Op 6 mei mocht ik een bijdrage leveren aan de expertsessie ‘Cyberintelligence en Publiek Belang’ in de Eerste Kamer. Het ontwikkelen van inzicht in de Snowden-onthullingen stond daarin centraal. Het Financieel Dagblad publiceerde gisteren een bewerking van mijn lezing op de Opiniepagina. Klik op het plaatje hieronder om het stuk te lezen, waarin ik probeer in te gaan op welke rol voor Nederland is weggelegd nu we ons geconfronteerd zien met genetwerkte communicatie-omgeving van totale surveillance. De opinie is voor een breed publiek en daarom wat simpeler. De volledige tekst van mijn langere lezing heb ik daaronder integraal opgenomen. De lezing is wat anders van toon, want gericht aan senatoren, en bevat meer technische en juridische lagen.
UPDATE: Mede op basis van mijn lezing, heeft de Eerste Kamer een aantal moties aangenomen over privacy en security na Snowden.
De integrale tekst van de lezing staat hieronder. Mede op basis van mijn lezing, heeft de Eerste Kamer een aantal moties aangenomen over privacy en security na Snowden, te weten:
-
De motie Franken c.s. over het in overeenstemming brengen van de wetgeving en het toezicht op de activiteiten van inlichtingendiensten met de normen van het EVRM en de EU-wetgeving inzake gegevensbescherming (CVIII, letter D);
-
De motie Gerkens c.s. over een onderzoek door het Rathenau Instituut naar de wenselijkheid van een adviescommissie over de ethische kant van de digitalisering van de samenleving (CVIII, letter E);
-
De motie De Vries c.s. over een onderzoek naar de onafhankelijkheid en betrouwbaarheid van organisaties, die het grondwerk doen voor de standaardisering van beveiligingsprotocollen (CVIII, letter F);
-
De motie De Vries c.s. over het door inlichtingen en veiligheidsdiensten openbaar maken van internetkwetsbaarheden (CVIII, letter G);
-
De motie De Vries c.s. over overleg met de Verenigde Staten over de bescherming van de privacy van alle burgers (CVIII, letter H);
-
De motie Duthler c.s. over verbetering betrouwbaarheid DigiD (CVIII, letter I).
De integrale tekst van mijn lezing:
Dank u wel, voorzitter. Nog niet zo lang geleden kwam ik vaak naar de Eerste Kamer. Vanaf de publiekstribune maakte ik dan mee hoe onze ‘Chambre de Réflection’ politieke misbaksels van de Kamer aan de overkant juridisch repareerde, en zo af en toe scherp – maar beschaafd – debatteerde over de constitutionaliteit van wetgeving. Als de dag van gisteren herinner ik me een spetterend debat op 6 en 7 juli 2009 over de controversiële bewaarplicht telecomgegevens – de verplichte metadata-opslag van iedere telecomgebruiker door hun provider. De meesten van u waren toen ook senator, u zult het zich nog herinneren.
Vijf jaar lang, als sinds 2004, had de Senaat zich verzet tegen de bewaarplicht: noodzaak was, en is nog steeds niet bewezen, en de privacyschade werd lang ongrondwettelijk bevonden. Maar in de nacht van 6 op 7 juli wist de geslepen CDA-minister van Justitie Ernst Hirsch Ballin, gebrand op een politieke overwinning, zijn eigen fractie in de Senaat over de streep te trekken – een krappe meerderheid was behaald. Op 7 juli ontwikkelde het debat zich tot een intellectueel hoogstaande reflectie op de rol van bewijs, ratio en wetenschap in politieke besluitvorming. Een verbijsterde senator vergeleek de ontwikkelingen van de nacht van 6 op 7 juli met de beschrijving van het zonnestelsel door wetenschapper Galileo Galilei in de 17e eeuw, zijn daaropvolgende knieval voor politicus Paus Urbanus VIII en een slimme verwijzing van de CDA-fractie naar de contemporaine politieke brandstapels van juli 2009.[1] Ik leerde dat de Senaat – tegen de eigen wil, alle wetenschappelijke rationaliteit en constitutionele reflectie in – toch had moeten kiezen voor politieke opportuniteit, net als Galilei. Een sombere dag voor de Chambre de Réflection, de hoeder van grondrechten in het Nederlandse staatsbestel.
