Home Onderwerpen Zoek Over ons Doneer Contact

Internet als SurveillanceStaat

— Grootschalig afluisteren door de digitale snuffelstaat —

dr. Albert Benschop
Universiteit van Amsterdam
Gepubliceerd: 4.10.2013 - Updated: 26.06.2017

Big Brother — Little Sister
  Dr. Jekyll & Mr. Hyde
 
Totaal toezicht: de digitale kooi
Echelon: de oren van Amerika
  Wereldomvattende spionagemachinerie
  Klein eiland — Groot geheim
  Europese reactie op Echelon
Echelon in de polder
  Zoutkamp
  It Greate Ear
  Eibergen: Luisteren naar de Taliban
Wereldwijd Afluisteren
  Oceanen van data
  Encryptie: misplaatst gevoel van veiligheid
  Manipulatie van encryptiestandaarden
  Kraken van wachtwoorden en encryptie
Grootschalig afluisteren en privacy
  Grootschalig afluisteren
  Recht op privacy: Internationaal | Europees
  Informationele privacy
  Recht op anonieme meningsuiting
  Recht op versleutelde communicatie
  Vrijheid van communicatie
  Groothandelaren in persoonsgegevens
NSA - Zwaar geschut
  Symbolen van spionagekracht
  Alles wat afluisterbaar is
  Vroege klokkenluiders
  Prism - Edward Snowden trekt aan de bel
  Ontkenningen en ontwijkingen
  Amoureuze afluisterpraktijken
  Militair-informationeel complex (MIC)

GCHQ — J. Bond goes cyberspace
  Geen schoothondje
  Tempora: geen kabel is meer veilig
  G 20 — Politici begluren
  Belgacom - Operation Socialist
  Steun aan Europese zusterorganisaties
Reacties op het NSA-programma
  Latijns-Amerikaanse verontwaardiging
  India — nauwelijks nederig protest
  Europese bondgenoten | Duitsland | Frankrijk | Spanje | Italië
  Eurotop: woorden zonder daden
Prism_NL
  Wie besnuffelt wie?
  Niet NSA maar NSO
  Zelfdestructie van een CDA-strateeg
  Symbolon en Argo II
  NICE Systems: de Israëlische connectie
  Burgers vs Plasterk
  AIVD zuigt webfora leeg
  Verruiming bevoegdheden AIVD & MIVD
Nomadische gedachten
  Snuffelstaten
  Het nut van sociale media
  Beveiligingsstandaarden
  Gouden eeuw van cybersurveillance
  Privacy als vrijheidsrecht
  Balkanisering van internet
  Inkeer van internetbedrijven?
  Wat te doen?
  Activisme

Informatiebronnen
rode_knop Encryptie: privacy beschermen
rode_knop Oorlog in Cyberspace: Slagveld internet
rode_knop CyberTerrorisme: Dodelijk geweld vanaf het toetsenbord
rode_knop Regulatie en zelfregulatie van internet
rode_knop Sociologie van WikiLeaks

Big Brother — Little Sister

Moraal van een klokkenluider
“Ik wil niet in een wereld leven waarin alles wat ik zeg, alles wat ik doe, de naam van elke gesprekspartner, elke uitdrukking van creativiteit, liefde of vriendschap wordt opgetekend. Iedereen die zo’n wereld niet verlangt, heeft de plicht wat te ondernemen” [Edward Snowden, The Guardian 8.7.13].
Zonder privacy geen vrijheid van meningsuiting
“Een zodanige inmenging in levens van anderen en aangelegenheden van andere landen, is een schending van het internationaal recht. En daarmee een belediging van de principes die zouden moeten gelden tussen landen, vooral tussen bevriende landen.
Informatie en telecommunicatietechnologieën mogen niet het nieuwe slagveld tussen staten worden. Het wordt tijd om de voorwaarden te creëren om te voorkomen dat cyberspace gebruikt wordt als een oorlogswapen, door spionage, sabotage, en aanvallen tegen systemen en infrastructuren van andere landen” [Dilma Rousseff, president Brazilië op de Algemene Vergadering van de VN - Reuters, 24.9.13; YouTube].

Digitale technologie stelt ons in staat ons dagelijks leven op een andere wijze in te richten en te beheren. We gebruiken die technologie om elkaar snel met elkaar in contact te komen en met elkaar te communiceren, om elkaar te informeren, met elkaar samen te werken en te leren, ons te vermaken en politiek te bedrijven. Internet en mobiele communicatietechnologie zijn het epicentrum van onze leefwereld geworden. De schaduwzijde van deze ontwikkeling is dat diezelfde technologie ook gebruikt wordt om mensen overal en altijd te bespioneren, af te luisteren en digitaal te schaduwen.

Bestaat er nog zoiets als privacy? Enerzijds delen we tegenwoordig zelf de meest persoonlijke en intieme informatie over onszelf op blogs, Facebook en Twitter. Anderzijds verzamelen overheidsdiensten en commerciële bedrijven steeds meer van onze persoonsgegeven. Steeds meer persoonsgegevens worden geregistreerd en opgeslagen: ons surf- en zoekgedrag op internet, onze mobiele telefoongesprekken, onze bewegingen in de openbare ruimte, ons reis- en verblijfsgedrag en zelfs onze biologische kenmerken.

Zijn we op weg naar een samenleving waarin alle burgers onderworpen worden aan een massale digitale surveillance door een afluisterstaat? Een staat waarin het verlangen naar opstandigheid wordt onderdrukt en meegaandheid wordt afgedwongen door het besef dat men altijd en overal in de gaten wordt gehouden?

Edward Snowden In deze analyse staat de digitale afluisterpraktijken van geheime diensten centraal en worden de meest recente ontwikkelingen uitvoerig beschreven. De recente onthullingen van de NSA-klokkenluider Edward Snowden staan hierbij in het middelpunt. De maatschappelijke en politieke betekenis van die onthullingen worden opgespoord door een nauwkeurige reconstructie en evaluatie van de gelekte geheime informatie en van de reacties daarop.

In de nomadische gedachten worden politiek-sociologische vragen aan de orde gesteld over de risico’s van de digitale afluisterstaat, en worden aanbevelingen gedaan over hoe we ons vrijheidsrecht op privacy kunnen beschermen tegen opdringerig toezicht van autoritaire staten.

Index


Twee gezichten van de controlemaatschappij: Jekyll en Hyde
Wie van internet gebruik maakt vertrouwt zijn conversaties, gedachten, ervaringen, interesses, voorkeuren, locaties, foto’s en nog veel meer toe aan commerciële internetbedrijven zoals Google, Facebook, Amazon, Skype, Apple en Microsoft. Maar wat gebeurt er als deze bedrijven de persoonlijke informatie waarover zij beschikken zelf gaan misbruiken of doorverkopen aan anderen? En wat doen die bedrijven wanneer de overheid van hen eist dat zij jouw persoonlijk informatie afstaan? Neemt zo’n bedrijf je dan in bescherming? Vertellen ze je wanneer de overheid op zoek is naar jouw data? Zouden ze jouw nog een kans bieden om je daartegen te beschermen?

Het zijn prangende vragen waarvan de antwoorden langzamerhand tot ons door beginnen te dringen. Alle digitale sporen die we op het internet en door mobiele communicatie achter ons laten worden verzameld, geaggregeerd, gesorteerd, opgeslagen, en geanalyseerd. Jouw persoonsgegeven worden voor commerciële doeleinden gebruikt door de internet- en telecombedrijven waar we die sporen achterlaten en ze worden doorverkocht aan andere ondernemingen die daarmee op de informatiemarkt miljarden mee kunnen verdienen. Sinds enige tijd weten we ook hoe makkelijk die internetbedrijven jouw persoonlijke informatie afstaan of toegankelijk maken voor inlichtingendiensten. Ze doen dat zelfs als deze surveillancepraktijken buitenwettelijk zijn en de privacy van burgers schenden zonder enige democratische legitimatie.

Op internet willen burgers minstens twee dingen tegelijk: zij willen niet dat ze bespied worden in hun vertrouwelijke communicaties en zij vinden dat dit recht op privacy voor wetsovertreders mag worden opgeheven. Het zijn de twee gezichten van de surveillance samenleving: veiligheid en gedragscontrole. De surveillancetechnologie wordt meestal geïntroduceerd in de naam van veiligheid, gericht op het voorkomen en bestrijden van allerlei soorten ongewenst en crimineel gedrag in publieke en particuliere domeinen. Er worden beveiligingscamera’s opgehangen in winkelcentra, langs snelwegen, in bedrijven en op scholen om mensen het gevoel te geven dat zij veilig(er) zijn en om hen te beschermen tegen ongewenst en illegaal gedrag van andere burgers. Maar achter deze beveiligingsmachinerie gaat altijd de andere kant van surveillance schuil: het toezicht en de gedragscontrole van de overheid op haar burgers.

Cameratoezicht in publieke domeinen, vergaande controle van internetverkeer, het afluisteren van persoonlijke communicatie via mobiele netwerken, de opslag en doorlichting van al onze digitale handelingen in gigantische databanken — het zijn allemaal technologieën die het steeds meer onmogelijk maken om nog ergens onbespied te leven. De speelruimte voor anonimiteit en privacy neemt af.

Panoptische supervisie versus Decentrale basisvisie
Het woord «surveillance» is van Franse oorsprong en betekent letterlijk toezicht van bovensupervisie. Het dubbelkarakter van supervisie is dat het enerzijds gebruikt wordt om een groot aantal noodzakelijke of nuttige infrastructuren te realiseren (zoals de regeling van het weg- en vliegverkeer en de identificatie van burgers) en anderzijds voor de disciplinering en repressie van dissidente en vrijheidslievende burgers. In de populaire kritiek op het «digitale panopticum» wordt de productieve dimensie van surveillance meestal overschaduwd door haar repressieve kant. Bigger brother is watching you — You can never escape from the matrix.

Digitale technologieën geven tegelijkertijd een sterke impuls voor nieuwe vormen van zelftoezicht en virtuele civiele waakzaamheid. In de hele wereld zijn er talloze moedige mensen die schendingen van mensen- en vrijheidsrechten documenteren en die deze informatie vliegensvlug via internet en mobiele communicatie verspreiden. Elke burger die ongecensureerd in cyberspace kan opereren —of die bestaande censuren en surveillances weet te ontwijken— is een «burgerjournalist» geworden die zijn eigen ervaringen direct kan delen met ieder die daar belangstelling voor heeft.

Het gevolg hiervan is dat er tegelijkertijd een zeer breed verspreid toezicht van onderop is ontstaan — een basisvisie die kritisch en oppositioneel reageert op alle vormen van niet-legitieme machts- en ongelijkheidstructuren. In een surveillancesamenleving houdt de overheid niet alleen haar onderdanen in de gaten, maar wordt de toezichthoudende overheid zelf ook door haar burgers nauwlettend in de gaten gehouden.

Veiligheids- en inlichtingendiensten zijn van nature geneigd om bevoegdheden te verwerven om de communicatie van individuele burger te allen tijde, op elke plek en via elk medium af te luisteren (collect it all). Als zij niet in staat zijn om criminele, terroristische of staatsgevaarlijke activiteiten in de gaten te houden, dan kunnen zij operationeel niet garant staan voor de veiligheid van de burgers.

Internet Spion In democratische rechtsstaten zijn de bevoegdheden van inlichtingen- en veiligheidsdiensten nauwkeurig omschreven en afgebakend. In vitale democratieën wordt daarop daadwerkelijk controle uitgeoefend door gekozen volksvertegenwoordigers. In de dagelijkse praktijk mankeert er meestal wel het een en ander aan zowel de uitoefening van deze formele bevoegdheden en vooral ook aan de effectiviteit van de democratische controle op de praktijken van inlichtingen- en veiligheidsdiensten. Daarbij draait het altijd rond het lastige dilemma van het vinden van een acceptabel evenwicht tussen het recht op privacy van de individuele burgers en het om reden van collectieve veiligheid gericht doorbreken van de privacyrechten van vermeend of daadwerkelijk criminele of staatsgevaarlijke individuen, bendes, groeperingen en organisaties.

Het internet biedt een breed scala aan zeer snelle en goedkope communicatiemogelijkheden. Die mogelijkheden worden gebruikt worden om contact met elkaar te onderhouden, om informatie, meningen en gevoelens uit te wisselen, om te leveren en te amuseren en om productief met elkaar samen te werken bij de vervaardiging van nieuwe of betere producten en diensten. De zegeningen van het internet zijn al vaak bezongen. Maar al die informatieve, communicatieve, educatieve, productieve en recreatieve mogelijkheden van het internet kunnen even makkelijk gebruikt worden om mensen te misleiden, om ze propagandistisch te desinformeren, om hun communicatie te verstoren, om vooroordelen en haatdragende opvattingen te verspreiden, en om de producten en diensten van anderen te vernietigen. Cyberspace is een Januskop, een hydra, Jekyll én Hide.

Index


Totaal toezicht: de digitale kooi
Al voor de wereldschokkende terreuraanslagen op de sterkste symbolen van de Amerikaanse hegemonie (9/11) werd vanuit inlichtingen- en veiligheidsdiensten gepleit voor een uitbreiding van de bevoegdheden waardoor het internet op wereldschaal zou kunnen worden afgeluisterd. Daarbij zijn twee vraagstukken aan de orde. De pragmatische vraag is of het technisch mogelijk om het internet wereldwijd af te luisteren. De politieke vraag is of en zo ja onder welke voorwaarden inlichtingen- en veiligheidsdiensten het recht zouden mogen krijgen om alle internet en mobiele communicaties af te luisteren?

In 1982 publiceerde de Amerikaanse auteur James Bamford zijn boek The Puzzle Palace over de National Security Agency (NSA). In een kleine kring van academici, activisten en beleidsmakers baarde het boek veel opzien. Maar zijn beschrijving van Echelon werd door bijna iedereen als science fiction afgedaan.
De discussie over deze vragen is allang geen louter academische kwestie meer. Al sinds de jaren zeventig circuleren er geruchten over een duister Amerikaans-Brits spionagenetwerk met de naam Echelon [Campbell 1981]. Echelon is de codenaam van een reusachtig afluisternetwerk van de National Security Agency [NSA], één van de nationale veiligheidsorganen van de VS. Middels dit netwerk wordt routinematig alle elektronische communicatie van regeringen, ondernemingen, organisaties en individuen in andere landen afgetapt. Dit betekent dat al het mobiele telefoon-, internet-, en e-mailverkeer van bedrijven en burgers op grote schaal wordt gemonitord door vreemde mogendheden.

Het bredere publiek kreeg pas hoogte van het Echelon-project door het verschijnen van het boek Spyworld van Mike Frost in 1994. In 1996 schreef de Nieuw-Zeelandse journalist Nicky Hager de meest gedetailleerde analyse in Secret Power. De publieke geruchten over Echelon werden zo sterk dat parlementariërs van diverse landen verontrust raakten. In een aantal Europese landen (België, Frankrijk) en het Europees Parlement werden parlementaire onderzoeken ingesteld. De meeste regeringen ontkenden aanvankelijk het bestaan van Echelon, maar konden op den duur die lastige vraag niet langer ontwijken. Het vermoeden rees dat de privacyrechten van burgers en bedrijven op een grove manier geschonden werden. Grote broer lééft.

Index Echelon: de oren van Amerika

Wereldomvattende spionagemachinerie
Afluister schotel Echelon is een schimmig Amerikaans-Brits elektronisch spionagenetwerk. De middelen zijn antennes om mee te luisteren, satellieten om signalen op te vangen, en computers die informatie filteren en selecteren. Het doel is het vangen van boeven en het ontdekken van samenzweringen en terroristische aanslagen. Hoewel Echelon primair is ontworpen voor niet-militaire doelen, blijven de prioriteiten van dit systeem militaire en politieke inlichtingen die voor meer doeleinden gebruikt kunnen worden [Hager 1996]. Omdat er geen rekenschap wordt afgelegd over het gevoerde beleid, is het moeilijk te achterhalen op grond van welke criteria bepaald wordt wie geen doelwit is.

Het bestaan van Echelon werd aanvankelijk jarenlang heftig —maar weinig overtuigend— ontkend. Echelon bestaat echter wel degelijk. Het is een product van samenwerking tussen de Verenigde Staten en Engeland op het gebied van internationale spionage die zijn oorsprong heeft in de Tweede Wereldoorlog. De Britten deelden een aantal van hun geheimen waarmee zij Duitse codes konden kraken met de Amerikanen die op hun beurt de informatie deelden die verzameld was door het breken van Japanse codes. Na de oorlog werd deze samenwerking gecontinueerd. Niet alleen het radioverkeer werd afgeluisterd, maar ook de trans-Atlantische telefoonkabels werden afgetapt met inzet van onderzeeërs [Sontag/Drew 1998; Campbell 2000].

Door de opkomst van de communicatiesatelliet in de jaren zeventig werd het werkterrein verbreed. In diverse landen — Verenigde Staten, Canada, Engeland, Puerto Rico, Nieuw Zeeland, Australië — verrezen batterijen witte schotels op zwaarbewaakte terreinen. In Zuidwest-Engeland staan 22 gigantische — de grootste buiten de VS en dus voor iedereen zichtbaar — overkapte satellietschotels gericht op Europa. Deze activiteiten worden gecoördineerd door de grootste afluisterdienst ter wereld, de National Security Agency (NSA).

U.S. person
DE NSA is met meer dan 100.000 medewerkers minstens twee keer zo sterk als de bij het grote publiek veel bekendere CIA (met zo’n 40.000 medewerkers). De NSA heeft de wettelijke bevoegdheid “alle communicatie te onderscheppen, van welke vorm dan ook, zolang op zijn minst één deel van die communicatie zich in het buitenland bevindt.” De NSA zou haar antennes nooit op de Verenigde Staten zelf mogen richten. Het elektronisch volgen van Amerikanen via hun naam, telefoonnummer of persoonlijke code is verboden. Wanneer er toch Amerikanen worden afgeluisterd in een gesprek met buitenlanders, zou hun naam uit het tapverslag verwijderd moeten worden en veranderd in het anonieme ‘U.S. person’.
De NSA heeft tot taak om de informatiesystemen van de VS te beschermen en om buitenlandse inlichtingen te produceren. Het is, in de woorden van de democratische senator Frank Church, een dienst die de mogelijkheid heeft om ‘de tirannie volledig te maken’ en geen enkele Amerikaan zou nog privacy hebben. Juist daarom werd het werkterrein van de NSA beperkt tot het buitenland: de NSA zou haar elektronische oren nooit op de Verenigde Staten zelf mogen richten. Althans niet zonder speciale rechterlijke toestemming volgens de Foreign Intelligence Surveillance Act van 1978. De zorg om de privacy houdt voor deze wet op bij de Amerikaanse grens. Zolang op zijn minst één deel van de communicatie zich in het buitenland bevindt heeft de NSA de wettelijke bevoegdheid om alle communicatie te onderscheppen, van welke aard deze ook is. Wie geen Amerikaan is of zich in het buitenland bevindt is dus in zeker opzicht vogelvrij: objecten van digitale tirannie.

Sinds het bestaan van Echelon bekend werd, wordt er gepubliceerd over het misbruik van informatie uit dit systeem om voor de VS voordeel te behalen bij wapenovereenkomsten, auto-exporten en olieconcessies [Europese Commissie 1998]. De NSA speelde gegevens over contracten die Europese bedrijven willen afsluiten door aan het Amerikaanse bedrijfsleven. Bovendien wordt ook informatie van niet-gouvernementele organisaties zoals Amnesty International, Green Peace en het Rode Kruis misbruikt.

Europarlementariërs verwonderden zich over het schrille contrast tussen het belijden van het recht op privacy en de praktijk van een arglistig aantasten van deze rechten. Ze schrokken vooral van het feit dat de onderzoekstechnieken die door Echelon worden gebruikt door niemand democratisch kunnen worden gecontroleerd. Zelfs het Amerikaanse Congres kreeg in 2000 nul op het rekest toen de NSA werd uitgenodigd om de democratische legitimatie van het Echelon-systeem toe te lichten.

Met antenneschotels worden alle signalen van en naar communicatiesatellieten (Intelsat-700) opgepikt. Vervolgens worden de berichten onderzocht op termen die in de lijst van «verdachte woorden» staan. Een luisterstation kan elk half uur ongeveer een miljoen communicaties oppikken. Gemiddeld worden daarvan zo’n 6.500 uitgefilterd als zijnde ‘verdacht’. Bij nadere elektronische selectie blijven daarvan hoogstens 1.000 over. Tien daarvan gaan naar menselijke beoordelaars die er uiteindelijk gemiddeld over 1 een rapport schrijven.

Er zijn twee grote afluistersystemen:

  1. Echelon is onderdeel van het UKUSA-akkoord. Dat is de geheime overeenkomst die in 1946 werd gesloten om samenwerking van de inlichtingendiensten van de Verenigde Staten (NSA en CIA) en van Groot-Brittannië (GCHQ en M16) na de Tweede Wereldoorlog te continueren. De andere drie deelnemende landen —Canada, Australië en Nieuw-Zeeland— nemen als ‘second parties’ deel aan de UKUSA-overeenkomst. De overeenkomst werd in maart 1946 getekend, maar het bestaan daarvan werd pas in maart 1999 publiekelijk erkend door de Australische regering. De alliantie van geheime diensten is ook bekend als Five Eyes (FVEY). Het is de meest exclusieve club van geheime diensten die inlichtingen met elkaar delen [Cox 2012].

    Obscure namen
    Opvallend zijn de obscure namen van de betrokken inlichtingendiensten. De partner in Nieuw-Zeeland heet Government Communications Security Bureau (GCSB), in Engeland figureert het Government Communications Headquarters (FCHQ), in Canada is het de Communications Security Establishment (CSE) en in Australië is het de Defense Signals Directorate (DSD).

    De alliantie ontstond uit de gezamenlijke inspanningen tijdens de Tweede Wereldoorlog om radiotransmissies te onderscheppen. Het werd in 1946 geformaliseerd in de UKUSA overeenkomst en was tijdens de Koude Oorlog primair gericht tegen de Sovjet-Unie.

    De afluistercentra van Echelon staan onder meer in de Verenigde Staten (Ford Meade, Helemanu, Rosman, Sugar Grove, Yakima), Groot-Brittannië (Menwith Hill, Morwenstow), Denemarken (Kopenhagen, Aflandshage, Karup), Duitsland (tot 2004 Bad Aibling en daarna Griesheim), Canada (Gander, Alert, Masset), Australië (Geraldton), Nieuw Zeeland (Waihopai), Japan (Misawa) en aanvankelijk ook Hong Kong. Het grootste afluistercentrum buiten de VS staat in Zuidwest-Engeland. De voor iedereen zichtbare overkapte 22 satellietschotels van het Echelon station Menwith Hill [codenaam F-83] staan gericht op Europa. Het berichtenverkeer —elke e-mail, fax en telefoonconversatie— wordt via OCR, spraakherkenning en data-analyseprogramma’s verwerkt door de Silkworth-computer in Menwith Hill. Daarna worden de gegevens naar het NSA-hoofdkwartier in Fort Meade in Maryland gestuurd [STOA 1998].

    Klik voor plattegrond van Menwith Hill Klik voor plattegrond van Menwith Hill

  2. In het EU-FBI systeem werken opsporingsdiensten zoals de FBI, politie, douane, immigratie en internationale veiligheid met elkaar samen. De Europese Unie had al in 1995 een geheime overeenstemming bereikt over het opzetten van een internationaal telefoontap-netwerk. De regeringsleiders van de EU stemden ermee in om nauw samen te werken met de FBI in Washington. Deze plannen zijn nooit besproken door enige Europese regering, noch door het Comité voor Burgerlijke Vrijheden van het Europese Parlement [Statewatch 25.2.1997]. Net als Echelon valt het EU-FBI systeem buiten elke vorm van democratische of wettelijke controle. Het Europees Parlement verzet zich ertegen dat Amerikaanse spionagediensten toegang verwerven tot particuliere berichten via het internet. Zij wil ook niet instemmen met nieuwe (peperdure) encryptiecontroles zonder dat hierover binnen de EU op brede schaal gediscussieerd wordt. En dan met name over de gevolgen van dergelijke maatregelen voor de burger- en mensenrechten van Europese burgers en de commerciële rechten van ondernemingen om binnen de wet te opereren zonder onaangekondigd toezicht door inlichtingendiensten die samenwerken met multinationale concurrenten.
Daarmee is niet gezegd dat er slechts twee grote systemen zijn die gespecialiseerd zijn op het onderscheppen van communicaties en signalen. Volgens Campbell [2000] zijn er minstens 30 andere landen waarin grote digitale afluisterorganisaties bestaan. De grootste daarvan is de Russische FAPSI, met 54.000 werknemers. FAPSI werd per presidentieel decreet in 1993 opgericht en in maart 2003 opgeheven; haar functies werden verdeeld over de FSB en het Ministerie van Defensie.


Grafiek van het Landesamts für Verfassungsschutz Baden-Württemberg uit de broschure: Wirtschaftsspionage - Die gewerbliche Wirtschaft im Visier fremder Nachrichtendienste, Oktober 1998. De Echelon-locaties zijn in deze video in snel tempo in kaart gebracht op Google Earth.

Index


Klein eiland — Groot geheim
Het Echelon-project begon als een multinationale joint venture van de regeringen van de USA, UK, Canada, Australië en Nieuw-Zeeland. Om alle informatie die wordt doorgegeven via computers, satellieten en andere telecommunicatie te verzamelen, heeft het project zich ook over andere werelddelen verspreid. De aarde werd verdeeld in “cryptologische invloedssferen, elk land kreeg specifieke doelwitten toegewezen corresponderend met hun potentieel voor maximum interceptiebereik” [Bambord 1982]. Eén station werd gevestigd op een eilandje in de Caribische Zee.

Dominica is een klein eiland waarin een groot geheim schuilt. Een internationaal gezelschap van economische en politieke elites gebruikt het Caribische eiland voor het aftappen van alle informatie die via elektronische netwerken over de wereld wordt verstuurd. In het geheim werd op Dominica een geothermische krachtcentrale gebouwd (kosten: $25 miljoen), die gebruikt wordt om een geheime ‘non USA’ Echelonbasis van energie te voorzien. Het is ondergronds gebouwd in de buurt van het Indiaanse reservaat Carib Territory.

De journalist Danny Casolaro ontdekte dat het project Echelon geprivatiseerd werd door een combinatie van de ‘Octopus Companies’ (waaronder Lehmann Bro, IBM, AT&T, Loral, Lockheed-Martin, General Motors) en de machtselite van de wereld [Kenn/Keith 1996]. Met name zijn bekendmaking van de geheime afluisterlocatie op Dominica kostte hem zijn leven [Notes about Dominica and Murders]. Op 10 augustus 1991 werd hij naakt in de badkuip van van zijn hotelkamer aangetroffen, met diep doorgesneden polsen [NYT 17.8.81].

Index


Europese reactie op Echelon
In januari 1998 verscheen het rapport An Appraisal of Technologies of Political Control. Het was geschreven in opdracht van het Europees Parlement en opgesteld door het Britse onderzoeksbureau Omega. Enerzijds erkent het rapport de noodzaak van globale afluistersystemen voor antiterroristische operaties en het tegengaan van illegale drugs, witwassen van geld en wapensmokkel. Anderzijds wordt de schaal waarop er wordt afgeluisterd alarmerend genoemd: niet alleen het Europese telecommunicatieverkeer, maar al het telefoon-, telex-, e-mail en faxverkeer in de wereld systematisch wordt afgetapt. Echelon was naam van dit “wereldwijde bewakingsmechanisme”. Het heimelijke misbruik van moderne informatie- en communicatietechnologieën ontwikkelt zich zo snel dat de politiek er absoluut geen zicht op heeft. De conclusie was dat de vertrouwelijkheid van communicatie binnen de EU onvoldoende wordt beschermd door de bestaande wetgeving, databescherming en privacy garanties van de lidstaten.

Ophef en berusting
In februari 1998 opende NRC met de kop Geheime dienst VS luistert Europa af. Daarin werden de bevindingen van het rapport van het Europees Parlement op een rijtje gezet. De ophef over dit artikel leidde zelfs tot Kamervragen. Veel parlementariërs waren geschokt en vonden het onvoorstelbaar dat het ene continent het andere systematisch bespioneert. Zij riepen op om Europese afspraken te maken over de bescherming van informatie en de regering werd om opheldering gevraagd. Maar al snel keerde de rust —of beter: de berusting— terug.

Het bestaan van Echelon werd in Nederland door ministers jarenlang heftig ontkend. Parlementariërs die vragen stelden over Echelon werden door de ministers met een kluitje in het riet gestuurd.

In 2000 stelde Femke Halsema (Groen Links) aan de minister van Buitenlandse Zaken Van Aartsen de vraag of hij het bestaan van het wereldwijde afluisternetwerk Echelon en het Europees afluisternetwerk Enfopol kon bevestigen. De minister wilde alleen maar bevestigen dat de Nederlandse inlichtingendiensten samenwerken met de zusterorganisaties van andere landen en dat deze voor het grootste deel bestaat uit de uitwisseling van gegevens en het bieden van technische en andere vormen van ondersteuning. “Meer specifieke informatie over de aard en intensiteit van de samenwerking die met de verschillende buitenlandse diensten plaatsvindt, wordt uitsluitend vertrouwelijk aan de commissie voor de Inlichtingen- en Veiligheidsdiensten van de Tweede Kamer verstrekt, aangezien deze informatie geheim te houden operationele gegevens bevat.”.

De Nederlandse Minister van Defensie, Frank De Grave, beriep zich in deze kwestie eerst op een zwijgplicht, zei vervolgens dat geen enkel niveau van beveiliging een absolute garantie tegen afluisteren is, en erkende pas in januari 2001 schoorvoetend dat het bestaan van Echelon ‘aannemelijk’ was. Hij baseerde zich daarbij op studies van het Europees Parlement en op Belgisch en Frans parlementair onderzoek [NRC 20.10.01].

Op 5 juli 2000 stelde het Europees Parlement een nieuw onderzoek in naar Echelon. In maart 2001 kwam de onderzoekscommissie tot de voorlopige conclusie dat weliswaar niet getwijfeld meer kan worden aan het bestaan van een wereldwijd communicatie-interceptiesysteem dat primair gericht is op het onderscheppen van particuliere en economische communicatie, maar dat de mogelijkheden van het wereldwijde afluistersysteem Echelon “hopeloos overschat” worden. Desalniettemin werden Europese ondernemingen geadviseerd om meer gebruik te maken van geheime codes, omdat hun telecommunicatie anders gemakkelijk onderschept kan worden.

In de uiteindelijke resolutie van het Europees Parlement over Echelon werd iets voorzichtiger geconstateerd “dat de technische mogelijkheden van dit systeem waarschijnlijk bij lange na niet zo groot zijn als door een deel van de media is verondersteld” [Resolutie 2001]. De beperking van het interceptiesysteem is dat het met name gebaseerd is op het wereldwijd afluisteren van satellietcommunicatie. In gebieden met een intensief communicatieverkeer wordt deze slechts in zeer beperkte mate via satellieten afgewikkeld. Het leeuwendeel van de communicatie kan niet door middel van grondstations worden afgeluisterd, maar alleen door het aftappen van kabels en het onderscheppen van radioverkeer. Dit laatste was volgens het Europees Parlement slechts in beperkte mate mogelijk. De UKUSA-landen zouden als gevolg daarvan slechts toegang hebben tot een zeer beperkt deel van de kabel- en radiocommunicatie. Bovendien zouden de capaciteiten ontbreken voor de interceptie van het zeer grote aantal communicaties.

Vals spel
De informatie die door het Echelon-netwerk wordt vergaard, wordt ook gebruikt voor commerciële doeleinden van de landen die bij het UKUSA zijn aangesloten. In 1994 werd de Franse onderneming Thomson-CSF een contract in Brazilië ter waarde van $1,3 miljard door de neus geboord ten gunste van het Amerikaanse Raytheon. Dit was het effect van onderschepte commerciële informatie die aan Raytheon was doorgespeeld.

In hetzelfde jaar verloor Airbus een contract van $6 miljard in Saoedi-Arabië aan de Amerikaanse bedrijven Boeing en McDonnell Douglas. Via Echelon waren alle onderhandelingen tussen Airbus en Saoedi-Arabië afgeluisterd en de relevante gevoelige informatie werd doorgespeeld aan de beide Amerikaanse bedrijven [Europese Parlement, Interception capabilities 2000].

Index Echelon in de polder

Zoutkamp
Ook in Nederland maakte ‘11e september’ pijnlijk duidelijk dat terrorisme een bedreiging vormt voor de nationale veiligheid. De regering gaf haar inlichtingen- en veiligheidsdiensten nieuwe bevoegdheden en middelen om zich te weren tegen het terroristische gevaar. Terreurbestrijding en -preventie werden hoog op de politieke agenda gezet.

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) ontwikkelden aan een groot afluistersysteem. Om de verbindingsinlichtingen van AIVD en MIVD te coördineren werd in 2003 de Nationale SIGINT Organisatie (NSO) opgericht. Op het terrein van het satellietinterceptie-station buiten het Groningse dorp Zoutkamp werden extra schotelantennes geplaatst voor het opvangen van etherverkeer met communicatiesatellieten.

Militaire voorlichters verzekerden de lokale bevolking dat de schotels niet gebruikt zou worden voor het afluisteren van de mobiele telefoongesprekken van de Zoutkampers en dat er ook geen gevaarlijke straling uit die schotels kwam — dus geen gevaar voor privacy of voor de gezondheid. Maar de Zoutkampers bleven bezorgd over het feit dat in hun achtertuin een aantrekkelijk doelwit voor terroristische aanslagen verrees. Dat er nog nooit eerder aanslagen werden gepleegd tegen dit type inlichtingeninstallaties, kon deze vrees niet wegnemen [Trouw 17.7.04].

Luistervink met ruimteoren
De ruimteoren in Zoutkamp waren gericht op communicatiesatellieten boven het Midden-Oosten, Noord-Afrika, Centraal-Azië en het Caribische gebied. Dat zijn de regio’s waar Nederlandse militairen waren gelegerd (of ooit zouden worden), waar wapentuig van potentiële tegenstanders werd getest of illegale wapenhandel tierde. De NSO luisterde niet alleen communicatiesatellieten af, maar ving ook internationaal radioverkeer van kortegolfzenders, fax- en internetverkeer op.

De opgevangen informatie werd geanalyseerd door het Strategisch Verbindingsinlichtingen Centrum (SVIC) dat tot 2005 was gevestigd op de marinebasis Kattenburg in Amsterdam en daarna werd verplaatst naar de MIVD in Den Haag. Alle opgevangen informatie wordt in bulk in databanken opgeslagen. Met speciale programma’s wordt binnen deze databanken op trefwoord gezocht naar relevante of verdachte communicaties. De lijst met trefwoorden wordt een keer per jaar door de Minister van Defensie goedgekeurd.

Als er redenen zijn om de communicaties van verdachte personen na te trekken, dan moet de minister of de Haagse rechtbank daar toestemming voor geven. De MIVD moet dus altijd toestemming vragen om verbindingen af te luisteren of speciale agenten in te zetten. Wanneer deze toestemming eenmaal is gegeven, moet deze iedere drie maanden opnieuw worden aangevraagd. Voor het volgen van militair verkeer is echter geen toestemming mogelijk. Militair verkeer mag te allen tijde worden opgeslagen, geanalyseerd en gedecodeerd [Generaal-majoor Bert Dedden, hoofd van de MIVD, in: NRC 20.12.13].

De zes draaibare schotelantennes, met een diameter van elf meter, werden beheerd door de Nationale SIGINT Organisatie (NSO). Deze in september 2003 opgerichte organisatie moest verbindingsinlichtingen (signals intelligence) verzamelen. De capaciteit van satellietinterceptie voor de inlichtingen- en veiligheidsdiensten werd uitgebreid (Actieplan Terrorismebestrijding en Veiligheid). Het Ministerie van Defensie stelde voor om in Zoutkamp 20 nieuwe schotels te plaatsen [MIVD 15.3.03].

De MIVD luisterde al satellietcommunicatie af. Maar omdat terrorismebestrijding een AIVD taak is, moesten beide diensten samen het afluisteren organiseren. De MIVD geeft technische ondersteuning aan de AIVD bij de gerichte en ongerichte interceptie van het satellietverkeer en bij de zoekactiviteiten.

In maart 2003 probeerde Marijke Vos (GroenLinks) helderheid te krijgen over de bestuurlijke verantwoordelijkheden van de bewindslieden die betrokken zijn bij de NSO. Een duidelijk antwoord op haar vragen bleef echter uit. Toch staan er vitale belangen op het spel. Voor Nederlandse militairen is vooral sinds ‘Srebrenica’ —de massamoord op zevenduizend moslimmannen en jongens door Servische soldaten in juli 1995— duidelijk dat zij niet kunnen vertrouwen op inlichtingen van hun bondgenoten. Daarom willen zij een eigen afluistersysteem dat een groot deel van de wereld bestrijkt — in ieder geval de regio’s waar Nederlandse militaire eenheden zijn gedetacheerd. Uitbreiding van de afluistercapaciteit biedt bovendien de mogelijkheid om een sterkere positie in te nemen in de internationale ruilhandel in inlichtingen. Op deze markt wordt van anderen gewenste informatie gekocht met zelf verworven informatie.

De kerntaak van de AIVD is het identificeren van terroristische netwerken en het voorkomen van aanslagen. Vooral de geweldsdreiging door het islamitisch geïnspireerde terrorisme wordt een steeds groter extern én intern gevaar. Ook sommige in Nederland opgegroeide Moslims zijn gevoelig voor fundamentalistische islamitische ideeën en aspiraties [Benschop 2004/2017]. Om effectief te kunnen interveniëren, probeert de AIVD om relevante signalen op een vroeg tijdstip te onderkennen: tekenen van radicalisering binnen Moslimgemeenschap; organisatie van operationele cellen en opbouw van netwerken; processen van rekrutering; daadwerkelijke voorbereiding van terroristische aanslagen [Akerboom 2003].

