March 4, 2024

Eerste Kamer bereikt iets meer duidelijkheid over de Tijdelijke wet cyberoperaties [NL]

(Update: May 2, 2024)

This time a second blog post in Dutch about a new bill that gives Dutch intelligence and security services more leeway for operations against cyber actors. A summary of this case in English can be found here.


Technische briefing in de Eerste Kamer over de Tijdelijke wet cyberoperaties, 14 november 2023



Inleiding

Op 1 december 2022 diende het kabinet bij de Tweede Kamer een voorstel in voor de Tijdelijke wet cyberoperaties, waarmee het voor de geheime diensten makkelijker wordt om hack- en kabeltapoperaties uit te voeren. Vanuit de AIVD en de MIVD wordt benadrukt dat dit dringend nodig is in de strijd tegen cyberaanvallen vanuit landen als Rusland en China, maar anderen vrezen dat hiermee een digitaal sleepnet mogelijk wordt gemaakt.

De Tweede Kamer ging op 24 oktober 2023 in grote meerderheid akkoord met het wetsvoorstel, alleen de SP en Forum voor Democratie stemden tegen. Het debat in de Tweede Kamer besprak ik hier. Momenteel wordt het wetsvoorstel behandeld in de Eerste Kamer en de schriftelijke vragen die daar werden gesteld besprak ik hier.

Op 24 januari kwamen er maar liefst 67 pagina's met antwoorden van minister De Jonge van Binnenlandse Zaken en Ollongren van Defensie. Vervolgens hebben de Eerste Kamerfracties van GroenLinks-PvdA, PvdD en PVV op 13 februari voor een tweede keer schriftelijke vragen ingediend, waarna de ministers op 28 februari met nog eens 35 pagina's aan antwoorden kwamen.

Hieronder zal ik de belangrijkste punten uit deze beantwoordingen bespreken en dan met name kijken of er antwoord is gekomen op enkele van de meest cruciale vragen die ik in mijn eerdere besprekingen benoemde.

Ik beperk me hier tot de nieuwe verkennende fase die aan de ongerichte kabelinterceptie van artt. 48-50 Wiv 2017 voorafgaat. Andere onderdelen van de tijdelijke wet, zoals de versoepelingen van de hackbevoegdheid en de nieuwe regelingen voor bulkdatasets, toezicht en beroep, laat ik hier buiten beschouwing.


Schematische samenvatting van de Tijdelijke wet cyberoperaties (klik ter vergroting)



Toepassingsbereik

Een eerste kwestie die de nodige vragen opriep is wanneer de Tijdelijke wet cyberoperaties nu precies van toepassing is. Daarbij benadrukken de ministers dat de specifieke bepalingen van de wet alleen kunnen worden ingeroepen "indien sprake is van een onderzoek naar een land met een offensief cyberprogramma".

Het zou dan doorslaggevend zijn wanneer een land alszodanig is genoemd in de Geïntegreerde Aanwijzing (GA), het geheime document waarin de regering de actuele taakstellingen voor AIVD en MIVD opsomt en prioriteert.

Elders zeggen de ministers echter: "Daarnaast kan de Tijdelijke wet van toepassing zijn als een digitale aanval (nog) niet (direct) te attribueren is aan een land, maar er wel een vermoeden is dat deze te attribueren is aan een statelijke actor." (p. 6)

Onduidelijk blijft of dit alleen geldt als er een vermoeden is dat de aanval te linken valt aan landen die in de GA genoemd worden (zoals Rusland, China, Iran en Noord-Korea), of ook als in het geheel nog niet duidelijk is welk land er achter kan zitten.

Sowieso is het koppelen van de toepasselijkheid van deze wet aan bepaalde landen een vreemde constructie. Het had waarschijnlijk helderder geweest om de toepassing te koppelen aan cyberaanvallen in het algemeen, ongeacht door wie ze uitgevoerd worden.


Metadata

Een probleem bij de vragen die eerder vanuit de Tweede Kamer en nu vanuit de Eerste Kamer werden gesteld, is dat ze soms veel te algemeen en open gesteld zijn, waardoor de ministers op een nietszeggende manier kunnen antwoorden.