Een paar weken terug, vijf jaar na dat debat, is de bewaarplichtrichtlijn dan eindelijk verworpen door het Hof van Justitie van de E.U. – ik kom daar straks op terug. Maar ik herinner u vooral aan het bewaarplichtdebat omdat de onthullingen van Edward Snowden de politiek over niet al te lange tijd, net als in 2009 en vergelijkbaar met Galilei destijds, weer met wetenschappelijke rationaliteit, constitutionele reflectie en politieke opportuniteit zullen confronteren.
Gelukkig zijn we nu nog in de fase van onderzoek en waarheidsvinding. Tegen die achtergrond wissel ik graag van gedachte met u over de door u gestelde vragen rondom de Snowden onthullingen, specifiek over backdoors, malware en de ongerichte kabelgebonden interceptie en bedrijfsspionage. Ik sluit af met een wat bredere reflectie over cyberintelligence en publiek belang, en de rol van een kleine speler als Nederland in een mondiaal verknoopte informatiesamenleving temidden van gigantische cybergrootmachten als de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Rusland en China.
Backdoors
Stiekeme achterdeurtjes in hard- en software, ‘backdoors’, zijn een onrealistisch pad voor Nederland en inherent onverantwoord. Het overgrote deel van hard- en software wordt niet in Nederland gemaakt, maar hier zijn we afhankelijk van vooral Amerikaanse, Duitse en Chinese producten. In juridische zin staan backdoors op gespannen voet met het communicatiegeheim van art. 13 Gw en art. 8 EVRM. Maar het technische argument is doorslaggevend: een backdoor geldt ongericht voor iedere gebruiker, die door de backdoor kwetsbaar wordt voor iedere aanvaller – inclusief cybercriminelen en cyberlegers waar dan ook ter wereld. Dus niet alleen voor de inlichtingendienst die erom vroeg.
Met name de BULLRUN onthullingen rondom backdoors hebben veiligheid van en vertrouwen in kritieke IT-infrastructuur onherstelbaar beschadigd. Standaardorganisaties als de Internet Engineering Taskforce, de GSM Association en het National Institute for Standards and Technology zijn jarenlang gemanipuleerd op bestuurlijk niveau; cruciale encryptie-algoritmes zijn technisch ondermijnd, en beveiligingsbedrijven als RSA werden zelfs omgekocht om backdoors in beveiligingssoftware te planten.[2] Naast de NSA, is het niet te achterhalen wie de backdoor nog meer heeft kunnen misbruiken. Als Snowden al bij deze informatie kon, is het volkomen realistisch dat andere inlichtingendiensten – ook zij die nauwer samenwerken met bedrijven en misschien zelfs criminele organisaties – van deze backdoors hebben geweten.
De gecorrumpeerde beveiligingsprotocollen en software gebruikt iedereen, elke seconde van elke dag. De RSA producten in kwestie vind je voornamelijk bij overheden, banken, accountants en advocatenkantoren. Backdoors beschadigen dus niet alleen de burger, maar ook en misschien wel vooral het bedrijfsleven en overheden.
Een tweede klasse van backdoors is het verzwijgen van inherente kwetsbaarheden. Zo heeft de NSA automatische beveiligingsupdates en ‘crash reports’ van Microsoft Windows verzwegen voor cyber intelligence en surveillance.[3] Security expert en collega Bruce Schneier noemt dit het digitale equivalent van het plaatsen van sniper-soldaten in Rode Kruis trucks: het gezond en up-to-date houden van hard- en software vormt nu in zichzelf een beveiligingslek.