Het gaat om de bescherming van onze nationale veiligheid en van de levens van militairen op buitenlandse missies. Dat zijn geen geringe overwegingen om de bouw van nieuwe elektronische luistervinken te rechtvaardigen. Maar dat rechtvaardigt niet dat er zo lang onduidelijkheid bestond over de precieze taken van de NSO, over de aard van de uitbreiding van de capaciteit voor satellietinterceptie, en over de regeling van de ministeriële verantwoordelijkheid. Juist die meestal heimelijk opererende inlichtingen- en veiligheidsdiensten moeten op democratische en effectieve wijze worden gecontroleerd. Zij moeten zo worden ingekaderd dat de transparantie van werkwijze in evenwicht wordt gebracht met geheimhouding van informatie die operationeel sensibele is.

De bewoners van het Noord-Groningse Zoutkamp dienden een protest in tegen de vergunning voor de bouw van drie grote en drie kleine schotelantennes in de periode 2003-2005. Hun bezwaren liepen nogal uiteen, maar waren daarom niet minder relevant: aanslaggevoeligheid van de schotels, onduidelijkheid over het doel, gebrek aan controle en handhaving, ontsiering van het landschap.

Index


It Greate Ear
Na alle protesten van omwonenden kreeg het Ministerie van Defensie in 2004 geen toestemming van de Raad van State voor het uitbreiden van het aantal schotels. In 2008 werd het afluisterstation Zoutkamp ontmanteld en verplaatst naar It Greate Ear bij Burum. De gebouwen werden te koop aangeboden [YouTube, 21.10.09]. De doorn werd uit het oog van de Zoutkampers getrokken. Zij waren opgelucht dat de afluisterpraktijken niet meer in hun achtertuin plaatsvinden. Defensie verplaatste haar satellietafluisterstation naar haar basis in de Marnewaard (het grootste oefenterrein van Nederland). Het afluisterstation in Burum kan maar een beperkt aantal satellieten zien. Dat tekort wordt aangevuld door samen te werken met andere inlichtingendiensten.

It Greate Ear - Burum
It Greate Ear bij Burum
Grondstation Nationale SIGINT Organisaties (NSO)
Officieel: Satellietgrondstation 12
    It Greate Ear is de Friese bijnaam voor het grondstation voor satelliet-communicatie. Satellietgrondstation 12 ligt in de weilanden ten noordwesten van het Friese dorp Burum (±625 inwoners), ten westen van het gehucht De Keegen en ten oosten van het Fries-orthodoxe kerkje van Kollumerpomp. Begin 2025 verleende de gemeente Kollumerland een bouwvergunning voor de bouw van 13 nieuwe schotelantennes in Burum. Het bezwaar dat daartegen werd ingebracht door een omwonende uit Burum werd door de rechtbank Leeuwarden niet-ontvankelijk verklaard.

De ene helft van het afluistercentrum in Burum is onderdeel van de Nationale Sigint Organisatie (NSO) en valt dus onder het Nederlandse ministerie van Defensie. De andere helft van het terrein is van het internationale bedrijf Inmarsat. Op dit commerciële deel van het satellietgrondstation staat afluisterapparatuur van het Amerikaanse ministerie van Defensie, Dit deel van het terrein is alleen toegankelijk voor Amerikaanse staatsburgers met speciale toegang. Volgens een onderzoek van Nieuwsuur betaalt het Amerikaanse leger huur (telehousing) om de apparatuur in Burum te kunnen plaatsen en om satellietservice te ontvangen [Nieuwsuur 13.1.14].

De Amerikanen gebruiken de faciliteiten in Burum met name voor het monitoren van de eigen troepen tijdens missies zoals in Irak en Afghanistan. Toen in januari 2014 bekend werd dat de Amerikaanse overheid volledige controle heeft over een deel van de in Burum gestationeerde afluisterschotels, begonnen parlementariërs van diverse partijen verontruste vragen te stellen. Zij wilden weten wat de Amerikanen precies doen met de apparatuur in Burum en wat daarbij de betrokkenheid van de Nederlandse regering is. De Nederlandse regering zou een antwoord moeten kunnen geven op deze vragen, maar de vraag is of zij wel behoefte heeft aan deze delicate kennis.

Index


Eibergen — Luisteren naar de Taliban
Op het militaire Kamp Holterhoek bij het dorp Eibergen in de Achterhoek beschikt de Nationale SIGINT Organisatie (NSO) sinds 2007 over een 12-tal antennes die geschikt zijn voor het onderscheppen van hoogfrequent radioverkeer op duizenden kilometers afstand. Met deze ‘afluistersprieten’ van 15 meter hoog kan de communicatie van militaire operaties overal ter wereld in de gaten worden gehouden. Voor de militaire missie van Nederlandse soldaten in Uruzgan (2006-2011) werd antennepark in Eibergen opgelapt om het communicatieverkeer van de Taliban te onderscheppen. De commandanten van de Afghaanse Talibaban communiceren vaak met portofoons

Volgens een woordvoerder van Defensie moesten de afluistersprieten in Kamp Holterhoek ertoe bijdragen om een herhaling van Screbrenica te voorkomen. “Als we toen het radioverkeer van de Servische troepen goed hadden kunnen afluisteren, dan hadden we mogelijk tijdig maatregelen kunnen nemen. We kunnen in Eibergen nu veel communicatie veel beter afluisteren en verwerken” [De Stentor 28.6.07].

Index Is wereldwijd afluisteren mogelijk?

Informatie-oceanen: intercepteren - opslaan - selecteren - interpreteren
Het wereldwijd afluisteren van het internet is in meerdere opzichten een probleem. Ten eerste moet men over de middelen en vaardigheden beschikken om de gigantische oceaan van digitale communicaties via telefoon- en satellietverbindingen worden afgeluisterd. Ten tweede moet men in staat zijn om al het dataverkeer dat via lichtflitsen in glasvezelnetten verloopt op te slaan. Ten derde moet men in staat zijn om zwaar versleutelde bestanden (cryptografie en steganografie) te ontsleutelen. En tenslotte moet men al deze informaties ook nog eens op relevantie worden geselecteerd en intelligent worden verwerkt — en dat alles liefst binnen een redelijke korte termijn.

Sommige specialisten —zoals Duncan Campbell— geloven echter dat het praktisch onmogelijk is om de miljoenen communicaties via internet en mobiele netwerken die dagelijks over de wereld gaan allemaal te monitoren, in kaart te brengen of te onderscheppen. Bovendien is het buitengewoon arbeidsintensief en nogal ineffectief om al die communicaties ongericht af te luisteren.

We weten echter ook dat technisch gezien bijna alles afgeluisterd kan worden, mits de bron maar dichtbij genoeg is. “Wie dicht in de buurt van een gebouw staat, of toegang heeft tot de kabels van een gebouw, kan vrijwel alles achterhalen wat er zich tussen de muren afspeelt” [Gerhard Schmidt, Duitse Sociaal Democraat].

Ook het afluisteren van telecommunicatiesatellieten is eenvoudiger geworden. De nieuwste telecomsatellieten zenden met veel grotere vermogens, waardoor zij met veel kleinere antennes op aarde ontvangen kunnen worden. Bovendien zijn de technische ontvanginrichtingen geavanceerder en goedkoper geworden. Het aftappen van satellietcommunicaties is dus veel eenvoudiger geworden en is hierdoor ook binnen het bereik gekomen van kapitaalkrachtige particulieren, het bedrijfsleven, criminele bendes en terroristische netwerken.

Glasvezelkabels nemen een steeds groter deel van het internationale telecommunicatieverkeer voor hun rekening. Een zeer groot deel (99%) van het trans-Atlantische telefoonverkeer, tekstberichten, e-mail, websites, digitale beelden & video en een deel van televisie wordt afgehandeld door kabels die op de zeebodem liggen. Het steeds grotere aandeel van de internationale communicatie verloopt over een zeer klein aantal verbindingslijnen. Wie toegang verwerft tot deze kabels kan op grote schaal internationaal telecommunicatieverkeer aftappen. Inlichtingendiensten maken gebruik van onderzeeërs om deze kabels af te tappen [zie de landingsplaatsen van de onderzeekabels wereldwijd].

De kwetsbare levensaders van het internet
Cyberspace is een louter virtuele ruimte die geen grenzen en muren kent. Maar het internet is net zo verankerd in fysieke plaatsen als elk trein- of telefoonsysteem. Het bestaat uit lichtimpulsen die grotendeels via glasvezelkabels met duizelingwekkende snelheid rond de wereld worden gestuurd met behulp van krachtige lasers. Deze fysieke infrastructuur is het kloppend hart van het hele internet.

Alle digitale netwerken in de wereld hangen aan glazen vezels. Bijna 230 kabels verbinden mensen uit alle met elkaar. Die glasvezelkabels lopen deels onder de grond, maar vooral onder de zee.

Hoe kwetsbaar deze verbindingen zijn blijkt uit de volgende voorbeelden.

  • 2000: Een vissersboot gooit het anker uit en snijdt een glasvezelkabel door die Australië verbindt met Singapore. Zuid-Oost Azië, Japan en Australië verliezen aan aanzienlijk deel van hun internetcapaciteit [NYT, 23.11.00].

  • 2006: Door een zeebeving breken voor de kust van Taiwan zes kabels. 120 miljoen telefoonaansluitingen in Oost-Azië vallen uit, het internet gaat over op het slakkentempo, banken en beurzen zijn afgesloten van de internationale handel. De valutahandel moest tijdelijk in de hele wereld worden stilgelegd. Internetproviders activeerde weliswaar de noodsystemen, maar daardoor kon de uitval niet worden opgevangen [Der Spiegel, 27.12.06].

  • 2007: Op 25 maart voeren Vietnamese piraten met meerdere boten naar twee onderzeese systemen om de glasvezelkabel en de daaraan verbonden apparaten (versterkers) te stelen. De beide systemen werden 79 dagen volledig uitgeschakeld [Green/Burnett 2008; Burnett 2011; DailyBeast, 30.3.13].
    De piraten hadden 11 kilometer van de SEA-ME-WE 3 kabel gestolen en probeerden 100 ton kabel als schroot te verkopen [Lurbeasia, 2.6.07].

  • 2008: Binnen een paar dagen scheuren twee keer de zeekabels voor Egypte en twee keer in de Perzische Golf. Bijna 100 miljoen mensen in het Midden-Oosten en India zijn dagenlang volledig offline. Het internet in hele Arabische regio draait 18 dagen lang op een zeer laag tempo.
    De eerste twee incidenten ruïneerden de kabels SEA-ME-WE 4 en Flag Europe-Asia. De Egyptische autoriteiten verklaarden dat deze kabels niet door scheepsankers gebroken waren omdat er geen schip in deze (verboden) zone had gevaren. Dus begonnen de samenzweringstheorieën direct wortel te schieten. Zou Amerika een aanval op Iran voorbereiden en dit voorbereiden met een aantal op de IT-infrastructuur van het land? Zou de NSA geprobeerd hebben de zeekabel af te tappen en daarbij per ongeluk de kabel hebben beschadigd? [Der Spiegel, 4.2.08].

  • 2010: Op 11 juni 2010 pleegden terroristen in de Filippijnen een aanslag op kabellandingsstation. In dit jaar er ook een nieuwe kabel in de Indonesische archipel beschadigd. Douglas Burnett concludeerde: “It is naïve to assume that submarinecable landing stations, cables, the cable ships, and the marine depots that maintain the systems will escape asymmetric terrorist acts” [Burnett 2011:96].

  • 2010: Een anker verscheurt een van de belangrijkste zeekabels die Oost- en Zuid-Afrika verbindt met de rest van de wereld. De breuk ontstond een in zeekabel tussen Mumbai in India en Mombasa in Kenia. Tijdens het wereldkampioenschap voetbal wordt het internet en de internationale telecommunicatie ernstig verstoord. E-Mail, websurfen op internationale sites functioneert niet of nauwelijks meer. Internationale webdiensten zoals Google en Facebook zijn niet meer te bereiken en het dataverkeer rond het grote sportevenement beweegt zich slechts stapvoets [Der Spiegel, 6.7.10]

  • 2011: In Georgië en Armenië ging het internet volledig plat omdat een 75-jarige vrouw, Hayastan Shakarian, een kabel doorhakte op zoek naar koper en brandhout.

  • 2012: Op 17 februari trekt een schip met zijn anker drie belangrijke internetkabels in de Rode Zee: Europe India Gatewat (EIG), South Esta Asia Middle East Western Europe-3 (SMW-3) en Eastern Africa Submarine Cable System (EASSy). Een paar dagen later gooit een schip in de buurt van de Keniaanse havenstad Mombasa het anker uit en trekt de kabel TEAMS kapot waardoor de telecommunicatie in Oost-Afrika weken lang grote vertragingen oploopt [Wall Street Journal, 28.2.2012; Der Spiegel, 28.02.2012; BBC, 28.2.12].

    Duiker bij zeekabel

  • [2013] Het Egyptische leger zegt dat zij een sabotagepoging van een internetkabel voor de kust van de Middellandse Zee heeft verhinderd. Drie duikers zouden op 23 maart de kabel rond de haven van Alexandrië hebben beschadigd. Een patrouille van de kustwacht hield ter plekke een vissersschip aan en arresteerde de bemanning. De duikers beweerden dat zij de kabel per ongeluk hadden beschadigd en dat zij op zoek waren naar schroot.
    De duikers saboteerden de onderzeese kabel die Europa verbindt met Afrika en die eigendom is van Telecom Egypt (SEA-ME-WE 4). Deze 20.000 kilometer lange kabel begint in Zuid-Frankrijk en komt bij Singapore weer boven water. Het is een backbone met aftakkingen bij belangrijke landen die langs de route van de kabel liggen. Het internetverkeer op het Afrikaanse continent werd dagen lang geteisterd door uitval en hapering [Reuters, 27.3.13; Webwereld, 28.3.13; Der Spiegel, 28.3.13; DailyBeast, 30.3.13].
Al deze incidenten hebben de legende van het onbreekbare internet op de schroothoop van de geschiedenis gedeponeerd. Als de kabels breken, dan worden we teruggeworpen in het pre-digitale stenen tijdperk. De belangrijkste oorzaak van het breken van belangrijke dataverbindingen zijn ongelukken met sleepnetten en ankers van boten. Kabelbreuken kunnen ook ontstaan door natuurrampen en wellicht van sabotage of cybotage. Kabelbreuken doen zich ongeveer 100 keer per jaar voor [Wired, 3.4.13].

Internetkabel
Grafische voorstelling van een internetkabel.
Het is niet eenvoudig om een zeekabel te breken. De kabels zijn meestal zo’n 7 centimeter dik, de glasvezels in het centrum zijn omgeven door diverse beschermlagen, waaronder twee lagen versterkt staaldraad, een omhulsel van koper en lagen siliconen en kunststof [Kabeldiagram]. Het saboteren van zo’n kabel is wel mogelijk, maar niet zonder gevaren. De kabels vervoeren duizenden volts aan energie. Duikers die de kabel willen doorsnijden lopen een groot risico hierdoor gedood te worden.

Kabelverbindingen zijn de levensader van het internet, maar ook de achilleshiel van de digitale wereld. Het is zeker niet overdreven om te stellen dat kabelverbindingen de meest kritische infrastructuren zijn: met relatief lage inspanning kan de grootst mogelijke schade worden aangericht. ’Heel het raderwerk ligt stil, als de zeekabel niet meer wil.’

Zeekabels zijn kwetsbaar voor scheepsankers en sleepnetten, voor spionnen die de communicatie willen aftappen, en voor saboteurs die ze om welke reden dan ook willen doorsnijden — piraten om geld en terroristen om politieke redenen. De beveiliging van de kabels is slecht geregeld. De kabels liggen grotendeels buiten territoriale wateren waarin ze niet wettelijk worden beschermd tegen vijandige aanvallen. Sommige telecombedrijven en overheden gebruiken radarvolgsystemen om de zee rond deze kabels te bewaken. Schepen die te dicht bij een kabel komen worden gewaarschuwd. Maar dit beveiligingsysteem kan ook een zegen zijn voor saboteurs die de precieze locatie van bepaalde kabels wil weten [Wired, 3.4.13].

Zeekabels zijn stabiel en veilig, maar bij storingen zijn de reparatiekosten zeer hoog. Om superieure overdrachtssnelheid te bereiken moeten de lichtsignalen op regelmatige afstanden worden versterkt. De relaisstations (repeaters) die hiervoor nodig zijn vertragen niet alleen de dataoverdracht, maar vormen ook een potentiële storingsbron.

Zie voor kaart van alle zeekabels getekend in 19e eeuwse stijl: Submarine Cable Map 2015. Zie voor een interactieve zeekabelkaart: Telegeography. Zie voor kabelkaarten, foto’s en achtergrondinformatie: Surfacing.

Computer Spion Internationaal internetverkeer wordt verzonden via telecommunicatiekabels en satellieten. Deze kabels en satellieten worden door inlichtingendiensten van diverse landen afgetapt waardoor zij automatisch toegang krijgen tot het internetverkeer. Inbreken op e-mailverkeer is alleen mogelijk als men toegang heeft tot knooppunten van internet en mobiele communicatie. Daar kunnen de datastromen worden bestudeerd op IP-adressen —de gebruikerscode die voor iedere computer uniek is— die aan elk bericht hangen. Een zeer groot deel van het buitenlandse internetverkeer in Europa loopt via de VS omdat daar de knooppunten door het tijdsverschil minder bezet zijn dan bijvoorbeeld in Europa en Azië. De NSA is daardoor in staat om dit internetverkeer af te luisteren.

Het overgrote deel van het internet- en telefoonverkeer is voor inlichtingendiensten niet relevant. Dit geldt voor de meeste berichten die via discussiefora, blogs, Facebook of Twitter worden verspreid. Al deze informatie is publiekelijk toegankelijk. Net als alle andere internetgebruikers hebben inlichtingen- en veiligheidsdiensten vrijelijk toegang tot deze informatie. Digitale communicatie kan dus relatief eenvoudig worden verzameld, in kaart gebracht en geanalyseerd.

Dit geldt in nog sterkere mate voor het World Wide Web, waarvan de meeste sites vrij toegankelijk zijn. Inlichtingendiensten maken net als iedereen gebruik van publieke zoekmachines om het web af te struinen naar verdachte uitlatingen of figuren. Er is een uitgebreid aanbod van programma’s waarmee zeer grote massa’s gegevens verzameld en verwerkt kunnen worden. Er is software waarmee uit die enorme berg van gegevens netwerkpatronen kunnen worden gedestilleerd. Bovendien zijn er steeds betere programma’s voor automatische inhoud- en stijlanalyse. De NSA beschikt al jaren over eigen computerbots die het web afrazen om relevante informatie te verzamelen.

De technische mogelijkheden om op grote schaal internetverkeer af te tappen nemen in snel tempo toe. Het selecteren en interpreteren van relevante informatie uit zo’n enorme hoeveelheid informatie is iets ingewikkelder. De oceaan van afgeluisterde informatie wordt eerst gezeefd op speciale trefwoorden. Moderne selectiesoftware zoekt naar trefwoorden in specifieke contexten waarin zij worden gebruikt. De software analyseert communicatieprofielen en -patronen en identificeert vriendschappen en contactnetwerken. Hoe goed deze software ook is, voor de uiteindelijke interpretatie van de uitgeselecteerde informatie is menselijke intelligentie vereist.

De klassieke barrières van het intercepteren en ontcijferen van berichtenverkeer zijn geslecht. De mogelijkheden om alle opgevangen informatie te verwerken lopen niet meer achter op het tempo en de schaal waarop zij worden binnengesleept. De opgezogen data worden met behulp van uitgekiende algoritmen automatisch omgezet in profilering, netwerkanalyse en risico-inschattingen. Alles in de hoop dat men in de verzamelde hooibergen uiteindelijk toch een paar spelden te vinden.

COMINT + ELINT = SIGINT
Communications Intelligence (COMINT) is het intercepteren, selecteren en interpreteren van berichten die via telecommunicatieverbindingen verstuurd worden. Sinds het begin van de jaren negentig zijn er in hoog tempo geavanceerde Comint-systemen ontwikkeld die de snelle digitale communicatie via het internet verzamelen, filteren en analyseren.

Over de ether worden echter ook andere elektronische signalen verstuurd, zoals bijvoorbeeld radarsignalen. Het opvangen en analyseren van deze signalen wordt Electronic Intelligence (ELINT) genoemd. De combinatie van COMINT en ELINT wordt Signals Intelligence genoemd (SIGINT). SIGINT is de technische term voor elektronisch afluisteren.

SIGINT-agencies zijn inlichtingendiensten die gespecialiseerd zijn in het afluisteren en interpreteren van informatie. SIGINT wordt tegenwoordig ook wel gedefinieerd als: COMINT + ELINT + FISINT (Foreign Instrumentation Signals Intelligence).

De grootste Sigint-organisatie ter wereld is het United States Sigint System (USSS) dat bestaat uit de NSA, militaire ondersteuningseenheden die de Central Security Service worden genoemd, en delen van CIA en andere organisaties.

Sommige spionagespecialisten betwijfelen het nut van grootschalige afluisterpraktijken: het kost bergen geld, maar levert weinig op — in ieder geval minder dan verkregen kan worden door het kopen van informatie (informanten) of door infiltratie in verdachte organisaties of netwerken (geheime agenten). Personen die met staatsgevaarlijke, terroristische of criminele oogmerken gebruik maken van internet en mobiele netwerken weten dat hun communicaties kunnen worden afgeluisterd. De ‘slechteriken’ proberen hun communicaties te verbergen door gebruik te maken van encryptie of steganografie.

De kracht van encryptieprogramma’s is inmiddels zo groot, dat het zelfs voor gespecialiseerde instellingen zeer moeilijk is om de code te kraken. Bovendien zijn er steeds betere mogelijkheden om zowel de afzender als de ontvanger van internetberichten te anonimiseren. Nederlandse staatsburgers hebben een onverkort recht om hun communicatie cryptografisch te beschermen.

Men is geneigd te concluderen dat grootschalige afluisterpraktijken op dit moment niet erg geschikt zijn daadwerkelijk staatsgevaarlijke, terroristische of criminele individuen of netwerken in kaart te brengen. Grootschalig afluisteren is vooral een bedreiging voor de privacyrechten van onschuldige burgers die niet de moeite nemen om hun persoonlijke communicatie sterk te beveiligen, en voor de commerciële rechten van ondernemers die zich onvoldoende tegen bedrijfsspionage hebben beveiligd.

Index


Encryptie: misplaatst gevoel van veiligheid
Daar staat tegenover dat het vermogen van inlichtingendiensten om zeer grote hoeveelheden ook versleutelde communicaties af te tappen enorm zijn toegenomen. De spionagespecialisten van de Amerikaanse NSA en de Britse GCHQ hebben inmiddels alle encryptieprotocollen zoals HTTPS, SSL en VPN gekraakt. Voor inlichtingendiensten is encryptie geen onoverwinnelijke barrière meer.

Sinds 1952 kan de NSA de cryptografische systemen die in Europa worden gebruikt kraken door crypto trapdoors te infecteren. Er waren al langer geruchten dat de NSA in veel beveiligingssystemen achterdeurtjes had ingebouwd [Wired 24.9.13]. In 1995 werden deze vermoedens bevestigd door The Baltimore Sun die onthulde dat de NSA een achterdeur had ingebouwd in de cryptografische machines die door het respectabele Zwitserse bedrijf Crypto AG werden gemaakt. Op die manier kon de NSA het gecodeerde diplomatieke en militaire verkeer in meer dan 130 landen (inclusief het Vaticaan) lezen.

Wie een coderingssysteem van Crypto AG aanschafte, haalde het Paard van Troje in huis. Om de machine te gebruiken moet een lange numerieke sleutel worden ingevoerd die regelmatig wordt gewijzigd. De coderingsmachine is echter zo ontworpen dat de ingevoerde sleutel direct verstuurd wordt naar luistervinken. Om te verhinderen dat andere luistervinken kunnen ontdekken wat er gebeurt, wordt ook deze sleutel verstuurd in een code die alleen bij de NSA bekend is [Der Spiegel 2.9.96; Baranyi 1998; Madson 1998; Campbell 2000; Schneier 2008].

Kleptografie
Kleptografie is een combinatie van cryptografie met malware om informatiesystemen aan te vallen [Young/Yung 2004]. Het is de kennis en vaardigheid om een asymetrische achterdeur in te bouwen in een cryptografisch protocol.

Een symmetrische achterdeur kan door iedereen iedereen worden geopend die toegang heeft tot het geïmplementeerde algoritme. De encryptie bestaat uit een reeks omkeerbare stappen: de encryptiesleutel en de decryptiesleutel zijn gelijk.

Een asymetrische achterdeur is alleen maar toegankelijk voor de aanvaller die deze heeft geplaatst. Zelfs als de volledige specificatie van de achterdeur openbaar wordt gemaakt, zou deze onbruikbaar zijn zonder aanvullende informatie waarover alleen de aanvaller beschikt (de private key). Bij een asymmetrisch versleutelde achterdeur worden operaties gebruikt die niet omkeerbaar zijn.

De werking van een geïnfecteerd cryptosysteem verschilt niet van die van niet-geïnfecteerd systeem. Daarom blijft zo’n aanval meestal volkomen onopgemerkt. Door de asymmetrie van de aanval zijn zelfs de slimste digitale speurders in het gunstigste geval alleen maar in staat om de achterdeur te ontdekken, maar niet om deze te gebruiken. De NSA heeft de kleptografie tot een hoge kunst verheven.

In de jaren ’90 verloor de NSA het publieke debat om haar eigen achterdeur in alle encryptie haar eigen achterdeur te mogen inbouwen. Zij maakte zich toen vooral zorgen om de verspreiding van sterke encryptiesoftware zoals Pretty Good Privacy dat door Phil Zimmerman werd ontworpen. Sinds het begin van 2000 investeerde de NSA miljarden dollars in een clandestiene campagne om haar afluistervermogen op peil te houden.

Versleutelde informatie is exploiteerbaar
In 2010 stelde de NSA een memorandum op voor medewerkers van haar Britse zusterorganisatie GCHQ waarin zij haar eigen prestaties beschrijft: “Cryptanalytic capabilities are now coming online. Vast amounts of encrypted Internet data which have up till now been discarded are now exploitable.” De Britse analisten waren verbijsterd.
In 2006 kraakte de NSA de versleutelingssystemen die gebruikt worden voor de reserveringen van meerdere vliegtuigmaatschappijen, een buitenlands nucleair programma en een buitenlandse internetprovider. De grote doorbraak volgde in 2010 toen men erin slaagde om de webstandaarden SSL en VPN te kraken. Vervolgens werd de 4G-technologie van smartphones gekraakt. In 2012 lukte het om in de systemen van Google te komen [New York Times, 5.9.13].

Inmiddels beschikt de NSA over een omvangrijke interne databank van encryptiesleutels voor commerciële producten. In veel gevallen is het niet eens nodig om documenten en communicaties te ontcijferen omdat de NSA bij veel grote internetbedrijven pre-encryption access heeft verworven. Dit geldt bijvoorbeeld voor de meest populaire diensten van Microsoft (inclusief Outlook e-mail), voor internettelefoon via Skype en voor chats.

In de Sigint Strategy 2012-2016 [22.2.2012] wordt als algemeen strategisch doel geformuleerd dat de NSA toegang wil krijgen tot de data van “anyone, anytime, anywhere”. Deze goddelijke ambitie kan alleen maar worden gerealiseerd als de geheime dienst in staat is om versleutelde communicatie te ontsleutelen. Om dit te bereiken probeert de NSA niet alleen invloed uit te oefenen op “de globale encryptiemarkt via commerciële relaties”, maar ook op menselijke spionnen en inlichtingendiensten van bevriende landen [NYT 22.11.13].

De door Edward Snowden gelekte documenten tonen aan dat de NSA met het programma Treasure Map streeft naar “a near realtime, interactive map of the global internet”. De NSA verzamelt daarmee data van Wifi-netwerken en locatiegegevens van tussen de 30 en 50 miljoen unieke IP-adressen.

Om de computernetwerken van het Ministerie van Defensie te beschermen wordt een systeem van sensoren opgebouwd. Daarbij worden de afgeluisterde dataverzameling geïntegreerd met een nationaal netwerk van sensoren die registreren, op elkaar reageren en elkaar waarschuwen. Dit voorstel werd nader uitgewerkt in Plan X van DARPA.
De NSA roept de politieke autoriteiten op om net zo flexibel en dynamisch te zijn als de technologische en operationele voordelen die de dienst wil exploiteren. Volgens de NSA is dat de enige manier waarop zij ook in de toekomst kan domineren op “the Sigint battle space”. Ongelimiteerde toegang tot de infrastructuren van de telecommunicatienetwerken in de hele wereld, dat is het ideaal van de NSA. De bemeestering van het globale netwerk is het praktische doel.

Index


Manipulatie van encryptiestandaarden
Encryptie is een essentiële grondslag voor vertrouwen op het internet. Het strategisch doel van de NSA was erop gericht de surveillance te maximaliseren door het manipuleren van cruciale beveiligingsmechanismen van het internetverkeer. Beveiligingsexperts twijfelden al veel langer aan de kwaliteit van cryptografische standaarden waar de NSA zich mee bemoeid heeft. In de zomer van 2013 maakten de onthullingen van Edward Snowden duidelijk dat de NSA niet alleen in staat is om via een breed scala aanvallen om cryptografie weet heen te werken, maar dat zij ook achterdeurtjes in de ‘gouden’ cryptografische standaarden zelf heeft weten te plaatsen [NYT 5.9.13; Guardian 6.9.13].

In 2006 betaalde de NSA 10 miljoen dollar aan een van de belangrijkste computerbeveiligingsbedrijven ter wereld, RSA, om een zwakke plek in te bouwen in zijn encryptiesoftware. Voor dit bedrag was de RSA bereid om gebruik te maken van de door de NSA zelf ontwikkelde encryptiestandaard, Dual Elliptical Curve [Reuters 20.12.13; Guardian 20.12.13]. Het algoritme werd goedgekeurd door het Amerikaanse instituut voor industriële standaarden (NIST). Sindsdien vormt het NSA-algoritme de grondslag voor het bekendste versleutelingsprogramma van de RSA: BSafe.

RSA door de bocht
RSA werd in de jaren ’70 opgericht door MIT-professoren die een nieuw algoritme hadden ontwikkeld die bekend staat als public key cryptography waarbij twee verschillende sleutels worden gebruikt om een bericht te coderen en te decoderen. De eerste, publiek beschikbare sleutel wordt gebruikt om een bericht voor iemand te coderen, die vervolgens een particuliere sleutel gebruikt om dit bericht te decoderen.

Het voordeel is dat de publieke sleutel op het internet gezet kan worden (die iedereen kan gebruiken om mij een vertrouwelijk bericht of bestand te sturen) terwijl de particuliere sleutel volledig onder mijn controle staat (ik hoef deze sleutel niet uit te wisselen).

De meeste grote technologiebedrijven maken hebben de encryptiesoftware van RSA in licentie. Zij gebruiken deze encryptieinstrumenten om computers te beschermen die door honderden miljoenen mensen worden gebruikt.

In de jaren ’90 speelde de RSA —die nu onderdeel is geworden van ECM Corp— nog een leidende rol in het blokkeren van de poging van de NSA om een speciale chip (Clipper Chip) te introduceren die spionage mogelijk maakte op een breed scala van computer- en communicatieproducten. “Sink Chipper” was de strijdbare leuze van RSA.

    “RSA heeft zich jarenlang verzet tegen pogingen van de Amerikaanse overheid (te beginnen met president Clinton) om beveiligingssoftware toegankelijk te maken voor elektronische spionnen. Dat verzet werd echter opgegeven in de periode na 11 september 2001, toen de hackers binnen het bedrijf werden overvleugeld door meer commerciële types” [VK, 23.12.13].
De RSA ontkende dat er sprake was van een geheim contract met de NSA, maar sprak niet tegen dat er geld betaald was aan de NSA [RSA, 22.12.13; WSJ, 23.12.13].

De NSA construeerde een achterdeur in de toevalsgenerator Dual EC DRBG gebaseerd op encryptie met elliptische curves (ECC). Door de keuze van standaardparameters bij het ontwerp van de toevalsgenerator was het willekeurige getal niet zo willekeurig als zou moeten. En juist hierdoor was de NSA in staat de encryptie te doorbreken. Mede hierdoor is ook twijfel ontstaan over een andere ECC-gebaseerde standaard die bedoeld is voor het opstellen van digitale handtekeningen.

ECC is gebaseerd op een bepaald type curve en een serie regels om te rekenen met punten op de curve. Wanneer een punt op de curve vermenigvuldigd wordt, ontstaat volgens deze rekenregels eenvoudig een nieuw punt op de curve. Om vanuit dit nieuwe punt en het oorspronkelijke punt de vermenigvuldigingsfactor te halen, is zeer moeilijk. Deze eigenschap wordt gebruikt voor asymmetrische cryptografie: het oorspronkelijke en afgeleide punt worden gebruikt voor het opstellen van een openbare sleutel om berichten te coderen, maar deze kan alleen ontcijferd worden door iemand die over de vermenigvuldigingsfactor beschikt.

De vorm van de curve kan —binnen bepaalde grenzen— vrij worden gekozen en daarom zijn er verschillende standaardcurves in omloop. Niet de algoritmes zelf en de onderliggende wiskunde staan ter discussie, maar wel steeds de gekozen parameters in de standaarden.

De NSA is nauw betrokken is bij de totstandkoming van de cryptografische standaarden van het National Institute of Standards and Technology (NIST). Deze standaarden worden via een publiek proces ontwikkeld en de NSA heeft grote expertise op het gebied. De standaardenorganisaties NIST is zelfs wettelijk verplicht om het NSA hierbij te betrekken [NYT 10.9.13].

Bij een betrouwbare encryptie moeten de parameters altijd een duidelijke herkomst hebben (zoals een aantal cijfers van pi). Maar bij de standaard waarvoor de NSA de waardes heeft geleverd, is onduidelijk waar de input precies vandaan komt. Deze curve zo gekozen dat de NSA hem relatief eenvoudig kan kraken [Konkel 2013; Webwereld, 6.7.14].

Een week na de onthullingen over de manipulaties van de NSA met de beveiligingsstandaarden adviseerden RSA en het NIST hun klanten om geen gebruik meer te maken van de Dual Elliptical Curve. Het meest opmerkelijke is en blijft dat een beveiligingsbedrijf dat volledig steunt op betrouwbaarheid bereid is om haar encryptiestandaard te laten compromitteren voor slechts 10 miljoen dollar.

Index


Kraken van wachtwoorden en encryptie
Het beveiligen van communicatie door het gebruik van wachtwoorden en encryptie is in de loop der jaren tot een grote kunst verheven. Maar de kracht van de wachtwoordkrakers en de superkracht van de encryptiekrakers is neemt exponentieel toe. Ik heb elders laten zien hoe makkelijk het inmiddels is om wachtwoorden te kraken.

Het kraken van hoogwaardige encryptie is veel lastiger, maar niet onmogelijk. Dit wordt vooral mogelijk door de toenemende rekenkracht van onze conventionele binaire computers, maar ook en vooral door de ontwikkeling van kwantumcomputers. Binaire computers werken met bits, die enkel de waarde 0 of 1 kunnen hebben.
Vind de schat...
Het verschil tussen een binaire en een kwantumcomputer wordt duidelijk als men beide de vraag voorlegt: “Er zijn tien gesloten deuren en achter één ligt een schat. Achter welke deur ligt die schat?”
Een binaire computer opent deur nummer 1 en kijkt of daarachter de schat ligt. Als dat niet het geval is wordt de volgende deur geopend. De cyclus herhaalt zich totdat de schat gevonden is. Een kwantumcompuer opent alle deuren tegelijk en heeft al na de eerste cyclus de schat gevonden. Een binaire computer heeft in dit geval 5,5 berekeningscycli nodig om de schat te vinden. Een kwantumcomputer heeft slechts 1 cyclus nodig.
Kwantumcomputers werken met kwantumbits (ook wel qubits), die tegelijkertijd waarden tussen 0 en 1 bit aannemen. De klassieke computer kan één berekening per keer doen terwijl een kwantumcomputer in staat is om parallel of verstrengeld te rekenen — ze voert tegelijkertijd bewerkingen uit op alle oplossingsmogelijkheden. Een kwantumcomputer kan berekeningen die onnodig zijn voor het oplossen van een probleem vermijden en is daardoor in staat om veel sneller het juiste antwoord te vinden [Exter 2004]. Wie een goed werkende kwantumcomputer kan bouwen zou in staat zijn om gigantische hoeveelheden data te analyseren en hier allerlei connecties en patronen uit te destilleren.

De Amerikaanse inlichtingendiensten NSA werkt aan de ontwikkeling van een supercomputer waarmee het bijna alle vormen van encryptie kan kraken [Washington Post, 2.2.14]. Uit de door klokkenluider Edward Snowden gelekte documenten blijkt dat de bouw van een kwantumcomputer onderdeel is van een geheim onderzoeksproject met de naam Penetrating Hard Targets. De NSA heeft voor dit project bijna 80 miljoen dollar uitgetrokken.

De ontwikkeling van kwantumtechnologieën is een serieuze bedreiging voor overheden om hun interne communicatie te beschermen tegen afluisteren door buitenlandse mogendheden.