Een voorbeeld is dat de fractieleden van de PVV in de Eerste Kamer hadden gevraagd of de regering kon aangeven "hoe bij de toepassing van dit wetsvoorstel zal worden omgegaan met metadata".

De ministers antwoorden daarop met een beschrijving van de verschuiving van het toezicht op geautomatiseerde data-analyse (GDA), iets dat al bekend was en verder geen nieuwe inzichten biedt. (p.11)

Kamerleden hadden hier veel specifieker kunnen vragen zodat de ministers ook specifieker hadden moeten antwoorden. Bijvoorbeeld of tijdens de verkennende fase niet kan worden volstaan met het analyseren van metadata, zodat inhoudelijke informatie ongemoeid kan worden gelaten.


Hoofdkantoor van de AIVD, waar zich ook de Joint Sigint Cyber Unit bevindt


Internetproviders

Overeenkomstig mijn eerdere bespreking van het debat in de Tweede Kamer stelde de PVV-fractie in de Eerste Kamer ook een vraag die wel specifiek genoeg was: "in hoeverre bijvoorbeeld een kabelinterceptie kan plaatsvinden bij een grote internetprovider, waarmee in één keer het volledige gegevensverkeer van alle gebruikers verzameld wordt."

Daarop erkennen de ministers dat "in het algemeen kabelinterceptie bij grotere en kleinere internetproviders alsmede bij andere aanbieders van communicatiediensten kan plaatsvinden." Of ook al het dataverkeer van zo'n provider onderschept kan of mag worden bleef onbeantwoord. (p. 49)

Niettemin is dit een belangrijke uitspraak, die duidelijk maakt dat het bij de ongerichte kabelinterceptie niet gaat om het "afluisteren van hele wijken", maar om het aftappen van datastromen van internetproviders en andere communicatieaanbieders.

Opmerkelijk is dat de ministers bij dit antwoord uit zichzelf met een aanvulling komen, die kennelijk enigszins geruststellend bedoeld is:

"[...] kabelinterceptie [is] gericht op gegevensstromen. Deze gegevensstromen bevatten slechts gedeelten (fragmenten) van de communicatie van personen en organisaties in het digitale domein. Het levert – anders dan bij gerichte interceptie – geen volledig (en ononderbroken) beeld op van de communicatie van een persoon of organisatie." (p. 49)



Cyber defence

Een volgende kwestie is of bij die internetproviders e.d. ook binnenlands dataverkeer afgetapt gaat worden. De PvdD-fractie verwees daarvoor naar de ministeriële toezegging uit 2018 waarin staat:

"Het is vrijwel uitgesloten dat ongerichte interceptie op de kabel de komende jaren wordt ingezet voor onderzoek naar communicatie met oorsprong en bestemming in Nederland (met uitzondering van onderzoek in het kader van cyber defence, omdat bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en ongerichte interceptie op de kabel noodzakelijk kan zijn om dit te onderkennen)."

De ministers zeggen daar nu over dat die toezegging niet zozeer slaat op de interceptie van verkeer met oorsprong en bestemming in Nederland (dat valt gezien de werking van het internet nooit helemaal uit te sluiten), maar op het onderzoek naar dat verkeer.

De genoemde toezegging zou dus gelezen moeten worden als: "het is vrijwel uitgesloten dat ongerichte interceptie zal worden ingezet voor inlichtingenonderzoeken naar gegevens met oorsprong en bestemming in Nederland, met uitzondering van de onderzoeken in het kader van cyber defence." (p. 33)

Met andere woorden: er mag en zal dus wel Nederlands verkeer worden binnengehaald, maar dat zal in principe niet voor nader onderzoek gebruikt worden. Voor cyber defence mag dat verkeer dan echter wel onderzocht worden.


Defensieve verwerving

De Eerste Kamerleden hebben echter verzuimd om expliciet te vragen of die uitzondering voor cyber defence nu wel of niet in de praktijk wordt gebracht en zodoende lieten de ministers deze kwestie onbeantwoord.

Uit een tekst op de website van de AIVD blijkt echter dat de Joint Sigint Cyber Unit (JSCU) naast "offensieve verwerving", oftewel digitale spionage, wel degelijk ook "defensieve verwerving" uitvoert, waarmee digitale dreigingen tegen Nederland onderzocht worden. Verantwoordelijk voor dat laatste is de afdeling Computer Network Defence (CND).