Malware
Over de inzet van malware door Nederlandse inlichtingendiensten is weinig bekend. Maar we weten nu door de QUANTUM onthullingen dat de Amerikaanse en/of Britse diensten sinds 2007 al 140.000 botnets hebben gecoöpteerd, zodat de diensten voor surveillance doeleinden meeliften met tientallen miljoenen door cybercriminele gehackte geïnfecteerde computers en smartphones.[4] De TURBINE onthulling spreekt van het alvast hacken van 100.000 internetrouters op kritieke netwerknodes wereldwijd, om later surveillance mogelijk te maken. De nummers en programma’s zijn zo omvangrijk en structureel, dat je je er bijna geen voorstelling van kunt maken.
Om al deze redenen dienen de nu onthulde praktijken rondom ongerichte backdoors en malware scherp veroordeeld te worden. Ze ondermijnen grondrechten, werken bedrijfsspionage in de hand en hebben onherstelbare schade aangericht aan de IT-infrastructuur die zoveel van ons economische, sociale en politieke leven faciliteert.
Onbetrouwbare data voor besluitvorming
Betrouwbare data voor besluitvorming is essentieel. Helaas zijn de door de Minister genoemde ramingen van geleden schade door economische spionage volstrekt onbruikbaar voor beleidsvorming.[5] Internationaal toponderzoek heeft vastgesteld dat zulke ramingen overdreven en in ieder geval onbetrouwbaar zijn. Pijnlijk genoeg noemt dat onderzoek het door de Minister aangehaalde TNO-cijfer voor Nederland (“ca. 2 miljard euro”) als voorbeeld van hoe het niet moet.[6] Zulke cybersecurity ‘hypes’ verklaren de onderzoekers uit het opnemen van entertainment-downloads en het overdrijven van schadecijfers door de security-industrie die daar direct belang bij heeft. Verder gaan de cijfers vooral over cybercrime, niet over cyber intelligence door staten. Het ontbreekt ons, kortom, aan een beeld van wat de schade nu daadwerkelijk is.
Ongerichte kabelgebonden interceptie
Zoals gezegd is een paar weken terug de bewaarplicht – het ongerichte opslaan van metadata door telecomproviders voor de behoeftestellers – scherp veroordeeld door Hof van Justitie van de Europese Unie.[7]
De mogelijke uitbreiding van bevoegdheden van Nederlandse inlichtingendiensten voor ongerichte kabelgebonden interceptie stuiten ook direct op die uitspraak. Belangrijk is om te benadrukken dat het Luxemburgse Hof heeft bevestigd dat interceptie, doel, toegang en analyse onlosmakelijk met elkaar zijn verbonden. Hoe heviger de inbreuk, hoe steviger de beperkingen en waarborgen. Minister Hirsch Ballin, en staatssecretaris Teeven zeiden steevast dat alleen het verzamelen en bewaren van data op zich geen privacyschending vormt. Zoals velen van u in juli 2009 al zeiden; dat is feitelijk en juridisch onjuist.
Maar de cruciale vraag die eerst beantwoord dient te worden is of en waarom zo een bevoegdheid eigenlijk nodig is. Schadecijfers zijn onbetrouwbaar, sleepnetsurveillance blijkt ineffectief en de schending van digitale grondrechten is immens. Welk doel heiligt welk middel? Zijn er niet minder schadelijke maatregelen om nationale veiligheid te dienen? Moeten we in plaats van alles maar op te slaan, voor het geval dat, veel gerichter luisteren naar tips en geluiden uit de samenleving?
De Kabinetsreactie op de Commissie Dessens parkeert het vraagstuk voor nu, het is blijkbaar te controversieel. Maar de vraag is niet hoe inlichtingendiensten ongericht het internet moeten kunnen tappen, en welke juridische waarborgen we treffen; waarom is het eigenlijk nodig? Weet dat ongerichte kabelgebonden interceptiemogelijkheid al sterk veroordeeld is in de Liberty-uitspraak van het Europees Hof voor de Rechten van de Mens in 2008. En over niet al te lange tijd buigt hetzelfde Straatsburgse Hof zich over het TEMPORA programma, de ongerichte kabelgebonden interceptie van de Britse inlichtingendienst. Als ik het Kabinet was, zou ik de plannen nog meer even in de ijskast laten, en niet alleen vanwege constitutionele redenen.
