Dutch govt response to Parliamentary questions about NSA wiretapping international phone traffic

UPDATE 2013-11-27: here (.pdf, Nov 27) is the EU Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection — i.e., the EU-US expert group established in response to the revelations about NSA-related activities on European territory that is referred to in the post below.

UPDATE 2013-11-01: also see Dutch govt position concerning U.S. spying for economic purposes + answers to Parliamentary questions re: Snowden/Le Monde 


 

On October 11th, the Dutch cabinet responded (.pdf, in Dutch) to Parliamentary questions about the NSA intercepting international phone traffic via telecom providers. The response is only available in Dutch; here is my English translation. Hyperlinks are mine.

WARNING: this is an unofficial translation.

Answers by the Dutch Ministry of the Interior and Kingdom Relations, the Ministry of Economic Affairs, and the Ministry of Security and Justice to questions by Dutch ParliamentQuestions by Members of Parliament Schouw and Verhoeven (D66 party) to the secretaries of the Ministry of the Interior and Kingdom Relations, the Ministry of Economic Affairs, and the Ministry of Security and Justice about the U.S. National Security Agency (NSA) wiretapping telephone communications via telecom providers (submitted September 18th 2013).
Original Dutch: “Vragen van de leden Schouw en Verhoeven (beiden D66) aan de ministers van Binnenlandse Zaken en Koninkrijksrelaties, van Economische Zaken en van Veiligheid en Justitie over het bericht dat de Amerikaanse National Security Agency (NSA) via telecomaanbieders het internationaal telefoonverkeer afluistert (ingezonden 18 september 2013)”

Are you aware of the news that the U.S. intelligence service NSA has been eavesdropping since 2011 on telephone traffic that is routed via the Belgian telecom provider Belgacom? [0]
Yes.
Original Dutch: “1 Heeft u kennisgenomen van het bericht dat de Amerikaanse inlichtingendienst NSA zich sinds 2011 toegang verschaft tot telefoonverkeer dat via de Belgische telecomprovider Belgacom verloopt? [0]”
Ja.

What is your response to the fact that the U.S. intelligence service NSA has gained access to one of the largest telecom companies in a direct neighbor country of the Netherlands?
The article in De Standaard (English translation) states, among others, that no certainty exists about who is responsible for the compromise of the infrastructure of the Belgian company Belgacom. Covert activities of state actors can not be ruled out, in principal.
Original Dutch: “2 Wat is uw reactie op het gegeven dat de Amerikaanse inlichtingendienst NSA zich toegang heeft verschaft tot een van de grootste telecombedrijven in een direct buurland?
Het bericht in De Standaard meldt onder meer dat niet zeker is wie verantwoordelijk is voor de inbreuk op de infrastructuur van het Belgische bedrijf Belgacom. Heimelijke activiteiten van statelijke actoren zijn in beginsel niet uit te sluiten.”