Het blijft dan ook opmerkelijk dat geen van de betrokkenen nader op het aspect van cyber defence in ging, terwijl de tijdelijke wet nota bene bedoeld is voor operaties tegen "landen met een offensief cyberprogramma".

In de antwoorden van de ministers komt dit eigenlijk alleen ter sprake als het gaat om het belang van samenwerking met buitenlandse partners, dat is namelijk o.a. voor "het uitwisselen van identificeerbare kenmerken van cyberaanvallen gericht op het hoogwaardig Europees bedrijfsleven". (p. 22)

Hoe zich dat dan precies verhoudt tot de regelingen van de tijdelijke wet wordt verder nergens nader uitgewerkt.


Omvang en herkomst van cyberaanvallen in de periode 2005 t/m 2022 (bron)


Internationaal verkeer

In hun eerste beantwoording van de Eerste Kamervragen lieten de ministers meermalen weten dat de diensten zich bij de ongerichte interceptie zullen richten "op gegevensstromen die hoofdzakelijk internationaal verkeer bevatten".

In de tweede vragenronde vroegen GroenLinks-PvdA en de PVV wat daar precies mee bedoeld wordt, aangezien bij het internet geen duidelijk onderscheid tussen binnenland en buitenland meer te maken valt. Zo hebben tal van Nederlandse bedrijven en zelfs overheden hun data op buitenlandse servers ("in de cloud") staan, waardoor Nederlandse communicatie feitelijk toch de grens over gaat.

De ministers antwoorden daarop dat de AIVD en de MIVD zich richten op "dragers, kabels of glasvezels die zich ofwel in het buitenland bevinden, ofwel waarvan minimaal één van de twee transmissiesystemen zich fysiek in het buitenland bevindt en het verkeer dus de Nederlandse grens overgaat ofwel waarvan de diensten weten dat een communicatie aanbieder via een bepaalde fysieke locatie, bijvoorbeeld een data-centrum, internationale gegevensstromen transporteert." (p. 12, 23)

Dit is een nogal vreemd antwoord, aangezien onze diensten toch niet bepaald makkelijk toegang zullen krijgen tot kabels die zich geheel in het buitenland bevinden (al is het bijv. tijdens militaire missies ook niet geheel uitgesloten). De rest van het antwoord is vooral een bevestiging van de stelling dat Nederlandse communicatie die via een buitenlands datacentrum verloopt toch onderschept kan worden.

Meer geruststellend had geweest als de ministers hadden gezegd dat de diensten zich specifiek zouden richten op datastromen uit landen als Rusland en China, maar dan geldt weer de uitzondering voor cyber defence, omdat "bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en ongerichte interceptie op de kabel noodzakelijk kan zijn om dit te onderkennen."



Snapshots

Een volgende vraag die onbeantwoord bleef is de hoeveelheid data die in de verkennende fase wordt opgeslagen. Tijdens de behandeling in de Tweede Kamer bleef minister De Jonge stug volhouden dat het hierbij slechts om een momentopname, een foto gaat, wat in het jargon van de diensten een "snapshot" wordt genoemd.

Hoe lang zo'n snapshot precies duurt wilde de minister ook na lang aandringen niet zeggen, wat opmerkelijk is aangezien uit een rapport van toezichthouder CTIVD uit 2022 bleek dat zulk snapshotten tot nu toe inhield dat een datakanaal maximaal twee uur per dag wordt afgetapt om de potentiële inlichtingenwaarde daarvan vast te stellen.

Vanuit de Eerste Kamer was niet expliciet gevraagd of dat ook voortaan het geval zal zijn en de ministers zwegen er dan ook weer over. Het kan zijn dat snapshots nog steeds beperkt zullen blijven tot twee uur per dag en dat het resultaat daarvan dan zes maanden bewaard blijft, maar door dat niet expliciet te benoemen laat de wet het ook toe dat datastromen continue worden afgetapt en opgeslagen.


Filtersystemen

Een beperkende factor die nog niet eerder besproken werd is de techniek. Uit wat de NSA, GCHQ en de Duitse BND doen weten we dat bij het ongericht aftappen van internetkabels al bij het aftappunt zelf filterapparatuur geplaatst wordt. Daarmee kunnen direct alle niet benodigde data weggefilterd worden en blijven alleen die data over die het meest interessant zijn voor nader onderzoek.

