‘Aftappen ICT maakt Nederland niet veiliger’

Bevoegdheid tot inbreken in computers ondermijnt technologie die de samenleving juist moet beschermen tegen diefstal van data. Dat stelt Michiel Steltman, directeur van Stichting Digitale Infrastructuur Nederland, in een opiniestuk dat op 16 januari jl. in het Financieele Dagblad verscheen.

De ministers Ard van der Steur (Veiligheid en Justitie) en Ronald Plasterk (Binnenlandse Zaken) maken zich op voor debatten over drie wetsvoorstellen die ervoor moeten zorgen dat cybercriminaliteit en ‘gewone’ criminaliteit waarbij van internet gebruik wordt gemaakt, beter kunnen worden aangepakt. Deze wetsvoorstellen hebben in de ogen van de ministers extra urgentie gekregen door de recente terreuraanslagen, maar het is zeer de vraag of zij Nederland hiermee veiliger maken.

Het wetsvoorstel computercriminaliteit III voorziet onder andere in de mogelijkheid om in te mogen breken in computers om informatie te achterhalen of te verwijderen. De nieuwe wet op de inlichtingen en veiligheidsdiensten (WIV) staat de MIVD en AIVD toe om verbindingen in bulk af te tappen en databanken met de vergaarde informatie aan te leggen.

Ook komt er een bevoegdheid om in te mogen breken op gecomputeriseerde apparaten, van smartphones en laptops tot servers in datacenters. En binnenkort zal minister Van der Steur een wetsvoorstel indienen waarmee internetproviders opnieuw kunnen worden verplicht om allerlei informatie over het internetgebruik van hun klanten op te slaan en achteraf aan justitie beschikbaar te stellen.

Het idee is dat Nederland daarmee veiliger wordt. Dat klinkt op het eerste gezicht logisch: als je maar genoeg data verzamelt en overal bij kunt dan is de kans dat je iets belangrijks mist kleiner. De realiteit is echter dat meer informatie niet tot betere resultaten leidt, terwijl juist die verbetering in resultaten het belangrijkste argument is om deze extra maatregelen in wetgeving vast te leggen.

De bevoegdheid om in te mogen breken, ondermijnt technologie die de samenleving juist moet beschermen tegen diefstal van data, identiteiten of geld door cybercriminelen en hackers. Nederland wordt er dus niet veiliger, maar onveiliger van.

Inlichtingendiensten zijn er nimmer in geslaagd om aan te tonen wat de waarde is van hun verzamelwoede. Met het magere argument dat publicatie van getallen de werkwijze van de diensten prijs zou geven, is in de veertien jaar dat de huidige WIV bestaat de effectiviteit ervan nooit inzichtelijk gemaakt. De voorbeelden die laten zien hoe het niet moet, spreken wél voor zich.

In de VS werd na de aanslag in Boston in 2013 een inval gedaan bij een gezin waarvan de zoon zich via Google had verdiept in deze aanslagen en de vader en moeder op respectievelijk ‘rugzak’ en ‘snelkookpan’ hadden gegoogeld. Dit gebeurde op basis van een algoritme dat die combinatie van zoekopdrachten als een verdachte activiteit aanmerkte.

Bij de ternauwernood voorkomen aanslag in een Thalys afgelopen zomer, bleek dat de daders allang in een Frans systeem geregistreerd stonden, maar die informatie werd niet met de Belgische en Nederlandse diensten gedeeld. Na de aanslag op Charlie Hebdo in januari 2015 kregen de Franse inlichtingendiensten bevoegdheden om op grote schaal het internet af te tappen, maar dat heeft de aanslagen in Parijs later dat jaar niet kunnen voorkomen. Bovendien zijn de databases met informatie op zichzelf een bron van risico’s. In de VS bleek de beveiliging van zulke overheidssystemen zo lek als een mandje, waardoor medio 2015 gevoelige gegevens van 21 miljoen burgers op straat kwamen te liggen.

Ook de bevoegdheid om in te mogen breken in systemen leidt tot meer onveiligheid. Om in te kunnen breken maken hackers in dienst van de overheid onder andere gebruik van fouten of zwakke plekken van software. Ze hebben er dus belang bij om zulke gaten enige tijd voor zich te houden in plaats van ze direct te melden aan bedrijven. Maar zulke beveiligingslekken zijn uiteraard ook bekend bij hackers en cybercriminelen. Die maken daar graag gebruik van om data, identiteiten of digitaal geld van burgers en organisaties te kunnen stelen. Het is nogal naïef te veronderstellen dat die achterdeurtjes alleen door de ‘good guys’ zullen worden gebruikt.

Een ander gevaar voor de veiligheid van onze privacy en data, en zelfs onze vrijheid van meningsuiting, schuilt in de wederkerigheid van de hackbevoegdheid. De minister mag in het nieuwe wetsvoorstel de diensten opdragen om ‘in uitzonderlijke gevallen’ sites en computers in een ander land plat te laten leggen of te hacken. Dat kan als een boemerang werken.

Een land met minder respect voor de vrijheid van meningsuiting, kan hiermee het platleggen van Nederlandse sites die de wetten in dat land overtreden rechtvaardigen. Denk aan sites zoals die van de Gaykrant, of die kritisch zijn ten aanzien van religie of het regime. Je moet er niet aan denken dat buitenlandse inlichtingendiensten zich ook het recht toe-eigenen om in uitzonderlijke gevallen in Nederlandse computers in te kunnen breken. Het is dan ook kortzichtig om te denken dat je daarmee de veiligheid in Nederland kunt verbeteren.

De vraag blijft waarom de diensten en justitie die extra bevoegdheden wensen. De commissie-Dessing, die minister Plasterk adviseerde over de WIV, suggereerde slechts een modernisering: de mogelijkheid om niet alleen signalen uit de ether op te mogen vangen maar ook vaste verbindingen af te kunnen luisteren. Zij spreekt echter niet over de noodzaak om te hacken in het buitenland, het aanleggen van databanken, het exploiteren van beveiligingslekken of het kraken van versleuteling.

Het is veel effectiever om in te zetten op een verbetering van internationale samenwerking zoals het moderniseren van de papieren procedures, het versnellen van rechtshulpverzoeken en het snel en gericht uitwisselen van informatie over verdachten. De huidige wetsvoorstellen zijn daarom een gemiste kans.

De hoop is dat Tweede en Eerste Kamerleden inzien dat het ouderwets denken over opsporing de veiligheid niet verbetert en dat de oplossingen die nu aangedragen worden, het uitbreiden van bevoegdheden in eigen land in plaats van het verbeteren van werkwijzen en internationale samenwerking, Nederland niet veiliger maar onveiliger maken.

Zoeken
Related
nieuws
DINL oktober
Met DINL Update doe ik verslag van mijn recente activiteiten en ander nieuws. Daarmee blijf je als achterban op de...
nieuws
Uitnodiging-2
Op 22 november vindt in perscentrum Nieuwspoort het Nationale Debat over Digitalisering plaats.
nieuws
digitale-sector
Met DINL Update doe ik verslag van mijn recente activiteiten en ander nieuws. Daarmee blijf je als achterban op de...