Did similar security breaches on communication infrastructure of Dutch telecom providers occur in the last two years? If so, what was the nature of the breach, how often did it occur and did it involve placement of malware by a foreign intelligence service?There are no indications for a similar breach of the infrastructure of Dutch providers of telecommunication services. The General Intelligence and Security Service (AIVD) is running an investigation as a result of the news. There are no indication yet that the Netherlands is a direct target of the attack. The breach of KPN in early 2012 was, by the way, no activity of an state actor. KPN has taken additional security measures as a result of that breach.
The AIVD has repeatedly highlighted the vulnerabilities of the Dutch IT infrastructure and the threat of digital espionage. The Dutch society and economy is highly dependent on IT, and the IT infrastructure is highly vulnerable. In addition, digital attacks are increasingly complex and advanced. The impact of digital attacks on the national security and the economic well-being of society can be particularly strong.
Original Dutch: “3 Zijn er afgelopen twee jaar vergelijkbare veiligheidsinbreuken geweest op de communicatieinfrastructuur van Nederlandse telecomaanbieders? Zo ja, wat was de aard van de inbreuk, hoe vaak heeft het zich voorgedaan en was er sprake van malware geplaatst door een buitenlandse inlichtingendienst?
Er zijn geen aanwijzingen voor een vergelijkbare inbreuk op de infrastructuur van Nederlandse aanbieders van telecommunicatiediensten. De AIVD doet onderzoek naar aanleiding van de berichten. Er zijn vooralsnog geen aanwijzingen dat Nederland een direct doelwit is van de aanval.
De inbreuk bij KPN in het voorjaar van 2012 was overigens geen activiteit van een statelijke actor. KPN heeft naar aanleiding van die inbreuk aanvullende veiligheidsmaatregelen genomen.
De AIVD heeft herhaaldelijk gewezen op de kwetsbaarheden van de Nederlandse ICT- infrastructuur en de dreiging van digitale spionage. De afhankelijkheid van de Nederlandse samenleving en de economie van ICT is aanzienlijk, en de kwetsbaarheid van de ICT is hoog. Digitale aanvallen worden daarnaast steeds complexer en geavanceerder. De impact van digitale aanvallen op de nationale veiligheid en het economisch welzijn van de samenleving kan bijzonder groot zijn.”

Do you know whether Dutch telecom providers commissioned an examination for very advanced malware on their communications infrastructure in the last three years? If so, what is the outcome? If not, do you intend to insist that these companies commission such an investigation, considering the U.S. practice and possible hacks by other nations?
Private parties, including the providers of public electronic communication services, are responsible for the security of their own infrastructure. The Telecommunications Act obliges the providers to ensure the integrity and security of their networks and services, and the confidentiality and availability of services. This involves technical and organizational measures. The major provides structurally use their own capacity. If they deem it necessary, they involve expertise of third parties. Recent media reports underline the importance of these measures. If necessary, the government can require the provider to take certain technical or organizational measures or to commission a security examination by an independent party (fifth and sixth paragraph of section 11a of the Telecommunications Act). Following the news reports, KPN commenced additional investigations.
The AIVD and National Cyber Security Center (NCSC) support vital sectors in securing IT infrastructure. The AIVD has, among others, developed a method for the analysis of vulnerability to espionage. Digital espionage is one of the areas of interest. This method has been brought to the attention of vital sectors to support them in eliciting vulnerabilities.
Original Dutch: “4 Is u bekend of Nederlandse telecomaanbieders afgelopen drie jaar een veiligheidsonderzoek hebben laten uitvoeren naar zeer geavanceerde malware op hun communicatie-infrastructuur? Zo ja, wat is daarvan de uitkomst? Zo nee, bent u in het licht van de Amerikaanse praktijken en mogelijke hacks door andere landen, voornemens om bij telecomaanbieders aan te dringen op een dergelijk onderzoek?
Private partijen, waaronder aanbieders van openbare elektronische communicatiediensten, zijn zelf verantwoordelijk voor de veiligheid van hun infrastructuur. De Telecommunicatiewet (Tw) bevat voor deze aanbieders verplichtingen voor de borging van de integriteit en de veiligheid van hun netwerken en diensten, waaronder het waarborgen van de vertrouwelijkheid van de telecommunicatie en de beschikbaarheid van de dienstverlening. Het gaat daarbij om technische en organisatorische maatregelen. De grote aanbieders zetten hiervoor structureel eigen capaciteit in. Indien zij dat nodig achten, zetten zij hiervoor expertise van derden in. De recente berichten in de media onderstrepen het belang van deze maatregelen. Indien daar aanleiding voor is, kan de aanbieder worden verplicht bepaalde technische of organisatorische maatregelen te nemen of een veiligheidscontrole door een onafhankelijke deskundige te laten uitvoeren (art. 11a vijfde resp. zesde lid van de Telecommunicatiewet).
Naar aanleiding van de berichtgeving is KPN gestart met het uitvoeren van aanvullende onderzoeken.
De AIVD en het NCSC ondersteunen de vitale sectoren bij het beveiligen van hun ICT- infrastructuur. De AIVD heeft onder meer een methodiek ontwikkeld voor de analyse van kwetsbaarheden voor spionage. Digitale spionage is daarbij één van de aandachtspunten. Deze methodiek is bij de vitale sectoren onder de aandacht gebracht om hen te ondersteunen de eigen kwetsbaarheden inzichtelijk te maken.”