Index Grootschalig afluisteren en privacy

Grootschalig afluisteren - ongerichte interceptie
Volgens de Wet op de inlichtingen- en veiligheidsdiensten van 2002 (WIV) is het ongericht aftappen van niet-kabelgebonden telecommunicatie toegestaan. “De diensten zijn bevoegd tot het met een technisch hulpmiddel ongericht ontvangen en opnemen van niet-kabelgebonden telecommunicatie. Tot de bevoegdheid (...) behoort tevens de bevoegdheid om versleuteling van de telecommunicatie ongedaan te maken” [artikel 27]. Voor de uitoefening van die bevoegdheid is geen ministeriële toestemming vereist. Het ongericht aftappen van kabelgebonden telecommunicatie is nadrukkelijk niet toegestaan.
De meeste internationale en een klein deel van lokale telefoongesprekken worden afgewikkeld via straalverbindingen — via de ether. Alle signalen die via de ether of glasvezelkabels worden verzonden kunnen worden afgeluisterd. Grootschalig afluisteren van telecommunicatie is in Nederland niet illegaal. Inlichtingendiensten mogen ongericht en zonder toestemming van de minister telecommunicatie onderscheppen als deze via satelliet of radio wordt verstuurd. Het ongericht aftappen van de ether is volgens de wet geen schending van het telefoongeheim. Wettelijk geldt slechts de beperking dat informatie die op deze manier is verkregen niet wordt ‘gebruikt’. Wanneer door grootschalig afluisteren toevallig een gesprek wordt opgevangen waarin iemand een misdaad opbiecht, dan kan dit niet worden gebruikt in een strafrechtelijke procedure.

Afluisteren langs de achterdeur
Om personen te mogen afluisteren, moest de AIVD beschikken over de handtekening van één minister. Toch zijn er sterke vermoedens dat de dienst wegen bewandelt via een technische achterdeur, die het ophalen van deze handtekeningen overbodig maakt [NISA - Netherlands Intelligence Studies Association] Hierdoor zou het afluisteren zich aan de democratische controle onttrekken.
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) —voorheen: Binnenlandse Veiligheidsdienst (BVD)— mag het kabelgebonden internetverkeer alleen gericht afluisteren. Voorheen moest de BVD vijf handtekeningen van ministers hebben voordat men bepaalde personen mocht afluisteren. Sinds de Wet op de Inlichtingen- en Veiligheidsdiensten is hier slechts de handtekening van één minister voor nodig [WIV en het wetsvoorstel bijzondere opsporingsbevoegdheden van 17 juni 1997].

De Raad van Europa aanvaardde op 17 januari 1995 een resolutie over het bevoegd aftappen van telecommunicatieverkeer. Daarin wordt het bevoegd aftappen van telecommunicatienetten en -diensten als een onmisbaar middel gezien voor de Europese politie- en veiligheidsdiensten. In veel Europese landen is de wetgeving inmiddels zodanig aangepast dat telecommunicatiebedrijven verplicht zijn om mee te werken aan aftapopdrachten van het bevoegde gezag.

In 1998 trad in Nederland de nieuwe Telecommunicatiewet (TW) in werking. Daarin werd aan alle aanbieders van openbare telecommunicatienetwerken en -diensten de aftapverplichting opgelegd [art. 13]. Alle aanbieders dienen zich te registreren bij de OPTA (Onafhankelijke Post en Telecommunicatie Autoriteit) die toezicht houdt op de naleving van de wet- en regelgeving op het gebied van post en elektronische communicatiediensten.

De aanbieders moesten al hun netwerken en diensten aftapbaar maken voor de overheid. Omdat de overheid zelf nog niet wist hoe het internet afgetapt moest worden, werd aan providers tot 15 augustus 2000 uitstel verleend. De brancheorganisatie van internetproviders (NLIP) en de overheid probeerden samen in de “Werkgroep Aftappen Internet” (WAI) de specificaties op te stellen voor het aftappen. Dit bleek zo ingewikkeld dat opnieuw uitstel werd verleend tot 15 april 2001. Toen uitlekte dat de aftapregeling niet alleen voor Access Providers zou gelden maar ook voor WebHosters, werd er vanuit de telecombranche heftig gereageerd [NAO - Nationaal Aftap Overleg]. De overheid zou iedereen willen aftappen, op kosten van de providers. Bovendien zouden de overheidsvoorschriften, die pas in februari 2001 werden gepubliceerd, op essentiële punten technisch ondeugdelijk zijn [Wouters 2001].

Internetproviders en webhosters staan voor een onaangenaam dilemma. Enerzijds zijn zij wettelijk en contractueel verplicht om de privacy van hun klanten te beschermen. Anderzijds moeten zij meewerken aan de handhaving van het strafrecht en gerechtvaardigde private belangen [Asscher/Ekker: VK 26.8.03]. De vraag is wanneer internetdienstverleners identificerende gegevens mogen of moeten afgeven? Zij mogen overheidsinstellingen geen generieke toegang bieden tot hun klantenbestanden en zijn verplicht om deze data effectief te beschermen tegen alle soorten pottenkijkers. Anonimiteit van hun klanten mag alleen worden opgeheven wanneer er sprake is van een specifieke verdenking van een ernstig strafbaar feit (in NSA-kringen wordt dit een reasonable articulate suspicion genoemd, een RAS). Tenzij men wil tolereren dat cyberspace een wetteloos domein wordt waar anonieme belagers, bedreigers, oplichters, dieven en terroristen ongestraft hun gang kunnen gaan.

Index


Recht op privacy: een meervoudig vrijheidsrecht
Gepaste afstand
Fysieke privacy is het recht om lichamelijk met rust te worden gelaten: “Kom niet aan me, als ik dat niet wil.” Het is een kwestie van nabijheid: hou gepaste afstand. Onder aantasting van lichamelijke integriteit vallen aanranding van de eerbaarheid en verkrachting, openbare zedenschennis en diefstal met geweld. Alle vormen van opdringerig fysiek gedrag (ongewenste aanraking) die de zelfbeschikking over het eigen lichaam aantasten zijn in strijd met het recht op lichamelijke integriteit, of “het recht op onaantastbaarheid van zijn lichaam” [artikel 11 Grondwet].
Privacy is “het recht om met rust gelaten te worden” [Warren/Brandeis 1890]. In werkelijkheid is het recht op privacy een bundel rechten. Het omvat in ieder geval (i) het recht om vrij te zijn van fysieke invasie van iemands huis of persoon, (ii) het recht om bepaalde persoonlijke en intieme beslissingen te nemen vrij van overheidsbemoeienis, (iii) het recht om commercieel gebruik van de eigen naam en foto te verbieden, en (iv) het recht om informatie te controleren die persoonlijk is.

Dit laatste recht omvat zowel het recht op «relationele privacy» (bescherming van de persoonlijke levenssfeer) als op «informationele privacy» (zelfbeschikkingsrecht over de informatie die over een burger in omloop is). De informationele kant is tegenwoordig steeds bepalender. Met moderne informatietechnologie worden allerlei intieme of vertrouwelijke gedragingen van individuen vastgelegd. Bovendien verstrekken burgers hun gemakkelijk persoonsgegevens. Ook al blijven zij anderzijds zitten met de vraag dat die gegevens ook verkeerd gebruikt kunnen worden [Niets te verbergen en toch bang 2009]. Burgers schrikken als zij worden geconfronteerd met actuele verwerkingen van hun persoonsgegevens en vinden privacy wel degelijk belangrijk. Het vertrouwen in een zorgvuldig gebruik van hun gegevens is zeer laag, maar de meerderheid van de burgers is lijkt dit eerder lijdzaam te accepteren. Digitale burgerrechtenactivisten spannen zich in om deze lijdzame acceptatie te transformeren in een kritische verzet tegen de aantasting van het informationele recht op zelfbeschikking,

Zowel in de internationale, Europese als Nederlandse wet- en regelgeving is de bundel privacyrechten omschreven. Ik breng daarom eerst de belangrijkste wetsteksten in kaart.

Index


Internationaal privacy recht
Internationaal gezien biedt het Universele verklaring van de rechten van de mens van 10 december 1948 de meest belegen, maar ook respectabele richtlijn.

Dit artikel werd 65 jaar geleden geschreven. Niemand kon toen beseffen hoe het internet de mogelijkheden zou verruimen om “denkbeelden op te sporen, te ontvangen en door te geven”. Die uitwisseling van informatie en directe communicatie voltrekt zich nu over alle nationale en geografische grenzen heen. Het gebeurt bovendien in duizelingwekkende snelheden en in vormen die op eenvoudige wijze gekopieerd, geredigeerd, gemanipuleerd, gerecombineerd en gedeeld kunnen worden met kleine of juist zeer grote publieken.

Het Internationaal verdrag inzake burgerrechten en politieke rechten (IVBPR) en is gebaseerd op de Universele Verklaring van de Rechten van de Mens en werd op 23 maart 1976 door 35 lidstaten van de Verenigde Naties geratificeerd. Het recht op privacy wordt als volgt afgebakend:

Ook deze formulering stamt nog uit het predigitale tijdperk. Daarom is het begrijpelijk dat de president van Brazilië Dilma Rousseff samen met de Duitse bondskanselier Angela Merkel een VN-resolutie willen indienen om het verbod op willekeurige of onwettige inmenging in privésferen of gezinsleven uit te breiden naar het internet.

Index


Europees privacy recht
Op Europees niveau wordt het recht op bescherming van de persoonlijke levenssfeer (privacy) bekrachtigd door artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) dat in 1950 werd opgesteld.

In artikel 10 wordt niet alleen de vrijheid om informatie (en meningen) te verspreiden beschermd, maar ook het recht om zonder inmenging van openbaar gezag te communiceren en informatie te ontvangen. Ook de vrijheid van nieuwsgaring van journalisten wordt door dit artikel beschermd.

Het recht op privacy en het recht op vrijheid van meningsuiting zijn nauw met elkaar verbonden. “Respect voor privacy is een noodzakelijke voorwaarde voor de uitoefening van het recht op informatievrijheid” [Brandeis 2013]. Inbreuken op de persoonlijke levenssfeer van individuen beperkt direct of indirect de vrije meningsuiting en -uitwisseling. Dat is een goede reden om het recht te beschermen dat burgers anoniem of pseudoniem met elkaar kunnen communiceren en dat zij de inhoud van de berichten die zij over en weer versturen mogen versleutelen.

Het Handvest van de Grondrechten van de Europese Unie werd op 7 december 2000 aangenomen door het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie. Het Handvest bevat vier artikelen die het recht op privacy garanderen.

Het Handvest beschermt het recht op privacy in een groot aantal dimensies van het privéleven: de woning (huiselijke privacy), het gezinsleven (familiaire privacy), de communicatie (communicatieve privacy) en de persoonsgegevens (informationele privacy).

Informationele privacy wordt in het Handvest gewaarborgd door het recht op bescherming van persoonsgegevens. Dat recht wordt gespecificeerd in een serie rechten en verplichtingen, zoals het recht op inzage en rectificatie en de verplichting tot doelgebonden gebruik van persoonsgegevens.

Twee jaar later werd een richtlijn aangenomen waarin de het recht van informationele privacy nader wordt gedetailleerd. Daarbij wordt voor het eerst ook expliciete bepalingen opgenomen voor de omgang met verkeersgegeven. Dat gebeurde in de Richtlijn betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer die op 12 juli 2002 werd uitgevaardigd door het Europees Parlement en de Raad van de Europese Unie.

Ook verkeersgegevens verdienen dus bescherming. Deze metadata moeten worden beschermd omdat zij vaak gevoeliger informatie bevatten dan wát er wordt gezegd en geschreven. Verkeersgegevens omvatten inmiddels veel meer dan: wie communiceert wanneer hoelang en hoe vaak met wie.

Persoonsgegeven in veilige havens
De EU definieerde een beschermingsregime dat zich ook buiten Europa uitstrekt. Alleen wanneer persoonsgegevens worden opgeslagen bedrijven die de beginselen van het Europese beschermingsregime toepassen, mogen deze gegevens buiten de EU worden geëxporteerd [Newman 2008]. Met deze Safe Harbor-regeling wordt echter regelmatig zo niet systematisch gesjoemeld door Amerikaanse clouddiensten die claimen lid te zijn van de Safe Harbor, maar dit niet of niet meer zijn.
Internetgebruikers hebben volgens de Richtlijn het recht om te weten welke persoonlijke en/of verkeersinformatie er over hen hoelang wordt opgeslagen en voor welke doeleinden deze data worden gebruikt of aan wie deze worden doorverkocht. Zij hebben ook het recht om te weigeren dat hun persoons- en verkeersgegevens voor bepaalde doeleinden worden gebruikt. Ook al men eerder heeft toegestemd met de verwerking van persoons- en verkeersgegevens, dan kan dit te allen tijde later worden ingetrokken.

Het meest omstreden was artikel 15 waarin de lidstaten de mogelijkheid krijgen om wetgevingsmaatregelen te treffen die telecomaanbieders verplichten om (verkeers)gegevens gedurende een beperkte periode te bewaren.

Op Europees niveau worden verkeersgegevens beschermd door het recht op eerbiediging van de persoonlijke levenssfeer. In Nederland is nog niet duidelijk wat de grondwettelijke status is van dit recht. Sommige juristen beschouwen het als onderdeel van de algemene privacybescherming van artikel 10 Grondwet. Anderen brengen het onder bij de meer specifieke bescherming van het communicatiegeheid in artikel 13 Grondwet. Dit artikel biedt volgens hen een sterkere bescherming voor het recht op informationele privacy. Daarin wordt immers bepaald dat het telefoon- en telegraafgeheim alleen geschonden mag worden “in gevallen bij de wet bepaald, door of met machtiging van hen die daartoe bij de wet zijn aangewezen”.

Europese rechtspraak: het recht op informationele zelfbestemming
Het Europees Hof voor de Rechten van de Mens (EHRM) benadrukt dat het begrip «privéleven» zowel de fysieke als psychologische integriteit van een persoon omvat. Daarom includeert het diverse aspecten van de fysieke en sociale identiteit van het individu. Persoonsgegevens zoals naam, etniciteit, gezondheid en seksuele oriëntatie vallen binnen de persoonlijke sfeer die door artikel 8 wordt beschermd [Dommering 2002b].

Het Hof heeft herhaaldelijk geoordeeld dat het onderscheppen, registreren en/of afluisteren van communicatie van burgers slechts onder zeer stringente voorwaarden is toegestaan — ook wanneer dit gebeurt door inlichtingen- en veiligheidsdiensten. Daarom moeten er adequate en effectieve wettelijke waarborgen tegen willekeur en machtsmisbruik worden ingebouwd.

Het Hof stelt daarom specifieke eisen aan wetgeving waarin afluistermaatregelen worden geregeld. Ten eerste moeten de reden/aanleiding voor de maatregel en de categorieën van personen die daardoor worden getrokken worden gedefinieerd. Ten tweede moeten worden vastgelegd wat de duur van de maatregel is, welke procedure gevolgd moet worden en wat de voorzorgsmaatregelen zijn die genomen moeten worden. Tenslotte moet ook worden vastgelegd wat de omstandigheden zijn waaronder de gegevens mogen of moeten worden vernietigd.

In Europa wordt ons privéleven beschermd tegen de staat en particuliere ondernemingen. Individuele staatsburger hebben zeggenschapsrecht om de macht van de staat en anderen over ons privéleven te beperken.

Index


Informationele privacy
Informationele privacy is een beschikkingsrecht over gegevens die op het privéleven betrekking hebben. Het recht op informationele zelfbeschikking impliceert zowel een beperking van de macht van de overheid als van commerciële ondernemingen. Enerzijds krijgen burgers —als datasubjecten— specifieke bevoegdheden, anderzijds moeten degenen die persoonsgegevens verzamelen zich aan bepaalde beperkingen houden. Vier principes zijn daarbij richtinggevend [Blok 2002; Dommering 2002b]. Persoonsgegevens over maatschappelijk actieve burgers komen in minstens 1.500 databases voor. En dat aantal neemt steeds meer toe. Alleen al in de periode van circa 1988 tot 2000 vertienvoudigde het aantal databases bij de overheid en semioverheid, van 3.500 tot 30.000. Burgers hebben steeds minder zich op de verwerking en het gebruik van die gegeven. Daardoor wordt het ook steeds lastiger om hun recht op inzage en correctie van die gegevens te effectueren. Het is voor burgers nauwelijks meer te overzien wat er gebeurt met hun persoonsgegevens en of hun privacy wel voldoende is gewaarborgd. De mogelijkheden om de eigen persoonsgegevens af te schermen of zich te verzetten tegen verwerking lijken in snel tempo af te nemen [Ministerie van Sociale Zaken en Werkgelegenheid 2011].

Index


Recht op anonieme meningsuiting — Schild tegen tirannie
In 1525 verbood Karel V de boeken van Maarten Luther en zijn aanhang en alle boeken zonder titel en afzender. Bij overtreding, zonder het tonen van berouw, moesten mannen met het zwaard worden omgebracht, vrouwen werden levend begraven. Dit strenge verbod had overigens weinig effect. Luther bleef bijna al zijn traktaten anoniem publiceren. In 1559 volgde het pauselijke verbod op alle door ketters geschreven anonieme publicaties.

Vanaf eind 18e eeuw zette de Franse bezetter het verbod op anoniem publiceren voort. In 1789 wordt dit wettelijk vastgelegd: “Ieder burger mag zijne gevoelens uiten en verspreiden, op zoodanige wijze, als hij goedvindt; des niet strijdig met het oogmerk der Maatschappij. De vrijheid der drukpers is heilig; mits de geschriften met den naam van uitgever, drukker of schrijver voorzien zijn” [Artikel 16 van de Burgerlijke en Staatkundige Grondregels].

Pas in 1886 werd op voorspraak van de Leidse professor Simons anoniem publiceren een recht. Volgens hem kon de uitingsvrijheid alleen optimaal zijn als er geen plicht tot ondertekening is. Het recht op anonieme publicatie werd alleen tijdens de Tweede Wereldoorlog door de Duitse bezetter geannuleerd, zoals dat eerder gebeurde door de Spaanse en Franse bezetter [Ekker 2008]. In Nederland is anonimiteit echter geen grondwettelijk recht zoals het recht op privacy.

In de VS is als uitvloeisel van het First Amendment het recht op anonieme meningsuiting erkend. De grondleggers van de Amerikaanse grondwet omarmden anonieme communicatie in het politieke domein als een manier om in staat te zijn onpopulaire, tegendraadse meningen naar voren te brengen zonder daarvan persoonlijke nadelen te ervaren [Du Pont 2001:199]. De grondleggers maakten daar zelf ook gebruik van. De essays in de Federalist Papers werden gepubliceerd onder het pseudoniem ‘Publius’ [Zittrain 2008]. Zij verzetten zich tegen pogingen om anonieme auteurs te dwingen om hun identiteit te onthullen. Hun belangrijkste argument was dat gedwongen onthulling de persvrijheid aantast.

Het recht op anonieme publicatie is een vitaal onderdeel van de bescherming van de vrijheid van meningsuiting. Het Amerikaanse Hooggerechtshof heeft bij herhaling dit recht bevestigd. In de zaak McIntyre stond de volgende overweging centraal:

Amerikaanse rechters hebben herhaaldelijk erkend dat ook op internet de mogelijkheid om anoniem te publiceren een essentieel onderdeel is van de vrijheid van meningsuiting [Chavannes 2007].

Internet biedt meer dan de traditionele communicatietechnologieën de mogelijkheid om met anderen te communiceren zonder dat men de eigen identiteit hoeft prijs te geven. Daaraan kleven natuurlijk een aantal bekende risico’s. “De anonymus kan straffeloos allerlei onzin uitkramen of zich schuldig maken aan bedreiging en belediging. De slachtoffers van dergelijke uitingen kunnen nergens verhaal halen. Zij kunnen niemand ter verantwoording roepen. Dat is een volstrekt onbevredigende uitkomst in een rechtsstaat” [Asscher/Ekker, in: VK 26.8.03].

Daar staan echter een aantal belangrijke voordelen van anonimiteit tegenover.

Nieuw is dat overigens niet. Anonieme pamfletten, folders, brochures en boeken speelden altijd al een belangrijke en positieve rol in de geschiedenis van de mensheid. Veel grote literaire en politieke werken werden geproduceerd door auteurs die anoniem wilden blijven en vaak gebruik maken van een pseudoniem (nome de plume) om zich tegen wraakzuchtige autoriteiten te beschermen. De bekendste voorbeelden daarvan zijn Baruch Spinoza (met het oudste pleidooi voor de vrijheid van meningsuiting), François-Marie Arouet (Voltaire), Benjamin Franklin (een van de Founding Fathers van de VS), Samuel Langhorne Clemens (Mark Twain), Eduard Douwes Dekker (Multatuli).

Index


Recht op versleutelde communicatie— Schild tegen pottenkijkers
Nieuwe communicatietechnologieën stelden politie & justitie, inlichtingen- en veiligheidsdiensten voor een aantal problemen. Het recht op vertrouwelijke communicatie impliceert ook recht op versleuteling van de berichten die worden uitgewisseld. Daarbij lijken de belangen van politionele, justitiële en veiligheidsapparaten soms lijnrecht tegenover de privacy- en commerciële belangen van burgers, organisaties en ondernemingen te staan. Deze staatsapparaten hebben er belang bij dat de communicatie van burgers die van wetsovertredingen worden verdacht voor hen niet alleen toegankelijk maar ook verstaanbaar blijft. Dit laatste is door de verspreiding van het gebruik van kwalitatief goede —niet of nauwelijks kraakbare— digitale encryptie steeds moeilijker geworden.

De pogingen om het gebruik van versleutelingstechnieken aan banden te leggen liepen stuk op juridische barrières en technische onhaalbaarheid. Inmiddels zijn er diverse mogelijkheden gecreëerd die autoriteiten in staat stellen om versleuteling te doorbreken of te omzeilen.

  1. Plicht tot ontsluiering
    Iedereen die niet zelf verdachte is, is verplicht tot ontsluiering. Dit geldt voor telecomaanbieders die zelf de communicatie versleutelen, voor Trusted Third Parties die sleutels van anderen beheren, en voor degenen aan wie versleutelde berichten zijn gericht.

  2. Omzeilen van versleuteling
    Er zijn alternatieve opsporingsmethoden om versleuteling te omzeilen. De politie is bevoegd om direct af te luisteren, microfoontjes op het toetsenbord te plaatsen, in te breken en te infiltreren. Daarmee kunnen wachtwoorden worden achterhaald of kan (data)communicatie worden onderschept voordat die wordt versleuteld. Wachtwoorden kunnen ook worden verkregen via infiltranten of kroongetuigen. Bovendien mogen inlichtingendiensten computers van verdachten hacken en manipuleren om op die manier toegang te krijgen tot versleutelde informatie.

  3. Encryptiecodes kraken
    Geheime diensten investeren in technologie om codes te kraken. Inlichtingendiensten krijgen de bevoegdheid om alle afgetapte versleutelde berichten net zolang te bewaren totdat ze wél gekraakt kunnen worden. Die informatie mogen ze vervolgens nog een jaar lang bewaren om te kijken of ze er nog iets mee kunnen doen.

  4. Achterdeurtjes
    Er kunnen geheime achterdeurtjes in versleutelingsprogramma’s worden ingebouwd of men kan de encryptische standaarden van die programma’s bewust verzwakken.

Index


Vrijheid van communicatie
Om de essentiële burger- en mensenrechten in cyberspace te beschermen moeten een aantal maatregelen worden genomen om die de afluisterpraktijken op internet aan democratische banden leggen.

De vrijheid van communicatie is een fundamenteel burgerrecht. De verdediging van deze vrijheid op internet is een zaak van alle democraten. De Nederlandse overheid dient individuele burgers te beschermen tegen willekeurige inmenging door enige overheid in hun vrijheid van communicatie.

Index


Groothandelaren in persoonsgegevens
Als consumenten over het internet struinen op zoek naar aantrekkelijke goederen en diensten of naar informatie over onderwerpen die hen interesseren, dan worden al hun digitale acties en transacties prompt genoteerd, opgeslagen, aan elkaar verbonden, nagetrokken en kaart gebracht. Google volgt ons als we iets opzoeken en Facebook registreert met wie we direct of indirect verbonden zijn. Wat we doen op het internet wordt gecombineerd met andere persoonlijke gegeven, zoals hotelbezoek, reisgedrag en uiteraard de mobiele communicatie. Uit al deze gegevens kunnen individuele profielen worden opgesteld die voor veel geld verkocht worden aan de hoogste bieders.

Groothandelaren in persoonsgegevens (data brookers) opereren onder duistere namen, zoals Acxiom, Datran Media, Experian, Bluekai en eXelate Media. Zij brengen grote sommen in rekening voor uitgebreide dossiers met persoonlijke informatie over honderden miljoenen consumenten. Hun winsten zijn enorm, maar zij houden hun profiel laag [Pariser 2011:7]. De datamakelaars verzwijgen via welke ondernemingen zij hun informatie hebben gekocht. Gebruikers van internetdiensten verwerpen het ‘delen’ van persoonlijke informatie voor commerciële doeleinden [Hoofnagle/King 2007].

Waarde van een internetgebruiker
De huidige waarde van een internetgebruiker voor adverteerders en andere bedrijven is ongeveer 1.000 euro [Siegel 2013]. In 2011 schatte de Europese Commissie de waarde van alle Europese consumenten samen op 315 miljard euro. In potentie zou dit kunnen groeien tot bijna 1 triljoen euro per jaar in 2020 [Computerworld 29.10.13].

Het data-verzamelbedrijf Acxiom slaat persoonlijke gegevens op van iedereen waarover zij maar informatie kan verwerven. Er wordt begonnen met de elementaire informatie: namen, adressen, contactinformatie. Vervolgens worden daaraan demografische gegevens toegevoegd zoals leeftijd, etniciteit, beroep en opleidingsniveau. Dit is nog maar het begin. Daarna volgen sofinummer, creditcardgebruik, bankgegevens, uitgaanspatroon, websurfgedrag, lidmaatschappen, verkeersovertredingen, voorkeuren voor muziek en boeken, medicijnen voor incontinentie, welk soort kat of hond men heeft, of mensen links of rechtshandig zijn etc. Tenslotte is er nog speciale aandacht voor life-event triggers zoals gaan trouwen, een huis kopen, een kind krijgen of gaan scheiden. Met gepersonaliseerde en tijdige reclame wordt direct ingehaakt op deze omslagpunten in de levensgeschiedenis van mensen/consumenten. Het grote voordeel is duidelijk: “We no longer want to receive mass marketing — getting bombarded with ads that have no relevancy to our lives — because it’s intrusive and wastes our time” [Acxiom - AboutTheData]. Weinigen zullen dat tegenspreken.

De Nederlandse datahandelaar 4Orange verzamelt al meer dan 20 jaar dat van alle Nederlandse consumenten. Zij beschikt over “een databestand waar in de afgelopen jaren ruim duizend kenmerken zijn verzameld van 1,6 miljoen huishoudens“ die gebruikt worden voor het maken van klantprofielen.
Acxiom heeft gemiddeld 1.500 stukjes informatie over meer dan een half miljard personen in haar databank — inclusief 96% van de Amerikanen [Clifford 2009b; Behar 2004]. Alle handelingen die individuen op een computer verricht worden geregistreerd en op naam geaggregeerd. Die gegevens worden vooral gebruikt om bedrijven te helpen met direct marketing, d.w.z. met een direct op het specifieke individu gericht reclame of aanbod. Door deze profilering weet men of je zwanger bent of juist gescheiden, of je probeert gewicht te verliezen, hoe rijk je bent, hoeveel kinderen je hebt, hoe vaak je telefoneert en in welke auto je rijdt.

Na de aanslagen van 11 september 2001 stopten de datamijnwerkers en -makelaars van Acxiom de weinige informatie die bekend was over de vliegtuigkapers in hun systeem. Zo ontdekten zij dat de kapers valse rijbewijzen en telefoonnummers hadden gebruikt, waar zij hadden gewoond, wie hun huisgenoten waren en met wie zij contact hadden gehad [O’Harrow 2005]. Acxiom wist meer over elf van de negentien kapers dan de hele Amerikaanse overheid.

Met deze informatie benaderden zij minister van Justitie John Ashcroft. Sindsdien voorzien particuliere datagroothandels als Acxiom diverse ministeries en waarschijnlijk ook veiligheidsdiensten van de meest uiteenlopende persoonlijke informatie.

Gebruik, hergebruik en misbruik van Big Data
Informatie is altijd belangrijk geweest voor markttransacties, maar heeft door de digitalisering een hele nieuwe dimensie gekregen. Enorme hoeveelheden digitale informatie over individuen kunnen steeds sneller worden verzameld en steeds goedkoper worden vastgelegd en opgeslagen.

    “Gegevens kunnen dikwijls passief worden verzameld, zonder veel inspanning of zelfs maar het medeweten van degen die worden geobserveerd. En aangezien de kosten van gegevensopslag zo sterk zijn gedaald, is het bewaren van gegevens makkelijker te rechtvaardigen dan het weggooien ervan. Dat alles maakt dat er veel meer gegevens tegen lagere kosten beschikbaar zijn dan vroeger. De laatste vijftig jaar zijn de kosten van digitale gegevensopslag elke twee jaar met ruwweg de helft gedaald, terwijl de gegevensopslagdichtheid met een factor 50 miljoen is toegenomen” [Mayer-Schönberger/Cukier 2013].

De waarde van gegevens neemt niet af als ze worden gebruikt. Gegevens kunnen onbeperkt opnieuw worden gebruikt. Omdat gegevens op eenvoudige wijze gedeeld kunnen (zonder verlies van waarde), belemmert het gebruik ervan door één persoon niet het gebruik door anderen. Anders dan bij materiële goederen slijt informatie niet, maar ze kan wel verouderen.

Persoonsgegeven kunnen daarom vele malen voor hetzelfde doel, maar ook voor meerdere andere doeleinden worden gebruikt: voor eigenlijke doelen (zoals het bieden van een op de persoon gerichte service), maar ook voor oneigenlijke doelen (zoals het identificeren van politieke tegenstanders).

Voor datamakelaars is privacy iets waaraan zij wel lippendienst bewijzen, maar dat zij toch vooral beschouwen als een hindernis die overwonnen moet worden. Het verbergen van persoonsgebonden informatie leidt in hun denkwijze slechts tot marktinefficiënties. Volgens de neoklassieke economische theorie van perfect concurrerende markten leidt onvolledige informatie altijd tot economische inefficiëntie. De bescherming van privacy zou inefficiënties in de markt scheppen omdat het potentieel relevante informatie verbergt voor andere economische actoren [Posner 1978, 1981; Stigler 1980; Calzolari/Pavan 2006, en kritisch: Hirshleifer 1980; Murphy 1996; Acquisti 2010]. Zeggenschap van consumenten of internetgebruikers over hun eigen persoonsgegevens is voor datamakelaars een onding.

Aan de neoklassieke economische visie op privacy liggen zeer gereduceerde vooronderstellingen over rationeel gedrag ten grondslag die niet in staat zijn om de complexiteit van de beslissingen die consumenten maken over hun privacy te verklaren. Zij kunnen wel verklaren waarom een consument vrijwillig informatie geeft over zijn persoonlijke voorkeuren voor boeken, fruit of hash. Een consument beslist op rationele gronden om persoonlijke informatie met bedrijven en instellingen te delen in de verwachting dat dit uiteindelijk in zijn eigen voordeel is.

Maar we leven nu in een tijdperk waarin dergelijke gegevens online worden geregistreerd, geaggregeerd, opgeslagen, gebruikt en hergebruikt. Consumenten hebben niet of nauwelijks controle over de manier waarop de betreffende ondernemingen die persoonsgegevens zal gebruiken. Zij hebben ervaren dat ondernemingen hun persoonlijke gegevens doorverkopen aan derde partijen. Dat zijn partijen die gigawinsten maken zonder dat de consumenten daar enig voordeel bij hebben. Integendeel, zij ervaren de overlast van spam, omgekeerde prijsdiscriminatie en andere ongewenste commerciële intimiteiten. Met deze negatieve ‘externaliteiten’ voor consumenten houden particuliere ondernemingen geen rekening.

Index NSA - Zwaar geschut

Symbolen van spionagekracht
NSA = No Such Agency
Toen de NSA in 1952 werd opgericht was er “geen journalistieke aandacht, geen debat in het Congress, geen persverklaring, en zelfs niet het fluisteren van een gerucht” [Bamford 1982]. Het was allemaal zo stiekem dat grappenmakers zeiden dat NSA een afkorting was van No Such Agency.
De National Security Agency (NSA) is een van de meest geheime inlichtingen- en veiligheidsdiensten in de VS. De NSA speelt een centrale rol in het cybercommando. Net als vroeger luistert zij buitenlandse communicaties af en analyseert zij elektronische informatie uit telefonie en internet. Daarnaast is de NSA gespecialiseerd in het ontcijferen van geëncrypteerde informatie. Zij pioniert al jaren op het gebied van cyberspionage en breekt in op buitenlandse computersystemen om inlichtingen te verzamelen.

Het hoofdkwartier van de NSA is gevestigd in Fort Meade (Maryland), zo’n 150 kilometer van Washington. In een met de strengst mogelijke maatregelen beveiligde stad bevindt zich de grootste concentratie geavanceerde computers ter wereld. Tienduizenden mensen zijn ondergebracht in meer dan 50 gebouwen. De stad —die wordt aangeduid als Site M—heeft zijn eigen postkantoor, brandweer en politie. Het complex is voorzien van een 150-megawat krachtstation en is omgeven met bossen, elektrische hekken en zwaar bewapende bewakers; het wordt beschermd door antitank barrières en wordt door roterende camera’s in de gaten gehouden. Om te voorkomen dat er elektromagnetische signalen uitlekken zijn de binnenmuren van de gebouwen bekleed met beschermende koperlagen.


Hoofdkwartier van de NSA is het futuristische gebouwencomplex in Ford Meade, Maryland.
Dit alziende internetoog wordt ook wel «het paleis van de raadsels» (James Bamford) genoemd.
Kosten: bijna $900 miljoen.

Het meest imponerende symbool van de spionagekracht van de NSA is de faciliteit die wordt opgebouwd in de staat Utah. Het zwaar beveiligde NSA-datacentrum in Bluffdale (Utah) is een van de grootste bouwprojecten van het Pentagon. Het kostte 2 miljard dollar en omvat meer dan 1 miljoen m2. De kern wordt gevormd door datahallen waarin eindeloze rijen servers en een onbekend aantal Cray supercomputers staan opgesteld. Alleen al aan energie zal het centrum continu 65 megawatt nodig hebben om te draaien: genoeg om een kleine stad van 20.000 inwoners van energie te voorzien — kosten meer dan 40 miljoen dollar per jaar. Het is het grootste en duurste cybersecurity project. Het Pentagon streeft ernaar dat haar wereldomspannende communicatienetwerk —dat bekend staat als Global Information Grid— in staat is om yottabytes (1024) aan data te verwerken [Wired, 15.3.12; Wired, 20.5.13].


NSA-datacentrum in Bluffdale (Utah)

Volgens planning zou het datacentrum in Utah in september 2013 volledig operationeel moeten zijn. Maar de opening van het centrum moest een jaar worden uitgesteld omdat zich door spanningspieken regelmatig explosies in het complex hebben voorgedaan die metaal deden smelten en elektronische circuits verstoorden [Wall Street Journal 7.10.13; Wired 8.10.13; VK 8.10.13].

Index


Alles wat afluisterbaar is
De NSA is de meest geheime en technisch best uitgeruste militaire spionageorganisatie in de wereld. Zij probeert in de pas te lopen met het internet door het bouwen van enorme online opslagsystemen waarin e-mail en andere virtuele communicaties worden bewaard en geschift.


NSA parodie
Het eerste systeem werd in 1996 ontworpen en in 2000 afgeleverd. Het staat bekend als Sombrero VI en bevat een petabyte informatie. Een petabye is een miljoen gigabytes en is ongeveer gelijk aan acht keer de informatie van de Library of Congress (250.000 dvd’s). Daarna ontwikkelde en implementeerde de NSA een nieuw systeem, Petaplex, dat minstens 20 keer groter was. Het systeem is zo ontworpen dat het zo’n 90 dagen internetdocumenten kan bevatten [Campbell 2001; Todd/Bloch 2003:49].

In 2003 maakte het Amerikaanse Congres nog een eind aan een experimenteel antiterrorismeprogramma van het Pentagon om alle elektronische data over Amerikaanse burgers en ingezetenen te onderzoeken op verdachte patronen [NYT 9.11.2002]. Zelfs na de terroristische aanslagen van 9/11 vond een meerderheid van de senatoren en afgevaardigden dat dit een te grote inbreuk zou maken op de privacy van Amerikaanse burgers.

Maar de NSA bouwde voort aan systemen van ongerichte massasurveillance. Zij monitort enorme hoeveelheden data over e-mails, internetverkeer, financiële transacties (overschrijvingen via banken, betalingen met creditcards etc.), reispatronen en telefoongesprekken. Al deze transactionele gegevens worden met geavanceerde software programma’s geanalyseerd op ‘verdachte patronen’. De NSA maakt ook gebruik van systemen voor gerichte surveillance waarbij in eerste instantie alleen ‘verdachte individuen’ worden gevolgd. In dit geval wordt begonnen met een specifieke ‘lead’, zoals een telefoonnummer of een internetadres van iemand die verdacht wordt van terrorisme of criminele activiteiten. Het systeem traceert vervolgens alle binnen- en buitenlandse transacties en communicaties die met dit doelwit verbonden zijn. Daarna worden ook de mensen in kaart gebracht die met het primaire doelwit geassocieerd zijn [Wall Street Journal, 10.3.08].


Dit schema laat zien hoe gerichte surveillance (monitoren van specifieke individuen die verdacht zijn) gecombineerd wordt met gegevens die via ongerichte massasurveillance —de sleepnetmethode— worden verzameld. In het eerste geval worden specifieke verdachte individuen gemonitord. In het tweede geval wordt gezocht naar verdachte patronen in alle verzamelde data over telefoon-, internet- en monetaire verkeer en over bijvoorbeeld ruimtelijk bewegingspatroon, consumptief gedrag, politieke of seksuele voorkeuren.

