UPDATE 2014-03-21: buitenlandse diensten schijnen voor toegang tot glasvezelkabels bepaalde blokjes te plaatsen in de verbindingen waarbij sprake is van een ‘normale’ tap, die read-only is. En dan in het bijzonder de variant die niet kan worden opgemerkt aan toename van attenuatie op de plaats waar de tap zich bevindt (misschien kan dat nog wel aan scattering?). If-and-only-if de Nederlandse diensten bij het krijgen van toegang tot glasvezelkabels uitsluitend read-only taps gebruiken, staat vast dat de hackbevoegdheid daarmee niet kan worden uitgeoefend. Zie ook deze uitleg (.pdf) over glasvezeltaps. (Dit laat naturlijk onverlet dat andere aanvalspaden bestaan of kunnen worden opgezet met of zonder vrijwillige of verplichte medewerking van kabelproviders.)
Gericht of ongericht? (foto genomen in Amsterdam) |
De AIVD en MIVD hebben een bijzondere bevoegdheid waarop het toezicht al vijf jaar faalt. Wat doe je dan? Juist, die bevoegdheid significant uitbreiden. Begin maart heb ik enkele gedachten uitgeschreven. Deze post is een aanvulling daarop.
CTIVD-rapport 38 vermeldt net als eerdere toezichtrapporten het probleem met de motivering van selectie na ongerichte niet-kabelgebonden interceptie (Art.27 WIV2002):
De Commissie heeft al in eerdere toezichtsrapporten vastgesteld dat zowel de AIVD als de MIVD de inzet van de selectiebevoegdheid onvoldoende motiveerden. Het ging hierbij – kort samengevat – om het onvoldoende toespitsen van de motivering voor de selectie op de personen en/of organisaties die in de selectielijst waren opgenomen. De Commissie blijft nadrukkelijk aandacht vragen en behouden voor deze problematiek.
Dit probleem is bekend sinds de nulmeting die de CTIVD in 2008 uitvoerde (CTIVD-rapport 19). Anno 2014 is er nog niet eens een verklaring voor gegeven. Hoe kan het dat zowel de AIVD als MIVD er al vijf jaar (!) niet in slagen die motivering op orde te krijgen? Wat zijn nu precies de maatregelen waarvan Plasterk in december zei (.pdf) dat ze “zijn en worden genomen” en die “erop [zijn] gericht de CTIVD in staat te stellen in toekomstige rapporten tot een oordeel te komen”? Veronderstellend dat de diensten te goeder trouw handelen, dringt zich zo langzamerhand de vraag op of het misschien eenvoudigweg niet mogelijk is om de manier waarop deze bevoegdheid tot nu toe is ingezet overtuigend te motiveren op een manier waaruit overtuigend blijkt dat de inzet past binnen een democratie, en niet in strijd is met, zeg, het EVRM. Aangezien het recht dient om de macht te beteugelen, is het een probleem als over inzet van de ongerichte bevoegdheid geen uitspraak over rechtmatigheid kan worden gedaan.
En nu dreigt precies die bevoegdheid uitgebreid te worden naar kabelgebonden communicatie; dat volgens Dessens naar schatting 80%-90% van het internationale dataverkeer betreft. De bevoegdheid tot ongerichte interceptie van kabelgebonden communicatie zal inhouden dat telecomaanbieders en internetknooppunten op last van de Minister verplicht worden de diensten toegang te verlenen tot hun kabelnetwerk. Daar schuilt een nog niet besproken onderwerp: de mogelijkheden die die netwerkkoppelingen met zich meebrengen voor het uitoefenen van de hackbevoegdheid van de diensten.
Onder de bevoegdheid tot ongerichte interceptie valt ook de bevoegdheid versleuteling ongedaan te maken. Gaan de diensten daartoe ongerichte c.q. breed gerichte MitM-aanvallen uitvoeren om het verkeer te kunnen doorzoeken op identiteiten van personen en organisaties (Art.27 lid 1), nummers en technische kenmerken (Art.27 lid 2) en trefwoorden (Art.27 lid 3)? Gaan de diensten gericht QUANTUM INSERT-achtige technieken toepassen om targets (en hopelijk zo min mogelijk non-targets) stiekem om te leiden naar valse versies van LinkedIn en Facebook en daar te infecteren met spionagesoftware? Gaan de Nederlandse diensten, in een streven naar de maximaal haalbare informatiepositie, experimenten uitvoeren zoals het Britse OPTIC NERVE, waarbij GCHQ in zes maanden tijd webcambeelden verzamelde van wereldwijd miljoenen gebruikers?