Have you, or have the Dutch telecom providers, in recent years received requests from the U.S. intelligence service NSA or other foreign intelligence services to provide access to international phone traffic? If so, how did you respond?
The government does not know whether foreign powers approached Dutch telecom providers. No public statements are made about contacts between the Dutch intelligence and security services and foreign services.
Original Dutch: “5 Heeft u of Nederlandse telecomaanbieders afgelopen jaren verzoeken ontvangen van de Amerikaanse inlichtingendienst NSA dan wel andere buitenlandse inlichtingendiensten, om toegang te verschaffen tot internationaal telefoonverkeer? Zo ja, wat was daarop de reactie?
Het is de regering niet bekend of buitenlandse mogendheden Nederlandse aanbieders van telecommunicatie hebben benaderd. Over contacten tussen de Nederlandse inlichtingen- en veiligheidsdiensten en buitenlandse diensten worden in het openbaar geen mededelingen gedaan.”

Did you bring up the topic of hacks on European, and Dutch communication systems in particular, with the U.S. government? If so, what was the outcome of those conversations? If not, do you intend to bring up the privacy violation of Dutch citizens with the U.S. government?
Are you willing to actively put the infringements by the U.S. and possibly other countries on the agenda of the next Council of Justice and Home Affairs (JHA Council) and to plead for a joint European stand against these violations of the privacy of European citizens?

The European Commissioners of Justice and Home Affairs have consulted the U.S. Attorney General on June 14th following the media reports. An EU-US expert group is currently addressing the protection of privacy and of electronic data of citizens, with the aim of mutual understanding of each other’s programs and how those are anchored in the rule of law. The Dutch government supports this initiative. It is expected that the expert group will complete its final report this fall. PRISM was discussed in the margins of the JHA Council of October 7th.
Original Dutch: “6 Heeft u de hacks op Europese, en Nederlandse communicatiesystemen in het bijzonder, aan de orde gesteld bij de Amerikaanse regering? Zo ja, was de uitkomst van die gesprekken? Zo nee, bent u voornemens de privacyschending van Nederlandse burgers aan de orde te stellen bij de Amerikaanse regering?
7 Bent u bereid de inbreuken door de VS en mogelijk ook andere landen, actief te agenderen in de eerstvolgende Raad van Justitie en Binnenlandse Zaken (JBZ-Raad) en te pleiten voor gezamenlijk Europees optreden tegen deze schendingen van privacy van Europese burgers?
6 & 7: De Eurocommissarissen van Justitie en van Binnenlandse Zaken hebben naar aanleiding van mediaberichten op 14 juni jl. overleg gevoerd met de Amerikaanse minister van Justitie. Inmiddels buigt een EU-VS expertgroep zich over de bescherming van de persoonlijke levenssfeer en van elektronische gegevens van burgers, met als doel wederzijds inzicht in elkaars programma’s en de wijze waarop deze zijn verankerd in de rechtsstaat. De Nederlandse regering steunt dit initiatief. Naar verwachting voltooit de expertgroep dit najaar zijn eindrapport. Het onderwerp PRISM is besproken en marge van de JBZ-raad van 7 oktober jl.”

[0] http://www.standaard.be/cnt/dmf20130915_00743233 (English translation)

Related:

EOF

Leave a Reply

Your email address will not be published. Required fields are marked *