Zou men dat filteren niet doen, dan zou er een net zo "dikke" kabel nodig zijn als degene die afgetapt wordt om alle gekopieerde data naar het hoofdkwartier van de inlichtingendienst, in dit geval de JSCU bij de AIVD in Zoetermeer, te transporteren.

Een andere mogelijkheid is om de afgetapte data ter plekke op te slaan en ze van op afstand te doorzoeken. Dat zou voor metadata wel kunnen, zouden echter ook alle inhoudsdata opgeslagen worden, dan lopen de servers snel vol. Zo gezien is het praktisch niet goed voorstelbaar dat in de verkenningsfase zowel inhoud als metadata voor langere periodes worden opgeslagen.

Als de snapshots niet beperkt blijven tot de genoemde twee uur per dag zal er dus ofwel direct gefilterd moeten worden, ofwel alleen metadata opgeslagen moeten worden. Dat kan in beide gevallen dan echter wél om grote hoeveelheden gaan.



Verkenningsonderzoek

In hun antwoorden aan de Eerste Kamer benadrukken de ministers dat tijdens de verkenningsfase alleen gegevens mogen worden verzameld om de latere, daadwerkelijke ongerichte interceptie zo gericht mogelijk te kunnen laten plaatsvinden.

Waar tijdens de verkenningsfase dan precies naar gekeken wordt werd pas verhelderd nadat de fractie van GroenLinks-PvdA daar in de tweede vragenronde expliciet naar gevraagd had.

Zoals vaker is het voor een beter inzicht nodig om meerdere passages uit de beantwoording van de ministers te combineren. Daaruit volgt dat het technisch onderzoek tijdens de verkenningsfase uit twee delen bestaat: (p. 5, 9, 11)

1. Het in kaart brengen van het digitale landschap in de zin van vaststellen wat de aard van de communicatie is en wat de gebruikte technische protocollen zijn. Dit laat dan zien of het om webverkeer, e-mail, spraakverkeer, videobestanden, etc. gaat.

2. Nagaan of deze data van belang kunnen zijn voor de onderzoeksvragen van AIVD en MIVD, waarbij gebruik wordt gemaakt van input vanuit de inlichtingenteams. Deze input bestaat uit selectoren en andere gegevens over targets die de diensten reeds op andere manieren verkregen hebben. Ook kunnen bij de verkenning meer of minder complexe c.q samengestelde zoekvragen worden toegepast.

Selectoren worden ook in de laatste fase van de ongerichte interceptie toegepast, maar dan moet het volgens de ministers gaan om zogeheten strong selectors waarmee personen en/of organisaties geïdentificeerd kunnen worden, zoals telefoonnummers en e-mailadressen. Omdat dit niet gezegd wordt over de verkenningsfase, kunnen daar kennelijk ook soft selectors zoals trefwoorden e.d. toegepast worden. Omgekeerd mogen bij de laatste fase van de ongerichte interceptie dan weer geen eenvoudige, complexe of samengestelde zoekvragen worden toegepast. (p. 16)

Van de onderzoeken in de verkenningsfase worden rapporten opgesteld waarin wordt beschreven welke communicatiekanalen van potentiële waarde zijn voor nader inlichtingenonderzoek. Aan de hand van die bevindingen wordt dan besloten op welke kabels de daadwerkelijke ongerichte interceptie wordt ingezet. (p. 10-11)

De gegevens die gebruikt worden om de aanvraag voor die daadwerkelijke interceptie op te stellen blijven bewaard, alle overige data die tijdens de verkenningsfase verzameld zijn moeten na maximaal 6 maanden vernietigd worden.


GCHQ surveys

Afgaande op hoe de ministers het nu beschrijven, komt de beoogde verkenningsfase bij ons vrijwel exact overeen met de surveys die het Britse GCHQ uitvoert. Hoe die in z'n werk gingen blijkt uit enkele technische rapporten over de verkenning van satellietverbindingen die in 2014 tijdens de Snowdenonthullingen gepubliceerd werden.

