmerkelijk vroeg, signaleerde de – toen nog – BVD het gevaar daarvan in een openbaar rapport. Aanvankelijk werd deze signalering cynisch begroet: ging het hier misschien om een nieuwe vorm van werkverschaffing? De aanslagen door al-Qa’ida van 11 september 2001 in de Verenigde Staten, gevolgd door aanslagen in Madrid, Istanbul en Londen, stelden de dienst echter in het gelijk.
Het veiligheidsklimaat veranderde door deze aanslagen drastisch. Het budget en de bevoegdheden van de diensten werden sterk uitgebreid. In de jaren zeventig en tachtig was in de ogen van velen een goede veiligheidsdienst nog een dienst geweest die zo weinig mogelijk wist over de Nederlandse burgers, maar vooral in de nasleep van de moorden op Fortuyn (2002) en Van Gogh (2004) en de aanslag op Koninginnedag 2009 won de opvatting dat een veiligheidsdienst in Nederland niet genoeg kon weten over zijn burgers aan kracht.
Het islamistisch terrorisme bleek meer dan voorgaande vormen van terrorisme transnationaal van aard en er bestonden verbanden tussen binnen- en buitenlandse radicalen. In 2010 bepleitte het toenmalige hoofd van de AIVD bij de presentatie van het jaarverslag van de dienst daarom voor meer buitenlandse spionage onder het motto van forward defense. Opvallend was daarbij dat het diensthoofd niet aan de orde stelde hoe in dit geval de taakverdeling moest zijn met de MIVD. De taakgebieden die hij noemde (Irak, Afghanistan, Jemen en Somalië) leken nu juist op het bordje van de militaire dienst te liggen. Een ander heikel punt tussen beide diensten betrof de samenwerking ten aanzien van de Nationale Sigint Organisatie (NSO). Een ander punt waarop AIVD en MIVD het met elkaar eens zullen moeten worden betreft cyber intelligence, een onderwerp dat de laatste jaren snel aan belangstelling heeft gewonnen.
Verder lag het de AIVD zwaar op de maag dat na de aanslagen in Madrid het instituut van Nationaal Coördinator Terrorismebestrijding (NCTb) in het leven was geroepen. Dit was weliswaar geen ‘derde dienst’ naast de AIVD en de MIVD, maar de NCTb beschikte wel over een eigen analyseafdeling en had gemakkelijk toegang tot de ministerraad. Het monopolie op de civiele inlichtingenanalyse was daardoor verloren gegaan. Anders dan misschien verwacht kwam de NCTb niet verzwakt, maar juist getalsmatig versterkt uit de kabinetsformatie van dat jaar tevoorschijn. De NCTb kreeg nu de coördinatie voor veiligheid in algemene zin en veranderde in de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Daarnaast is er nog de roep bij de politie om, los van ondersteunende activiteiten ten behoeve van de AIVD, ook zelf aan inlichtingenvergaring te doen in het kader van intelligence led policing.Terwijl de behoefte aan internationale samenwerking is toegenomen in het kader van de bestrijding van terrorisme, constateerde de commissie-Davids naar het regeringsbeleid met betrekking tot de oorlog in Irak dat Nederland niet al te zeer afhankelijk mocht zijn van buitenlandse inlichtingen. Die conclusie was natuurlijk zeer welkom in een tijd van bezuinigingen, maar er blijft een zekere spanning bestaan tussen nationale onafhankelijkheid op het terrein van inlichtingen en internationale samenwerking.
De toekomst
De politiek-maatschappelijke acceptatie van inlichtingen- en veiligheidsdiensten is de afgelopen jaren sterk toegenomen, maar daarmee ook de publieke en politieke aandacht voor hun werk. Geregeld ontstaan te hoge verwachtingen van het werk van diensten: ‘Satellieten zien toch alles’ en ‘Zo iemand kun je toch voortdurend volgen’. Een belangrijke taak van de diensten zal daarom moeten zijn: het bevorderen van educatie, voorlichting en een sterk verwachtingenmanagement.
