Hoogleraren waarschuwen voor sleepwet
De nieuwe Wet op de veiligheids-en inlichtingendiensten, de ‘sleepwet’, bedreigt de cyberveiligheid, zo stellen enige tientallen hoogleraren uit de wereld van computerwetenschappen en cybersecurity.
In de open brief, die afgelopen zaterdag werd uitgebracht, ageren de hoogleraren vooral tegen het idee als zou het in het referendum van komende woensdag louter gaan om veiligheid versus privacy. ‘In het publieke debat is de wet te simpel geframed’, aldus de hoogleraren en deskundigen. Het punt dat zij maken is: de nieuwe wet introduceert zelf nieuwe veiligheidsrisico’s.
De briefschrijvers geven daarvoor een verschillende argumenten.
► Door te hacken maken veiligheidsdiensten het internet extra kwetsbaar
Veiligheidsdiensten krijgen de bevoegdheid om via nog onbekende kwetsbaarheden in systemen binnen te dringen. Veiligheidsdiensten exploiteren dus die onzekerheden, in plaats van ze te melden en te bevorderen dat ze worden gedicht. ‘De kans is dus reëel dat anderen van die kwetsbaarheden gebruik maken voor andere doeleinden’, aldus de brief.
Denkbeeldig is dat niet. Zo werd de aanval op de containerterminal van APM in de Rotterdamse haven in verband gebracht met kwetsbaarheden die eerder via het lekken van informatie van de Amerikaanse dienst NSA bekend waren geworden (lees ‘Nieuwe gijzelsoftware lijkt niet erg effectief’). Volgens hoogleraar cryptologie Tanja Lange, een van de initiatiefnemers van de open brief, gaat het risico nog verder. ‘De Duitse overheid creëerde bij het hacken van verdachten nieuwe kwetsbaarheden door de opsporingssoftware die ze voor hun spionage-activiteiten gebruikten. Die Bundestrojan maakte het voor anderen juist gemakkelijker om in de getroffen computersystemen binnen te dringen.’ Lees hier meer over die Bundestrojan in een artikel van Der Spiegel (Duits) uit 2011.
► Extra kwetsbaarheid via derden
Dat punt heeft volgens Lange extra gewicht omdat de wet het toestaat dat de dienst personen hackt die ‘technisch verbonden’ zijn met de verdachte. 'Dat betekent dat het voor de dienst legaal is om een persoon, bijvoorbeeld een systeembeheerder, te hacken. Wordt die door de veiligheidsdienst met een Trojaans paard besmet, dan is dus gelijk iedereen die van dat systeem gebruikt maakt kwetsbaar.' Een soortgelijke actie in de VS leidde tot veel verontwaardiging en is daar wettelijk verboden. Hier wordt zo’n actie gelegaliseerd.
► Bij de overheid opgeslagen data zijn niet zonder meer veilig
Nu de diensten de bevoegdheid krijgen om op grote schaal data te verzamelen en die drie jaar te bewaren, ligt er nog meer nadruk op de vraag hoe veilig data in overheidshanden zijn. De Lange: ‘Met name van de Amerikaanse en Britse overheden zijn datalekken bekend.’ Ze noemt als voorbeeld het lek bij het Amerikaanse Office of Personal Management, waar meer dan twintig miljoen gegevens werden gestolen met informatie over antecedentenonderzoek en burgerservicenummers. ‘De nieuwe wet maakt het mogelijk de met een sleepnet verzamelde data te delen met deze landen.’ Lange wijst er daarbij op dat in zowel de VS als in Engeland officieel de regel geldt dat diensten niet van hun eigen burgers grootschalig data mogen verzamelen, maar alleen van buitenlanders. ‘Los van de vraag of dat klopt, er is in die landen dus een groot belang om data uit andere landen, bijvoorbeeld Nederland, te krijgen.’
► Toegang tot data creëert een hellend vlak
Een ander punt is, volgens Lange, dat als eenmaal het principe is erkend dat inlichtingendiensten toegang mogen hebben tot internetverkeer, er ook een zekere druk zal ontstaan om te zorgen dat die data voor de diensten toegankelijk is. ‘Ik hoop niet dat het zo ver komt, maar het kan betekenen dat de overheid gaat verlangen dat beveiligingstechnieken als end-to-end encryptie van bijvoorbeeld WhatsApp wordt opgeheven, of dat beveiligde VPN-verbindingen niet meer mogen.’ Er zijn al landen die dit doen. Zo verbiedt China het gebruik van beveiligde VPN-verbindingen.
► Geen controle op gebruik van bulkinformatie
Een laatste bezwaar is dat er bij het overhandigen van data aan andere diensten geen controle meer is op het gebruik ervan. Zo benutte de Amerikaanse dienst NSA data van de Duitse inlichtingendienst BND voor industriële spionage tegen Duitsland.
Daders waren al in zicht
Tot slot wijst de brief op bestaand onderzoek naar de effectiviteit van bulkinterceptie voor het tegengaan van terrorisme, onder andere het David Anderson Report van MI5. ‘Als je de moeite neemt die studies te lezen, dan blijkt dat in alle gevallen de verdachten al bekend waren via informanten, tips van lokale gemeenschappen en gerichte surveillance. In geen van de gevallen bracht het ‘blind’ binnenhalen van grote hoeveelheden data die verdachte op het spoor.’
De brief concludeert dat die veiligheidsrisico’s tot nu toe te weinig zijn betrokken bij de nieuwe wetgeving, en dat er dus veel meer aan de hand is dan alleen de vraag 'veiligheid of privacy'.
Download hier de brief van de cyberspecialisten over de nieuwe Wet inlichten- en veiligheidsdiensten.
De brief is een vervolg op een eerder kritisch stuk in 2016 op de nieuwe Wet inlichten- en veiligheidsdiensten van op cybergebied deskundige hoogleraren.