Niet dat hiervan op voorhand kan worden gezegd dat het in strijd is met democratische beginselen: dat hangt af van motivatie (noodzaak/proportionaliteit/subsidiariteit), waarborgen en toezicht. Ik wens de CTIVD veel technisch inzicht toe. Waakzaamheid is geboden. Zo ook bij SIGINT search (Art.26 WIV2002): onder de huidige wet is searchen alleen toegestaan indien afzender en/of ontvanger van de communicatie zich buiten Nederland bevindt. Blijft die eis gehandhaafd bij search van kabelgebonden communicatie?
CTIVD-rapport 38 vermeldt ook dat juridische leemtes zijn ontstaan:
Wel constateert de Commissie dat technologische ontwikkelingen het vandaag de dag mogelijk maken om bestaande bevoegdheden op nieuwe, niet altijd door de wetgever voorziene, manieren in te zetten. Hiermee hangt samen dat door de digitalisering van de samenleving en de daarmee verband houdende sterke intensivering van het communicatieverkeer veel meer gegevens op het gebied van telecommunicatie beschikbaar zijn. De potentiële inbreuk die de diensten met deze methoden kunnen maken op de persoonlijke levenssfeer gaat dan ook veel verder dan in 2002 mogelijk was. Dit heeft tot gevolg dat op een aantal vlakken de werkwijzen van de diensten thans onvoldoende waarborgen bieden voor de bescherming van de persoonlijke levenssfeer, terwijl hierbij strikt genomen de Wiv 2002 niet wordt overschreden.
Wie helpt de wetgever bij het voorzien van onvoorziene leemtes en onvoorziene manieren waarop een vernieuwde Wiv kan worden ingezet? Hoe wordt die worst gedraaid, beste Hennis en Plasterk? Ik acht het uitgesloten dat de wetgever kan voorzien hoe de netwerkkoppelingen over vijf of tien jaar ingezet zullen gaan worden door de diensten. Het Internet of Things zal thans onvoorzienbare nieuwe mogelijkheden en vraagstukken met zich meebrengen. Het is tekenend dat het kabinet in ruim drie maanden nog geen besluit heeft kunnen nemen over het punt van techniekonafhankelijke interceptie. Het beste dat we kunnen verwachten, en waarop we actief moeten aansturen, is dat Nederlandse parlementariërs en regering serieus invulling geven aan deze aanbeveling die het Europees Parlement op 12 maart 2014 heeft aangenomen:
[Het Europees Parlement] neemt nota van de herziening van de Nederlandse Wet op de inlichtingen- veiligheidsdiensten 2002 (verslag van de commissie-Dessens van 2 december 2013); spreekt zijn steun uit voor de aanbevelingen van de commissie die erop zijn gericht de transparantie van en de controle en het toezicht op de Nederlandse inlichtingendiensten te versterken; dringt er bij de Nederlandse regering op aan af te zien van een zodanige uitbreiding van de bevoegdheden van de inlichtingendiensten dat een ongerichte en grootschalige surveillance van kabelgebonden communicatie van onschuldige burgers mogelijk zou worden, met name gezien het feit dat een van de grootste internetknooppunten ter wereld (AMS-IX) in Amsterdam is gevestigd; maant tot voorzichtigheid bij de vaststelling van het mandaat en de capaciteiten van de nieuwe Joint Sigint Cyber Unit, evenals voorzichtigheid met de aanwezigheid en werkzaamheden van medewerkers van Amerikaanse inlichtingendiensten op Nederlands grondgebied;
Wordt vervolgd.
Aanbevolen leesvoer (tips zijn welkom):
- NSA ANT catalogus (Wikipedia)
- Spyfiles (WikiLeaks)
- Lijst van Snowden-documenten (Cryptome)
- Lijst van Snowden-documenten (EFF)
- Gerichtheid moet in het DNA van inlichtingendiensten zitten (.pdf, Bart Jacobs, 6 maart 2014)
- The NSA and GCHQ’s QUANTUMTHEORY Hacking Tactics (The Intercept, 12 maart 2014)
- How the NSA Plans to Infect ‘Millions’ of Computers with Malware (The Intercept, 12 maart 2014)