Dreigingen komen van meerdere, soms nauwelijks te verwachten kanten en (bijvoorbeeld bij cyber security) met een tot nu toe ongekende snelheid. In combinatie met de maatschappelijke druk zal er sneller informatie aan afnemers beschikbaar worden gesteld, iets wat nu al blijkt uit het toegenomen aantal zogeheten ambtsberichten van de diensten. Die snelheid zal mogelijk afbreuk doen aan kwaliteit en betrouwbaarheid. Tegelijkertijd moeten inlichtingen- en veiligheidsdiensten steeds meer concurreren met organisaties die early warning afgeven op basis van volledig open informatie. Om die concurrentie het hoofd te kunnen bieden, zouden inlichtingen- en veiligheidsdiensten een soort betrouwbaarheids- of kwaliteitsoordeel kunnen uitspreken over concrete informatie. Dat staat echter weer haaks op de snelheid van aanlevering. Het zal interessant zijn om te zien hoe die spanning wordt opgeheven.
Er zal een voortgaande neiging zijn om analyses methodischer te maken en deels te automatiseren. Dat kan niet anders in een tijdperk waarin op informatie gebaseerde organisaties tenonder dreigen te gaan aan information overload. Tegelijk moet er ruimte blijven om met behulp van verbeeldingskracht en intuïtie te werk te gaan, want tegenstanders zullen juist vaak proberen te verrassen door het ondenkbare of onmogelijk geachte te doen.
De Nederlandse diensten moeten ervan uitgaan dat de dynamiek in hun taakomgeving waarschijnlijk alleen nog maar meer zal toenemen, dat zij weliswaar groot zijn geworden ten tijde van de Koude Oorlog, maar dat dat een unieke tijd was met bipolariteit en grote voorspelbaarheid, die routines mogelijk maakte. De toekomst vereist een lerend vermogen van de diensten, wat betekent dat ook individuele medewerkers in staat moeten zijn op meta-niveau hun eigen werkwijze te bezien. Het is de vraag of de diensten thans zodanig gestructureerd zijn dat zij het personeel daartoe in staat stellen en of het vertrouwen in het eigen personeel ook aanwezig is in het licht van enkele recente integriteitsincidenten onder medewerkers.
Het grootste gevaar is dat in het huidige veiligheidsklimaat de diensten te star en bureaucratisch opereren tegen tegenstanders die voor een deel in staat zijn tot een veel grotere organisatorische flexibiliteit, die profiteren van het feit dat zij sneller leren van de zich wijzigende omstandigheden en die steeds minder mensen nodig hebben om een steeds grotere mate van vernietiging teweeg te brengen.
Ten tweede een selectie van woorden die de minister van Defensie uitsprak tijdens de vergadering van de cie-BZK+Defensie dd 10 februari 2015 over de kwestie van ongerichte interceptie van kabelcommunicatie (markering is van mij):
[…]
Het is ook een feit dat in het digitale tijdperk waarin wij nu leven, de opbrengst van klassieke interceptiemethoden onmiskenbaar afneemt. De opkomst van mobiele communicatiemiddelen en complexe netwerken hebben daartoe geleid. Dat heeft gevolgen. Gevolgen als wij de wet niet technologieonafhankelijk maken. Gevolgen omdat wij cyberdreigingen mogelijk niet tijdig onderkennen. Gevolgen omdat Nederlandse militairen op missie mogelijk minder goed kunnen worden beschermd en ondersteund. Gevolgen omdat terroristische activiteiten mogelijk niet tijdig worden onderkend. Gevolgen omdat de werkelijke intenties van risicolanden, bijvoorbeeld op het gebied van massavernietigingswapens, verborgen blijven. Gevolgen omdat we niet in staat zijn om bij snel opkomende crises in het buitenland snel een toereikende informatiepositie op te bouwen. Gevolgen omdat de ontvreemding van intellectueel eigendom, vitale economische informatie en staatsgeheimen mogelijk onopgemerkt blijft.