Via het telefoonnummer van een verdachte kan bijvoorbeeld worden nagegaan met wie hij regelmatig communiceert, en van deze bellers en gebelden brengt het systeem ook de communicatieve connecties in kaart. Het systeem verbindt deze netwerkinformatie met alle relevante gegevens van de totale databank.

Hierop zijn vele variaties denkbaar. Als bijvoorbeeld een van terrorisme verdachte persoon waarschijnlijk in Amsterdam woont of verblijft dan kan het systeem alle in en uitgaande elektronische communicatie van die stad verzamelen en analyseren. Via automatische stemherkenning en taalidentificatie kunnen de elektronische sporen van de verdachte in kaart worden gebracht en zijn precieze geolocatie worden bepaald.

Volgens artikel 17 van het Internationaal verdrag inzake burgerrechten en politieke rechten mag niemand worden onderworpen aan “willekeurige of onwettige inmenging in zijn privé leven” [IVBPR]. De cruciale vraag is daarom (i) wie toegang heeft tot de ongericht verzamelde metadata en (ii) voor welke doeleinden deze data gebruikt mogen worden. Volgens de NSA hebben slechts 22 van haar medewerkers toegang tot de metadata en mogen zij deze alleen gebruiken om ze te vergelijken met telefoonnummers en internetadressen van specifiek verdachte personen [WSJ, 23.12.13].

Tijdens de Irak-oorlog in 2005 werd de Real Time Regional Gateway geïntroduceerd om alle elektronische informatie ongericht en gericht te verzamelen, op te slaan, en vervolgens te doorzoeken en te analyseren. Het is een «collect it all» strategie die werd ingevoerd door NSA directeur Keith B. Alexander. Het is de methodiek van jagen op verdachte individuen en het jagen op verdachte communicatiepatronen.

Cultuur van wantrouwen
Toen Keith Alexander in Juni 2008 het Britse afluistercentrum Menwith Hill bezocht, vroeg hij zich af: “Why can’t we collect all the signals all the time? Sounds like a good summer project for Menwith” [Guardian, 21.6.13]. De NSA luistert alles af wat er afgeluisterd kan worden. Het is de droom van elke spion — álles weten over iedereen. Het informele motto luidt: In God we trust, all others we monitor [Matthew Aid].


Het document waarin Generaal Keith Alexander
wordt geciteerd tijdens een bezoek aan Engeland.

Dat is heel iets anders dan de diplomatencode die door Henry L. Stimson in 1929 werd geformuleerd: “Gentlemen don’t read each other’s mail.” Stimson was van 1920 tot 1933 staatssecretaris onder president Hoover. Met dit beroemde citaat besloot hij in 1929 om de cryptoanalytische afdeling van de Amerikaanse overheid te sluiten.

Stimson veranderde echter van mening toen hij onder president Roosevelt leiding gaf aan het oorlogsministerie. Het afluisteren en ontcijferen van de communicatie van de vijand kreeg een hoge prioriteit. Al in de eerste jaren van de Tweede Wereldoorlog braken de Amerikanen de Japanse militaire codes. De informatie die dit opleverde werd strategisch ingezet en hierdoor konden de Amerikanen hun verliezen beperken. Hetzelfde gebeurde bij de Pools-Britse onderschepping van het Duitse radioverkeer die versleuteld waren met Enigma-machines. Volgens Winston Churchill was de overwinning op de Duitsers te danken aan het kraken van de militaire codes.

Toen Barack Obama in 2009 president werd, verklaarde hij zich uitgesproken voorstander van een transparante overheid. Hij sprak met bewondering over klokkenluiders, die bij beschreef als “often the best source of information about waste, fraud, and abuse in government.” Maar vervolgens liet hij klokkenluiders zoals Thomas Drake, William Binney en Edward Snowden, op genadeloze wijze juridisch vervolgen en politiek discrediteren. Hij schrok er zelfs niet voor terug om kritische journalisten te laten afluisteren (zijn voorganger Richard Nixon werd in de jaren zeventig nog ten val gebracht omdat hij zijn politieke tegenstanders liet afluisteren). Een klassiek staaltje van misbruik van het staatsapparaat.

Index


Vroege klokkenluiders
Op 13 juni 2011 werd voormalig NSA-employee Thomas Drake (45) voor de rechtbank in Baltimore gedaagd. De aanklacht was tamelijk ernstig: enemy of the state. In 2007 zou hij geheime documenten van defensie mee naar huis hebben genomen uit het hoofdkwartier van de NSA in Fort Meade. Drake —linguist en computerexpert gespecialiseerd in militaire crypto-elektronica— zou van plan zijn geweest om geheime documenten te lekken naar de journalist Siobhan Gorman van de Baltimore Sun. Gorman schreef een prijswinnende serie artikelen over financiële verspilling, bureaucratisch disfunctioneren en dubieuze juridische praktijken in de contraterrorismeprogramma’s van de NSA [New Yorker, 23.5.11]. Op 30 september 2013 hield Drake voor het Europese Parlement een vlijmscherpe en vlammende rede over de gevaren van de digitale politiestaat [Wisthleblower]. De ironie wil dat Drake was aangetrokken door de NSA om fouten te vinden en te repareren in de software van de NSA. Hij vond ze, maar voor de fouten die hij vond werd hij uiteindelijke niet beloond.

William Binney is een inmiddels 80-jarige veteraan die 30 jaar voor de werkte. Hij werkte als crypto-wiskundige mee aan een zeer geheim programma dat ook metadata over Amerikaanse burgers verzamelde. Een jaar eerder dan Edward Snowden trad hij naar buiten als klokkenluider van de NSA. Laura Poitras maakte een profiel van hem voor de New York Times [The Program 22.8.12]. In de jaren 90 bleek dat de NSA niet in staat was om uit het grote volume van de data die over het internet worden gecommuniceerd de goudklompjes te verzamelen van de informatie over speciale individuen of gemeenschappen zonder de privacy van de Amerikaanse burgers aan te tasten. Het was Binney’s taak om een manier te vinden om het werk van menselijke analisten te automatiseren. Hij gaf leiding aan het programma Thin Thread dat erop gericht was om geautomatiseerd en in real time de netwerkverbindingen in kaart te brengen tussen individuen die via internet elektronische met elkaar communiceren. Als een kant van de internationale communicatie Amerikaans was dan werd deze informatie onmiddellijk versleuteld en beschermd. Na de gebeurtenissen van 9/11 veranderde deze benadering. De constitutioneel verankerde individuele vrijheden speelden geen rol meer en werden volledig ondergeschikt aan het probleem van de «nationale veiligheid». Er begon een nieuw tijdperk dat werd aangeduid als de President’s Surveillance Program (PSP). Volgens Binney was dit programma “beter dan wat dan ook dat de KGB, de Stasi, of de Gestapo en SS ooit hadden”. Met het project Stellar Wind werden door de NSA 20 miljard communicatietransactie van Amerikanen geregisteerd. Binney ging niet mee met deze schending van de constitutie en nam eind 2001 ontslag bij de NSA. In 2006 werd Binney doelwit van een federaal crimineel onderzoek en in juli 2007 werd zijn huis met getrokken wapens door de FBI overvallen. Pas in 2011 begon hij zich publiekelijk uit te laten [New Yorker, 23.5.11].

Index


Prism: klokkenluider bindt NSA de bel aan

Edward Snowden
Klokkenluider Edward Snowden heeft laten zien hoe ver NSA inmiddels gevorderd is in het grootschalig afluisteren van communicatie die via internet of mobiele platforms verloopt. Sinds 2007 opereert de NSA met programma PRISM. Het is een codenaam voor een programma waarmee grootschalige informatie wordt verzameld van de belangrijkste internetbedrijven, zoals Microsoft (“Your privacy is our priority”), Yahoo, Google, Facebook, Paltalk, Youtube, Skype, AOL en Apple. Snowden omschreef het Prism-project als “the largest programme of suspicionless surveillance in human history” [Guardian, 13.6.13].

Prism ontstond onder president Bush door de Protect America Act of 2007 en door de FISA Amendments Act of 2008. Deze wetten beschermen particuliere ondernemingen tegen juridische acties als zij met de Amerikaanse overheid samenwerken bij het verzamelen van inlichtingen. In 2012 werd deze wet voor nog eens 5 jaar vernieuwd door het Congres. De FISA Amendments Act of 2008 autoriseert inlichtingendiensten om telefoon, email en andere communicaties van Amerikaanse burgers een week lang te monitoren (zonder dat zij hiervan melding krijgen) wanneer een van de partijen zich buiten de VS bevindt. Het Prism-project staat onder formele controle van het Foreign Intelligence Surveillance Court.

PRISM Logo Het Prism-programma biedt de militaire inlichtingendienst van de VS direct toegang tot de servers van al deze providers. De NSA heeft zowel toegang tot alle opgeslagen communicatie, maar kan ook doelgericht actuele communicaties onderscheppen. Met behulp van Prism worden alle communicaties afgeluisterd, niet alleen de metadata, maar ook alle inhoud van de communicaties: email, video en voice chat, video’s, foto’s, voice-over-IP chats (zoals Skype), overdracht van bestanden, details van sociale netwerken enz.

Dit is een van de 41 slides van een PowerPoint presentatie die door de NSA gebruikt wordt om het eigen personeel te introduceren in de mogelijkheden van het PRISM-programma. Het laat zien hoe de NSA grootschalig informatie aftapt direct van de servers van de belangrijkste Amerikaanse providers. De zeer geheime sheets werden gepubliceerd door The Guardian, 7.6.13.

De NSA betaalde miljoenen dollars om de kosten te dekken van de grote internetbedrijven die betrokken waren in het bewakingsprogramma Prism [Guardian, 23.8.13]. Deze kosten vloeiden voort uit de inspanningen die gedaan moesten worden om te voldoen aan de nieuwe certificatie-eisen van het Foreign Intelligence Surveillance court (Fisa).

Grote technologiebedrijven bieden de NSA direct of indirect toegang tot de gegevens van hun gebruikers. Nog nooit eerder kregen militaire inlichtingendiensten zo ongehinderd toegang tot civiele communicaties. Deze militarisering van de binnen- en buitenlandse communicatieve infrastructuur heeft nog veel vergaander consequenties. Door de strategische positie van de grote internetproviders en telecombedrijven op de wereldmarkt, heeft het Prism-programma grote internationale repercussies. Sinds de onthullingen van Edward Snowden weten we zeker dat praktisch alle communicaties over de hele wereld op een ongekende schaal door de NSA worden afgetapt. Alleen al in de maand maart van 2013 werden door de NSA 97 miljard stukjes informatie verzameld van globale computernetwerken en nog eens zo’n 3 miljard vanuit de VS [Guardian, 11.6.13]. De NSA is in staat om telefoon- en internetgegevens van meer dan een miljard burgers wereldwijd op te slaan en te doorzoeken.

Boundless Informant en TAO
The Guardian wist de hand te leggen op een serie uiterst geheime documenten over een instrument voor datamining met de naam Boundless Informant. Daarin staat per land aangegeven hoeveel informatie de NSA verzamelt van computer- en telefoonnetwerken. Het kleurenschema loopt van groen (het minst onderworpen aan toezicht) via geel en oranje naar rood (meest bewaakt). In Iran werden de meeste inlichtingen verzameld, gevolgd door Pakistan, Jordanië, Egypte en India. Het Prism-programma verzamelt alle informatie en Boundless Informant organiseert en indexeert metadata.

Uit de artikelen die in augustus 2013 in The Washington Post werden gepubliceerd bleek dat de NSA al in 2008 zo’n 20.000 netwerken had geïnfiltreerd. Deze implantaten waren geplaatst door een speciale afdeling die TAO (Tailored Access Operations) wordt genoemd. Later publiceerde de NRC op basis van door Snowden beschikbaar gestelde documenten dat de NSA medio 2012 al meer dan 50.000 netwerken had geïnfiltreerd [NRC 23.11.13].

Op deze kaart is te zien waar en op welke manier de NSA inlichtingen verzamelt. De gele stippen zijn de plekken waar ruim 50.000 netwerken zijn geïnfiltreerd. De groene stippen (op deze kaart niet zichtbaar) zijn de bevriende landen die helpen bij het verzamelen van data. De rode stippen zijn de diplomatieke posten van waaruit de Amerikanen opereren (een deel daarvan is om veiligheidsredenen onherkenbaar gemaakt). De blauwe stippen zijn de plaatsten waarop de belangrijkste internationale glasvezelnetwerken worden afgetapt, die de ruggengraat van het internet vormen. De oranje stippen zijn de plaatsen waarop het bondgenootschap van de Five Eyes al decennia lang het satellietverkeer aftapt.

Wat niet te zien is op deze kaart is wat de NSA de ‘Fourth Party Collection’ noemt. Dat zijn inlichtingen die verworven worden doordat de inlichtingendiensten van niet-bevriende naties zelf worden afgetapt [Der Spiegel, 1.1.15].

De NSA luistert per dag 5 miljard telefoons af en gebruikt daarvoor een programma dat zeer persoonlijke data monitort en analyseert over de precieze verblijfplaatsen van individuen [Washington Post 4.12.13]. Alle gegevens —van minstens honderden miljoenen apparaten֫ worden opgeslagen in een enorme databank, FASCIA. Die gegevens omvatten onder andere de Location Area Code (LAC), de ID van de zendmast (CellID), de International Mobile Station Equipment Identity (IMEI), de International Subscriber Identity (IMSI) en de MSISDN (een globaal uniek nummer dat aangeeft in welk land een apparaat werd geactiviveerd, de provider en het telefoonnummer). Met behulp van deze gegevens is de NSA in staat om de bewegingen van individuen te traceren en hun relaties in kaart te brengen.

De locatiegegevens worden over de hele wereld verzameld door het aftappen van de kabels die mobiele netwerken met elkaar verbinden. Zij worden ook verzameld van tientallen miljoenen Amerikanen die elk jaar in het buitenland reizen met hun mobiele telefoons.

Target Development
De NSA verzamelt locatie- en reisgegevens om onbekende metgezellen op te sporen van doelwitten die al bekend zijn. Op de enorme databank met locatiegegevens worden geavanceerde analytische technieken losgelaten om co-travelers te identificeren — onbekende metgezellen die samen reizen of ontmoetingen hebben met een bekend doelwit. Dit proces wordt target development genoemd.

Op meer dan 100.000 computers in de hele wereld heeft de NSA software geïplanteerd waarmee zij toezicht kan houden op deze machines, maar ook een digitale snelweg kunnen creëren om cyberaanvallen te lanceren [NYT 14.1.14].

De NSA breekt in op computernetwerken om de machines te infecteren. Minstens sinds 2008 maakt zij ook gebruik van andere afluistertechnologieën om op compters in te breken zelfs als zij niet aan het internet zijn verbonden. Een van die technieken is het afluisteren van radiogolven die worden uitgezonden van kleine elektronische circuits en USB-kaarten. Deze radiofrequentie apparaten moeten fysiek worden ingebracht door een fabrikant, een spion of een onoplettende gebruiker.

De meest favoriete doelwitten voor deze afluistertechnologie zijn de militaire netwerken van China en Rusland, de communicatiesystemen van de Mexicaanse politie en drug cartels, handelsinstellingen binnen de Europese Unie. Soms wordt het programma (Quantum genoemd) ook gebruikt voor partners tegen terrorisme zoals Saoedi-Arabië, India en Pakistan.

Index


Ontkenningen en ontwijkingen
In de geheime powerpoint van de NSA wordt precies aangegeven in welke volgorde de grote internetbedrijven aan het bereik van het Prism-programma werden toegevoegd.

De door Prism gebruikte internetbedrijven ontkenden echter in alle toonaarden dat zij het op een akkoordje hadden gegooid met de NSA.

Het feit dat men nog nooit van Prism had gehoord is niet zo relevant. Codenamen worden nu eenmaal als regel niet met externe organisaties gedeeld [Ars Technica, 6.6.13]. Alle bij Prism betrokken internetbedrijven verklaarden dat zij hun servers niet direct voor de NSA toegankelijk hadden gemaakt. Zij werden echter wel —tegen betaling— verplicht om de architectuur van hun servernetwerken zo in te richten dat het Prism-programma toegang kon krijgen tot praktische elke vorm van digitale communicatie en alle bestand. Het vertrouwen van de gebruikers in de diensten van de Prism-bedrijven was ernstig geschokt.

De NSA eist niet alleen alle informatie op bij de internetgiganten Google en Yahoo, maar tapt samen met de GCHQ de datastromen van beide bedrijven ook in het geheim af. De datacentra werden in het buitenland afgetapt. Hierdoor kon de NSA zich onttrekken aan de controle van de speciale rechtbank die de dataverzoeken moest goedkeuren. In een maand tijd werden op deze manier meer dan 181 miljoen nieuwe metadata verzameld. Het programma dat daarvoor gebruikt werd draaide onder de codenaam Muscular [Washiongton Post, 20.10.13].


Op deze dia van een NSA-presentatie over “Google Cloud Exploitation” wordt handmatig geschetst waar het "Public Internet” de interne “Google Cloud” ontmoet waar alle gebruikersgegevens liggen opgeslagen. Op het raakvlak tussen beide domeinen staat dat de versleuteling (SSL) op dit punt wordt verwijderd. Met een smiley!

“Door de smiley wist ik dat de NSA tekening echt was”, schreef David Auerbach in Slate. “Alleen een gretige en kortzichtige software techneut —die de interceptie van de data van Google en Yahoo ziet als een uitdaging en spel eerder dan als een kwestie van veiligheid en politiek— zou zo’n lichtzinnig en zelfgenoegzaam gebaar maken in het vooruitzicht op het hacken van Google’s interne servers” [Slate 31.10.13].

Het hoofd van de juridische afdeling van Google, David Drummond, verklaarde dat het bedrijf zich al langer zorgen maakte over de mogelijkheid van dit soort gesnuffel en dat zij de overheid geen toegang had gegeven tot haar systemen. “We zijn woedend over hoe ver de overheid lijkt te gaan om data af te tappen van ons particuliere glasvezelnetwerk, en het onderstreept de noodzaak voor een urgente hervorming” [Washington Post 30.10.13].

De NSA tapte direct de glasvezelkabels af die tussen de datacentra van Google en Yahoo lopen en die het eigendom zijn van bedrijven als Verizon, de BT Group, Vodafone en Level 3 Communications. Google en Yahoo maken gebruik van de kabels van Level 3, de grootste Internet Backbone Provider. De informatie die over de glasvezelkabels van Level 3 lopen zijn onversleuteld en kunnen daardoor relatief eenvoudig worden afgetapt. Inmiddels hebben beide bedrijven de verbindingen tussen hun datacentra ook versleuteld [NYT 25.11.13].

Steeds meer mensen schakelen over van opslag op hun lokale media met lokale software naar opslag op servers van anderen en het gebruik van gehoste applicaties. Deze verschuiving naar cloud computing brengt aanzienlijke risico’s met zich mee [Cyberoorlog].

Dol op codenamen
Bij de NSA gebeurt er niets zonder dat er een codenaam aan wordt toegekend. In de database «Dishfire» zijn tekstberichten uit de hele wereld van jaren geleden opgeslagen. De verzameling «Trackfin» bevat gigabytes aan creditcard betalingen. Met de techniek «Polarbreez» kan worden ingebroken op computers die in de buurt staan. «Snacks» is een acroniem voor Social Network Analysis Collaboration Knowledge Services. Met dit instrument worden vanuit teksten de personeelshiërarchiën van organisaties in kaart gebracht.

Index


Griezelige cyberstalkers - Amoureuze surveillance
Het is de taak van de NSA om vijandelijke regimes, terroristen en criminelen af te luisteren. De informatie die daarbij wordt verzameld dient alleen maar gebruikt te worden om bedreigingen van de staatsveiligheid af te weren en vijandige elementen op te sporen. We weten inmiddels dat de NSA in werkelijkheid haar digitale tentakels veel verder heeft uitgespreid. Minder bekend is hoe sommige medewerkers van de NSA misbruik of in ieder geval oneigenlijk gebruik maakten van hun afluistertechnologieën: zij bespioneerden ook hun eigen partners of personen waarvoor zij romantische belangstelling hadden. Zoals gebruikelijk werd er ook voor deze amoureuze afluisterpraktijken een codenaam bedacht: LOVEINT — liefdesgerelateerde inlichtingen [WSJ 23.8.13; Bloomberg 24.8.13].

Oneigenliojk gebruik van surveillance technologie. De voorzitter van de inlichtingencommissie van de Senaat, Senator Dianne Feinstein (Democraat, Californië), gaf toe dat er wel eens oneigenlijk gebruik werd gemaakt van afluisterapparatuur maar dat dit ‘geïsoleerde gevallen’ zijn die in de afgelopen 10 jaar ongeveer één keer per jaar voorkomen. De medewerkers die zich hieraan schuldig hebben gemaakt, zijn berispt. De NSA verklaarde dat zij zero tolerance had voor bewust misbruik van haar apparatuur en software. President Obama verklaarde voor CNN dat hij erop vertrouwd dat binnen de NSA niemand “probeert om dit programma te misbruiken of de e-mail van mensen af te tappen”.

Dit laatste was duidelijk niet waar. De NSA publiceerde zelf een aantal details van 12 incidenten waarin analisten hun toegang tot zeer de zeer hoogwaardige infrastructuur van de inlichtingendienst misbruikten om hun vriendinnen, vrienden en anderen te bespioneren. Zij geven een fascinerend inzicht in “wat er gebeurt als de impuls die gewone netburgers ertoe aanzet om geliefden van vroeger op Facebook op te zoeken wordt gecombineerd met de macht om met een paar toetsaanslagen een tap op te zetten” [Kevin Poulsen, in: Wired 26.9.13].

Een van die analisten die in het buitenland werkte tapte vijf jaar lang negen telefoonnummers van vrouwen af. Op een van die nummers paste hij call chaining toe om te bepalen wie er met of naar de telefoon had gebeld waarbij vervolgens ook de volgende telefoon werd afgetapt.

Bij de Amerikaanse geheime diensten en particuliere beveiligingsbedrijven zijn er dus tienduizenden functionarissen die als ze willen de e-mails, telefoons en het klikgedrag op internet van wie ze maar willen te besnuffelen. Zij kunnen misbruik maken van hun bevoegdheden om op eigen titel vertrouwelijke informatie af te tappen van ondernemingen en financiële instellingen. Op die manier kan bijvoorbeeld voorkennis worden verworven van deals die nog gesloten moeten worden of van fusies die in voorbereiding zijn. Die voorkennis kan gebruikt worden om eigen investeringen te laten renderen, of ze kan worden doorverkocht [NRC 13.6.13].

Index


Militair-informationeel complex (MIC)
Volgens Edward Snowden hadden tienduizenden personen toegang tot de in het kader van Prism opgeslagen data [PolicyMic 11.6.13]. Dat betekent een grote kans op misbruik van die data ook zonder dat dit direct zichtbaar is voor de buitenwereld. Alleen al bij Booz Allen Hamilton (BAH) beschikt driekwart van de 25.000 werknemers over een veiligheidsverklaring en de helft over een top-secret verklaring. De totale particuliere inlichtingenindustrie neemt 21% van de confidentiële en geheime informatievergunningen van de overheid in beslag, en 34% van de top-secret verklaringen. Deze percentages lopen steeds verder op [NPR 10.6.13]. Hierdoor zijn de veiligheids- en inlichtingendiensten veel kwetsbaarder geworden voor lekken en klokkenluiderij.

Na 9/11 werden de budgetten voor de inlichtingendiensten verhoogd en moesten er veel nieuwe mensen worden aangenomen. Dit gebeurde hoofdzakelijk door uitbesteding aan aannemers, zoals bijvoorbeeld Booz Allen Hamilton (BAH). Deze nep-privatisering van de inlichtingendiensten brengt grote risico’s met zich mee. Uitbesteding aan een particuliere aannemer betekent meestal dat de concurrentie buiten werking wordt gesteld en dat de overheid zelf het zicht ontbreekt op de wie precies voor wat verantwoordelijk is. Er ontstaat een door de overheid gesanctioneerd monopolie: “een particuliere onderneming doet in principe het werk van de overheid maar is wel gericht op het maken van winst, niet door concurrentie, maar door een parasitaire verhouding met de staat” [Forbes 18.9.2011]. Dit is slecht voor de belastingbetaler, maar geeft politici een kans om te zeggen dat zij de overheid hebben afgeslankt. In werkelijkheid is het veeleer een vorm van vriendjespolitiek. De leiding van de particuliere beveiligingsbedrijven bestaat in vergaande mate uit voormalige militairen en inlichtingenofficieren. Het nieuwe «militair-informationele complex» (MIC) is een kongsi van beveiligingsbedrijven, wapenfabrikanten, geheime diensten en leger.

Ik gebruik de term «militair-informationeel complex» in analogie aan het door de door de Amerikaanse president Eisenhower in 1961 geïntroduceerde term «militair-industrieel complex». Andere auteurs, zoals Shorrock 2008, gebruiken de term «intelligence-industrial complex». Bij de uitbesteding van inlichtingenwerk maakte de NSA maakte in 2001 gebruik van 144 particuliere ondernemingen. In 2006 waren dat er al 5.400. Gemiddeld kosten werknemers van contractors twee maal zoveel als NSA-medewerkers: $250.000. Het motto van de NSA werd: “We can’t spy, ...If we can’t buy” [Chesterman 2008].

In een recent rapport van het Project on Government Oversight (POGO) wordt geconcludeerd dat in 94 procent van de gevallen de gemiddelde jaarrekening van aannemers veel hoger was dan het gemiddelde jaarloon van federale werknemers. Aannemers berekenen de overheid ongeveer 1,83 keer zoveel dan wat de overheid betaald voor vergelijkbaar werk betaalt aan federale werknemers [Pogo 13.9.11].

Booz Allen Hamilton (het bedrijf waar Edward Snowden voor werkte) heeft in feite slechts een cliënt: de overheid. In 2013 kreeg BAH 98% van haar $5,9 miljard aan inkomsten via contracten met de Amerikaanse overheid. In deze innige zakelijk relatie ligt het risico van informatiemisbruik opgesloten. De nep-privatisering van het inlichtingenapparaat is niet alleen kosten-ineffectief, maar reduceert ook de transparantie. Het is moeilijk te achterhalen wat die aannemers precies doen en wat zij voor hun werk in rekening brengen. Laat staan dat we weten waarom zij überhaupt dat werk zouden moeten doen.

De kongsi van particuliere beveiligingsbedrijven en overheid manifesteert zich in de sterke personele vervlechtingen: veel oud-medewerkers van de NSA werken voor BAH en omgekeerd. Dit fenomeen werd door de journalist Glenn Greenwald omschreven als het draaideursyndroom. Mike McConnell was in de jaren negentig hoofd van de NSA, stapte daarna over naar BAH, werd in 2007 door president George W. Bush benoemd als Director of National Intelligence (DNI), en is inmiddels weer terug bij BAH als vice-president. Zijn opvolger als DNI, James R. Clapper, is ook afkomstig van BAH.

Door de uitbesteding van inlichtingentaken aan commerciële bedrijven wordt een explosieve tegenstelling ingebakken in het veiligheidsbeleid van de Amerikaanse overheid. De primaire oriëntatie van commerciële veiligheidsbedrijven is immers niet om de nationale veiligheid op een democratische wijze te waarborgen, maar om de aandeelhouders tevreden te stellen.

Index GCHQ — J. Bond in cyberspace

Geen schoothondje
Inlichtingendiensten die buiten democratisch te legitimeren grenzen opereren, zijn geen typisch Amerikaanse probleem. Ook de Britten brengen een gevaarlijke hond in het spel. Volgens klokkenluider Edward Snowden is de Britse inlichtingendienst CHCQ zelfs “worse than the US” [Guardian, 21.6.13].

Het Government Communications Headquarters (GCHQ) is een van de drie Engelse inlichtingendiensten (naast MI5 en MI6). Haar kerntaak is het verzamelen van inlichtingen op basis van onderschepte communicaties. Bij de uitvoering van haar inlichtingenoperaties maakt zij zeer intensief gebruik van moderne technologie. GCHQ heeft heimelijk toegang tot het kabelnetwerk waarover telefoon- en internetverkeer verloopt. Er worden zeer grote hoeveelheden gevoelige persoonlijke informatie verzameld, die gedeeld worden met haar Amerikaanse partner NSA.

De ambitie van de GCHQ weerspiegeld zich in haar twee principiële componenten: Mastering the Internet en Global Telecoms Exploitation. Beide onderdelen zijn gericht op besnuffelen van zoveel mogelijk online en telefonisch verkeer. Functionarissen van de GCHQ claimen dat zij nog veel grotere hoeveelheden metadata verzamelen en verwerken dan de NSA. CCHQ heeft de capaciteit om dagelijks meer dan 21 pentabytes data te verzamelen. Dat is vergelijkbaar met het 192 keer per dag verzenden van alle informatie in alle boeken van de British Library. De hoeveelheid persoonsgegevens die de GCHQ van internet en mobiel verkeer verzamelt is de laaste vijf jaar met 7.000% toegenomen. De GCHQ is er trots op dat zij in staat is om “op elk tijdtip, elke telefoon waar dan ook te exploiteren” [Guardian 1.8.13]. In 2012 werden elke dag 600 miljoen telephone events afgeluisterd en tapte de GCHQ meer dan 200 glasvezelkabels af. Zij is in staat om van minstens 46 van die kabels tegelijkertijd de gegevens te verwerken.

Index


Tempora: geen kabel is meer veilig
Chirurgisch?
In 2010 verklaarde de directeur van GCHQ, Iain Lobban, zeer nadrukkelijk dat zijn inlichtingendienst niet bezig was om een grote databank op te bouwen voor de opslag van alle communicaties. Zo’n gigantische databank zou volgens hem ‘onmogelijk’ zijn. De eigen aanpak wordt omschreven als ‘chirurgisch’: “We’re looking for that tiny, tiny proportion of communications out globally which is of interest to us” [BBC, 1.2.2010].
Een centrale rol in de informatieverzameling van GCHQ vervult Tempora. De twee principiële componenten van Tempora worden «Mastering the Internet» en «Global Telecoms Exploitation» genoemd [Guardian 21.6.13]. Het is een clandestien elektronisch bewakingssysteem dat in 2008 werd getest en sinds 2011 wordt gebruikt. Met dit programma krijgt de inlichtingendienst toegang tot de glasvezelkabels waarlangs telefoongesprekken en internetverkeer verloopt. Het zenuwstelsel van cyberspace wordt direct afgetapt. Alle communicaties —telefoongesprekken, inhoud van e-mails, berichten op Facebook en de geschiedenis van het bezoek van websites van alle internetgebruikers— worden dertig dagen opgeslagen. Niet alleen verdachte personen worden in het vizier genomen, ook de gedragingen van volslagen onschuldige mensen worden vastgelegd.

Dit vond allemaal plaats zonder enige vorm van publieke verantwoording of publiek debat. Het Tempora-spionageprogramma van de GCHQ is zo geheim, dat zelfs de nationale veiligheidsraad (NSC) er geen weet van had. Volgens de vroegere Minister van Energie Chris Huhne was het kabinet niet over Tempora ingelicht:

Dit gebrek aan informatie, en dus ook aan verantwoording, is volgens Huhne een waarschuwing dat het toezicht op de inlichtingendiensten even grondig moet worden geupdatet als hun afluistertechnieken. In een democratische rechtstaat is de overheid niet gerechtigd om alle te zien en te onthouden wat particuliere burgers communiceren. Daarom is het bijzonder verontrustend dat ministers en misschien zelfs de premier geen weet hebben van de schaal of aard van surveillancemethodes van de inlichtingen- en veiligheidsdiensten van het land dat zij besturen.

GCHQ is gevestigd in Cheltenham. De meeste van de 5.000 medewerkers zijn sinds 2004 gehuisvest in een iconisch circulair gevormd gebouw dat vaak wordt aangeduid als de doughnut. Het high-tech kantoorcomplex wordt omringd door een twee meter hoge metalen muur met prikkeldraad en tientallen beveiligers en camera’s. Het complex is via ondergrondse wegen verbonden met de buitenwereld.

Een aantal bedrijven werd betaald voor de kosten van hun samenwerking met GCHQ en hun namen werden strikt geheim gehouden. Elke openbaarheid over deze gang van zaken zou een “high-level political fallout” tot gevolg hebben. De betreffende internetbedrijven mogen geen melding maken van het feit dat door GCHQ gedwongen worden om toegang te verlenen tot de kabels. Als zij zouden weigeren deze toegang te verlenen, dan zouden zij hiertoe worden gedwongen [Guardian, 21.6.13].

Het scenario is inmiddels bekend: verzamel zoveel mogelijk data, hanteer intelligente methoden om een klein aantal (criminele, terroristische of nationale veiligheidbedreigende) naalden in deze hele hooiberg te identificeren, en ga dit vervolgens interpreteren. In de Regulation of Investigatory Powers Act (Ripa) van 2000 moest het afluisteren van gerichte doelwitten worden goedgekeurd door een bevel dat is getekend door het Ministerie van Binnen- of Buitenlandse Zaken.

De criteria die gebruikt worden om de verzamelde data te selecteren zijn gericht op fraude, drugshandel en terrorisme. Die criteria zijn geheim en geen onderdeel van publiek debat. En de onderzoeksresultaten zijn eveneens geheim.

Zij stellen inlichtingendiensten echter wel in staat om nieuwe technieken te ontdekken die door terroristen worden gebruikt om aanslagen te plegen, om netwerken van kinderexploitatie op te rollen en om nationale infrastructuren te verdedigen ten opzichte van buitenlandse cyberinterventies.

Om de enorme hoeveelheid materiaal te filteren wordt gebruik gemaakt van geavanceerde computerprogramma’s: Massive Volume Reduction (MVR). Het eerste filter verwijdert direct high volume & low-value verkeer. Hierdoor wordt het volume met ongeveer 30% gereduceerd. Met speciale selectors — zoektermen zoals personen, telefoonnummers, email adressen etc. — worden informatiepakketten samengesteld.

GCHQ ontvangt jaarlijks miljoenen ponden van de NSA, in ruil waarvoor de NSA toegang krijgt tot programma’s zoals Tempora. Sinds 2010 werkt het GCHQ ook mee aan een geheim programma om de militairen van nieuwe cyberwapens te voorzien [Guardian, 2.8.2013]. In ieder geval sinds juni 2010 heeft de GCHQ toegang tot het Prism-systeem. In 2012 werden op basis hiervan 197 inlichtingenrapporten opgesteld [Guardian, 7.6.13].

Cyberwapens & Afschrikking
Ook in Engeland wordt gebouwd aan een arsenaal defensieve en offensieve cyberwapens. Er worden honderden computerexperts als reservisten gerekruteerd. Zij worden getraind met hulp van de Joint Cyber Unit van de GCHQ in Cheltenham. Minister van Defensie Philip Hammond verklaarde: “Simply building cyber defences is not enough: as in other domains of warfare, we also have to deter. Britain will build a dedicated capability to counterattack in cyberspace and if necessary to strike in cyber space” [Guardian 30.9.13]. Het idee dat er een afschrikkingseffect zou uitgaan van het bouwen van offensieve cyberwapens is nogal naïef. In Zij dragen veeleer bij tot escalatie van de strijd in cyberspace. De reden is simpel: in cyberspace moet een doelwit eerst gepenetreerd worden voordat het kan worden aangevallen. Het clandestien inbrengen van aanvalscode in buitenlandse computer-en communicatiesystemen is een (voorbereidingshandeling) voor een first strike en niet van afschrikking. In Oorlog in Cyberspace wordt dit uitvoerig onderbouwd.

Index


G-20: politici begluren
In 2009 bespioneerde de GCHQ in opdracht van de Britse regering de buitenlandse politici die deelnamen aan twee G-20 bijeenkomsten in Londen. Hun computers en hun telefoons werden afgeluisterd. Sommige gedelegeerden werden naar internetcafés gelokt die door de Britse inlichtingendiensten waren opgezet om hun e-mails te lezen. Deze internetcafés maakten gebruik van een e-mail onderscheppingsprogramma en van software voor de registratie van toetsaanslagen. Ook werd de beveiliging van Blackberrys —die destijds nog als zeer veilig golden— gekraakt om telefoongesprekken en emails van gedelegeerden af te luisteren [Guardian, 17.6.13; Volkskrant, 17.6.13].

Voor betrokkenen was het een flagrante schending van hun vrijheidsrechten en vorm van ongewenste intimiteit van een staat. Voor Ko Colijn was het “niet netjes, maar ook niet nieuw” [Volkskrant 18.6.13]: “iedereen is een illusie armer, en de naakte waarheid doet pijn” [Vrij Nederland 9.11.13].

Er wordt getwist over de vraag wat die naakte waarheid precies is. Is het de waarheid van het machtsmisbruik door de geheime diensten, of gaat het veel verder? Is de VS zelf de voornaamste schurkenstaat geworden, zoals Samuel P. Huntington (politiek analist) en Robert Jervis (voorzitter van de American Political Science Association) en Noam Chomsky (activistisch filosoof) beweren?

 
Ik weet waar je slaapt en met wie en wat er op je hotelkamer met wie en hoelang besproken wordt.
Koninklijke portier?
Politici, regeringsleiders en diplomaten kunnen rekenen op een zeer warme belangstelling van de GCHQ. Niet alleen hun telefoon- en internetverkeer wordt afgeluisterd, maar ook hun reis- en verblijfsgedrag wordt zorgvuldig in kaart gebracht. Een van de technieken die hiervoor door de GCHQ wordt gebruikt is het gerichte toezicht op de reserveringssystemen van meer dan 350 luxe hotels die vaak door diplomaten en regeringsdelegaties worden gebruikt. Dit uiterste geheim programma is voorzien van de codenaam Royal Concierge [Der Spiegel 17.11.13].