Bij GCHQ werden daarvoor eerst de routes en de technische kenmerken van die verbindingen in kaart gebracht en vervolgens werden er steekproeven genomen om te kijken hoe vaak daar telefoonnummers in voorkwamen die op een watchlist stonden. Dat gaf dan een goede indicatie of een verbinding productief genoeg zou zijn om er een daadwerkelijke tap op te zetten.


Detail van een technisch rapport van GHCQ uit 2008 over de
verkenning van een satellietverbinding tussen Jordanië en België
(volledig rapport - klik om te vergroten)


Als het gaat om internetverkeer zal de Nederlandse JSCU nu waarschijnlijk kijken naar selectoren in de vorm van e-mail- en IP-adressen e.d. Interessant is daarbij de vraag of ook selectoren gebruikt zullen worden die door buitenlandse partnerdiensten worden aangeleverd. Zo weten we dat de Duitse BND van de NSA miljoenen(!) internet identifiers kreeg om daarmee kabel- en satellietverkeer te filteren.


Omdat het onderhavige wetsvoorstel over "landen met een offensief cyberprogramma" gaat zal de JSCU naast dergelijke strong selectors ongetwijfeld ook andersoortige zoekvragen toepassen om signatures van malware en indicaties van hackpogingen te vinden. Omdat die dingen vaak een stuk moeilijker te vinden zijn, kan daarbij hulp van een partner als de NSA nodig zijn.


Videopresentatie over hoe de JSCU te werk gaat bij het onderzoek naar malware
(via Tweakers: Operatie Volt, 27 maart 2021)



Buitenlandse partners

Het inroepen van dergelijke hulp, oftewel het delen van data uit de verkennende fase met buitenlandse partnerdiensten, is een van de meest omstreden onderdelen van de Tijdelijke wet cyberoperaties. Al tijdens de eerste vragenronde vroeg de Eerste Kamerfractie van GroenLinks-PvdA of dat ook in bulk en/of bijna live kan gebeuren. De ministers antwoordden daarop dat er verschillende mogelijkheden zijn:

"Het ter inzage aanbieden op een systeem van de dienst is één van de mogelijkheden, net als het verstrekken door het toesturen van gegevens (al dan niet in bulk). Als het verzoek ziet op bijvoorbeeld het ontsleutelen van bepaalde gegevens, zal de buitenlandse dienst doorgaans de eigen systemen nodig hebben om dat te realiseren, ook omdat een buitenlandse dienst meestal niet bereid is dergelijke technieken te delen met een andere dienst. In dit voorbeeld ligt een verstrekking van gegevens aan die buitenlandse dienst meer voor de hand." (p. 19)

En: "Een verstrekking kan – indien noodzakelijk – spoedig na verwerving plaatsvinden of op een later moment binnen de bewaartermijn van zes maanden. Het kan daarbij zowel gaan om gegevens die reeds beoordeeld zijn door de diensten als om gegevens die de diensten nog niet hebben beoordeeld. Om de gegevens te kunnen beoordelen is juist ook het technisch onderzoek van buitenlandse diensten nodig." (p. 19)


Raad van State

Vanuit de Eerste Kamer werd ook gevraagd naar een reactie op het advies van de Raad van State waarin nadrukkelijk wordt afgeraden om data uit de verkennende fase met buitenlandse diensten te delen.

De ministers doen echter voorkomen alsof de Raad van State alleen doelde op het feit dat data uit de verkenning niet voor andere doeleinden verwerkt mogen worden en redeneren dat het delen van die data dus wel mogelijk is, aangezien van buitenlandse partners verwacht wordt dat zij die data ook niet verder zullen verwerken. (p. 30-31)

Dat is niet echt een eerlijk antwoord, aangezien het niet verder mogen verwerken van deze data maar één van de argumenten is die de Raad van State noemt ter onderbouwing van een wel degelijk algemeen gestelde afkeuring van dergelijke data-uitwisseling:

"De (bulk)data die wordt verkregen door middel van de verkennende bevoegdheid leent zich niet voor uitwisseling met buitenlandse diensten. Het betreft immers gegevens die ook de Nederlandse inlichtingendiensten binnen de eigen rechtsorde niet verder mogen verwerken. Bovendien is overdracht van deze gegevens, mede gelet op de ongerichtheid van de verkenningsbevoegdheid, een ernstige inbreuk op het recht op de bescherming van de persoonlijke levenssfeer. De Afdeling adviseert in het licht van het voorgaande in het voorstel te regelen dat deze gegevens niet mogen worden uitgewisseld met buitenlandse diensten."