Dan geef ik enkele voorbeelden die in het bijzonder gelden voor de MIVD, zoals het goed ondersteunen van militairen op missies. Daar hecht ik zeer aan. Ik moet overigens enigszins met meel in de mond praten, want er is altijd een rubriceringsniveau. Ook in gebieden in Afrika, het Midden-Oosten en Azië, waar Nederlandse militairen optreden, verloopt telecommunicatie steeds vaker via kabelnetwerken. As we speak, worden die kabelnetwerken aangelegd op land en in zee. Het gebruik van het internet en mobiele devices neemt ook in de gordel van instabiliteit explosief toe. Zelfs in en nabij conflictgebieden worden generaties aan telecommunicatiemiddelen overgeslagen en worden in een hoog tempo moderne en breedbandige netwerken aangelegd.
Dan kom ik op een ander punt waar ik zeer aan hecht, namelijk het tegengaan van de proliferatie van massavernietigingswapens. Het zicht op de intenties en de activiteiten van landen die mogelijk streven naar het bezit van massavernietigingswapen is de afgelopen tijd echt aanzienlijk gekelderd, door de overschakeling op andere, zeer waarschijnlijk kabelgebonden communicatievormen. Hiervan is geen woord gelogen. We moeten daar niet naïef in zijn. Pogingen om bijvoorbeeld in Nederland dual-use goederen te verwerven, kunnen eveneens onzichtbaar blijven. Ook daar hebben we voorbeelden van.
Dan kom ik op het tegengaan van digitale spionage en digitale sabotage in Nederland en met betrekking tot Nederlandse belangen. Vrijwel alle cyberdreigingen verlopen inmiddels via het kabelnetwerk. Het gaat daarbij bijvoorbeeld om malware van staten die uit zijn op Nederlandse staatsgeheimen en bedrijfsgeheimen of om malware van groeperingen of individuen die de groeiende afhankelijkheid van overheden en bedrijven van digitale systemen willen benutten om de nationale vitale infrastructuur te ontwrichten. Het zijn niet zomaar kleine dingen, het zijn grote zaken.
Vervolgens kom ik op het ondersteunen van de cyberoperaties van de krijgsmacht in het buitenland. Wellicht hebt u vernomen dat wij hebben besloten tot het instellen van een cybercommando dat niet alleen defensief maar ook offensief kan optreden. Dat kan alleen maar mogelijk worden gemaakt als er toegang is tot de kabel.
Je moet ook de militair-technische ontwikkelingen onderkennen. De informatiepositie van de MIVD is aanwijsbaar verslechterd als gevolg van het verplaatsen van het communicatieverkeer naar de kabel. Ik heb eerder gezegd dat de dienst doof en blind aan het worden is en ik herhaal het hier. Het stond deze week ook in de krant. De indruk wordt nu gewekt dat Nederland massaal zal worden afgeluisterd, maar niets is minder waar. Ik heb een paar concrete voorbeelden genoemd, hoewel ik niet helemaal tot in detail kan gaan, die er echt toe doen voor de informatiepositie van Nederland, de bescherming van de staatsveiligheid en onze belangen in het buitenland. Ik hoop dat ik daarmee de urgentie hiervan voor het voetlicht heb gebracht.