Het logo van het geheime programma
«Royal Conceirge» toont een pinguin met
een kroon.
Het programma vergelijkt de boekingen automatisch met e-mailadressen en doorzoekt deze naar bekende adressen van staatsleiders en diplomaten. Omdat de Britse geheime dienst op deze manier van te voren wist welke doelwitten op welk moment in welk hotel logeerden, waren haar technische afdelingen in staat om de daarbij horende voorbereidingen te treffen: het aftappen van de kamertelefoon en van de computers die daar standaard of mobiel worden ingelogd. Eventueel werd ook besloten tot het inzetten van menselijke spionnen — in moderne spionnentaal heet dat Humint (‘Human Intelligence’).

Index


Belgacom — Operation Socialist
De CGHQ had minstens sinds 2010 toegang tot de gegevens van de grootste Belgische telecommunicatieprovider Belgacom. Onder de codenaam Operation Socialist werd clandestien toegang verworven tot de servers van Belgacom. Zo kon grootschalig het via Belgacom verlopende telefoonverkeer worden onderschept, afgeluisterd en gemanipuleerd [Der Spiegel 20.9.13]. Uit een intern onderzoek bleek dat er inderdaad een aanval had plaatsgevonden. Op enkele tientallen computers werd een onbekend virus aangetroffen, dat later geïdentificeerd zou worden als het Regin-virus [Symantec, 23.11.14; The Intercept, 24.11.14].

De aanval op Belgacom verliep via meerdere personeelsleden. Daarbij werd gebruik gemaakt van een zeer geavanceerde aanvalstechnologie die in de slides van de GCHQ wordt omschreven als een ‘Quantum Insert’ (QI). Het is een methode waarmee de doelwitten tijdens het surfen op het internet zonder dat zij het weten naar websites worden omgeleid, die ongemerkt de malafide software in hun computers sluist, waardoor vervolgens die computers op afstand gemanipuleerd kunnen worden (hierbij werd o.a. gebruik gemaakt van valse LinkedIn-pagina’s). Deze infiltratie richtte zich vooral op medewerkers die toegang hadden tot de vitale onderdelen van de infrastructuur van Belgacom. Op die manier kreeg de GCHQ toegang tot de centrale roaming-router van de Belgen. Het hoofd van het Network Analysis Centre (NAC) van de GCHQ omschreef Opperation Socialist in de presentatie als een succes.


Een slide van een ‘top secret’ prestatie van de GCHQ die door Der Spiegel werd gepubliceerd, waarin de werking van Operation Socialist wordt uitgelegd. Ook deze powerpoint presentatie werd bekend gemaakt door Edward Snowden. De afkorting ‘CNE’ staat voor Computer Network Exploitation, d.w.z. het bespioneren van computersystemen. GRX routers maken roaming (rondzwerven) tussen verschillende mobiele telefoonnetwerken mogelijk. MiTM is een afkorting van ‘Man in the Middle attacks’. De werking van een aanval op GRX-routers wordt uitgelegd door Philippe Langlois.

Zo’n aanval kan alleen maar worden uitgevoerd door een organisatie die over geavanceerde logistieke capaciteiten en substantiële financiële bronnen beschikt. De complexiteit van de gehanteerde technieken wees al snel in de richting van een spionage-operatie die door een buitenlandse staat werd georganiseerd. In juni 2013 werd het alarm geluid over de anomalieën in de netwerken van Belgacom. Hoewel de hackers gebruik maakten van goed afgeschermde dataverbindingen waren de ip-adressen toch naar het Verenigd Koninkrijk te traceren. Daarbij viel op dat er opmerkelijk minder aftapactiviteit was tijdens Britse lunchtijden.

Man in de Middle
Het doel van de hele operatie was om GCHQ in staat te stellen om een ’Man in de Middle’-aanval uit te voeren op gebruikers van smartphones. Daarbij wordt de communicatie tussen twee partijen onderschept, gelezen en desgewenst veranderd zonder dan een van die partijen dat door heeft [Der Spiegel 20.9.13].
De hackers waren vooral geïnteresseerd in BICS (Belgacom International Carrier Services). Dit dochterbedrijf van Belgacom regelt wereldwijd het telefoonverkeer en is toegespitst op telefonie in het Midden-Oosten (inclusief problematische locaties zoals Jemen en Syrië) en Afrika [De Standaard, 17.9.13; Der Spiegel, 16.9.13]. BICS is een joint venture tussen Belgacom, Swisscom en het Zuid-Afrikaanse MTN. Het behoort tot een groep bedrijven die het beheer voert over de onderzeekabels die de VS, Groot-Brittannië, Europa, Noord-Afrika, het Midden-Oosten en Singapore verbind met de rest van de wereld: TAT-14, SEA-ME-WE3 en SEA-ME-WE4.

Tot de grote klanten van Belgacom behoren instellingen als de Europese Commissie, de Raad van Lidstaten en het Europarlement. Daarnaast zouden ook de NAVO en betalingsverwerker Swift zijn afgeluisterd. De Belgische premier Di Rupo toonde zich zeer verontrust over deze “aanslag op de integriteit van een overheidsbedrijf”.

In België werd een strafrechtelijke onderzoek ingesteld naar de Belgacom-affaire en het Burgerrechten Comité van het Europees parlement organiseerde een hearing (waar het hoofd van de GCHQ, Sir Iain Lobban, weigerde te verschijnen).

Drie burgerrechtenorganisaties —Big Brother Watch, Open Rights Group en English PEN—dienden samen met de Duitse internetactiviste Constanze Kurz bij het Europees Hof voor de Rechten van de Mens een klacht in tegen de GCHQ wegens schending van de privacy van miljoenen Britten en Europeanen. Onder de titel Privacy not Prism werd een website opgezet om de juridische actie financieel te steunen [Guardian 3.10.13].

Index


Steun aan Europese bondgenoten
Uit de door Edward Snowden vrijgegeven documenten blijkt dat de GCHQ nauw samenwerkt met de Duitse, Franse, Spaanse en Zweedse inlichtingendiensten om grootschalig internet- en telefoonverkeer af te tappen. De sleepnetsurveillance wordt uitgevoerd door direct in de glasvezelkabels in te breken. De Britse inlichtingendienst gaf technisch assistentie bij het ontsluiten van de glasvezelkabels waarover de datastromen door Europa lopen. Bovendien adviseerde de GCHQ haar Europese zusterorganisatie over manieren waarop de nationale wetten omzeild kunnen worden die bedoeld zijn om de surveillancemacht van inlichtingendiensten te beperken [Guardian 1.11.13].

Ook de AIVD werd geadviseerd hoe ze op grote schaal internetverkeer over glasvezelkabels zou kunnen onderscheppen. Wettelijk is het in Nederland niet toegestaan om kabelgebonden data te verzamelen. De Britse inlichtingendienst is hiervan op de hoogte. “De Nederlanders hebben te maken met wettelijke beperkingen die ze moeten oplossen voordat ze kunnen werken zoals de GHCQ”. De GCHQ is ook bereid om de AIVD hiermee een handje te helpen. “Wij leveren advies aan Nederlandse juristen hoe wij deze juridische problemen hebben aangepakt”

Dan zeg ik «staatsgeheim» en zwijg
Sinds de onthullingen van Edward Snowden werd er druk gespeculeerd over de vraag of de Nederlandse inlichtingen- en veiligheidsdiensten ook bevriende landen afluisteren. Volgens generaal-majoor Pieter Cobelens, voormalig MIVD-directeur, is daar geen sprake van. “In ons land zou je daar eerst ministeriële toestemming voor moeten hebben. Die zal je in de Nederlandse context waarschijnlijk nooit krijgen voor bevriende landen.”

Het waarborgen van de veiligheid is volgens hem echter alleen mogelijk door ook burgers in de gaten te houden. “In Nederland zullen we moeten accepteren dat veiligheid voor de staat en dus ook voor het individu niet in evenwicht is te brengen met de wens om persoonlijke zaken geheim te houden” [Trouw, 6.7.13].

Staatsveiligheid is de schaamlap ter rechtvaardiging van het besnuffelen van alle burgers. Jammer maar helaas voor het recht op privacy. De bijnaam van de voormalige MIVD-baas was ‘Stalin van de Frederikkazerne’. Zij motto: “Wat nou, als de politiek mij op de korrel neemt… Dan zeg ik ‘staatsgeheim’ en zwijg!” [Telegraaf, 23.4.11; EO, 30.7.13].

In strijd met de richtlijnen van het ministerie van Defensie strooide hij op zijn eigen Hyves-pagina jarenlang kwistig met privégegevens. Nadat De Telegraaf hierover berichtte werd zijn Hyvespagina van het internet gehaald, maar hij bleef zelf tot 2011 zitten op zijn zetel van het MIVD-gebouw op de Haagse Frederikkazerne.

In het door The Guardian gepubliceerde rapport van de GCHQ wordt een tamelijk gedetailleerd overzicht gegeven van de capaciteiten van haar Europese partners in 2008. Van de Duitse Bundesnachtrichtendienst (BND) wordt gezegd dat het over een groot technologisch potentieel beschikt en dat het goede toegang heeft tot het hard van het internet. Men enige jaloezie wordt opgemerkt dat zij al in staat zijn om glasvezelkabels te monitoren die draaien op 40Gbps en 100Gbps. Britse inlichtingendiensten hebben de BND geholpen om de wetten te veranderen of omzeilen die een rem zette op het gebruik van hun geavanceerde surveillancetechnologie. De Duitse wetgeving op de interceptie was in de ogen van de GCHQ veel te restrictief.

Ook de Franse inlichtingendienst Direction Générale de la Sécurité Extérieure (DGSE) kreeg van de GCHQ een hoge waardering. Relatief voordeel van de DGSE is haar relatie met een niet met name genoemd telecommunicatiebedrijf. De DGSE zet zich in voor multidisciplinaire internetoperaties en werkt samen met de GCHQ en deelt haar informatie. Ondanks de verspreiding van commerciële online encryptie slaagden DGSE en GCHQ er samen in om hun massasurveillance te continueren. Zij detecteerden en ontsleutelden geëncrypteerde berichten die met hoge snelheden via glasvezelkabels worden verstuurd.

Voor de Spaanse inlichtingendienst Centro Nacional de Inteligencia (CNI) is de sleutel voor massale internetsurveillance geleden in hun connecties met een niet nader genoemd Brits telecombedrijf. Hierdoor was deze dienst in staat om een aantal verrassende resultaten te behalen.

Zeer verheugd was de GCHQ over het feit dat in 2008 in het Zweedse parlement een zwaar omstreden wet werd aangenomen die de Försvarets radioanstalt (FRA) het recht geeft om Tempora-achtige operaties op glasvezelkabels uit te voeren. Al het internet- en telefoonverkeer dat de Zweedse grens passeert mag worden onderschept op basis van goedgekeurde zoektermen. Volgens de Britse geheime dienst had zij zelf aan dit succes meegewerkt. De GCHQ stelde een testprogramma ter beschikking en verwachtte dat de FRA snel werk zou maken van de nieuwe wettelijke ruimte voor IP-exploitatie. De beide inlichtingendiensten organiseerden een gemeenschappelijke conferentie om de mogelijkheden voor massasurveillance in kaart te brengen die de wet bood.

Index Reacties op het NSA-programma
Latijns-Amerikaanse verontwaardiging
There is an awfull lot of spying in Brasil
Toen de Braziliaanse president Dilma Rousseff hoorde dat zij, haar naaste medewerkers en ook het staatsoliebedrijf Petrobas al jarenlang doelwit waren van de NSA, besloot zij direct om haar staatsbezoek aan de VS uit te stellen en schortte zij de aankoop van Amerikaanse militair materieel ter waarde van $4 miljard dollar op. Tevergeefs probeerde president Obama haar op andere gedachten te brengen. Ze eiste dat Obama in het openbaar excuses aan zou bieden. Dat gebeurde uiteraard niet.

Rousseff ging eind september 2013 wel naar de Algemene Vergadering van de Verenigde Naties. Daar haalde zij in haar toespraak hard uit tegen de spionagepraktijken van de NSA. Zij noemde het een “belediging” [Speech 24.9.13; NRC 24.9.13].


Dilma Rousseff spreekt de Algemene Vergadering van de Verenigde Naties toe.

President Obama moest het lijdzaam aanhoren. In de volle openbaarheid van de Algemene Vergadering stelde de president van een van de grootste nieuwe economieën dat de VS de soevereiniteit van andere landen schendt. De Amerikaanse regering lapt de staatssoevereiniteit (een van de basisprincipes van het VN-Handvest) aan haar laars.

Zonder privacy kan er geen echte vrijheid van meningsuiting meer bestaan. Daarom stelde Rousseff voor dat de VN de regulering van gedrag van landen op internet ter hand moet neemt. In oktober 2013 kondigde Dilma Rousseff aan dat zij samen met Angela Merkel een VN-resolutie tegen afluisteren zou indienen die de Universele Verklaring voor de Rechten van de Mens verder zou moeten uitbreiden [FAZ 27.10.13]. De kern van het voorstel is dat het verbod op “willekeurige of onwettige inmenging in privésferen of gezinsleven” wordt uitgebreid naar het internet. Op 26 november 2013 nam de mensenrechtencommissie van de Algemene Vergadering van de VN unaniem een ontwerpresolutie aan die het recht op privacy op internet beschermt en onwetmatige spionage bestrijd [NRC 26.11.13]. Gezien de wereldwijde consensus over deze ontwerpresolutie is de kans groot dat zij ook zal worden aangenomen tijdens de Algemene Vergadering in december 2013.

Apologize to the world
De voorganger van Rousseff als Braziliaanse president, Lula da Silva, eiste van Obama “persoonlijk excuses aan de wereld” In een interview met The Hindu [10.9.13] beschuldigde Lula beschuldigde de VS ervan “dat het globale communicaties denkt te kunnen controleren en de soevereiniteit van andere landen kan ontkennen.”
In eigen land wil de Braziliaanse regering bedrijven als Facebook en Google ertoe verplichten om in Brazilië verzamelde data binnen het land op te slaan. De vraag is of dit technisch mogelijk is. De gegevens van gebruikers staan meestal opgeslagen op veel verschillende servers. Onduidelijk is ook hoe de data van een Braziliaanse gebruiker binnen het land kan blijven als deze in contact staat met een buitenlander. Daarnaast wordt overwogen om een nationaal e-mail systeem te ontwikkelen dat Gmail, Hotmail en dergelijke kan vervangen.

Op 24 februari 2014 werd tijdens een topconferentie tussen de Europese Unie en Brazilië besloten om een directe zeekabel aan te leggen van Lissabon naar Fortaleza. Het dataverkeer van Brazilië naar Europa zou hierdoor niet meer uitsluitend langs Amerikaanse verbindingen hoeven te verlopen. Zo kan netneutraliteit worden gegarandeerd en kan het Braziliaanse internetverkeer beschermd worden tegen Amerikaanse afluisterpraktijken [Reuters, 24.2.14; Der Spiegel, 25.2.14].

Flat liquid: een lucratieve bron in Mexico
Uit de documenten die Edward Snowden via Der Spiegel lekte bleek dat ook het mobieltje en de computer van de Mexicaanse president Peña Nieto door de NSA werd afgeluisterd. Al in 2010 was de NSA er in geslaagd om de e-mail van de toenmalige president Filipe Calderón te kraken. De afdeling voor speciale operaties met de naam TAO (Tailored Access Operations) infiltreerde hiervoor in een centrale server van het netwerk van de Mexicaanse president. Het e-mail domein werd ook door andere leden van het kabinet gebruikt voor communicatie over diplomatieke, economische en beleidskwesties. De operatie kreeg de naam Flat liquid en de NSA noemde het zelf “een lucratieve bron” [Der Spiegel 21.10.13].

Al tijdens zijn verkiezingscampagne werd Enrique Peña Nieto en zijn omgeving door de NSA bespioneerd. Vanaf het voorjaar van 2012 werd minstens twee weken lang ook de mobiele communicatie van de president en zijn vertrouwelingen afgeluisterd. In die periode werden er 85.489 SMS’jes afgetapt. De Mexicaanse regering reageerde furieus en eiste een snel antwoord. “Deze praktijk is onacceptabel, illegitiem en schend de Mexicaanse wet en het internationaal recht”. Voor dergelijke activiteiten is geen plaats in een relatie tussen buren en partners. De Amerikaanse ambassadeur in Mexico, Anthony Wayne, werd tot twee keer toe op het matje geroepen om een verklaring te geven voor de spionageaffaire.

De reactie van de Mexicaanse regering was furieus voor de bühne, maar bleef toch relatief gedempt. Misschien omdat zij niet de aandacht wilde vestigen op de inlichtingen die Mexico en de VS al delen bij hun gemeenschappelijke inspanningen om de drugshandel te bestrijden. Inlichtingen zijn nu eenmaal net als ondergoed: het is belangrijk dat je ze hebt, maar je wordt niet geacht ze ook te laten zien.

Bolivia: misdaden tegen de menselijkheid?
In heel Latijns-Amerika ontstond heftige verontwaardiging over de spionagepraktijken van de NSA. Naast Brazilië en Mexico reageerden vooral Bolivia en Venezuela bitter op de spionage in hun landen door de NSA.

Evo Morales
Evo Morales
President Evo Morales van Bolivia beschuldigde de Amerikaanse inlichtingendienst van het hacken in de emailaccounts van Boliviaanse topfunctionarissen en van hemzelf. Hij speculeerde erop dat de Amerikaanse regering hoopte de informatie in de e-mails te kunnen gebruiken om een toekomstige invasie van zijn land te plannen [Business Insider, 14.7.13].

Morales nam een gespierd standpunt in: “I would like to announce that we are preparing a lawsuit against Barack Obama to condemn him for crimes against humanity.” Hij brandmerkte de Amerikaanse president als een “crimineel” die het internationale recht heeft geschonden [Huffington Post].

De heftigheid van zijn reactie vloeide mede voort uit het feit dat het vliegtuig waarin Morales in juni 2013 van Moskou naar Bolivia wilde reizen 13 uur in Oostenrijk aan de grond werd gehouden. Het Europese luchtruim werd voor hem gesloten omdat de Amerikaanse autoriteiten vermoedden dat zich in dat vliegtuig ook de voortvluchtige klokkenluider Edward Snowden bevond. Dat was niet het geval. Maar het incident toonde wel aan hoe ver de krachtige hand van de Amerikanen reikt. Volgens de Boliviaanse vice-president Álvaro Garcia Linera was Morales “gekidnapt door imperialisme” door een “daad van imperiale arrogantie“. Bij thuiskomst stond de gekidnapte president een heldenonthaal te wachten.

De Boliviaanse president bood Edward Snowden bij herhaling asiel aan, net als de regeringen van Venezuela en Nicaragua dat deden.

Een Latijns-Amerikaans internet?
De Zuid-Amerikaanse landen maken plannen om een exclusief internet netwerk op te zetten dat veilig is tegen spionage van Amerikaanse inlichtingendiensten. De 12 leden van de Union of South American Nations (UNASUR) willen gezamenlijk een digitaal communicatie platform bouwen dat uitsluitend ontworpen, beheerd en gebruikt worden door Unasur naties [Prokerala 8.11.13].
Index


India — nauwelijks nederig protest
Ook de Aziatische bondgenoot India werd afgeluisterd door de NSA. De NSA had ingebroken op de computers en telefoons van de Indiase ambassade in Washington, en die van de diplomatieke vertegenwoordiging van India bij de Verenigde Naties in New York. Volgens de Indiase krant The Hindu [25.9.13] had de NSA niet alleen toegang tot internetverkeer, e-mails, documenten en telefoongesprekken, maar ook tot kantoorgesprekken. Mogelijk zijn er zelfs volledige harde schijven gekopieerd [Guardian 25.9.13].

Volgens een door Edward Snowden beschikbaar gesteld geheim document maakte de NSA gebruik van vier verschillende soorten elektronische afluisterinstrumenten:

Bovendien werd gebruik gemaakt van Prism om de actuele inhoud van internet en telefoonnetwerken af te luisteren. Primair doelwit waren het nucleaire en het ruimteprogramma van India.

Om de eigen communicatieve infrastructuur te beveiligen wil de Indiase overheid wil het gebruik van privémail voor werkgerelateerde zaken door ambtenaren verbieden. Alle ambtenaren worden dan verplicht om voor officiële zaken gebruikt te maken van de e-maildienst van het Nationale Informatica Centrum (NIC). Voor het ambassadepersoneel worden aparte mailservers van het NIC geïnstalleerd in de ambassades die direct verbonden zijn aan een server in India [Computerworld 2.9.13].

De Indiase regering gaf zelfs niet het geringste teken van protest tegen de snuffelpraktijken van de Amerikanen. De minister van Buitenlandse Zaken Salman Khurshid verklaarde aanvankelijk zelfs dat er helemaal geen sprake van afluisteren: “It is not actually snooping.” Later liet hij aan de zijlijn van de Algemene Vergadering van de VN weten dat de ongeautoriseerde praktijk van illegale interceptie van communicatie en data een “serieuze schending van nationale soevereiniteit en individuele rechten” is die onverenigbaar is met “democratische co-existentie tussen bevriende landen” [The Hindu, 27.9.13]. Daarna kondigde hij aan dat hij samen met Brazilië en andere landen wil zoeken naar een geschikt systeem en architectuur om in cyberspace veiliger te maken, de privacy te beschermen, de vrijheid van meningsuiting en soevereiniteit van staten te garanderen [The Hindu 17.10.13].

Iedereen is onderworpen aan massasurveillance
Waarom zou de NSA de diplomatieke missies van India afluisteren terwijl beide landen vriendschappelijke betrekkingen hebben? Die vraag werd beantwoord door Glenn Greenwald die een groot aantal documenten van Edward Snowden publiceerde.
    “India is an increasingly important country in virtually every realm: economic, political, diplomatic and military. The U.S. goal is to subject virtually everyone to mass surveillance, but it is not surprising that India has become an important surveillance target. Ultimately, it’s a question of power: the more the U.S. knows about what other countries are doing — not just their governments but their companies and populations — the more power the U.S. has vis-à-vis that country” [The Hindu 23.9.13]

Index


Europese bondgenoten: het zal je vriend maar zijn
De Amerikaanse spionage in Europese landen is niet primair gericht op het stelen van technologische kennis, maar om na te gaan of Europese bedrijven geen oneerlijke praktijken gebruiken in hun concurrentie met Amerikaanse bedrijven en om te controleren of deze landen zich houden aan afspraken over internationale sancties en of ze onderdelen voor massavernietigingswapens verhandelen. Het is echter ook duidelijk dat de NSA weinig respect heeft voor de telecommunicatieve infrastructuur van soevereine landen. In Europa geldt dat in zeer sterke mate voor Duitsland [Die Zeit, 11.6.13].
Massabespionering van burgers over de hele wereld is in strijd met de grondbeginselen van een democratische rechtsstaat. De verontwaardiging over het afluisteren door de Amerikanen van EU-missies en ambassades in Europa was daarom groot. De meerderheid van de leden van het Europese parlement eiste op 3 juli 2013 dat de VS de waarheid zou vertellen over de spionage van de EU en haar burgers. Manfred Weber, Duits lid van de Europese Volkspartij, noemde de Amerikaanse handelwijze onaanvaardbaar: “Je bespioneert je vrienden niet, en je bespioneert geen massa’s burgers van bevriende staten” [Europarlement, 4.7.13]. De Duitse minister van justitie, Sabine Leutheusser-Schnarrenberger, noemde het een “Hollywood nachtmerrie”. Als de beschuldigingen correct zijn, dan zou dit een catastrofe zijn [BBC, 22.6.13].

Index


Merkel-Handy: Vertrouwensbreuk in alliantie
De Duitse premier Angela Merkel en haar ministers moesten uit de pers vernemen van de spionageprogramma’s van de Amerikaanse regering. Maar —zo onthulde Der Spiegel 20.7.13— de Duitse buitenlandse geheime dienst (BND) en de intern opererende Bundesamt für Vergassungsschutz (BfV) maken zelf gebruik van spionagesoftware van de NSA: XKeyscore. In de geheime documenten wordt de BND, die het programma al sinds 2007 gebruikte, zelfs als “de meest vruchtbare partner” in het verzamelen van inlichtingen getypeerd [Der Spiegel 20.7.13].


Obama: “LOL NSA”
De Duitse premier kwam pas echt in actie toen zij wederom uit Der Spiegel te horen kreeg dat zij jarenlang zelf een doelwit was van de Amerikaanse snuffelstaat en dat ook haar mobiele telefoon door de NSA werd afgeluisterd. Zij beklaagde zich direct bij president Obama. Zij kwalificeerde dergelijke afluisterpraktijken als volledig onacceptabel. Via haar woordvoerder liet zij weten dit als “een zwaarwegende vertrouwensbreuk” te beschouwen. Zij eiste opheldering over de totale omvang van de afluisterpraktijken in Duitsland en een antwoord op vragen die haar regering al maanden daarvoor had gesteld [Der Spiegel, 23.10.13].

Obama verzekerde Merkel dat de VS haar communicatie niet afluistert en ook niet zal afluisteren — maar liet nadrukkelijk in het midden of dit eerder wel het geval was. Hoge veiligheidsfunctionarissen spraken hem direct tegen: Obama zou wel degelijk op de hoogte zijn gesteld van het afluisteren van Angela Merkel.

Haar mobiele telefoon werd al sinds 2002 afgeluisterd (dus voordat zij bondskanselier werd). De toenmalige president George W. Bush zette het afluisterprogramma in werking en het werd in ieder geval voortgezet tot een paar weken voor Obama’s bezoek aan Berlijn in juni 2013. Een niet met name genoemde functionaris van de NSA verklaarde dat het afluisteren van Merkel onder president Obama niet alleen werd gecontinueerd, maar dat hij ook instemde met een intensivering van deze operatie. Obama zou dus minstens sinds 2010 weet hebben van het afluisteren van Merkel omdat hij hiervan persoonlijk op de hoogte zou zijn gesteld door Keith Alexander, de baas van de NSA. Alle van Merkel afgeluisterde informatie zou door de NSA direct aan het Witte Huis zijn doorgegeven. De Duitse overheidscommunicatie werd afgetapt vanuit de Amerikaanse ambassade in Berlijn. Dat gebeurde overigens ook door de GCHQ vanuit de Britse ambassade [Independent 5.11.13]. Beide ambassades liggen op een steenworp afstand van de Reichstag (waar het parlement zetelt) en het Bundeskanzleramt (waar Merkel kantoor houdt).

   

In een officiële verklaring van de NSA werd president Obama in bescherming genomen. Generaal Keith Alexander zou niet met Obama hebben gesproken over een inlichtingenoperatie waarbij de kanselier Merkel betrokken was.

Ondanks het schandaal over het Amerikaanse spionageprogramma is de Duitse inlichtingendienst BND van plan om zelf het internet strenger te bewaken. Er wordt 100 miljoen euro geïnvesteerd in technische apparatuur en het aantrekken van zo’n honderd nieuwe medewerkers. Met dit Technikaufwuchsprogramm wil de BND de controle over het internet nog verder opvoeren. De BND wil het internetverkeer gericht kunnen zeven verdachte communicaties. Op centrale knooppunten van het Duitse internet —zoals in Frankfurt— zou de BND als eigen ruimtes hebben om toegang tot internetverbindingen te hebben [Der Spiegel, 16.5.13].

Index


Frankrijk: succesverhaal van een genie
Wisselende attributies: Who Done It?
Het eerste bericht over de cyberaanval op het presidentiële netwerk verscheen op 12 juli in Paris Atlantico: “Exclu: les cyber-attaques sur l’Elysée en provenance de Turquie”. Er werd gesuggereerd dat de aanvallen waren uitgevoerd door Franse bondgenoten. De speculatie was dat Turkse hackers met mogelijke verbindingen met de Turkse inlichtingendienst verantwoordelijk zouden kunnen zijn.

Op 20 november 2012 publiceerde L’Express het artikel “NSA: les Américains étaient-ils à l’origine de l’espionnage de l’Elysée en 2012?” waarin de VS als schuldigen werden aangewezen.

In mei 2012 werd een cyberaanval gelanceerd op de computers van het het Elysée-paleis, de officiële residentie van de president van de Franse Republiek. In juli 2012 kwam deze aanval in de openbaarheid en in november van hetzelfde jaar suggereerde L’Express dat de Amerikaanse geheime dienst achter deze aanval zat. De NSA ontkende dit in alle toonaarden. Zij bood aan om twee eigen analisten naar Parijs te sturen om de Franse inlichtingendienst te assisteren bij het opsporen van de aanvallers. De Franse regering sloeg dit aanbod op het laatste moment af. Om te achterhalen wie er achter deze cyberaanval op het presidentiële netwerk zat, stuurde zij op 12 april 2013 twee topfunctionarissen van de Franse geheime dienst naar de NSA.

Uit de door Edward Snowden gelekte geheime documenten blijkt dat de NSA niet zelf bij deze cyberoperatie betrokken was. Ook haar zusterorganisaties —CIA, de Britse GCHQ en de Canadese CSEC— ontkenden elke betrokkenheid bij de cyberaanval op het Elysée. De NSA koos er bewust voor om de vraag niet voor te leggen aan de Israëlisch inlichtingendiensten (Mossad of ISNU): “France is not an approved target for joint discussion by Israël and the United States.” De NSA wilde het risico niet nemen dat uit haar onderzoek naar de cyberaanvallen op het Franse presidentiële netwerk zou blijken dat een bondgenoot van de VS verantwoordelijk is.

Toen medio 2013 bekend werd dat de NSA miljoenen telefoongesprekken van Franse burgers had afgetapt, belde Obama onmiddellijk president François Hollande op om de hele zaak te bagatelliseren — de journalisten van Le Monde zouden een volledig vertekend beeld hebben gegeven van de Amerikaanse spionageactiviteiten.

Volgens Le Monde had de NSA tussen 10 december 2012 en 8 januari 2013 in enkele dagen 70,3 miljoen telefoongegevens verzameld. Van bepaalde telefoonnummers werden de gesprekken automatisch vastgelegd. Het surveillancesysteem inspecteerde ook SMS-berichten met trefwoorden op hun inhoud. Tenslotte werd ook de geschiedenis van de verbindingen van elk doelwit in metadata opgeslagen.

De NSA had bijzondere belangstelling voor het computernetwerk van Franse diplomaten. Via een virtueel privaat-netwerk (VPN) was het Ministerie van Buitenlandse zaken verbonden aan alle ambassades en consulaten in de wereld. De inbraak op dit netwerk werd in een document van de NSA als bijzonder succesvol omschreven (Succes Story).

De Franse ambassadeur in Washington en de Franse delegatie bij de VN werden afgeluisterd [Der Spiegel 2.9.13]. Hiervoor gebruikte de NSA een speciaal programma met de naam “Genie”. Voor dit programma werd alleen al in 2011 rond de 652 miljoen dollar geïnvesteerd [BBC 22.10.13].

De Franse regering was geshockeerd en veroordeelde deze praktijken als volkomen onacceptabel. En ook hier werd de Amerikaanse ambassadeur op het matje van de Minister van Buitenlandse zaken geroepen om zich te verantwoorden over

Five Eyes, Lustre en de rest
De Franse inlichtingendienst werkt nauw samen met inlichtingendiensten van de VS als onderdeel van een samenwerkingsverdrag met de codenaam Lustre. Frankrijk voorziet de NSA systematisch van informatie als onderdeel van een verbond tussen geheime diensten. Dat concludeerde de Süddeutsche Zeitung [26.10.13] op basis van documenten van Snowden.

De Lustre-verdrag is gesloten met het Five Eyes-verbond, het samenwerkingsorgaan van de geheime diensten van de VS, Groot-Brittannië, Australië en Canada. Naast Nederland, horen ook Frankrijk, Denemarken en Noorwegen tot het dit (il)Lustre geheime genootschap. Het staat bekend als de Nine Eyes. Duitsland is een niveau lager ingeschakeld: zij behoort samen met België, Italië en Zweden bij de Fourteen Eyes. De Duitse regering gebruikte de controverse over de spionagepraktijken van de NSA als hefboom voor een opwaardering tot het niveau van de Five Eyes [Guardian 2.11.13].

De ironie is dat de Franse president Hollande de spionage-aanval van de NSA, terwijl zijn eigen geheime dienst met de Five Eyes samenwerkt. Op die ironie haakten James Clapper (hoofd van US Intelligence) en Keith Alexander (NSA) behendig in: de inlichtingendiensten van Frankrijk en ook van Spanje zouden zelf op grote schaal telefoongesprekken van landgenoten hebben onderschept en die vervolgens aan de NSA hebben doorgespeeld. Die data zouden buiten de landsgrenzen van Frankrijk zijn onderschept [WSJ 29.10.13; BBC 29.19.13].

Index


Spanje — Tentáculos digitales
Ook in Spanje heeft de NSA haar surveillerende tentakels uitgeslagen. Alleen al in december 2012 verzamelde de NSA gegevens over 60 miljoen in Spanje gevoerde telefoongesprekken [El Mundo 28.10.13]. Daarbij werd niet de inhoud van alle gesprekken opgeslagen, maar wel de metadata: het serienummer van de telefoon, de plaats waar het telefoonnummer gebruik maakt van de SIM-kaart, het tijdstip en de duur van het gesprek. Daarnaast werden ook persoonlijke gegevens verzameld via de internetbrowser, e-mail en sociale netwerken zoals Facebook en Twitter.

In Spanje is het strafrechtelijk verboden om dergelijke gegevens af te tappen en op te slaan. Artikel 197 van de Código Penal beschermt persoonsgegevens die via elektronische communicatienetwerken worden verstuurd. Wettelijk gezien zou de NSA een misdrijf hebben begaan waarop een zware straf staat.

Uit de documenten die door Edward Snowden aan El Mundo werden doorgespeeld bleek hoe het programma Boundless Informant werkt. Er wordt gebruik gemaakt van software waarmee automatisch grote hoeveelheden informatie worden samengevat en begrijpelijk gemaakt. Zonder tussenkomst van een operator ontwikkelt het programma automatisch grafieken die door mensen snel geïnterpreteerd kunnen worden. Het is een hoogontwikkelde vorm van SIGINT (Signals Intelligence = elektronisch afluisteren).

De Spaanse Minister van Buitenlandse Zaken, José Manuel Garcia-Margallo maakte zich grote zorgen om deze onaanvaardbare spionagepraktijk. Het zou een vertrouwensbreuk betekenen tussen Spanje en de VS. De Amerikaanse ambassadeur James Costos werd door premier Mariano Rajoy op het matje geroepen om zich te verantwoorden. Volgens de ambassadeur waren de afluisterpraktijken in Spanje onderdeel van nationale veiligheidsprogramma’s die een cruciale rol spelen in de bescherming van Amerikaanse burgers en zouden daarmee ook de belangen van haar bondgenoten worden beschermd. “Uiteindelijk moet de VS de belangrijke rol die deze programma’s spelen in de bescherming van onze nationale veiligheid en de bescherming van de veiligheid van onze bondgenoten in balans brengen met legitieme privacy-overwegingen” [Guardian 28.10.13].

De Spaanse openbare aanklager, Eduardo Torres-Dulce, kondigde aan dat hij een vooronderzoek zou instellen naar de afluisterpraktijken van de NSA om te bepalen of er vervolging moet worden ingesteld [Guardian 29.10.13].

Index


Italië: una priova omnipotente
Het tijdschrift L’Espresso onthulde documenten van Edward Snowden waaruit bleek dat ook de Italiaanse regering door de Britse geheime dienst is bespioneerd en dat deze informatie met de NSA is gedeeld. De krantenkoppen lagen voor de hand: “NSA, una piovra onnipotente” — een almachtige octopus [L’Espresso 3.7.13].

De meeste informatie werd door de Britse GCHQ verzameld met het Tempora-programma [L’Espresso 5.11.13]. De Britten tapten de onderzeekabels af op het landingspunt Sicilië. Voor alle verbindingen tussen het Oosten en het Westen, tussen Europa, Afrika, het Midden-Oosten en Azië vervult het eiland een brugfunctie. Er lopen 19 zeekabels met landingspunten op het Italiaanse eiland. Er worden minstens twee Italiaanse knooppunten afgeluisterd: SeaMeWe-3 (met landingsplek in Mazara del Vallo) en SeaMeWe-4 (met landingsplek in Palermo). De glasvezelkabels komen aan op een landingsstations en gaan dan over land naar datacentra, waar zij met andere kabelnetwerken worden verbonden. De kabels worden daar binnen de datacentra gekopieerd met behulp van een passieve optische splitser. Via een aparte glasvezelkabel wordt de onderschepte communicatie vervolgens naar een inlichtingensite getransporteerd. «Mastering the Internet» begint bij de overmeestering van glasvezelkabels.

Tempora maakt het niet alleen mogelijk om in- en uitgaande communicaties in Italië af te tappen. Het is ook mogelijk om in deze glasvezelkabels te slippen en de interne datastromen van het land af te luisteren, e-mails te kopiëren en te registreren welke websites door wie worden bezocht [L’Espresso 29.10.13].

Cyprus — the island of spies
Cyprus is een eiland van 2340 km lang in het oosten van de Middellandse Zee (105 km voor de kust van Syrië en ca. 70 ten zuiden van Turkije). Met een half miljoen inwoners is de Republiek Cyprus een dreumes in de wereldpolitiek. Maar toch speelt het een cruciale rol in het Amerikaans-Britse spionagesysteem.