SIGINT-partners van de NSA in Europa


Quid pro quo

Ondanks het negatieve advies van de Raad van State is het voor AIVD en MIVD kennelijk onontbeerlijk om betreffende data met buitenlandse partners te delen: "de mogelijkheid om ongeëvalueerde gegevens afkomstig uit de bevoegdheid tot verkennen ten behoeve van technisch onderzoek te delen met buitenlandse diensten [is] voor de diensten in internationale samenwerkingsrelaties en voor onze onderzoeken onmisbaar." (p. 52)

Opmerkelijk is dat voor deze onmisbaarheid twee redenen genoemd worden: niet alleen voor de eigen onderzoeken van onze diensten, maar dus ook "in internationale samenwerkingsrelaties". Doorgaans wordt daarmee gedoeld op het bekende quid pro quo, oftewel je deelt dingen die voor partnerdiensten interessant zijn, zodat je van hen dingen terugkrijgt die voor jezelf nuttig zijn.

Het is evident dat onze diensten er baat bij hebben als ze technische assistentie van meer ervaren buitenlandse partners krijgen, maar wat die partners er dan voor terug krijgen is niet echt helder geworden.

De Nederlandse JSCU kan weliswaar op zijn beurt technische assistentie verlenen aan andere diensten die minder capaciteiten hebben, maar dan blijft de vraag wat het voordeel voor grote partners als de NSA en GCHQ is.


Cyberdreigingen

Het is wel denkbaar dat die grote partners zelf ook baat kunnen hebben bij het duiden en ontsleutelen van de data die onze diensten aanleveren. Voor hen kan het immers interessant zijn om te zien welke indicaties van cyberdreigingen er op internetkabels in Nederland worden aangetroffen.

Wellicht is dat (mede) waar de ministers op doelen wanneer zij schrijven "dat de razendsnelle uitwisseling van gegevens doorslaggevend [blijft] voor het nemen van adequate tegenmaatregelen en het verkrijgen van een adequaat dreigingsbeeld. Door binnen de internationale inlichtingen- en veiligheidswereld intensief met elkaar samen te werken, vallen afzonderlijke puzzelstukjes in elkaar, zodat het werkelijke gezicht van de dreiging zich laat zien." (p. 22)

Ook interessant is de vraag of de technische rapporten naar aanleiding van de verkenningsonderzoeken met buitenlandse diensten gedeeld worden. Die hebben zelf dan wel geen toegang tot de kabels waar de rapporten betrekking op hebben, maar het kan voor hen wel weer interessant zijn om te zien welke indicaties allemaal zijn aangetroffen.

Net als de AIVD en de MIVD mogen ook buitenlandse partnerdiensten de data uit de verkenningsfase weliswaar niet voor verdere inlichtingenonderzoeken gebruiken, maar de ministers hebben niet uitgesloten dat zij de resultaten wel kunnen gebruiken voor hun eigen detectie- en interceptiesystemen. (p. 21, 51, 54)



Conclusie

Terugkijkend kunnen we concluderen dat de parlementaire behandeling van de Tijdelijke wet cyberoperaties tot nu toe nogal onbevredigend is verlopen. Leden van zowel de Eerste als de Tweede Kamer ontbrak het vaak aan voldoende achtergrondkennis, waardoor weliswaar veel vragen gesteld werden, maar deze zelden specifiek genoeg waren om nieuwe informatie boven tafel te krijgen.

De ministers, de diensthoofden en de betrokken ambtenaren bleven doorgaans hangen in abstracte formuleringen waardoor het voor buitenstaanders en menig kamerlid vrijwel onbegrijpelijk is gebleven waar het bij deze wet precies om gaat.

Het is een raadsel waarom de ministers alleen na zeer gericht doorvragen met meer details kwamen - het zijn immers zaken die de Russen en Chinezen al lang weten, maar die voor het parlement en de burger van belang zijn om noodzaak, risico's en waarborgen van de wettelijke regelingen enigszins adequaat te kunnen beoordelen.

De plenaire behandeling van het wetsvoorstel in de Eerste Kamer zal op 5 maart plaatsvinden.