Aanbevelingen
In mijn notitie refereer ik al naar de ‘Bundestrojaner’-uitspraak van Duitse Federale Constitutionele Hof in 2008 en recentere ontwikkelingen. Een nieuw grondrecht op de ‘vertrouwelijkheid en integriteit van IT-systemen’ kan interessant zijn en verdient grondig onderzoek; ik bespreek voors en tegens graag met u. Kort gezegd ontwikkelt het Duitse Federale Hof zeer strikte criteria, strikter dan voor huiszoekingen en taps. Omdat IT-systemen veel gevoeliger informatie bevatten dan communicatie of zelfs binnenshuis.
Niets dan lof natuurlijk voor onze Chambre de Réflection, maar Nederland mist constitutionele toetsing door de rechter. De hackbevoegdheid uit art. 24 Wiv kan dus slechts door u in lijn gebracht worden met constitutionele waarborgen, of door de Europese rechter. In vergelijking met de Duitse praktijk, is de binnen de diensten en het Kabinet geconstrueerde praktijk van een veel te brede hackbevoegdheid uit art. 24 Wiv 2002 een verbijsterende ontwikkeling. Er is veel te weinig informatie openbaar om art. 24 Wiv 2002 te analyseren, laat staan om het essentiële democratische tegenwicht te bieden – ook dat is een punt van zorg.
Dan is er het punt van toezicht. Toezicht is geen panacee voor de constitutionele afbraak waar we nu middenin zitten. Juridische waarborgen en kaders, vooraf, zijn minstens even belangrijk. Wellicht kan de Duitse uitspraak houvast bieden, maar er is meer onderzoek nodig. Bovendien zal toezicht steeds meer afgedwongen worden via technologie.
Enkele vragen die opkomen: wie overziet de 50.000 zoektermen die de Britse inlichtingendienst toepast op de onderzeekabel interceptie? Waar zoekt men naar? Woorden? Data-fingerprints? Malware? En wie ziet toe op de broncode van de malware die de overheid gebruikt? In Duitsland is dat met de Bundestrojaner, zowel voor als na de uitspraak in 2008, gruwelijk misgegaan.[8] En wat gebeurt er als een kritieke kwetsbaarheid in software wordt gevonden? Melden? Nog even onder de pet houden om te exploiteren? Is een toezichtsorgaan als het CTIVD wel in staat om zulke enorm complexe vragen te stellen, en te beantwoorden? Bent u dat?
Voorzitter. Naast vooral terughoudendheid, bijvoorbeeld bij backdoors instellen en malware verspreiden, zijn er tal van zaken die de overheid op korte termijn wel kan of moet doen.
Een simpel, morgen te realiseren voorbeeld is middelen beschikbaar stellen voor beveiligingsonderzoek van vrije, open software – zoals OpenSSL dat met het recente Heartbleed incident wereldnieuws haalde. Waar naar schatting driekwart van beveiligde internetverkeer afhankelijk is van OpenSSL, wordt het project gerund door drie medewerkers en een jaarbegroting van een miljoen euro.[9] Een beveiligingsaudit van de kritieke encryptie-library had Nederland was spotgoedkoop geweest, had Heartbleed kunnen voorkomen en internationaal leiderschap bevestigd op het gebied van een robuuste, veilige en vrije IT-infrastructuur.