In de jaren ’40 werd Cyprus voor de Britse inlichtingendienst het belangrijkste locatie voor signals intelligence in het Midden-Oosten. De Britten werden gedwongen om grote radioafluisterstations in Sarafand, Palestina en Heliopolis te sluiten. In 1947 werden deze verplaatst naar de Ayios Nikolaos basis op Cyprus. In 1950 werden ook de afluisterstations in Ceylon en Habbaniya (Irak) gesloten en eveneens naar Cyprus verplaatst. Cyprus werd het belangrijkste centrum voor Anglo-Amerikaanse spionage in het Midden-Oosten en omringende regio’s. Het werd ook de locatie van het eerste Amerikaans-Britse systeem van massasurveillance, Echelon. Het gebeurde met grote satellietschotels (naast de gebouwen van Ayios Nikolaos) toen het meeste telecommnicatieverkeer via satellieten verliep [L’Espresso 4.11.13].

In een van de documenten die Edward Snowden lekte is sprake van een buitenlands internetsurveillance locatie van de GCHQ met de codenaam Sounder. Dat bleek het afluisterstation Ayios Nikolaos op Cyprus te zijn. De kaart met onderzeekabels laat zien dat Cyprus een cruciaal knooppunt is voor talloze onderzeese glasvezelkabels. Het is een zeer geschikte locatie om de communicatie in het Oostelijke Middellandse Zeegebied (Turkije, Griekenland, Italië) en Midden-Oosten (Israël, Libanon, Eypte) af te luisteren. Vanaf Cyprus zijn 14 strategische kabels toegankelijk, waaronder de belangrijke SeaMeWe3 kabel die Zuid-Oost Azië, het Midden-Oosten en West-Europa verbindt [L’Espresso 5.11.13].

De NSA heeft groot belang bij de surveillancecapaciteiten van de GCHQ. In 2010 doneerde zij £39,9 miljoen die voornamelijk werken gebruikt voor het Mastering the Interne-project van de GCHQ en naar haar interceptielocatie voor onderzeekabels in Bude (TAT-14; Submarine Cable List). In het daarop volgende jaar betaalde de NSA de helft van een afluisterpost in Cyprus, waar ook Amerikaanse inlichtingenofficieren zijn gelegerd [Guardian 1.8.13].

Index


Eurotop: woorden zonder daden
Eurocommissaris Neelie Kroes beschouwde het nieuws over de Amerikaanse afluisterpraktijken als een “big wake up call” — “Wie zoiets eerst nog ontkende is nu echt wel wakker geschud” [Techcrunch 14.6.13]. De EU moest nu echt helder en transparant zijn over dataprotectie: “We moeten niet afhankelijk willen zijn van de VS of China.” Zij zag het als een uitgelezen kans voor Europa om een voortrekkersrol te spelen en speciale —op maat gesneden— regels in cyberspace door te voeren. Moedige woorden: “In Europa moeten wij ons werk doen en dat betekent dat we onze eigen mensen moeten beschermen, hoe sneller hoe beter.” Er werd gewacht op effectieve daden.

AntispionageVerdrag?
Bondskanselier Merkel stelde voor om ook in de EU een “No-Spy”-verdrag te sluiten. Zij wilde niet alleen een overeenkomst met de VS over de samenwerking van de geheime diensten, maar drong ook aan op een vergelijkbare overeenkomst in de EU. De lidstaten van de EU zouden daarin regels moeten vastleggen over de wederzijds omgang met elkaar. Zij hield vast aan haar voorstel, maar kreeg hiervoor geen steun van de andere regeringsleiders.
Die daden leken er te komen toen de Europese regeringsleiders op 24 oktober 2013 in Brussel. De spionageactiviteiten van de Amerikaanse inlichtingendienst werden verbaal wel afgekeurd, maar er volgde geen officieel protest. Er werden ook geen straf- of beschermingsmaatregelen voorgesteld. Integendeel, onder druk van bondskanselier Merkel en de Britse premier Cameron werd de aanscherping van de Europese privacybescherming zelfs uitgesteld tot 2015. De Europese Commissie had voorgesteld om internetbedrijven te verbieden zonder toestemming van de rechter gegevens van hun Europese klanten aan af te staan aan buitenlandse opsporings- en inlichtingendiensten. Maar Merkel en Cameron blokkeerden dit voorstel.

Europese Commissie wil tempo
De Europese Commissie hield vast aan de stelling dat er snel scherpere privacyregels moeten worden ingevoerd [EurActiv 28. 10.13]. Ondanks de sterke oppositie van de Britse regering wil zij de data protection regulation (DPR) in het voorjaar van 2014 invoeren. Voor de stabiliteit en groei van de digitale Europese markt is dit van essentieel belang. Om de privacyregels kracht van wet te geven moeten ze worden goedgekeurd door de Europese Commissie, het Europees Parlement en een bijeenkomst van Europese ministers.

De Amerikaanse overheid en Amerikaanse bedrijven zijn fel gekant tegen de nieuwe regels. De verzoeken van de NSA zouden de bedrijven meer geld gaan kosten. Bovendien bevatten de nieuwe privacyregels strenge boetebepalingen voor internetbedrijven die de privacyregels schenden. Als Yahoo!, Facebook, Google, Microsoft of Apple zich niet aan die regels houden dan kunnen zij tegen boetes aanlopen tot 100 miljoen euro of 5 procent van hun omzet.

De grondige aanpassing van de privacyregels uit 1995 —toen het internet nog in de kinderschoenen stond— bevat ook bepalingen die het recht op uitwissing moeten garanderen. Europese burgers krijgen dan het recht om persoonlijke informatie te laten verwijderen als daar om gevraagd wordt.

De zwakte van het voorstel is dat de voorwaarden voor het verzamelen van gegevens zonder toestemming van de gebruiker nogal ruim zijn geformuleerd. Internetbedrijven mogen onder de nieuwe regels nog steeds privégegevens gebruiken als ze dat pseudonymiseren, ook al zijn die gegevens nog steeds naar een specifiek persoon herleid.

Bovendien wordt het volgen en profileren van gebruikers niet gezien als een significante inbreuk op hun recht. Ot van Daalen, directeur van Bits of Freedom, noemde dat “onbegrijpelijk in een tijd waarin data wordt gelekt, doorverkocht en opgevraagd door buitenlandse afluisterdiensten.”

Persoonsgegevens zijn goud waard voor ondernemingen om mensen mee te traceren en profileren waardoor zij meer gerichte aanbiedingen kunnen doen. Die ondernemingen zullen zich tot het uiterste verzetten om hun winstbronnen te beschermen. Zij hebben een klein leger van lobbyisten ingehuurd die naar Brussel zijn gegaan om de europarlementariërs tot andere gedachten te brengen en de voorstelde privacyregels nog verder af te zwakken.

Het is niet zo vreemd dat de Europese bondgenoten verbaast waren over de omvang en de grondigheid van het Amerikaanse snuffelnetwerk. Maar het is wel curieus dat Europese landen geen idee hadden dat ze werden bespioneerd door hun grote bondgenoot de Verenigde Staten. De voormalig directeur van de CIA, James Woolsey gaf onomwonden toe dat de VS hun bondgenoten nauwkeurig in de gaten houden: “Ja, mijn Europese vrienden, we hebben jullie bespioneerd. Het is waar dat we computers gebruiken om met sleutelwoorden gegevens door te pluizen” [Volkskrant, 2.7.13]. De Europarlementariërs hadden het kunnen weten — Woolsey had dit al 13 jaar eerder verklaard, na onthullingen over het afluistersysteem Echelon.

Index Prism_NL

Wie besnuffelt wie?
De Nederlandse regering wordt al jarenlang stelselmatig afgeluisterd. Dat was in 2009 de boodschap van de voormalige NSA-agent Matthew Aid. Volgens hem begon het al in 1944 en hij twijfelde er geen seconde aan dat die afluisterpraktijken nog steeds doorgaan. “Ik ga naakt op straat staan als het anders is. Daar is de NSA voor. Het zou pas schokkend zijn als ze het niet deden” [NRC 5.9.09; Aid 2010]. Hij kan zijn kleren aanhouden.

sinds ....
Minister Plasterk van Binnenlandse zaken verklaarde dat hij geen enkele reden had om aan te nemen dat Nederland een doelwist zou zijn van de afluistermania van de NSA. “Nederland is geen target” [NRC 30.10.13]. Op 23 november 2013 publiceerde de NRC een door Edward Snowden beschikbaar gesteld geheim document van de NSA waaruit bleek dat Nederland vanaf 31 december 1946 door de Amerikanen is afgeluisterd. Dat gebeurde ook bij andere bevriende naties zoals Duitsland, Frankrijk, België, Noorwegen en Zweden.

Het document dat Snowden onthulde bevat een inventarisatie van het NSA-archief vanaf 1949 tot 1968. Volgens Matthew Aid liepen deze afluisterpraktijken echter ver door tot ver in de jaren 90. Waarschijnlijk lopen zij door tot op de dag van vandaag. Het NSA document maakt ook duidelijk hoe gevoelig deze informatie is. De Amerikaanse geheime dienst beseft zich heel goed dat als deze informatie een publiek feit zou worden dit zeer negatieve gevolgen zou kunnen hebben voor de samenwerkingsverbanden van de NSA.

Ook de begindatum van de Amerikaanse spionagepraktijken in Nederland is omstreden. In 1943 kraakten de Amerikanen het Nederlandse coderingssysteem Hagelin dat gebruikte werd om 17.000 telegrammen die vanuit Londen werden verstuurd te coderen.

In de zomer van 2013 drong zich opnieuw de vraag op of de Nederlandse regering eigenlijk wel weet of en zo ja door wie zij wordt afgeluisterd. De onthullingen van Edward Snowden waren voor veel politici aanleiding om te achterhalen of ook de Nederlandse inlichtingendiensten deelnemen aan of meeprofiteren van de afluisterprogramma’s van de NSA en GCHQ.

Minister Ivo Opstelten
“Er worden nooit mededelingen gedaan
over de samenwerking met buitenlandse diensten.”
Tijdens het wekelijkse vragenuurtje in de Tweede Kamer [11.6.13] kreeg Minister van Justitie en Veiligheid Ivo Opstelten vragen over de Nederlandse betrokkenheid bij PRISM-gate. Hij gaf een omslachtig en afhoudend antwoord: we doen nooit mededelingen over de samenwerking met buitenlandse veiligheidsdiensten en er zouden nooit klachten zijn ontvangen over inbreuk op de privacy door buitenlandse collega’s. De samenwerking tussen de AIVD en deze buitenlandse inlichtingendiensten was altijd goed. Al decennia wordt er op basis van quid pro quo informatie tussen deze diensten uitgewisseld.

Een niet met name genoemde ex-medewerker van de AIVD verklaarde in De Telegraaf [11.6.13] dat ook Nederlandse geheime diensten informatie krijgen uit de surveillanceprogramma’s van de NSA. Als de AIVD een Amerikaans mailadres opgeeft als verdacht, is binnen vijf minuten alles bekend. Volgens deze ex-agent werken veel bedrijven actief mee bij het geven van inzage in hun gegevens. “Alle grote commerciële internetdiensten worden gedwongen een applicatie aan te leveren waarmee diensten onbeperkt kunnen grasduinen.” Als een bedrijf niet meewerkt, wordt een agent geactiveerd die toegang heeft tot de informatie van het bedrijf.

Afluisterkans

Toen de topstukken van de NSA zich moesten verantwoorden voor een speciale commissie, werden er scherpe vragen gesteld naar aanleiding van de documenten die door de klokkenluider Edward Snowden waren gelekt. De voormalig NSA-chef Stewart Baker verdedigde zich als volgt: “Je hebt in Nederland honderd keer meer kans om afgeluisterd te worden dan in Amerika” [VK 30.7.13].

Baker baseerde deze uitspraak op de oude cijfers van het Max Planck Institut in 2003 waarin de afluisterpraktijken in Duitsland en andere Europese landen worden geanalyseerd. In werkelijkheid is de kans dat je in Nederland wordt afgeluisterd overigens nog iets groter dan Baker beweerde: namelijk 177 keer [Webwereld 28.5.08; Benschop 2017- Cyberoorlog].

Nederland is nog steeds wereldkampioen in het afluisteren van telefoons. In 2012 werden ruim 25.000 telefoons afgetapt, 3 procent meer dan in 2011. Nog sterker steeg het aantal internettaps: van ruim 3.300 in 2011 tot 16.700 in 2013. Andere bijzondere opsporingsmiddelen, zoals infiltratie door undercoveragenten, of opnemen van vertrouwelijke informatie door middel van microfoons, worden in Nederland juist minder vaak ingezet [Odinot e.a 2012; WODC 2012].

“We tappen ons in Nederland suf”, zei Marc van Nimwegen, de procureur generaal van het Openbaar Ministerie [VK 9.11.13]. En dat gaat ten koste van opsporingscapaciteit en ook van de privacy van degenen die worden afgetapt.

Aftappen kan nuttig zijn als er sterke vermoedens zijn dat specifieke personen een ernstig strafbaar feit hebben begaan of van plan zijn te begaan. Maar omdat criminelen weten dat ze worden afgeluisterd, levert dit zelden direct bewijsmateriaal op [WODC, 2012].

De suggesties die in De Telegraaf werden gepubliceerd werden tegengesproken door de brief die de ministers van Binnenlandse Zaken en van Veiligheid en Justitie op 21 juni naar de Tweede Kamer stuurde. Daarin wordt benadrukt dat AIVD en MIVD geen gebruik maken van het PRISM-programma en dat zij niet zomaar in gegevens van burgers, bedrijven en andere organisaties rondkijken. “De AIVD en MIVD hebben geen onbelemmerde, onbeperkte toegang tot het internetverkeer en het mobiele telefoonverkeer, ook niet via buitenlandse inlichtingen- en veiligheidsdiensten”. De AIVD en de MIVD kunnen alleen met toestemming vooraf bijzondere bevoegdheden inzetten om de inhoud van internetverkeer of telefoonverkeer te onderzoeken. Dat kan alleen als dat noodzakelijk is in het belang van de nationale veiligheid. Inzet moet proportioneel zijn. Ook moet duidelijk zijn dat informatie niet op een andere manier kan worden verkregen.

Minister Ronald Plasterk van Binnenlandse Zaken met zijn iPhone in de Tweede Kamer tijdens het vragenuurtje. Minister Plasterk van Binnenlandse Zaken gaf toe dat de algemene en militaire inlichtingendienst informatie uitwisselen met andere landen en dat daarbij ook informatie kan zitten die met PRISM is verzameld. Maar de AIVD en MIVD zelf maken volgens hem geen gebruik van PRISM of soortgelijke programma’s. “In Nederland kun je niet zomaar in de mailtjes en belgegevens van mensen kijken zonder goede reden en zonder toestemming” [NOS 21.6.13]. Plasterk rechtvaardigde het bespioneren van Nederlanders door de NSA: “Die Nederlander kan ook een keiharde terrorist zijn. Ik kan niet zeggen dat ik niet wil dat er naar Nederlandse burgers wordt gekeken. Ik ben toch blij als op deze manier een terrorist komt bovendrijven” [Trouw 16.10.13].

WIV verruimen?
In 2011 constateerde de CTIVD dat “de praktijk van de MIVD op verschillende terreinen op gespannen voet stond met de bepalingen in de WIV 2002” [Wet op de inlichtingen- en veiligheidsdiensten]. De MIVD en de toenmalig minister Hillen van Defensie wilde meteen de wet verruimen, maar de Tweede Kamer gaf de voorkeur aan een evaluatie. De AIVD maakte al sinds 2008 plannen over het onderscheppen van bulkdata op internet en liet zich daarbij adviseren door de Britse afluisterdienst GHCQ [Guardian 1.11.13; NRC 1.11.13]. De inlichtingendiensten willen dat hun bevoegdheden om af te luisteren technologie-onafhankelijk worden gedefinieerd, zodat zij ook de mogelijkheid krijgen om op grote schaal internetverkeer te onderscheppen.
De meerderheid van de Tweede Kamer vond deze verklaringen onvoldoende en eiste een onderzoek naar de rol die Nederlandse inlichtingendiensten AIVD en MIVD spelen in het PRISM-programma. Dit onderzoek moet worden uitgevoerd door de Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD). De CTIVD moet volgens D66-Kamerlid Gerard Schouw onder meer uitzoeken “hoe het zit met die uitwisselingsgegevens en hoe zich dat verhoudt met bijvoorbeeld de privacyregels en Europese wetten” [NOS 3.7.13].

In de kabinetsbrede reactie op de onthullingen van Snowden [13.9.13] werd benadrukt dat het kabinet zeer hecht aan zorgvuldige en deugdelijke bescherming van persoonsgegevens: “Het is daarom noodzaak om waar nationale veiligheid en privacybescherming elkaar raken, zo transparant mogelijk te zijn over procedures, bevoegdheden, waarborgen en toezichtmaatregelen.” Daarom is het verheugend dat de Amerikaanse regering hiermee inmiddels een begin heeft gemaakt door meer inzicht te geven in de bevoegdheden en door publicatie van de juridische onderbouwing van enkele programma’s.

Het curieuze van deze brief is dat er helemaal niet wordt ingegaan op de onthullingen van Snowden, maar hoofdzakelijk op de officiële Amerikaanse reactie daarop. De Nederlandse regering nam geen enkel standpunt in over de door Edward Snowden onthulde clandestiene praktijken van NSA en GCHQ, laat staan over de mogelijke betrokkenheid van Nederlandse inlichtingendiensten bij dergelijke praktijken [Security 16.9.13]. Geen letter over de systematische afluisterpraktijken van de Amerikaanse overheid op Europees grondgebied, geen woord over het aanbrengen van cryptografische achterdeurtjes in commerciële producten, geen zin over infiltratie en aftappen van cruciale mobiele en internetverbindingen, geen mening over het onder druk zetten van internetbedrijven om toegang te krijgen tot persoonlijke data, en geen idee over de gevolgen van het verzwakken van encryptische standaarden waar we op vertrouwen om de kritieke infrastructuren van ons land te beschermen.

Index


Niet NSA maar NSO
Op 28 oktober nam minister Plasterk een iets steviger standpunt in: het aftappen van telefoons en e-mailverkeer door inlichtingen- en veiligheidsdiensten mag in ons land alleen binnen de grenzen van de Wet op de inlichtingen- en veiligheidsdiensten 2002 en alleen op last van de verantwoordelijke ministers. “Iedere andere vorm is niet acceptabel.” Als andere landen menen dat er een goede reden is om in of vanuit Nederland inlichtingen te verzamelen dan dient het desbetreffende land een verzoek te richten tot de AIVD of de MIVD. “In Nederland geldt de Nederlandse wet, ook voor bondgenoten.” Optreden buiten die wettelijke kaders is voor Plasterk niet aanvaardbaar [BZK 28.10.13].

Met dit standpunt wordt in ieder geval een tamelijk precieze juridische grens getrokken en procedures afgebakend die gelden voor het optreden van buitenlandse inlichtingendiensten in Nederland. Met de directeur van de NSA wordt verder gesproken over een bilaterale oplossing. Ook al is het onwaarschijnlijk dat de Amerikaanse overheid een gedragscode voor de NSA zal accepteren.

De minister reageerde op een artikel in Tweakers dat gebaseerd was op informatie uit Der Spiegel en Le Monde. In een maand tijd zou de NSA in Nederland de metadata van 1,8 miljoen telefoontjes en sms-jes hebben verzameld.

Minister Plasterk suggereerde dat de NSA in een brief van 30 oktober had toegegeven dat dit inderdaad het geval was en dat dit buiten de Nederlandse wet om had plaatsgevonden [Reactie Kabinetop ingediende moties]. Door “nader onderzoek en analyse” was hij tot de conclusie gekomen dat de NSA verantwoordelijk was voor deze afluisterpraktijk. Toen pas leek het tot Minister Plasterk door te dringen dat de balans tussen privacy en terrorismebestrijding bij de NSA ver te zoeken was. “Waarom zou je anders de paus en Merkel afluisteren?” [VK 30.10.13]. Het was onacceptabel dat de NSA zonder zijn medeweten of toestemming vanuit Nederland telefoondata registreerde. De regering was ‘verontrust’ en voelde zich een beetje ‘beledigd’ en verborg daarmee zij geen flauw idee had wat er werkelijk aan hand was.

Meer dan twee maanden later ontdekten de ministers Plasterk en Hennis plotseling —maar wel onder druk van de juridische aanklacht van de coalitie Burgers tegen Plasterk— een andere waarheid. Niet de Amerikaanse NSA, maar de eigen NSO (Nationale Sigint Organisatie) verantwoordelijk geweest voor het verzamelen van de metadata via haar afluisterstations in Burum en Eibergen, en dat deze door dit samenwerkingsverband van AIVD en MIVD waren doorgespeeld naar de NSA. De metadata zijn volgens de ministers rechtmatig verzameld in het in het kader van terrorismebestrijding en militaire operaties in het buitenland en ook rechtmatig gedeeld met de NSA [Kamerbrief 4.2.14; NRC 5.2.14].

Lastige vragen
De volledig tegenstrijdige ‘verklaringen” van minister Plasterk schoten bij veel Kamerleden in het verkeerde keelgat. Wist de minister eigenlijk wel wat zich bij zijn eigen diensten afspeelt? Had de minister in zijn eerste verklaring de Kamer verkeerd ingelicht? Waarom schoof de minister van Binnenlandse Zaken de schuld voor deze afluisterpraktijken af op de NSA, terwijl hij zelf en de minister van Defensie verantwoordelijk waren voor de inlichtingendiensten die deze operatie uitvoerde?

Op al die vragen eisten parlementariërs heldere uitleg en verantwoording. Wat is er precies gebeurd? Wie is daarvoor verantwoordelijk? En past dat allemaal door de wettelijke kaders die in Nederland gelden? De lastigste der lastige vragen is of een minister die onjuiste informatie verschaft over zijn eigen veiligheidsdiensten, deze organisatie

Het parlementair debat over deze kwestie zal binnenkort plaatsvinden. Voordat dit debat is gehouden kan worden vastgesteld dat de minister door zijn gedraai in “verklaringen” zowel zijn eigen algemene inlichtingendienst in diskrediet heeft gebracht, als de militaire geheime dienst.

Minister Jeanine Hennis van Defensie droeg de politieke verantwoordelijkheid voor deze dienst (MIVD). Zij was niet erg gecharmeerd door de verklaringen van haar collega op Binnenlandse Zaken. Zij ging pal voor haar eigen inlichtingendienst staan, zoals een minister hoort te doen. En zij sprak heftig tegen dat haar militaire inlichtingendienst eigenmachtig en/of buitenwettelijk opereert.

We hadden het (eerder) kunnen weten...
De Snowden-documenten die door Glenn Greenwald en Laura Poitras gepubliceerd werden zijn door alle grote kranten en televisiestations kritiekloos de wereld in geblazen. Dat gold ook voor het door Der Spiegel gepubliceerde artikel waarin gesproken werd over 1,8 miljoen in Nederland afgetapte telecommunicaties.

Experts op het gebied van de inlichtingendiensten maanden tot voorzichtigheid. Een daarvan, Matthew Aid, publiceerde op 24 november 2013 een tekst waarin hij aantoonde dat de Greenwald’s interpretatie van de door Snowden verzamelde documenten vaak onjuist was. In de artikelen van Greenwald c.s. werd gesuggereerd dat de NSA de telefoon- en internetverbindingen van Duitsland, Frankrijk, Spanje, Noorwegen en Nederland afluistert. Maar als men goed kijkt naar de lijst van SIGINT Activity Designatiors (SIGAD’s) dan blijkt dat niet de NSA deze communicaties controleerde, maar veeleer de inlichtingendiensten van de betreffende landen — de BND in Duitsland, de DGSE in Frankrijk, de FE in Noorwegen en de MIVD in Nederland.

Het wachten is op echte politieke reactie van de Nederlandse regering op de flagrante schending van het fundamentele recht op privacy van communicatie door de NSA. Twee argumenten zouden de doorslag moeten geven. Ten eerste dient een regering van een democratische rechtstaat overal en altijd de randvoorwaarden van die constitutie te verdedigen. Een van de fundamenten van die constitutie is de actieve borging van het recht op vrije —dus niet stiekem afgetapte of afgeluisterde— communicatie.

Naast dit principiële argument is er ook nog een algemene praktisch-politieke overweging. Veel Nederlandse burgers maken zich grote zorgen over de ongebreidelde en illegale bespieding van hun persoonlijke levenssfeer. Zij voelen zich minder veilig omdat hun vrijheidsrecht op privacy wordt aangetast. Van leiders van de Nederlandse polderstaat wordt meer gedecideerd optreden verwacht om veiligheid en vrijheid van haar burgers te waarborgen.

Index


Zelfdestructie van een CDA-strateeg
In de discussies over de globale digitale spionage van de NSA wordt regelmatig het oude dilemma «veiligheid óf privacy» van stal gehaald. In zijn meest primitieve vorm ziet dit dilemma er zo uit: Zo wordt de hele problematiek teruggebracht tot een eenvoudige rekensom: wie veilig wil moet zijn privacy inleveren en wie zijn privacy wil behouden moet zijn veiligheid inleveren. Voor de CDA-strateeg is privacy al lang geen vrijheidsrecht meer dat ons juist beschermt tegen al te opdringerige en nieuwsgierige staten en/of ondernemingen.

In een democratische rechtstaat hebben regeringen de dure plicht om de randvoorwaarden van die rechtstaat te verdedigen. Dat betekent onder andere dat er effectief moet worden optreden tegen mensen en organisaties die een bedreiging vormen voor de veiligheid en vrijheid van burgers. Wanneer er duidelijke aanwijzingen zijn voor criminele of staatsbedreigende activiteiten dan is de overheid gerechtigd om de privacy van deze verdachten tijdelijk op te schorten. Individuen en groepen die van wetsovertredingen worden verdacht mogen in het kader van een zorgvuldige opsporing en bewijsvoering worden afgeluisterd, geschaduwd enz. Deze uitzondering op de privacyregel is noodzakelijk om die regel zelf te handhaven.

Veiligheidenken
Een vergelijkbare redenatie wordt gebezigd in het rapport Gewoon Doen van de Commissie Brouwer-Korf dat sinds 2009 in Nederland het ‘richtinggevend kader’ vormt voor de privacybescherming in de publieke beleidssfeer. De opdracht van de commissie was om het recht op privacy en veiligheid met elkaar te verzoenen. Volgens Egbert Dommering zet het rapport echter de bijl aan het kernbeginsel van het privacyrecht, de doelbinding die alleen in specifiek af te wegen gevallen mag wijken voor belangen van een ander orde. Het is een ‘veiligheidsexercitie” [Dommering 2010].
Jack de Vries vraagt echter van alle burgers om hun privacy in te leveren teneinde een veilige samenleving te realiseren. Dat is geen ‘verzoening’ van privacy en veiligheid, en ook geen zorgvuldig zoeken naar een ‘balans’ — het is een onderschikking van privacy aan veiligheid. Hij komt hiermee in gevaarlijke nabijheid van de bekende logica van elk totalitair regime — de autoritaire leider belooft de burgers de al zo lang verwachte veiligheid, op voorwaarde dat zij bereid zijn om hun mensen- en burgerrechten op te geven. ‘Onderwerp je aan mij, dan garandeer ik jouw veiligheid’. Of in een ander jargon: ‘I will make you an offer you can’t refuse.’

Gevangen in een dodelijk web.
Gevangen in een dodelijk web.
Het is de moraal van de dodelijke spin die zijn prooi beschermt door het in een web van draden te wikkelen. Een virtuele snuffelstaat worden burgers ingesponnen in een fijnmazig netwerk van controlesystemen. Die burgers wordt ‘veiligheid’ en bescherming belooft in ruil voor hun ‘privacy’. Als burgers bereid zijn om te doen wat Jack de Vries voorstelt dan verliezen zijn niet alleen hun persoonlijke vrijheidsrechten, maar ook hun vermogen om zich te verzetten tegen machtsmisbruik van die beschermende staat. Burgers worden machteloos gemaakt — zij hebben geen persoonlijke levenssfeer meer waarin zij autonoom kunnen functioneren en zich vrij kunnen associëren met andere burgers. De speelruimte voor oppositioneel handelen zijn zodanig ingeperkt dat er geen verzet tegen onrecht meer mogelijk is.

Borg: Resistance is futile
“Surrender your privacy. Resistance is futile”
Het is dus eigenlijk de moraal van de Borg uit Star Trek. De Borg een mensachtige soort die is aangepast met mechanische en elektronisch implantaten. Zij assimileren andere soorten om nieuwe technologie en kennis te vergaren. Wanneer de Borg een nieuwe soort in de ruimte ontdekken die zij willen assimileren, dan versturen zij deze standaardboodschap:

Jack de Vries pleit ervoor dat we het schild dat onze privacy beschermt inleveren bij de Borg. Als we dat zouden doen zijn we allemaal aan de staatsgoden overgeleverd. Voor een christelijke partijstrateeg zou dat geen wenkend perspectief moeten zijn.

Jack de Vries is geen autoritair leider en ambieert ook zeker geen totalitair regime. Maar de logica van zijn argumentatie is zelfdestructief voor een christendemocratisch appel. Voor christendemocraten zou de waarborging van de individuele vrijheid een vanzelfsprekende zaak moeten zijn.

Index


Symbolon en Argo II
De AIVD maakte al in 2008 plannen over het onderscheppen van bulkdata op internet [Guardian 1.11.13]. De Nederlandse Wet of de inlichtingen en veiligheidsdiensten (WIV) staat het de AIVD en MIVD toe om ongericht —en dus zonder toestemming van de minister— telecommunicatie te onderscheppen als die via satelliet of radio is verstuurd. Het onderscheppen van kabelgebonden data —zoals internetverkeer over glasvezelkabels— is niet toegestaan.

De AIVD en de MIVD hebben hun interceptie, decryptie- en analysecapaciteiten verenigd in het project «Symbolon» dat in 2014 zal worden voortgezet onder de naam Joint Sigint Cyber Unit (JSCU). Dit is een logisch vervolg op de samenwerking via de Nationale Sigint Organisatie (NSO), die ook in de JSCU wordt opgenomen [Jaarverslag MIVD 2012].

Een ander gezamenlijk project is «Argo II». Het is gericht op de vernieuwing van de bestaande systemen om informatie uit communicatiemiddelen te verwerken tot inlichtingen (SIGINT) en op de uitbreiding van die communicatiemiddelen tot het kabelgebonden internet [Rijks ICT-dashboard: ARGO II]. Via een geheime aanbesteding kocht het Ministerie van Defensie bestelde het Argo II systeem. SP-kamerlid Ronald van Raak stelde op 7 juni 2013 een aantal pertinente Kamervragen aan de minister van Binnenlandse Zaken over dit systeem om grootscheepse data te analyseren.

De directie van AMS-IX sprak onmiddellijk tegen dat het grootste internetknooppunt in Nederland door de geheime diensten zou worden afgetapt.

Het direct tappen op de AMS-IX zelf heeft weinig zin. Slechts een kwart van het Nederlandse verkeer verloopt via de Amsterdam Exchange. Bovendien is het niet mogelijk om per huishouden of gebruiker het verkeer te scheiden, en dus ook niet van een verdachte. De AMS-IX werkt dus op geen enkele wijze mee aan deep packet inspection.

Politie wordt de deur gewezen
De politie heeft de AMS-IX in het verleden wel benaderd met het verzoek om een tap in te bouwen. De algemeen directeur van AMS-IX, Job Witteman, verklaarde hierover in een interview: “Eén keer en al tien jaar geleden klopte de politie ineens aan met een voorstel om na te gaan of ze niet het meest efficiënt hier konden aftappen en waar ze hun apparatuur konden neerzetten. We hebben ze vriendelijke de deur gewezen. Daar is geen enkele juridische basis voor” [Netkwesties 29.12.11].
Alleen de ict-dienst van de politie heeft al enkele jaren twee Gigabit-poorten op AMS-IX waardoor er direct internetverkeer kan worden uitgewisseld met Nederlandse Internet Service Providers (ISP’s). Hierdoor kan het internetverkeer van individuen en/of organisaties worden ontvangen dat door ISP’s op last van justitie wordt afgetapt. De politie heeft dus geen toegang tot het totale verkeer van de ISP’s, maar kan wel het verkeer van die ene individuele gebruiker onder rechterlijk bevel ontvangen [Webwereld, 11.7.13].

Op 21 juni gaven de ministers van Defensie en van Binnenlandse Zaken antwoord op de vragen van Van Raak. De ministers constateren dat de Wet op de inlichtingen- en veiligheidsdiensten van 2002 (WIV) het ongericht aftappen van de AMS-IX niet toestaat.
Waarborgen?
De ministers verklaren dat er in de implementatiefase van het project diverse maatregelen genomen zijn “om de veiligheid, vertrouwelijkheid en de integriteit van de informatie te waarborgen”. Maar zelfs over de inhoud van deze regels voor veilige, vertrouwelijke en integere omgang van afgetapt informatie worden geen nadere mededelingen gedaan.
Maar ze zeggen niet dat het niet gebeurt en ook niet of er op andere punten, zoals bij zeekabels, ongericht wordt afgetapt. Over de werking en functies van het nieuwe Sigint-platform houden de ministers de kaken stijf op elkaar. De functionele specificaties van het systeem zouden inzage geven in de modus operandi van de geheime diensten en zijn daarom aangemerkt als staatsgeheim. De ministers schrijven: “De leverancier die het beste voldeed aan de voor de aanbesteding relevante criteria kreeg de opdracht gegund.” [Antwoord Plasterk & Hennis, 21.6.13]. Welke opdracht dat was wordt niet verteld, evenmin als de naam van de gelukkige aannemer. Het enige dat de ministers over het Argo II-project wilden loslaten is dat met de aanbesteding € 17 miljoen is gemoeid (Ronald van Raak noemde later een bedrag van € 23 miljoen —in de Volkskrant 6.11.13).

De nogal vage formulering van de antwoorden maakten de zorgen over ongericht aftappen in Nederland alleen maar sterker. Volgens de burgerrechtenorganisatie Bits of Freedom draaide de regering om de hete bij heen: “Waarom schrijft Plasterk niet dat het ongericht aftappen niet gebeurt? (...) De kamer moet hierover nadere vragen stellen. We moeten precies weten wat voor plannen in het geheim worden gesmeed om ons internetverkeer af te luisteren“ [Ot van Daalen, BOF 19.6.13].

Argos II is een systeem waarmee ongericht en gericht al het telefoon- en internetverkeer kan worden afgetapt, opgeslagen en geanalyseerd. Het is een geïntegreerd surveillancesysteem dat in staat is om alle typen van communicatie te verwerken. Het lijkt erop alsof de het ministerie van Defensie met haar investering in dit systeem vooruit wil loopt op een door haar gewenste verruiming van de wettelijke aftapbevoegdheden.

De voorzitter van de CTIVD, Bert van Delden, verklaarde dat het “niet zo gek is” als de inlichtingendiensten hierop vooruitlopen omdat hij verwachtte dat de adviescommissie-Dessens daar in december toch zou pleiten voor een paar verruimingen van de wetgeving [VK 9.11.13]. Het is opmerkelijk dat de voorzitter van een commissie die toezicht moet houden op de inlichtingen- en veiligheidsdiensten het “niet zo gek” vindt dat deze diensten apparatuur en software aanschaffen om afluisterpraktijken te faciliteren. Voor een ‘waakhond’ is dit op z’n minst atypisch gedrag. “Als de AIVD apparatuur koop om dingen te doen die bij wet verboden zijn, moet de waakhond daarop aanslaan en gaan blaffen. Niet vergoelijken en zeggen dat de wet misschien toch wel een keer verruimd gaat worden” [Martin Koning, in: VK 12.11.13]. Hoe men het ook wendt of keert: het ministerie van Defensie schaft zich in het geheim middelen aan die wettelijk verboden zijn.

Index


NICE Systems: lokaliseer iedereen, overal en altijd
Accenture: No Deal !
De tweede gegadigde voor de opdracht van het ministerie van Defensie was Accenture. Het bedrijf liet weten dat het inderdaad heeft meegedaan met deze aanbesteding, maar dat zij de opdracht niet heeft gekregen: “we hebben uiteindelijk geen deal gesloten” [VN 20.6.13].
Accurate is een wereldwijd opererende Amerikaanse onderneming voor management consulting, technologie en outsourcing. De onderneming is actief in meer dan 120 landen is en genereert jaarlijks bijna $ 29 miljard aan inkomsten. Het bedrijf biedt een breed scala van diensten die gebruikt kunnen worden voor politie, justitie en inlichtingendiensten.
De meest waarschijnlijke winnaar van de ‘openbare’ aanbesteding van het ministerie van Defensie voor een nieuw afluistersysteem is NICE Systems. De woordvoerder van de Israëlische afluistermultinational wilde daarop uiteraard geen commentaar geven “op relaties van ons bedrijf met onze klanten, actief of potentieel” [VN 20.6.13].

NICE Systems werd in 1986 opgericht door zeven veteranen van Unit 8200, die ook wel wordt aangeduid als de Israëlische SIGINT Nationale Eenheid (ISNU) [Benschop 2013]. De oprichter van het bedrijf, Benny Levin, verklaarde: “We were seven people from the Unit. We all worked on a project for more than four years, we knew each other very well. We had very good complementary skills” [Infowars 5.1.08]. Sinds maart 2011 heeft NICE ook een vestiging in Nederland door overname van het in aftappen gespecialiseerde Alkmaarse bedrijf CyberTech voor een kleine zestig miljoen dollar [Nice 15.2.11; VN 16.7.13].