De minister noemde hier dus de volgende voorbeelden van gevolgen van het uitblijven van ongerichte interceptie van kabelcommunicatie (deze beslaan zowel werkgebied van de MIVD als de AIVD):
- cyberdreigingen worden mogelijk niet tijdig onderkend;
- Nederlandse militairen op missie kunnen mogelijk minder goed worden beschermd en ondersteund;
- terroristische activiteiten worden mogelijk niet tijdig onderkend;
- de werkelijke intenties van risicolanden, bijvoorbeeld op het gebied van massavernietigingswapens, blijven verborgen (N.B.: Hennis trok tijdens de vergadering vooral een ernstig gezicht bij het uitspreken van deze woorden: “Het zicht op de intenties en de activiteiten van landen die mogelijk streven naar het bezit van massavernietigingswapen is de afgelopen tijd echt aanzienlijk gekelderd, door de overschakeling op andere, zeer waarschijnlijk kabelgebonden communicatievormen. Hiervan is geen woord gelogen.”)
- we zijn niet in staat zijn om bij snel opkomende crises in het buitenland snel een toereikende informatiepositie op te bouwen;
- de ontvreemding van intellectueel eigendom, vitale economische informatie en staatsgeheimen blijft mogelijk onopgemerkt.
Aan elk argument zal óók informatie ten grondslag liggen die voor de buitenstaander niet bekend en/of niet te controleren is, met name op het gebied van methoden, bronnen en (praktische, financiële en personele) beperkingen van de diensten. Wel kan je als buitenstaander trachten om bij elk voorbeeld op basis van openbare c.q. algemeen bekende informatie aannemelijk te maken dat bestaande bevoegdheden niet toereikend zijn, en dat in redelijkheid kan worden gesproken van noodzaak van ongerichte search/interceptie van kabelcommunicatie in binnen- en/of buitenland. (De bewijslast voor het aantonen van noodzaak blijft natuurlijk bij de overheid.)
Zo kan voor het eerste voorbeeld — het onderkennen van digitale dreigingen — worden betoogd dat het in het kader van contraspionage noodzakelijk is om signature-based en anomaly-based malware/intrusion detection uit te voeren (bijvoorbeeld middels DPI-systemen), en dat daar zonder Artikel 33+34 Wiv20xx onvoldoende juridische ruimte voor bestaat. Aanvullend kan worden betoogd dat omdat kennis van de toegepaste anomaly-based methoden en (vooral) de gebruikte signatures zeer gevoelige informatie kan betreffen, deze niet bekend moet zijn bij derden (zoals ISPs en organisaties die in potentie doelwit kunnen zijn van spionage), en het daarom onwenselijk is de intrusion detection (decentraal) bij derden te beleggen. Ten slotte kan het standpunt worden verdedigd dat het vestigingsklimaat in Nederland beter wordt als gevolg van de verruiming van bevoegdheden, omdat de overheid daarmee in staat wordt gesteld om (ook) buitenlandse bedrijven met een vestiging in Nederland beter te (helpen) beschermen tegen onder meer digitale spionage en digitale aanvallen.
Voor wie meer wil weten over het veiligheidsperspectief, en leeswerk niet schuwt:
- lees het Dessens-rapport (2013);
- lees de Memorie van Toelichting (.pdf, 2015) bij het concept-wetsvoorstel Wiv20xx;
- lees de AIVD-jaarplanbrief 2015 en de AIVD-jaarplanbrief van 2016, waarin de minister van BZK op hoofdlijnen de prioriteiten van de AIVD schetst;
- lees toezichtsrapporten van de CTIVD (2003-heden);
- lees het Rijksoverheid-nieuwsbericht over mythes en misverstanden over de AIVD (2008);
- lees Bound by silver cords. The Dutch intelligence community in a transatlantic context (2012) van academici Beatrice de Graaf en Constant Hijzen, waarin zij over samenwerking met de Amerikaanse diensten stellen dat de verschillen tussen Amerika en Nederland op het gebied van privacywetgeving, aandacht voor mensenrechten en juridische standaarden “put a brake on their relationship with American services and agencies”;
- lees Sigint: definition, qualities, problems and limitations (citaten uit een Engelstalig werk van Matthew Aid & Cees Wiebes uit 2001) en optioneel De voordelen en nadelen van signals intelligence (citaten uit een Nederlandstalig werk van Cees Wiebes uit 2002);
- lees de Britse Operational Case for Bulk Powers (.pdf, Q1/2016; mirror), opgesteld door de Britse overheid n.a.v. een aanbeveling die het parlementaire Joint Committee deed inzake de in november 2015 gepubliceerde Draft Investigatory Powers Bill (de .pdf van het wetsvoorstel staat hier). Dat wetswijzigingsvoorstel bevat vier bulkbevoegdheden voor GCHQ, MI5 en MI6: “bulk interception, bulk acquisition, bulk equipment interference and bulk personal datasets”. Het nieuwe document is een nadere onderbouwing van die bevoegdheden.