Ik wissel graag met u van gedachte over andere concrete maatregelen op korte en lange termijn die nodig zijn voor een robuuste, veilige en vrije IT-infrastructuur. Belangrijk is, om ons te realiseren dat ‘the devil is in the details’. Al deze vraagstukken – backdoors, malware, constitutionele bescherming van informatiebeveiliging – rechtvaardigen meerdere debatten op zich. Het is een uitdaging als politicus om steeds, ook in besloten sessies, te weten welke vragen te stellen. De materie is complex, maar vandaag laat zien dat de wetenschap klaar staat om uw vragen te beantwoorden.
De plaats van Nederland in een genetwerkte informatiewereld
Het is aan de overheid, juist nu, om de verleiding van meer surveillance en bedrijfsspionage te weerstaan en te werken aan een robuuste, veilige en vrije IT-infrastructuur voor Nederland en de rest van de wereld. Nog geen week terug van een jaar lang onderzoek aan twee universiteiten in de Verenigde Staten, kan ik u zeggen: de wereld hunkert naar zo’n plek. Ik zou als bedrijf of overheid mijn beschermenswaardige assets absoluut niet meer aan het internet, laat staan de cloud toevertrouwen. Toch betekent dat dieptepunt een kans voor Nederland.
Nederland heeft veel mee: de geografische ligging, internationale internet-organisaties, een gigantische hosting industrie, mondiaal leiderschap op belangrijke dossiers als netneutraliteit en responsible disclosure, een vroeg begonnen cybersecurity centrum, sterke wetenschappelijke en maatschappelijke organisaties en een al decennia bloeiende internetcultuur. En wereldwijd bekende en belangrijke geschiedenis als baken van informatievrijheid in tijden van verregaande surveillance en censuur:
Galileo Galilei wist rond 1638 een van zijn belangrijkste werken – de Discorsi e Dimostrazioni Matematiche –ter publicatie naar de Universiteit van Leiden te smokkelen, ondanks een publicatieverbod en surveillance door de Inquisitie. Idealisme en vooral ook pragmatisme leidden toen tot een relatief vrije informatiecultuur en bloeiende economie in Nederland. Vandaag kan eenzelfde symbiose kansen bieden: Nederland heeft direct belang bij het bieden van een robuuste, veilige en vrije informatiesamenleving aan de wereld. U zult versteld staan van het internationale aanzien en economische voordeel dat dit oplevert. Daarbij sluit zo’n standpunt aan bij de rol van de Senaat in het Nederlandse staatsbestel als hoeder van de grondrechten. Temidden van de Snowden onthullingen, heeft uw Kamer dan ook een bijzondere verantwoordelijkheid de essentie van onze grondrechten te borgen.
Voorzitter, we bevinden ons nu nog in de fase van waarheidsvinding. Maar over een aantal maanden zal het debat over de gevolgen van de Snowden onthullingen – bijvoorbeeld bij de herziening van de Wiv – in deze Chambre de Réflection weer net zo spetterend zijn als in juli 2009. Zal de Senaat dan in staat zijn constitutionele reflectie, wetenschappelijke rationaliteit en politieke opportuniteit met elkaar te verbinden? Vijf jaar later zal niet alleen die ene verdwaalde student, maar heel Nederland en de wereld vanaf de publieke tribune met u meekijken. Dank u wel.
Voetnoten:
[1] Zie: http://www.eerstekamer.nl/9370000/1/j9vvhwtbnzpbzzc/vi77crzup9zz/f=y.pdf
[2] Zie: http://www.theguardian.com/world/interactive/2013/sep/05/nsa-project-bullrun-classification-guide en http://www.reuters.com/article/2014/03/31/us-usa-security-nsa-rsa-idUSBREA2U0TY20140331
[4] Zie: https://firstlook.org/theintercept/article/2014/03/12/nsa-plans-infect-millions-computers-malware/ en noot 3.
[5] EK 2013–2014, 33 169, nr. P, p. 3.
[6] R. Anderson, M. van Eeten, et. al., ‘Measuring the Cost of Cybercrime’, WEIS 2012, zie: http://weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf.
[7] Zie: http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054en.pdf
[8] Zie: http://ccc.de/en/updates/2011/analysiert-aktueller-staatstrojaner