Spying by the dashboard light
Spying by the dashboard light
NICE Systems is een Israëlisch bedrijf dat systemen ontwikkelt om strategische inzichten te verwerven uit Big Data. Het brengt onder andere volledig geïntegreerde monotoring en analysesystemen op de markt die door politie, justitie en inlichtingendiensten worden gebruikt om criminelen en terroristen op te sporen. Alle data die via telefoon- en internetverbindingen worden verstuurd kunnen met deze systemen worden verzameld, opgeslagen en geanalyseerd. Dat gebeurt met geavanceerde analyse-instrumenten zoals text mining, linkanalyse, optical character recognition, spraakherkenning, en taalidentificatie. Alle typen van communicatie kunnen worden verwerkt, inclusief vaste en mobiele telefonie, fora, chats, email, webmail en sociale netwerken. Naast deze ‘mass monitoring’ kunnen er ook specifieke doelwitten en verdachten worden gevolgd (‘target monitoring’, inclusief gerichte locatiebepaling). Daarbij kan gebruik worden gemaakt van ingebouwde instrumenten waarmee bewijzen kunnen worden samengesteld die voor een rechtbank gepresenteerd kunnen worden.

3D-Locatie
3D-Locatie
Het locatiesysteem geeft analisten in real-time een 3D-posionering van de doelwitten. Het motto is simpel, maar adequaat: “Locate Anyone, Anytime, Anywhere”. Er worden meerdere methoden gebruikt om de locatie van een doelwit in stedelijke of landelijke omgevingen te bepalen, zowel binnenshuis als daarbuiten. De verzamelde cellulaire locatiedata worden verrijkt met andere informatiebronnen zoals GPS, creditcard transacties, volgsystemen, nummerplaatherkenning en hotelreserveringen.

Triangulatie van mobieltjes
Elk mobiel telefoonnetwerk kent bij benadering de locatie van alle mobieltjes die telefoontjes kunnen ontvangen. Als het systeem niet weet wat de locatie van je mobieltje is, is het niet in staat om oproepen naar je telefoon door te sturen.

Door triangulatie van locatie-informatie van verschillende zendmasten, kunnen providers de geolocatie van mobieltjes nauwkeuriger bepalen. Dit wordt vaak gedaan om hulpdiensten naar een bepaalde persoon te dirigeren (bijvoorbeeld als iemand een alarmnummer belt).

Inlichtingendiensten kunnen de hand leggen op dergelijke gegevens door met instemming van de gsm-provider het netwerk af te luisteren, of door het onderscheppen van de communicatie tussen de mobieltjes en de zendmast.

Deze techniek kan verder worden verfijnd als men over drones beschikt die kunnen fungeren als pseudo-zendmast (virtual base-tower transceiver). Hierdoor wordt het mobiele apparaat van een doelwit gedwongen om contact te maken met de vliegende zendmast. Terwijl de drone rondcirkelt wordt de SIM-kaart gelokaliseerd van het apparaat waarvan men denkt dat het door een bepaald doelwit wordt gebruikt [The Intercept, 10.2.14].

Het systeem kan nieuwe doelwitten en verdachten identificeren door het analyseren van verdacht geo-gedrag, het monitoren van criminele zones of belangstellingssferen en detecteert ook de nabijheid van verdachten tot bekende doelwitten [Wikileaks: The Spy Files].

Israël beschikt over een van de meest omvangrijke en agressieve spionagenetwerken ter wereld. De spionagepraktijken van Israëlische inlichtingendienst worden door de FBI gezien als een prominente bedreiging (die alleen wordt overtroffen door de operaties van China). In 2005 constateerde de FBI dat Israël nog steeds een actief programma heeft om binnen de VS toegang te krijgen tot wetenschappelijke en technische bedrijfsgeheimen [Annual Report to Congress on Foreign Economic Collection and Industrial Espionage - 2005]. Volgens de voormalig onderdirecteur contraspionage van de FBI, Harry B. Brandon, zijn “de Israëliërs geïnteresseerd zowel commerciële als militaire geheimen. Zij beschikken zelf over een gespierde technologische sector. Een effectieve spionagemethode is het vormen van partnerschappen met Amerikaanse bedrijven om software en andere technologische producten te leveren aan Amerikaanse overheidsbedrijven” [Counterpunch 12.3.09]. Tegelijkertijd fungeert de Israëlische geheime dienst als “a shadow arm of surveillance among the tentacles of the NSA” (James Bamford).

In 2000-2001 begonnen FBI en CIA een onderzoek naar de beschuldigingen dat Israëliërs die zich voordeden als ‘kunststudenten’ zich in feite bezig hielden met spionage op Amerikaanse bodem. Een van deze Israëlische ‘kunststudenten’ bleek een werknemer van NICE Systems te zijn. Bij de doelwitten van de ‘kunststudenten’ behoorden o.a. de kantoren van de Drug Enforcement Agency (DEA) in heel Amerika. Dezelfde werknemer van NICE System, die voorheen werkte voor de Israëlische geheime dienst, vervoerde een disk met een bestand “DEA-Group”. De agenten van de Amerikaanse contraspionage vonden dit zeer verdacht. Een Israëlische staatsburger die werkt voor een Israëlische afluisteronderneming loopt met geheime informatie op zak van de DEA terwijl hij tegelijkertijd inlichtingen verzamelt over faciliteiten van de DEA.

In november 2002 kwamen er in Nederland sterke aanwijzingen op tafel dat de Israëlische geheime dienst Mossad in staat is tapkamers van de Nederlandse inlichtingendiensten en de politie af te luisteren. De Mossad zou deze informatie kunnen verzamelen omdat de Nederlandse afluistercentrales zijn voorzien van apparatuur van het Israëlisch bedrijf Comverse Infosys [EO 25.11.02], dat in 2002 haar naam veranderde in Verint Systems.

Een medewerker van de politietapkamer verklaarde: “Je haalt de Mossad binnen. Het gaat naar Israël.” En een AIVD’er lichtte toe: “Dat is destijds afgesproken op operationeel niveau... wij verzamelen.” De rechercheur: “Onze informatie gaat naar Israël ja. Dat moeten wij. Daar zijn geheime afspraken over” [Trouw 25.11.02].

Alle NAVO-landen —behalve in Frankrijk en Denemarken— maakten destijds gebruik van tapapparatuur van Comverse. In Nederland gebruikten niet alleen de algemene en militaire inlichtingendienst Israëlische tapapparatuur, maar ook diverse ministeries. Uitsluitend Israëlische onderhoudsmonteurs en technici hadden toegang tot het inwendige van het zwarte kastje van Comverse, waarin het achterdeurtje was ingebouwd. “Nederlandse aftapkamer niet kosjer” kopte het computermagazine CT.

Comverse aka Verint: spionerend en frauderend ondernemen
Eerder was al aangetoond dat Comverse ook verantwoordelijk was voor het afluisterprogramma dat bij Amerikaanse telecombedrijf Verizon was geïnstalleerd [Counterounch, 17-29.9.08]. De helft van de R&D-kosten van Comverse werden betaald door het Israëlische ministerie van Industrie & Handel. In 2009 maakten al meer dan 5.000 organisaties (merendeels inlichtingen- en politiediensten) in minstens 100 landen gebruik van de afluistertechnologie van Verint. Volgens Verint bedient zij ook 85% van de Fortune 100. Volgens James Bamford wordt praktisch het volledige Amerikaanse telecomsysteem afgeluisterd door bedrijven zoals Nice Systems, Comverse/Verint, Narus Inc, en Amdocs Ltd. die zeer sterke bindingen hebben met Israëlische inlichtingendiensten [Bamford 2008; Sanders 2012].

In 2004 constateerde de Australische parlementaire comissie die toezicht houdt op Corruption and Crime Commission van de overheid dat de systemen voor datainterceptie van Verint door minstens zes buitenlandse opsporings- en inlichtingendiensten werd gebruikt [CCC 2004]. Verint zelf heeft automatisch en van afstand toegang tot gigantische databanken met afgetapte informatie.

Een van de medeoprichters van zowel Comverse als haar zijtak Verint is de Israëlische ondernemer en voormalig geheim agent Jacob ‘Kobi’ Alexander. Vanaf 1994 tot 2006 was hij voorzitter van de directie van Verint. Op 31 juli 2006 werd hij in de VS aangeklaagd op 36 beschuldigingen van samenzwering, diverse vormen van fraude (veiligheidsfraude, kabelfraude en mailfraude) en het witwassen van geld. Hij ontsnapte aan vervolging door naar Israël te vluchten. De FBI plaatste hem op de Most Wanted List. In september 2006 werd hij in Namibië aangehouden, maar op borgtocht vrijgelaten. Hij vecht zijn uitwijzing naar de VS aan (Namibië heeft geen uitwijzingsverdrag met de VS).

Zo’n tien jaar geleden ging de Nederlandse overheid in zee met een Israëlisch bedrijf voor massa-interceptie van elektronische gegevens, dat bij nader inzien niet alleen toegang had tot alle door Nederlandse aftapkamers, maar deze informatie ook doorsluisde naar niet nader genoemde andere buitenlandse inlichtingendiensten (waaronder in ieder geval die van de NSA). Kortom: de Nederlandse overheid heeft zich voor de verwerving en verwerking van geheime inlichtingen ingelaten met een Israëlische onderneming die dubieus, frauduleus en zelfs bewezen crimineel zijn. De aanbesteding voor het Argo II project lijkt een voortzetting te zijn van dit desastreuze beleid. Onze parlementariërs die toezicht moeten houden op de afluisterpraktijken van onze inlichtingendiensten, kunnen alleen maar gissen naar de functionaliteiten die Argo II biedt. Bovendien krijgen ze geen enkele garantie dat deze interceptietechnologie alleen maar gebruik zal worden gemaakt voor doeleinden die wettelijk zijn toegestaan.

Index


Burgers vs Plasterk
In de Tweede Kamer was geen meerderheid te vinden voor een parlementair onderzoek naar afluisterpraktijken in Nederland omdat zowel VVD als PvdA zich hiertegen verzetten. De volksvertegenwoordiging moest dus wachten tot de commissie die toezicht houdt op de inlichtingendiensten (CTIVD) in januari 2014 haar onderzoek naar de werkwijze van de AIVD en MIVD openbaar maakte.

Ondertussen bleef minister Plasterk volhouden dat er maar een manier is om ongewenste en in Nederland verboden grootschalige afluisterpraktijken te stoppen: afspraken maken met de VS. In samenwerking met de Duitse inlichtingendienst denkt hij nog steeds dat er een niet-afluisterverdrag met de Amerikanen kan worden afgesloten. Of dat het begin is van een klein vuistje valt te betwijfelen. Zo eenvoudig is het niet om de NSA aan banden te leggen [Marc Chavannes, VK 6.11.13].

Om de regering tot stoutmoediger optreden te dwingen daagde een groep burgers en instanties minister Plasterk voor de rechter. Zij eisten dat Nederland stopt met het gebruiken van gegevens die door middels van afluistermethoden van de NSA zijn verkregen. Deze gegevens zijn op illegale wijze verkregen en worden door de AIVD vervolgens witgewassen. Minister Plasterk leek vol zelfvertrouwen: “Ik heb een rotsvast vertrouwen dat onze inlichtingendiensten zich aan de wettelijke kaders houden” [VK 6.11.13]

De groep die de Staat der Nederlanden voor de rechter daagt bestaat uit strafpleiter Bart Nooitgedacht, onderzoeksjournalist Brenno de Winter, Jeroen van Beek (beveiligingsadviseur en ethisch hacker), Rop Gongrijp (hacker en medeoprichter van XS4All) en Mathieu Paapst (universitair docent Recht en ICT in Groningen).

De deelnemende organisaties zijn de Nederlandse Vereniging voor Strafrechtadvocaten (NVSA), de Nederlandse Vereniging voor Journalisten (NVJ), de Internet Society Nederland (ISOC) en de Stichting Privacy First. De groep wordt vertegenwoordigd door het advocatenkantoor Brandeis.

De inzet van het geding was een einde te maken aan het gebruik van gegevens over Nederlandse burgers door de AIVD en MIVD die in strijd zijn met Nederlandse rechtsbeginselen zijn verkregen. De eisers vroegen bovendien van de rechtbank om de Nederlandse overheid te gelasten de persoonlijke levenssfeer en communicatievrijheid van haar burgers zoveel mogelijk te beschermen. Zij kan dit onder meer doen “door degenen te informeren van wie gegevens door middel van een ongeoorloofde inmenging in hun privéleven zijn verkregen door de Amerikaanse- of andere (buitenlandse) inlichtingendiensten.”

Op 27 november 2013 kreeg de landsadvocaat 6 weken de tijd om op de dagvaarding te reageren. Na een verlenging van deze periode met 4 weken lag de deadline op 5 februari 2014. De verwachting was dat de landsadvocaat een reactie zou geven waarin het standpunt van de minister zou worden bevestigd. In plaats daarvan ontvingen de klagers een document van 40 pagina’s waarin staat dat Nederland de 1,8 miljoen gegevens zelf heeft onderschept en aan de NSA heeft doorgespeeld [VK 7.2.14].

De ministers van Binnenlandse Zaken en van Defensie stonden voor het blok — Plasterk en Hennis moesten de Tweede Kamer informeren dat de eerder gegeven lezing niet klopte, en dat hun eigen inlichtingendiensten verantwoordelijk waren voor het aftappen van al die telefoongesprekken, e-mails en sms’jes.

Die telefoongesprekken werden echter niet afgetapt of afgeluisterd, maar onderschept. Bovendien was de onderschepte informatie niet van Nederlandse telefoonnummers afkomstig, maar grotendeels van buitenlandse. Tenslotte was al die uit de ether geviste informatie op een rechtmatige wijze verkregen, namelijk in het kader van de inlichtingenverzameling ten dienste van de bescherming van in het buitenland opererende troepen, en van de bestrijding van terrorisme.

Index


AIVD zuigt webfora leeg
Er verrassend was het niet toen enige tijd later bekend werd dat de AIVD wel degelijk heimelijk inbreekt op de servers van bepaalde internetfora waarbij de gegevens van alle gebruikers van die fora worden verzameld.

In een door Edward Snowden via de NRC gelekt geheim document wordt verslag gedaan van een op 14 februari 2013 gehouden bijeenkomst tussen de NSA en 9 vertegenwoordigers van AIVD en MIVD. Tijdens deze bijeenkomst legden de Nederlandse vertegenwoordigers uit hoe zij bij het hacken van webfora de hele database met gebruiksgegevens leegzuigen. Er wordt gebruik gemaakt van kwetsbaarheden in de computernetwerken van webfora —CNE heet dat in vakjargon: Computer Network Exploitation— en meer in het bijzonder van bugs in MySQL, de software die meestal wordt gebruikt voor de constructie van de databanken van webfora. De AIVD gebruikt die informatie om mogelijk staatsgevaarlijk doelwitten te identificeren. De data uit de webfora worden vervolgens gecombineerd met gegevens die via publieke sociale media verworven zijn. Deze gecombineerde gegevens worden vervolgens geanalyseerd om staatsgevaarlijke individuen, netwerken of organisaties in kaart te brengen [NRC 30.11.13].

Minister Plasterk verdedigde de AIVD door er op te wijzen dat het voor de uitvoering van haar taken belangrijk is om informatie te krijgen over welke snode plannen er worden gesmeed. Dat betekent uiteraard niet dat de AIVD alle webfora hackt — het gaat volgens Plasterk niet om een forum voor zeevisserij. “De AIVD kan en mag volgens artikel 24 van de Wet op Inlichtingen- en veiligheidsdiensten informatie vergaren door websites van verdachte aard te hacken. Die wet biedt hier nadrukkelijk de mogelijkheid toe” [VK 30.11.13]. Volgens minister Plasterk wordt daarbij alleen gekeken naar bezoekers van websites met een terroristisch of extremistisch oogmerk. “Laat het duidelijk zijn: de AIVD houdt niet de website van de plaatselijke hengelsportvereniging in de gaten. Het gaat om websites waarvan we weten dat die potentieel gevaarlijk zijn, zoals jihadistische internetfora, waar mensen echt oproepen tot de strijd. Het is belangrijk dat we toezicht houden op wat daar gebeurt” [VK 2.12.13].

Ook de AIVD zelf benadrukt dat de door haar gebruikte methode binnen het kader van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) valt. Als het vermoeden bestaat dat er staatsgevaarlijke activiteiten plaatsvinden, dan zijn volgens de AIVD ook webfora een legitiem doelwit. “Het onderzoeken van verdachte sites, waaronder jihadistische webfora (...), past binnen de kaders van de Wet op de Inlichtingen- en Veiligheidsdiensten. En de AIVD houdt zich aan de wettelijke voorwaarden” [AIVD 30.11.13].

Strijd tegen virtuele jihad
In januari 2012 publiceerde de AIVD een scherpe analyse van Het jihadistisch internet dat als kraamkamer van het hedendaagse gewelddadige jihad. De spil binnen de verspreiding van dit gedachtegoed is een aantal invloedrijke jihadistische webfora. Zij vormen de kern en de motor van de wereldwijde virtuele jihadistische beweging. De AIVD schatte dat ongeveer 25.000 jihadisten, afkomstig uit meer dan 100 landen, lid zijn van deze groep kernfora.

In haar reactie op de onthullingen die in de NRC werden gepubliceerd, verwijst de AIVD nadrukkelijk naar dit rapport. “Een steeds groter deel van de dreigingen die op Nederland afkomen, kent een digitale component op het internet. Zo bepaalt de virtualisering van de gewelddadige jihad voor een belangrijk deel de jihadistische dreiging tegen het Westen. In januari 2012 meldde de AIVD dat het jihadistisch internet steeds meer inspireert tot (gewelddadige) actie. Het jihadistisch internet zal naar verwachting ook in de toekomst een belangrijke rol in het nationale en internationale dreigingsbeeld hebben. De AIVD gebruikt zijn bijzondere bevoegdheden voor het onderzoek naar dergelijke terroristische dreigingen voor onze samenleving” [AIVD 30.11.13: Verdachte webfora zijn legitiem doelwit].

Uit de gepubliceerde documenten kan niet worden opgemaakt hoeveel webfora door de AIVD zijn gehackt, laat staan welke fora dit zijn. Toch trok hoogleraar informatierecht Nico van Eijk direct de conclusie dat de AIVD een grens had overschreden: “Ze trekken een sleepnet door internetfora en nemen de data van willekeurige personen mee. Dit leidt tot een surveillancestaat” [NRC 30.11.13]. Gerrit-Jan Zwenne sprak zelfs van een “ongelooflijke privacyinbreuk”. Rejo Zenger van de digitale burgerrechtenbeweging Bits of Freedom concludeerde dat de AIVD en MIVD langdurige en stelselmatig de wet overtreden. “De Tweede Kamer, inclusief de beide regeringspartijen, moeten de ministers nu ter verantwoording roepen. Het is ook duidelijk dat het toezicht op de geheime diensten heeft gefaald. De controlerende functie van de CTIVD en Commissie Stiekem zijn geen waarborgen voor een verantwoorde omgang met zeer gevoelige bevoegdheden. De losgeslagen geheime diensten moeten beteugeld worden.”

Deze gespierde kritiek snijdt alleen maar hout als kan worden vastgesteld dat de AIVD zonder goede reden (d.w.z. specifieke verdenkingen) internetfora zou hacken om daar alle informatie weg te slepen. Dit kan echter niet worden afgeleid uit de tot nu toe gelekte documenten. De AIVD mag alleen met toestemming vooraf gebruik maken van haar bijzondere bevoegdheid om de inhoud van internetverkeer te inspecteren. Volgens artikel 24 van de Wiv is de AIVD bevoegd tot “het al dan niet met gebruikmaking van technische hulpmiddelen, valse signalen, valse sleutels of valse hoedanigheid, binnendringen in een geautomatiseerd werk”. De inlichtingendiensten mogen ook “de gegevens opgeslagen of verwerkt in het geautomatiseerde werk overnemen.”

De AIVD mag dus onder bepaalde omstandigheden computervredebreuk plegen. Maar volgens de Memorie van toelichting [p.39] is deze bevoegdheid nooit bedacht voor het inbreken op computersystemen die aan internet zijn verbonden, maar enkel voor “(stand-alone) pc’s” [BOF 20.11.13]. Toch ligt het voor de hand dat de AIVD deze ’hackbevoegdheid’ gebruikt om de activiteiten op invloedrijke jihadistische webfora in kaart te brengen en om de nabijheid van bekende doelwitten tot jihadistische internetzones te bepalen. Bij een dergelijk onderzoek stuit men onvermijdelijk ook op gebruikersgegevens van “onbekende personen van wie nog niet is vastgesteld of zij een bedreiging zijn voor de rechtsorde” (zoals wetenschappers en journalisten die onderzoek doen naar het online jihadisme).

Of de AIVD de wettelijk vastgelegde grens van haar bevoegdheden heeft overtreden, als men kennis heeft van de feitelijke doelwitten waarvan zij de computernetwerken heeft gecompromitteerd. Die wetenschap blijft echter voorbehouden aan de AIVD en kan alleen gecontroleerd worden door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD).

Na de onthullingen van de NRC stonden diverse politieke partijen stonden in de rij om opheldering te vragen van minister Plasterk. Oppositiepartijen SP, D66, ChristenUnie en GroenLinks stelden voor een parlementair onderzoek in te stellen en eventueel een enquête. Zelfs de regeringsfracties twijfelden aan de woorden van de minister dat de inlichtingendiensten zich bij het inbreken in internetfora en het verzamelen van persoonsdata van alle deelnemers binnen de wettelijke kaders hebben geopereerd.

Index


Verruiming bevoegdheden AIVD & MIVD?
Op 2 december 2013 publiceerde de commissie-Dessens haar evaluatie van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Zoals verwacht wordt daarin gepleit voor een aanzienlijke verruiming van de bevoegdheden van AIVD en MIVD. De commissie-Dessens legt de grondslag voor een nieuwe balans tussen bevoegdheden en waarborgen.

De inlichtingendiensten zouden enerzijds de bevoegdheid moeten krijgen om complete netwerken te monitoren waarbij dataverkeer wordt doorzocht op verdachte patronen en kenmerken van malware. Deze vorm van “ongerichte kabelgebonden interceptie van communicatie” werd in de Wiv van 2002 nog nadrukkelijk verboden.

Anderzijds formuleert de commissie een aantal strikte voorwaarden aan het gebruik van deze bevoegdheid. Elke keer dat AIVD en MIVD grootschalig willen aftappen, is toestemming vereist van de minister van Binnenlandse Zaken dan wel van Defensie. Tegelijkertijd zou de rol van de CTIVD bij het toezicht op de inlichtingen- en veiligheidsdiensten moeten worden uitgebreid. Als de CITVD bezwaar ziet in een aftapvoorstel, zou zij het recht moeten krijgen om die activiteit te blokkeren of te laten staken.

De inlichtingen- en veiligheidsdiensten zouden zich volgens de het advies transparanter moeten opereren. Als geheimhouding niet langer noodzakelijk is voor de nationale veiligheid, zouden individuele burgers kennis moeten kunnen nemen van gegevens die over hen zijn verzameld (notificatieplicht). Om de rol van publieke waakhond te kunnen uitoefenen zouden de media toegang moeten krijgen tot materiaal voor historisch onderzoek.

Stan Dessens Stan Dessens zette zijn belangrijkste argumenten voor Nieuwsuur [2.12.13] op een rijtje. Volgens de huidige wet mogen AIVD en MIVD alleen grootschalig gesprekken en internetverkeer onderscheppen dat via de satelliet en de korte golf gaat. Maar tegenwoordig gaat het meeste internetverkeer via glasvezelkabels. “Op dit moment is het zo dat 90 procent van de informatie via de kabel gaat, en de geheime diensten hebben nu niet de bevoegdheid om daar ongericht onderzoek op te doen. Als je in Nederland diensten hebt die onze veiligheid moeten waarborgen, moeten die ook alle mogelijkheden hebben om dat te doen. En die bevoegdheid om op de kabel te gaan, is volgens ons daar onlosmakelijk mee verbonden.”

Dessens benadrukt dat er wel nauwkeurig moet worden gekeken of het nodig is om af te luisteren. “De zwaarste middelen moeten niet het eerst worden ingezet. Een toezichthouder moet goed opletten dat er niet onnodig wordt ingebroken in privécommunicatie.” Dessens betreurt het dat de inlichtingen- en veiligheidsdiensten soms als «bedreiging van de persoonlijke levenssfeer» worden gezien. “Die diensten zijn juist bedoeld om de samenleving en zijn burgers te beschermen”.

De ironie wil dat in een politiek klimaat waarin van alle kanten wordt geroepen dat de inlichtingendiensten hun praktijken moeten aanpassen aan de wet, de commissie-Dessens bepleit dat de wet moet worden aangepast aan de praktijken van de AIVD en MIVD. Maar dit pleidooi gaat wel gepaard met voorstellen om de democratische controle op de inlichtingendiensten te verscherpen. Die controle moet zich niet beperken een kleine selectie van parlementariërs. Stan Dessens benadrukt dat zowel burgers, bestuurders als volksvertegenwoordigers “ten diepste van overtuigd moeten zijn dat onze inlichtingen- en veiligheidsdiensten werken binnen een wettelijk kader” [NRC 2.12.13].

De commissie-Dessens pleit voor een wetswijziging (i) waarin de bevoegdheden van inlichtingen- en veiligheidsdiensten zo ‘techniekonafhankelijk mogelijk’ worden gedefinieerd en (ii) waarin de democratische controle op de uitoefening van die bevoegdheden effectief wordt gewaarborgd.

Index


AMS-IX: het gouden ei van het internettijdperk
Nederland is een koploper in de sector van de Europese digitale infrastructuur. Die digitale infrastructuur draagt significant bij aan onze internet-economie die op zijn beurt weer zorgt voor groei in werkgelegenheid (ca. acht procent per jaar). De Amsterdam Internet Exchange (AMS-IX) is het belangrijkste internetknooppunt van Nederland en het grootste ter wereld. Een zeer groot deel van het internetverkeer met het buitenland en het dataverkeer tussen Nederlandse internetproviders wordt afgehandeld via het netwerk van AMS-IX. De economische waarde van de AMS-IX is enorm groot. Volgens een onderzoek dat is uitgevoerd door Deloitte legde Amsterdam in 2014 als internetstad meer economisch gewicht in de schaal dan de zeehaven van Rotterdam of de nationale luchthaven Schiphol.

AMX-IX is een onafhankelijke en neutrale partij waarvan het beleid bepaald wordt door de aangesloten leden van de vereniging. De nieuwe wet zou betekenen dat inlichtingendiensten binnenkort wel bij AMS-IX kunnen aankloppen om daar ongericht inlichtingen te verzamelen. Dat zou een ramp zijn voor AMS-IX en de hele digitale economie in Nederland. Bastiaan Goslings, verantwoordelijk voor beleid en regelgeving bij AMX-IX, is hierover zeer duidelijk:

Het wetsvoorstel tast de integriteit van de AMS-IX fundamenteel aan: De AMS-IX zou hierdoor zijn neutrale positie dreigen te verliezen. Een duidelijke indicatie van de ernstige schade die deze wet kan toebrengen is dat enkele verontruste buitenlandse internet- en serviceproviders overwegen Amsterdam te verlaten als de wet aangenomen wordt.

Index Nomadische gedachten

Snuffelstaten
Tijdens de hoorzittingen over het misbruik van nationale veiligheidsmacht in de jaren zeventig, schetste senator Frank Church wat er kan gebeuren als een door de staat gesponsord surveillance regime gebruikt wordt als excuus om ons veilig te houden ten koste van onze vrijheid.

Volgens de moedige klokkenluider Edward Snowden vormt een alwetende staat de grootste bedreiging voor onze vrijheid. Een snuffelstaat die al haar burgers permanent afluistert, bespioneert en bewaakt, is een totalitaire staat. Wie wil er leven in een wereld waarin alles wat je zegt, doet of schrijft en elk contact dat je hebt met geliefden, vrienden, collega’s en kennissen door snuffeldiensten van de overheid wordt geobserveerd, afgetapt, afgeluisterd, opgeslagen en geanalyseerd?

De bescherming van privégegevens en van de vertrouwelijkheid van communicatie is een van de grootste problemen waarmee internetgebruikers worden geconfronteerd. Welke rechten hebben internetters wanneer zij eigen hun bestanden en onderlinge communicaties toevertrouwen aan grote commerciële internetondernemers zoals Google, Facebook, Skype, Microsoft of Apple?

Dat er er op grote schaal commercieel ge- en ook misbruik wordt gemaakt van persoonsgegevens en particuliere communicaties is langzamerhand bekend. We hebben eerder gezien hoe de groothandelaren in persoonsgegevens te werk gaan, en met welke panoptische technieken zij in staat zijn om enorme winsten te behalen door privacyrechten te bruuskeren.

De vrijheidsrechten van gebruikers van internet en mobiele communicatie worden in steeds venijniger aard bedreigd door snuffelstaten die hun inlichtingen- en veiligheidsdiensten gebruiken om al alle burgers stiekem onder permanent digitaal toezicht te stellen. Dat in dictaturen en autoritaire regimes die niet beteugeld worden door de basisregels van een democratische rechtsstaat. Maar het gebeurt ook in staten die al jarenlang een democratische constitutie kennen.

De Amerikaanse overheid bespioneert in samenwerking met inlichtingendiensten van andere landen en met medewerking van internet-, telefoon en datadienstbedrijven haar eigen bevolking en die van andere landen onder het excuus van het beschermen van haar eigen nationale veiligheid. En dat alles gebeurt heimelijk, buiten wettelijke kaders en buiten het publiek debat.

Staatsburgers worden leesbare datasubjecten (James Scott). We worden niet alleen leesbaar op biologisch niveau, maar ook in onze bewegingen, in onze transacties, interacties en communicaties.

Nog niet zo lang geleden werd gedacht dat geheime diensten weinig aankonden met zulke onvoorstelbaar grote hoeveelheden data. De massa van gedigitaliseerde data is de laatste jaren nog veel verder geëxplodeerd. Daar staat tegenover dat het nu beter mogelijk is om patronen te onderkennen in die grote en grillige data-oceaan. In de astronomie, hoge-energiefysica en genetica werden nieuwe wiskundige methoden bedacht om specifieke patronen te destilleren uit een enorme massa gegevens. Deze methoden zijn overgedragen op het onderzoek naar communicatiedata. Samen met nieuwe supercomputers en computernetwerken kunnen de oude problemen van de omgang met big data nu worden opgelost — ook al kost dat geld, heel veel geld.

Baanbrekende cryptokrakers
Ook het kraken van versleutelde documenten gaat in hoog tempo door. In zijn toelichting op de begroting voor 2013 merkte de directeur van National Intelligence, James R. Clapper Jr. op: “Wij investeren in grensverleggende crypto-analytische capaciteiten om de cryptografie van tegenstanders te verslaan en internetverkeer te exploiteren” [New York Times 5.9.13]. In de toekomst zal het succes of falen van superstaten in sterke mate worden bepaald door de kracht van hun cryptoanalytische programma’s, d.w.z. door hun vermogen om beveiligingsmechannismen te kraken.

De grootste inlichtingendiensten ter wereld hebben deze investeringen inmiddels gedaan en de resultaten zijn indrukwekkend, maar vooral ook afschrikwekkend. Het samenspel tussen de grote Amerikaanse internetbedrijven en de NSA leiden niet alleen verder op een heilloze weg in de richting van een big-brother staat, maar ook tot een gevaarlijke militarisering van cyberspace.

Vanuit Europees perspectief dringt zich steeds scherper de vraag op welke rechten buitenlandse gebruikers hebben als zij gebruik maken van de diensten van Amerikaanse internetbedrijven. De meerderheid van hun gebruikers leeft niet in Amerika. Zij ervaren steeds meer dat Facebook, Google, Skype, Microsoft en Apple onveilige en ongastvrije internetruimtes zijn. Het zijn virtuele ruimtes waarin onze individuele en politieke vrijheidsrechten —zoals het recht op privacy en onbespiede communicatie— niet worden beschermd tegen clandestiene operaties van zeer machtige en opdringerige militaire inlichtingendiensten van formeel ‘bevriende’ naties.

Index


Het nut van sociale media
Inlichtingen- en veiligheidsdiensten hebben gemak van de enorme populariteit van sociale netwerken zoals Facebook, LinkedIn, Google+ en Twitter. Zij vormen een goudmijn voor het in kaart brengen van sociale relaties en bieden een schat aan informatie over ‘verdachte’ connecties en ‘dubieuze’ transacties. De cirkels van vrienden en vrienden van vrienden kunnen op relatief eenvoudige wijze worden verzameld en in daarvoor speciaal geconstrueerde gigadatabanken worden opgeslagen.

Uit de onthullingen van Edward Snowden bleek dat de afdeling Special Source Operation van de NSA wereldwijd miljoenen adresboeken uit instant messaging- en e-mailaccounts heeft verzameld. Die adresboeken bevatten niet alleen namen en e-mailadressen, maar ook telefoonnummers, adresgegevens en zakelijke en persoonsgerelateerde informatie.

Lekken in Google en Yahoo! In 2012 werden op één dag 444.743 adresboeken van Yahoo, 105.068 van Hotmail en 82.857 van Facebook, 33.697 van Gmail en 22.881 van niet gespecificeerde providers verzameld. Elke dag verzamelt de NSA naar schatting 500.000 vriendenlijsten van live chatdiensten en van de inkomende post van webmailaccounts. Jaarlijks verzamelt de NSA zo’n 250 miljoen adresboeken. Dit is mogelijk dankzij geheime overeenkomsten met buitenlandse telecombedrijven of bevriende inlichtingendiensten die toegang hebben tot de centrale internetknooppunten [Washington Post 14.10.13].

Wie zijn adresboek aan Gmail, Hotmail of Yahoo etc. toevertrouwt kan er zeker van zijn dat deze in de databank van de NSA en andere inlichtingendiensten is opgeslagen en hetzelfde geldt voor de contactenlijsten op sociale media en de vriendenlijsten in chatdiensten.

Zelfs je avatar is niet veilig
Diverse grote particuliere aannemers spanden zich in om de Amerikaanse inlichtingendiensten ervan te overtuigen dat zij in staat waren om toezicht te houden op de virtuele speldomeinen. In een document dat in 2007 door de gigant SAIC (nu Leidos) werd opgesteld (en dat door Snowden werd onthuld) prijst zij zichzelf aan als de ideale candidaat om inlichtingen te verzamelen in de virtuele spelruimte. Zij waarschuwt dat online games gebruikt kunnen worden door militante groepen om volgelingen te recruteren. Terroristische organisaties zouden deze platforms gebruiken om een groot publiek te bereiken. Met dergelijk overwegingen werden lucratieve contracten in de wacht gesleept.
Zelfs de avatar waarmee je een online spelletje speelt valt binnen het bereik van de surveillance van de NSA. Het surveillance sleepnet van de NSA wordt ook losgelaten op onze digitale alter ego’s die leven in de virtuele domeinen van online games. Uit een intern geheim document dat door The Guardian werd geopenbaard, bleek dat de NSA en de GCHQ de activiteiten en communicaties van 48 miljoen gamers die gebruik maken van Xbox Live monitort. Ook de virtuele werelden van Second Live en World of Warcraft zijn door de Amerikaanse en Britse inlichtingendienst geïnfiltreerd [Guardian 9.12.13].

De spionnen doen zich voor als normale gamers om inlichtingen te verzamelen over online sociale netwerken van de spelers al dan niet met gebruik van informanten. Volgens het geheime document bieden online games een kans voor effectieve verzameling van inlichtingen.

Operation Galician
Het enige bekende ‘succes’ is dat de Britse geheime dienst GHCHQ claimt dat haar operaties in Second Life de politie heeft geholpen om eind 2008 een criminele bende op te sporen die in de virtuele wereld gestolen creditcard informatie probeerde te verkopen [NYT 10.12.13].
Het is niet bekend of er op deze manier ooit een terroristisch complot of een criminele bende is opgerold. Erg waarschijnlijk is dat niet. Er is ook geen duidelijk bewijs dat terroristische groepen gebruik hebben gemaakt van deze virtuele spelgemeenschappen om met elkaar te communiceren, om geld over te maken of om aanslagen te plegen.

Index


Vinger op de zwakke plek: vertrouwen in beveiligingsstandaarden
Cryptografie en online vertrouwen
Volgens Bruce Schneier heeft de NSA het hele internetstelsel getransformeerd in een reusachtige surveillanceplatform. “Cryptografie is de basis voor online vertrouwen. Door opzettelijke online beveiliging te ondermijnen in een kortzichtige poging om af te luisteren, ondermijnt de NSA precies de hele constructie van het internet” [Guardian 6.9.13].

De versleutelde gegevens worden door de NSA vooral toegankelijk gemaakt door het ondermijnen van de onderliggende cryptografie en niet zozeer door de hefboomwerking van een of andere geheime wiskundige doorbraak. De NSA werkt samen met producenten van beveiligingsproducten om ervoor te zorgen dat commerciële producten heimelijk gekraakt kunnen worden.

Het staat vast dat Amerikaanse en Britse inlichtingendiensten erin geslaagd zijn om een groot deel van de online encryptie te kraken waar honderden miljoenen mensen op vertrouwden om de privacy van hun persoonlijke gegevens, online transacties, telefoongesprekken en e-mails te beschermen. NSA & CGHQ hebben daarvoor samengewerkt met technologiebedrijven en internetproviders om versleutelingssoftware te verzwakken en achterdeurtjes in te bouwen in diensten en producten. Deze internetbedrijven werkten hieraan —vrijwillig, soms onder dwang of tegen betaling— aan mee. De bedrijven en instellingen die zeggen de veiligheid van burgers te beschermen, hebben bewust samengespannen om het internet minder veilig te maken. Uit de door Edward Snowden gelekte documenten blijkt dat de inlichtingendiensten hun succes in het breken van geëncrypteerde communicatie viert als “een overwinning op de netwerkveiligheid en privacy”. De grote investeringen in sterke decryptieprogramma’s worden door de NSA beschreven als “de toegangsprijs voor de VS om onbelemmerde toegang tot en gebruik van cyberspace te maken” [Guardian 6.9.13; BOF 6.9.13].