- zijstapje: over anonimiteitsnetwerken — denk aan Tor — staat daar op p.11 het volgende: “The use of bulk data is among the few effective methods available to counter the illicit use of the dark web. By analysing data obtained through bulk interception, investigators are able to link the anonymous identities of criminal users to their real world identities. These techniques rely on the analysis of large volumes of data; it would not be possible to do this through targeted interception or communications data powers.”
- lees het Britse Report of the bulk powers review, (.pdf, Aug 2016; mirror), de uitkomst van het “Independent Bulk Powers Review” dat ziet op de (ook in de vorige bullet genoemde) Draft Investigatory Powers Bill. Het rapport is opgesteld door “Independent Reviewer of Terrorism Legislation” David Anderson QC. Drie opmerkingen uit de Executive Summary van het rapport:
-
- “The Report concludes that there is a proven operational case for three of the bulk powers, and that there is a distinct (though not yet proven) operational case for bulk equipment interference (9.12-9.15).”
- “As the case studies show, the bulk powers are used across the range of Agency activity, from cyber-defence, counter-espionage and counter-terrorism to child sexual abuse and organised crime (Annexes 8-11).”
- “The bulk powers play an important part in identifying, understanding and averting threats in Great Britain, Northern Ireland and further afield. Where alternative methods exist, they are often less effective, more dangerous, more resource-intensive, more intrusive or slower (chapters 5-8).”
Discussie over proportionaliteit en wenselijkheid (“desirability”) van de bevoegdheden vielen buiten de review en worden overgelaten aan het lagerhuis.
-
- met betrekking tot transparantie vs. geheimhouding, lees The CIA’s Constant Battle Between Secrecy and Effectiveness (2016): “The problem is that while secrecy is necessary for collecting human intelligence and conducting covert actions, and is helpful to all-source intelligence analysis, it is contrary to the imperative of maintaining public support.” Zie in dat licht de relatief uitgebreide AIVD-website en jaarverslagen (hoewel Nederland qua tapstatistieken dan wel weer achterloopt op landen als Duitsland en België), enkele vrij gedetailleerde openbare publicaties (o.a. over jihadisme) en het feit dat in de laatste jaren op openbare bijeenkomsten soms AIVD-sprekers opduiken (NISA Cyberdag, NWO ICT.Open, NCSC One, etc.).
- idem, ook aanbevolen: de politiek-filosofische beschouwing Het geheim van de laatste staat – kritiek van de transparantie van UvT-hoogleraar bestuurskunde Paul Frissen, aangaande het belang van geheimen voor zowel burgers (privacy) als overheid (staatsgeheimen), en de (dystopische) keerzijde van bovenmatige transparantie.
Specifiek met betrekking tot signals intelligence is het blog van Peter Koop (@electrospaces) de moeite waard: daar geeft Koop kritische duidingen en analyses van (onder andere) NSA- en GCHQ-documenten die (onder andere) via Snowden openbaar zijn geworden. Zie daar bijvoorbeeld de post NSA’s Foreign Partnerships (2014, laatste update: maart 2015). En ProPublica publiceerde een overzicht (2014) van NSA-programma’s die via Snowden zijn onthuld, geordend naar bulk vs. targeted en domestic vs. foreign.
EOF