Geclassificeerde briefing tussen de NSA en GCHQ waarin zij hun succes vieren van “defeating network security and privacy”. In 2013 geeft de NSA bijna $255 miljoen uit aan het decoderingsprogramma. Het programma is onder andere ontwikkeld om “kwetsbaarheden in commerciële encryptiesystemen in te bouwen” [Guardian, 5.9.13].

Op 16 september 2013 schreven een aantal beveiligingsonderzoekers en professoren een open brief aan de NSA en GCHQ. Volgens hen hebben de inlichtingendiensten het algemeen belang geschaad door het ondermijnen van de encryptie die door burgers, bedrijven en instellingen en overheden wordt gebruikt voor de uitwisseling van vertrouwelijke, gevoelige of geheime informatie.

Zij leggen de vinger precies op de meest gevoelige plek: de inlichtingendiensten ondermijnen de implementatie van encryptische standaarden waar we op vertrouwen om de kritieke infrastructuren van ons land te beschermen.

Daarom roepen de briefschrijvers de NSA en GCHQ op om te laten weten welke systemen ze hebben verzwakt en ondermijnd zodat die gerepareerd kunnen worden. Bovendien moet er controle plaatsvinden met scherp afgebakende regels die het verzwakken van de veiligheid van civiele en militaire infrastructurele systemen verbieden. “In het moderne informatietijdperk moeten we de basisinfrastructuur die we allemaal gebruiken volledig kunnen vertrouwen.”

Onvoorziene gevolgen van sleepnetsurveillance
“De encryptietechnologieën die de NSA heeft gebruikt om haar geheime sleepnetsurveillance mogelijk te maken zijn dezelfde technologieën die onze meest gevoelige informatie beschermen, inclusief medische dossiers, financiële transacties en commerciële geheimen. Ook als de NSA meer bevoegdheden eist om in naam van cyberveiligheid inbreuk te maken op onze privacy, maakt ze het internet minder veilig en stelt ons bloot aan crimineel hacken, buitenlandse spionage en onwettige surveillance. De inspanningen van de NSA om stiekem encryptie te verslaan zijn roekeloos kortzichtig. Zij ondergraven niet alleen de reputatie van de VS als een globale kampioen van civiele vrijheden en privacy, maar ook de economische concurrentiekracht van haar grootste ondernemingen” [Christopher Soghoian, ACLU 5.9.13].

Het kraken van encryptie is een fundamentele aanval op de manier waarop het internet werkt. Consumenten en bedrijven vertrouwen erop dat de netwerken en technologieën die zij gebruiken voor gevoelige online transacties en privécommunicaties veilig zijn. Het is destructief om opzettelijk fouten en zwakheden aan te brengen in de beveiliging van kritische infrastructuren.

Index


Gouden eeuw van cybersurveillance
De combinatie van big data en big government is angstaanjagend. Als er ooit “de gouden tijd van privacy op internet” [Folkert Jensma] bestaan zou hebben, dan is deze nu wel definitief voorbij. Het lijkt er veelmeer op dat we in «de gouden eeuw van surveillance op internet» zijn beland, of zoals de NSA zegt: “the folden age of Sigint” [NYT 22.11.13]. Wat eens als een uitbreiding en verrijking van de vrijheid van meningsuiting en van associatie werd gezien, lijkt nu het domein van clandestien toezicht, controle en repressie te worden. Het regime van de transnationale surveillance is dichter bij dan voor democratieën gezond is.

Dat is niet het internet dat we nodig hebben en het is zeker niet het internet dat de pioniers voor ogen stond. NSA, GCHQ en andere veiligheidsdiensten (zoals die in Rusland, China, Iran etc.) hebben het internet veranderd in een robuust surveillance platform. Cyberspace dreigt een wereld te worden waarin we niemand meer kunnen vertrouwen. Dat geldt niet alleen voor de bedrijven die de infrastructuur van het internet bouwen en onderhouden, voor de bedrijven die ons hardware en software verkopen en voor de bedrijven die onze data in beheer hebben, maar ook voor de overheidsinstanties die juist de veiligheid van ons internet- en telefoonverkeer zouden moeten waarborgen.

Locatiegegevens: Ik weet waar jij bent
Het is niet langer ondenkbaar dat werkelijk iedereen permanent wordt gevolgd. In feite gebeurt dit al met iedereen die een volgsysteem bij zich heeft —een mobiele telefoon— dat telkens hun locatie doorgeeft aan een aantal telecombedrijven. Die telecombedrijven zijn wettelijk verplicht om deze informatie afstaan aan als de overheid daarom vraagt.

In digitale mobiele netwerken worden locatiegegevens gebruikt om de transmissie van communicatie te faciliteren. Locatiegegevens zijn gegevens waarmee de geografische positie van de eindapparatuur van een gebruiker van een elektronische communicatiedienst wordt aangegeven. Zij geven niet alleen aan waar iemand zich op welk tijdstip bevind (breedte, lengte, hoogte), maar ook in welke richting en met welke snelheid iemand zich verplaatst.

Locatiegegevens zijn een bijzondere vorm van verkeersgegevens. Alle andere verkeersgegevens hebben betrekking op het communicatiegerelateerde gedrag van de gebruiker. Locatiegegevens hebben ook betrekking op feitelijk gedrag op momenten dat er niet wordt gecommuniceerd [Ekker 2002b: 46].

Verkeersgegevens: Ik weet wie jij bent
Er is al eerder op gewezen dat de metadata over ons communicatiegedrag vaak gevoeliger informatie bevatten dan wát er wordt gezegd en geschreven. Verkeersgegevens omvatten veel meer dan: wie belt/mailt/chat/sms’t etc. wanneer hoelang en hoe vaak met wie.

Van élke techniek en élke vorm van digitale communicatie kunnen álle soorten verkeersgegevens worden opgeslagen en verzameld. Het gebeurt bij alle apparaten die we dagelijks gebruiken: computer, laptop, tablet, mobiele telefoon en smart-tv. Alle digitale communicatievormen laten sporen na die als verkeersgegevens te traceren zijn. Dit geldt voor elke website die je bezoekt, voor elke muisklik op het internet, voor elk bestand dat wordt geup- of download, voor elke e-mail die verzonden of ontvangen is, voor elke bijdrage (posting) op alle webfora, voor elk woord of beeld dat je ooit via een sociaal medium hebt verspreid in je virtuele persoonlijke netwerk, voor elke persoon waarmee je ooit contact hebt gehad via een van je mobiele communicatieapparaten, en voor elke plaats die je ooit op deze globe hebt bezocht met je mobieltje op zak. Verkeersgegevens omvatten ook het ip-nummer waarvan je gebruik maakt, de protocollen en programma’s je gebruikt, de merknaam, het type en het serienummer van het apparaat dat je gebruikt, het volume van de communicatie enz. enz.

Het aantal communicatietechnieken en de hoeveelheid gegevens die bij de verschillende communicatievormen worden gegenereerd, neemt steeds meer toe. Daarom is een blijft het lastig om een technische of juridische definitie te geven van verkeersgegevens [Ekker 2002b].

We staan in het middelpunt van een epische machtsstrijd in cyberspace. Aan de ene kant staan de traditionele, georganiseerde en geïnstitutionaliseerde machten van regeringen en grote multinationale ondernemingen. Aan de andere kant staan de gedistribueerde netwerken van cyberactivisten, flexibele wolkbewegingen, dissidenten, hackers en ook criminele bendes. Zij gebruikten het internet als laagdrempelig informatie- en communicatiemedium, als een rijk van vrijheid van meningsuiting zonder censuur, als platform voor zelforganisatie en effectieve actiecoördinatie, als domein waar traditionele machtscentra vrijelijk konden worden aangevallen, en als een sfeer waar in zeer korte tijd grote kapitalen konden worden verduisterd.

De hooggespannen utopische verwachtingen over de zegeningen van het internet zijn inmiddels wel bekoeld. Internet is big business geworden. Cyberspace is in vergaande mate gecommercialiseerd en wordt gedomineerd en geëxploiteerd door oncontroleerbare webgiganten die met behulp van uitgekiende marketingtechnologieën hun —alles behalve virtuele— winsten accumuleren. De traditionele politieke elites hebben zich inmiddels hersteld van hun aanvankelijke onvermogen om internet voor eigen doeleinden aan te wenden en hebben geleerd om al die nieuwe digitale technieken aan te wenden om de eigen macht te handhaven, bedreigende vormen van dissidentie te identificeren en verzet te onderdrukken. Cyberspace is een domein geworden waar repressieve regimes op een efficiënte wijze toezicht, censuur, propaganda en controle kunnen uitoefenen.

Big Brother We weten nu zeker en ook tamelijk gedetailleerd dat deze politieke usurpatie van cyberspace niet alleen plaats vind in totalitaire staten waar big brother samen met software sister een alzijdig digitaal toezicht ensceneren en sociale netwerken zoals Facebook gebruiken om afwijkende opvattingen te identificeren, gedragingen van burgers te controleren en dissidenten te arresteren. Ook en vooral voor de leidende grootmacht van «het vrije Westen» lijkt totaal toezicht de norm te zijn geworden.

Big brother is niet meer wat hij sinds George Orwell was. Het superviserende oog van grote broer ziet met de huidige technologische middelen nog veel meer. Grote broer is nog veel groter en machtiger geworden. En waarschijnlijk heeft Neal Stephensen gelijk dat de dreiging niet langer één Big Brother is (een gecentraliseerde politiestaat), maar van duizenden Little Brothers (een gedecentraliseerde snuffelstaat in kongsi met wereldomvattende internetondernemingen). Het lijkt wel alsof internet zichzelf aan het devolueren is tot een snuffelstaat. Een virtuele snuffelstaat waarin permanent en overal worden gevolgd en waarbij het geringste digitale spoortje wordt verzameld, opgeslagen en geanalyseerd.

Volgens Bruce Schneier heeft de Amerikaanse regering het internet verraden en heeft de NSA een fundamenteel sociaal contract ondermijnd. Hoewel dit primair een politiek probleem is, is het tegelijkertijd een technologisch probleem dat door computerspecialisten zou moeten worden opgelost. “Wij technici hebben het internet gebouwd — en nu moeten we het repareren” [Guardian 5.9.13]. Het wordt tijd dat onze computer- en netwerkspecialisten het internet zodanig herontwerpen dat grootschalig afluisteren voorkomen kan worden en de vertrouwelijkheid van onze communicaties wordt verzekerd.

Hier ligt een belangrijke taak te wachten voor het Internet Engineering Task Force (IETF), de groep die de internetstandaarden definieert. Bij het ontwerp van de internetprotocollen is nooit echt rekening gehouden met de beveiliging van het internetverkeer en zeker niet met harde waarborgen tegen grootschalig monitoren van haar gebruikers. Het wordt tijd dat zowel de anonimiteit van de gebruiker als versleuteling van de communicatie in de basisprotocollen van het internet zelf worden ingebakken.

Verraad aan de IT-industrie
Sir Tim Berners-Lee
Sir Tim Berners-Lee
De vader van het World Wide Web, Sir Tim Berners-Lee, noemde de internetspionage door de Amerikaanse en Britse geheime diensten “verraad aan de IT-industrie.” Hij maakt zich vooral kwaad omdat de geheime diensten de beveiliging van het internet in gevaar brengen door de encryptiestandaard te verzwakken. Het is volgens Berners-Lee “verschrikkelijk en dwaas” dat de NSA en GCHQ dit moedwillig hebben gedaan. Bij miljoenen internetters is hierdoor het toch al labiele vertrouwen in de beveiliging ernstig geschonden. Het vertrouwen van het publiek in de intieme privacy van het internet als een vrije en veilige plaats om te interacteren is beschadigd. “Als je de veilige ruimte wegneemt, ontneem je een groot deel van de macht om menselijke problemen op te lossen.” Bovendien dwarsboomt het de inspanningen van andere regeringen om cybercriminaliteit te bestrijden en cyberoorlog te voorkomen. “Klokkenluiders en verantwoordelijke media die met hen samenwerken spelen een belangrijke rol in de samenleving. We hebben sterke inlichtingendiensten nodig die criminele activiteiten online bestrijden. Maar elke krachtige overheidsdienst moet beteugeld worden. Gezien de recente onthullingen lijkt het erop dat het huidige controlesysteem heeft gefaald” [Guardian, 7.11.13].

Index


Privacy als vrijheidsrecht — beteugeling van toezicht op communicatie
Privacy is een kernwaarde van onze vrijheidsrechten. Daarom is massaal/ongericht staatstoezicht op digitale communicatie intrinsiek repressief. Het beknot de vrijheid van burgers. De Electronic Frontier Foundation (EFF) formuleerde met 280 buitenlandse zusterorganisaties een aantal juridische principes die misbruik van massieve surveillance beperken en het vrijheidsrecht op privacy garanderen. De preambule van deze Internationale principes voor de toepassing van mensenrechten op communicatie surveillance luidt als volgt:

Joss Wright, onderzoeker van het Oxford Internet Institute, mijmerde over de afluisterprogramma’s van de NSA: “Het is net zo erg als wanneer ze je dagboek lezen”. Hij dacht even na en corrigeerde zichzelf: “Het is veel erger dan je dagboek lezen. Omdat je niet alles in je dagboek schrijft” [Military.com 2.7.13].
Privacy is een vrijheidsrecht dat met goede —in dit geval libertaire— normatieve argumenten verdedigd kan en dus ook dient te worden. Staatstoezicht dient beperkt te worden tot wat noodzakelijk is om een legitiem doel te bereiken (zoals de handhaving van de rechtsstaat of de verdediging van de staatsveiligheid). Toezicht op communicatie is een uiterst opdringerige daad. Het is een inbreuk op het persoonlijke leven en moet daarom altijd worden afgewogen tegen de schade die daarmee wordt aangebracht aan de rechten van dat individu. Democratische staten dienen transparant te zijn over het gebruik en de reikwijdte van toezicht op communicatie. Staten moeten geen internetproviders of hardware en software producenten dwingen om achterdeurtjes in te bouwen of andere spionagetechnieken.

In de voorafgaande hoofdstukken is het spanningsveld tussen privacy en vrijheid enerzijds en surveillance en veiligheid anderzijds in kaart gebracht. Daarbij werd uitvoerig beargumenteerd dat privacy en veiligheid niet eendimensionaal tegenover elkaar staan [zie de kritiek op Jack de Vries]. Een samenleving wordt niet veiliger wanneer het recht op privacy wordt ingeleverd of beperkt. Integendeel, een rechtsstaat wordt niet beschermd door burgers hun recht op onbespiede communicatie te ontzeggen, of door het afschaffen van de controle op inlichtingen- en veiligheidsdiensten. Een democratische rechtstaat wordt ook niet gediend door een gebrek aan transparantie over welke vormen van toezicht deze diensten mogen toepassen en hoe frequent zij dat daadwerkelijk doen.

Bij de grootste internetbedrijven is onze privacy in ieder geval niet in goede handen. Zij vergaren hun gigawinsten met de verkoop van onze persoonsgegevens en sluizen deze zonder veel scrupules door aan de afluisterdiensten van hun nationale staat (lees: de VS). Zonder medewerking van deze internetreuzen zou de NSA niet in staat zijn geweest op zo’n grote schaal persoonsgegevens te verzamelen.

De leiders van de internetreuzen vertonen een opmerkelijke minachting voor het recht op privacy. Google-baas Eric Schmidt verklaarde in een inmiddels berucht interview in 2009 dat privacy alleen belangrijk is voor mensen die iets te verbergen hebben. “Als je iets geheim wilt houden, had je het misschien sowieso niet moeten doen” [CNBC, 29.12.09].

In 2010 verklaarde oprichter en directeur van Facebook, Mark Zuckerberg dat “mensen het heel gewoon zijn gaan vinden om niet alleen méér en verschillende soorten informatie met anderen te delen, maar ook openlijker en met meer mensen”. Hij concludeerde dat in het digitale tijdperk privacy geen sociale norm meer is [TechCrunch, 9.1.10]. Die conclusie gold wel voor alle gebruikers van Facebook, maar niet voor zichzelf. Om zijn eigen privacy te beschermen betaalde Zuckerberg 30 miljoen dollar voor de vier huizen in de directe omgeving van zijn privéwoning in Palo Alto.

Index


Balkanisering van het internet: een nationaal internet?
We hebben gezien dat in veel landen die binnen het bereik van de digitale tentakels van de NSA zijn gekomen de neiging bestaat om een eigen beschermd internet te bouwen. Een nationaal internet met een eigen e-mailsysteem en met een eigen cloudvoorziening. Buitenlandse internetbedrijven zoals Facebook en Google zouden daarbij verplicht worden om persoonsgegevens die in zo’n nationaal internet worden verzameld ook in dat land zelf op servers op te slaan.

Het is begrijpelijk dat mensen op zoek gaan naar mogelijkheden om zich tegen ongewenste en illegale pottenkijkerij te wapenen. Maar die bescherming wordt niet geboden door een versnippering van het internet langs nationale lijnen. Een «nationaal internet» is een onding, een oxymoron, een gele logaritme. Er worden twee woorden gecombineerd die elkaar in hun letterlijke betekenis tegenspreken. Internet is het globale netwerk der netwerken en is dus per definitie open en niet versnipperd langs nationale grenzen. Een balkanisering van het internet zou het einde van het internet betekenen. Op een digitale verzuiling zit (bijna) niemand te wachten. Het globale internet degenereert dan tot een splinternet: een “samenraapsel van afgeschermde en gecontroleerde digitale politiestaatjes” [VK<16.4.15].

Zelfs als het technisch mogelijk zou zijn om louter nationale internetvoorzieningen op te bouwen, dan biedt dit nog geen harde waarborg tegen opdringerige buitenlandse veiligheidsdiensten. Voor goed uitgeruste buitenlandse spionageapparaten zijn er genoeg mogelijkheden om zo’n nationaal of parochiaal intranet te penetreren.

Online mensenrechten
De VN-Mensenrechtenraad bevestigde in juni 2012 in een resolutie dat dezelfde rechten die mensen offline hebben ook online beschermd moeten worden, inclusief het recht op online vrijheid van meningsuiting en het recht van online associatie. Met algemene stemmen werd resolutie A/HRC/20L.13 aangenomen: Promotion, protection and enjoyment of human rights on the Internet. Alle lidstaten werden opgeroepen om internettoegang te promoten, te faciliteren en te genieten. Het open, gedecentraliseerde en globale internet is zelf de drijvende kracht achter de ontwikkeling van online vrijheidsrechten. Het ontzeggen van toegang tot internet wordt sindsdien beschouwd als een schending van mensenrechten [ISOC 9.7.12].
Naast deze ‘nationalistische’ oplossing werd er opnieuw ook gezocht naar een ‘internationalistische’ oplossing: de Verenigde Naties. Om het afluisteren door de NSA tegen te gaan hebben de politieke leiders van Brazilië en Duitsland aangekondigd dat zij politieke actie willen ondernemen in de VN. Er is niets op tegen om mensenrechten zoals het recht op privacy ook online te beschermen. De VN heeft daartoe in een eerdere resolutie ook al opgeroepen. Maar het is gevaarlijk om de VN een formele rol te laten spelen in de regulering van het internet. Er zitten eenvoudig te veel landen in de VN die de actuele sores rond de Amerikaanse afluisterpraktijken zullen aangrijpen “om hun eigen agenda van censuur en controle over het internet door te drukken” [D66-Europarlementariër Marietje Schaake, in: Security 28.10.13].

Vanuit China, Brazilië en Iran zijn al eerder pogingen ondernomen om het beheer van het internet over te dragen aan een internationale organisatie zoals de VN. Centrale beheersfuncties van het internet zouden dan worden overgedragen aan een centrale organisatie waarin alleen overheden zijn vertegenwoordigd. “Dat zou in strijd zijn met het hele idee van zelfregulering dat het internet groot en succesvol heeft gemaakt. Het zou gevaarlijk zijn voor de verdere ontwikkeling van het net” [Daniel Karrenberg, NRC 13.11.05].

Naast de nationalistische en internationalistische ‘oplossing’ is er ook nog een derde optie: hervorming van het beheer of de infrastructuur van het internet. Die hervorming dient er vooral op gericht te zijn om te breken met de Amerikaanse dominantie in het internetbeheer.

In oktober 2013 kwamen in Montevideo de directeuren van alle belangrijke infrastructurele internetorganisaties bijeen:

Het zijn alle vijf regionale organisaties die IP-adressen op het internet toekennen (Regional Internet registry - RIR). Zij doen dat namens de Internet Assigned Numbers Authority (IANA) die verantwoordelijk is voor de globale coördinatie van de topleveldomeinen (DNS Root), IP-adressering en andere bronnen van het internetprotocol.

Globalisering vs Balkanisering
“The ideal of a single, global internet —one network under God and Uncle Sam— was already under threat as China, Russia, India and other major powers rushed into cyberspace. Now the Balkanisation of the net has become another racing certainty because no major government (except perhaps our benighted administration) will any longer accept that the internet is safe in American hands” [Guardian 1.12.13].
Voor het eerst in de geschiedenis van het internet stelden deze organisaties gezamenlijk voor om te breken met de al drie decennia durende Amerikaanse dominantie in het internetbeheer. In de verklaring wordt opgeroepen om “de functies van ICANN en IANA te globaliseren naar een omgeving waarin alle belanghebbenden, inclusief alle regeringen, op een gelijkwaardige basis kunnen participeren”. Dat is een expliciete verwerping van het unilaterale toezicht op ICANN door het Amerikaanse US Department of Commerce (DOC). Het is ook een indirect aanval op de unilaterale Amerikaanse benadering van de Affirmation of Commitments. Dat is een verdrag tussen de VS en ICANN dat voorziet in periodieke inspecties van haar activiteiten door het Governmental Advisory Committee (GAC) en andere leden van de ICANN-gemeenschap.

In de Montevideo-verklaring wordt geen blauwdruk gegeven voor een globalisering (lees vooral: de-Amerikanisering) van het internetbeheer. Maar het is wel een sterk pleidooi voor een nieuwe toezichtvormen waarbij meerdere belanghebbenden worden betrokken.

Een dag na de Montevideo-verklaring had de president van het ICANN, Fadi Chehadi, een ontmoeting met de Braziliaanse presidente Dilma Rousseff. Hij vroeg haar of ze zich wilde inzetten voor een nieuw model van internetbeheer “waarin we allemaal gelijk zijn” [IGP 11.10.13]. Zij spraken af om hierover in April 2014 in Rio de Janeiro een bijeenkomst te organiseren [News 24 10.10.13].

Dit was zeer opmerkelijk. De baas van het ICANN was door de Amerikaanse regering uitgebreid doorgelicht om leiding te geven aan haar sleutelinstituut voor internetbeheer. Nu begon hij samen te spannen met de president van een land dat uiterst kritisch staat ten opzichte van de Amerikaanse hegemonie in het beheer van het internet. De Amerikaanse regering heeft te laat in gezien dat zij zelf het initiatief had kunnen nemen om haar exclusieve machtspositie in het toezicht op het internet.

Libertaire principes van internetbeheer
Het Internet Governance Project (IGP) is geen voorstander van een multilateraal model van politiek toezicht of van een multi-stakeholder model. Zij pleit voor een internationale overeenkomst waarin duidelijk regels worden vastgelegd over wat het ICANN kan en niet kan doen. In zo’n overeenkomst zou de vrijheid van meningsuiting en andere individuele rechten expliciet moeten worden beschermd.

Index


Inkeer van internetbedrijven?
De internetspionage van de Amerikaanse en Britse geheime dienzen zijn niet alleen een “verraad aan de IT-industrie” [Berners-Lee]. Veel internetters voelen zich ook verraden door de grote internetbedrijven omdat zij hun persoonsgegevens onvoldoende hebben beschermd en hun privacy niet hebben gewaarborgd. De internetbedrijven zette een grote campagne op touw om hun gebruikers ervan te overtuigen dat zij hun privacy wel degelijk beschermen.

De zeven grootste Amerikaanse internetbedrijven (Google, Microsoft, Apple, Linkedin, Twitter, AOL en Yahoo) publiceerden op 9 december 2013 een open brief aan president Obama het Congres [Guardian 9.12.13; NYR 9.12.13'VK 10.12.13]. In deze brief worden vijf principes geformuleerd waaraan overheden zich zouden moeten houden.

Opvallend is dat de roep om meer respect voor privacy alleen gericht is aan overheden. Over het feit dat de internetbedrijven zelf ook grootscheeps gegevens opslaan en verhandelen wordt met geen woord gesproken.

Een zichzelf beperkende geheime dienst?
Na een aantal maanden introspectie constateerde president Obama dat het tijd werd om de NSA tot enige zelfbeperking aan te sporen. “Having done an independent review and brought in a whole bunch of folks — civil libertarians and lawyers and others — to examine what’s being done, I’ll be proposing some self-restraint on the N.S.A., and you know, to initiate some reforms that can give people more confidence” [Obama op 5.12.13 in het MSNBC programma Hardball].

Zwaargewichten
De taakgroep van Obama bestond uit een aantal zwaargewichten: Richard A. Clarke (expert in digitale conflicten), Michael J. Morell (voormalige directeur van de CIA), Cass R. Sunstein (professoer op de Hardvard Law School), Peter Swire (expert in privacy wetgeving), Geoffrey R. Stone (expert in constitutioneel recht en voormalige dekaan van de Law School van de Universiteit van Chicago).
In augustus 2013 zette Obama een 5-koppige taakgroep aan het werk om aanbevelingen te doen voor een hervorming van de NSA. Medio december werden de eerste resultaten bekend van deze Review Group on Intelligence and Communications Technology. De belangrijkste aanbevelingen zijn de demilitarisering van de leiding van de geheime dienst en de begrenzing van de manier waarop het elektronische informatie van Amerikanen verzamelt en opslaat. De taakgroep stelt voor om een burger de leiding te geven aan de NSA en om de inlichtingendienst te scheiden van het Cyber Command, de belangrijkste eenheid voor militaire cyberoorlog. Het is het eerste signaal dat de onthullingen van Edward Snowden kan leiden tot wijzigingen van de programma’s die hij aan de kaak stelde. Om een eind te maken aan de omstreden praktijk van ongerichte grootschalige surveillance wordt voorgesteld dat de data van telefoongesprekken van Amerikanen niet meer door de NSA verzameld mogen worden maar dat deze door de telefoonmaatschappij of een andere ‘third party’ organisaties bewaard moeten worden. Ook moet de NSA afdeling die elektronische veiligheidscodes kraakt worden gescheiden van het andere deel van de dienst dat deze codes juist ontwikkelt en stimuleert [WSJ 12.12.13; NYT 12.12.13].

De regering van Obama liet al direct weten dat zij niet van plan was om de leiding van de NSA te demilitariseren en dat zij de nauwe relatie tussen de NSA en het Cyber Command van het Pentagon in stand wilde houden [WSJ 13.12.13].

Index


Wat te doen? - Aanbevelingen
De enige manier om het risico van een geslachtsziekte te vermijden is totale onthouding. Wie niet het risico wil lopen afgeluisterd te worden, moet helemaal geen gebruik maken van elektronische communicatie. Terug naar de ouderwetse postduiven? Dat is voor zeer weinigen een realistische oplossing. Ook al weten we dat er geen enkele methode van communicatie meer bestaat die volledig particulier is en dus bestendig tegen elektronisch afluisteren.

Volgens Edward Snowden is de ‘eindpuntveiligheid’ zo ongelofelijk zwak dat de NSA altijd wel een weg vind om deze te breken. Het eindpunt is de software die we gebruiken, de computer waarop je deze gebruikt en het lokale netwerk waarbinnen je het gebruikt. Als de NSA het encryptie algoritme kan wijzigen of een Trojaans paard op je computer kan installeren, dan heb je helemaal niets aan cryptografie.

Toch zijn er een aantal tips te geven die je beter beschermen tegen al te nieuwsgierige cyberaapjes. Ik sluit daarbij aan bij de vijf adviezen van Bruce Schneider, de Online Survival Kit van Reporters without Borders [RWB] en het tienstappen-plan van de EFF. Je hoeft geen IT-specialist te zijn om te weten hoe je eigen identiteit en de inhoud van je communicatie kunt beschermen tegen al te nieuwsgierige overheden of geldbeluste criminelen.

Een alwetende staat is de grootste bedreiging voor onze vrijheid. Dank zij Edward Snowden en vele andere ‘klokkenluiders’ weten we inmiddels dat nationale inlichtingen- en veiligheidsdiensten een groot deel van gangbare beveiligingstechnologieën in cyberspace kunnen kraken. Maar ook het vrijheidsrecht op vertrouwelijke communicatie (onbespied, anoniem en versleutelt) wordt in de virtuele en lokale wereld verdedigd. Zij worden net name verdedigd door burgerrechtenorganisaties die hoog in het vaandel hebben staan dat het recht op privacy ook dient te gelden in virtuele wereld van cyberspace.

Er zijn diverse strategieën, tactieken, methoden en technieken om privégegevens —en die van familieleden, geliefden, vrienden, collega’s of bekenden— te beschermen tegen misbruik door criminele of andere kwaadaardige individuen of organisaties. We weten nu ongeveer hoe krachtig en omvangrijk de surveillance capaciteiten van de NSA en andere grote inlichtingendiensten zijn.

Om jezelf en je vrienden te beschermen tegen de snuffelzucht van binnen- of buitenlandse overheidsinstellingen of marketingbedrijven is er geen eenduidige oplossing. Een van de beste remedies tegen snuffelzucht is het gebruik van sterke cryptografische systemen die op een adequate wijze worden geïmplementeerd. De meeste specialisten maken gebruik van meerdere programma’s — zoals GPG, Silent Circle, Tails, OTR, TrueCrypt, CryptoCat, BleachBit — om zich te beschermen tegen criminelen en tegen al te nieuwsgierige, autoritaire of dictatoriale regimes.

Index


Activisme: palet van burgerinitiatieven
Ondanks alle verontwaardiging over de afluisterpraktijken van de Amerikaanse inlichtingendiensten zijn er tot nu toe nog weinig ideeën om op een creatieve tegen het toezicht van de NSA te protesteren. Dat heeft ongetwijfeld te maken met het feit dat je digitaal toezicht niet kunt voelen en in het dagelijkse leven niet direct wordt ervaren.

Toch zijn er meer politiek gericht acties mogelijk en om vele goede redenen ook noodzakelijk. Je kunt je aansluiten of steun betuigen aan digitale burgerrechtenbewegingen die activiteiten organiseren om onbeteugelde snuffelpraktijken van overheden en ondernemingen aan de kaak te stellen en aan democratische banden te leggen. Je kunt zelf het initiatief nemen om een protestactie te voeren tegen het totaliserende toezicht op digitale informatie-uitwisseling en mobiele communicatie door geheime diensten en conglomeraten van ondernemingen. Je kunt discussiëren over ongewenste en gevaarlijke digitale snuffelpraktijken, je kunt er tegen manifesteren, protesteren of demonstreren, en je kunt procederen tegen ministers die verantwoordelijk zijn voor de handel en wandel van geheime diensten die de rechtsstaat moeten beveiligen zonder de vrijheidsrechten (waaronder het recht op privacy) van de burgers aan te tasten.

Om de fantasie te stimuleren sluit ik af met een aantal voorbeelden van creatief protest.

Stop Watching Us
De Electronic Frontier Foundation (EFF) organiseerde op 26 oktober 2013 een protestactie in Washington onder het motto “Stop Watching US”. Een reeks bekende activisten, politici en Hollywoodsterren —waaronder de regisseur Oliver Stone en de acteurs John Cusack, Maggie Gyllenhaal en Wil Wheaton— ondersteunden deze oproep in een gezamenlijke video.

Zo’n 5.000 demonstranten riepen het Amerikaanse Congres en president Barack Obama op om de dataverzameling en surveillance door de inlichtingendienst te stoppen. Op de meegedragen borden stonden teksten als Thank You Edward Snowden! en Stop Mass Spying. In de toespraken werd benadrukt dat de overheid zichzelf bevoegdheden heeft gegeven die het niet heeft en dat verzet daartegen noodzakelijk is. De Amerikaanse overheid is een bedreiging voor de vrijheid geworden. “Het laatste dat een vrije en open maatschappij nodig heeft is een digitaal hek om ons heen” [NSA-klokkenluider Thomas Drake]. De aangeboden petitie was ondertekend door meer dan 575.000 mensen en riep het Congres op om de volledige omvang van spionageprogramma’s van de NSA openbaar te maken.

Protesteren in Berlijn
Op 29 juli 2013 demonstreerden in Berlijn meer dan 15.000 mensen tegen de snuffelpraktijken van de NSA. Dat gebeurde voor de bouwplaats van het nieuwe hoofdkwartier van de Duitse inlichtingendienst in Berlijn [Der Spiegel 7.9.13]. De tekst op het spandoek heeft geen uitleg nodig (en president Obama kan hem in zijn zak steken). De foto werd door het AP wereldwijd verspreid. De demonstratie werd georganiseerd onder de slogan: Freiheit statt Angst (Vrijheid in plaats van angst).

Tijdens de demonstratie riep internetactivist Jake Appelbaum op om gebruik te maken van versleuteling van de communicatie. “De mensen die we het toezicht op de geheime diensten hebben toevertrouwd, hebben ons allemaal in de steek gelaten. We kunnen hen niet meer vertrouwen,” Een andere woordvoerder van dit initiatief, Kai-Uwe Steffens zei: “Inlichtingendiensten zoals de NSA bespioneren in de hele wereld schaamteloos telefoongesprekken en internetverbindingen. En onze regering, wiens sleutelrol is om ons tegen kwaad te beschermen, geeft geruststellende verklaringen uit” [RT 7.9.13]. Hij schaamt zich voor wat zijn land in zijn naam doet [Vorratdatenspeigechung 7.9.13].

De demonstratie werd georganiseerd door diverse groepen, zoals Digital Courage, Digitale Gesellschaft en de Arbeitskreis gegen Vorratsspeicherung.

Eind juli 2013 werd er al in 30 Duitse steden door meer dan 10.000 mensen gedemonstreerd tegen de ongebreidelde besnuffeling door Amerikaanse geheime diensten. De demonstranten keerden zich ook tegen de lakse houding van de Duitse regering [Der Spiegel 27.7.13]. De demonstranten — veelal aanhangers van Die Grünen, de Piratenpartei en burgerrechtactivisten — geloven niet (meer) dat het terroristisch gevaar een goede reden is om de grondwettelijke rechten van alle burgers te bruuskeren. “Lees de Grondwet, niet onze e-mails” was een van de populaire leuzes.

Artistiek protest in Keulen
Het Keulse kunstenaarscollectief Captain Borderline liet zich inspireren door het schandaal over de spionageprogramma’s van de NSA. Zij maakten een reusachtige muurschildering met als titel: Surveillance of the fittest. Het toont het nationaal symbool van de VS, een witkopzeearend waarvan de vleugels bestaan uit bewakingscamera’s die op een kudde schapen zijn gericht.

Surveillance of the fittist
Surveillance of the fittist

Mondiaal schrijversprotest
Meer dan 500 bekende schrijvers uit 81 landen ondertekenden een open brief, A stand for democracy in a digital age, waarin kritiek wordt gegeven op de globale massasurveillance van internet- en telefooncommunicaties door de NSA. Het gesnuffel van de NSA wordt beschreven als een “diefstal” van data die democratische principes ondermijnt. Op 10 december 2013 werd de petitie in 30 kranten in de wereld gepubliceerd.

Tot de ondertekenaars behoren o.a. Margaret Atwood, J.M. Coetzee, Tom Stopppard, Martin Amis, Orhan Pamuk, Günter Grass, Geert Mak, Arnon Grünberg en Umberto Ecco. Zij roepen de Verenigde Naties op een internationale “bill of digitral rights” op te stellen die de bescherming van burgerrechten in het internet tijdperk garandeert. Door het bespioneren van de digitale communicatie van miljoenen mensen wordt praktisch iedereen een potentiële verdachte. “A person under surveillance is no longer free; a society under surveillance is no longer a democracy. To maintain any validity, our democratic rights must apply in virtual as in real space” [Petitie].

Zeppelin boven het hol van de leeuw
Op vrijdag 27 juni 2014 verscheen er boven het NSA-datacenter in Bluffdale, Utah plotseling een zeppelin met de boodschap ‘NSA: Illegal Spying Below’. Dit protest tegen de massale illegale spionage van de inlichtingendienst was een initiatief van drie burgerrechtenorganisaties: de Electronic Frontier Foundation (EFF), Greenpeace en het Tenth Amendment Center [EFF, 27.6.14].

EFF-activist Rainey Reitman verklaarde:


Op de 41 meter lange zeppelin staat het webadres van Standagainstspying.org, een samenwerkings-verband van 20 organisaties, ondernemingen en individuen uit het hele politieke spectrum dat zich inzet voor transparantie en het beëindingen van massasurveillance.

Zweeds koekje van eigen deeg

I’m trying to think,
but everything is stolen...
Gustav Nipe | | | , de 26-jarige jeugdvoorzitter van de Zweedse Piratenpartij wilde protesteren tegen de massale surveillance door veiligheidsdiensten. Hij lokte politici, militairen en journalisten in de val door het organiseren van een grote security-conferentie waarbij zij heimelijk via het onversleutelde WiFi-netwerk ‘Open Guest’ werden afgetapt. Op die manier probeerde Nipe een specifieke doelgroep laten ervaren hoe het voelt om onder alomvattend toezicht te moeten leven waarbij je van alle kanten besnuffeld wordt [Ars Technica, 15.1.15]. Nipe noemde zijn ludieke actie “een demonstratie van de enorme kracht die ligt in het beheersen van het internet” [Nyheter, 13.1.15; Webwereld, 15.1.15].

Index Bronnen over afluisteren en privacy

Index


Home Onderwerpen Zoek Over ons Doneer Contact

20 December, 2016
Eerst gepubliceerd: December, 2014