UPDATE:

Op 5 maart 2024 werd de Tijdelijke wet cyberoperaties door de Eerste Kamer in plenaire vergadering besproken. Het wetsvoorstel werd grondiger behandeld dan in de Tweede Kamer, waarbij met name de senatoren Mary Fiers van GroenLinks-PvdA, Peter Nicolaï van de PvdD en Alexander van Hattem van de PVV opvielen door gedetailleerd inzicht c.q. vasthoudend doorvragen. Nagenoeg ongeclausuleerd voorstander bleek Bart Kroon van BBB.

Om te beginnen werd vanuit de Eerste Kamer flink doorgevraagd naar wanneer de nieuwe wet nu precies van toepassing is - niet een heel goed teken dat zo'n belangrijk aspect nog in deze allerlaatste fase van het wetgevingsproces nader opgehelderd moest worden.

Minister De Jonge antwoordde dat de wet in eerste instantie van toepassing is op de landen die in de Geïntegreerde Aanwijzing (GA) genoemd worden. Mocht blijken dat ook andere landen offensieve cyberoperaties tegen Nederland uitvoeren, dan kunnen die landen ook in de GA worden opgenomen, zodat de nieuwe wet ook voor hen kan worden toegepast. Vanuit de PVV werd gevraagd of de wet ook op niet-statelijke actoren, zoals met name Islamitische Staat, van toepassing kan zijn, maar dat is volgens de minister niet het geval.

Op de vraag van senator Fiers hoe het dan zit wanneer "een digitale aanval (nog) niet (direct) te attribueren is aan een land" antwoordde de minister dat dat betrekking heeft op de situatie wanneer onzeker is of een bepaald aanval vanuit Rusland, China of een ander land komt. Bij twijfel de nieuwe wet toepassen, was zijn insteek. De Nederlandse AMS-IX zit in de top-5 van de grootste internetknoopunten ter wereld waarmee onze diensten op "een goudmijn" zitten en we dus "een geweldige verantwoordelijkheid hebben om die te benutten", aldus De Jonge.

Iets wat nog niet eerder duidelijk geworden was is dat het wetsvoorstel ondanks zijn naam niet beperkt is tot cyberoperaties. Een offensief cyberprogramma gericht tegen Nederland is weliswaar het criterium om de bepalingen van de wet van toepassing te verklaren, maar daarna valt elk soort onderzoek van de AIVD en de MIVD naar die landen onder de reikwijdte van deze wet. Dit omdat die landen een "whole-of-society approach" hebben, dat wil zeggen zij vallen ons met een breed scala van middelen en methodes aan, zodat ook onze diensten daar breed op moeten kunnen reageren.

De vrees voor een sleepnet probeerde De Jonge te ontkrachten door nog maar eens te herhalen dat de diensten helemaal geen interesse in het Netflixverkeer van je buurman hebben en dat met de vier fases van de ongerichte interceptie er een trechtering plaatsvindt waarbij per stap steeds minder data overblijft. Dat klopt inderdaad voor de klassieke inlichtingenvergaring, maar cyber defence kent een andere methodiek, waarbij het juist van belang is om een zo breed mogelijk zicht op dataverkeer te hebben.

Ondanks grondige voorbereiding is dit aspect ook de Eerste Kamer volledig ontgaan: als activiteit komen de termen "cyber defence" en "cyber security" niet éénmaal voor in het schriftelijke verslag van het plenaire debat.

Senator Van Hattem confronteerde minister De Jonge met een contradictie in de eerdere schriftelijke antwoorden door te vragen of er de facto niet altijd sprake is van kabels met internationaal verkeer, waardoor in principe elke kabel voor verkenning in aanmerking zou kunnen komen. De minister erkende dat maar zei dat "louter nationaal verkeer niet zo heel vaak te attribueren zal zijn aan statelijke actoren met een cyberdreiging".

Hier wreekt zich het ontbrekende inzicht in cyber defence, want buitenlandse actoren gebruiken Nederlandse digitale infrastructuur juist graag als dekmantel voor hun cyberaanvallen. Dat is ook precies de reden dat het wetsvoorstel ook de zogeheten bijschrijfmogelijkheden verruimt, zodat de JSCU makkelijker kan nagaan wat die actoren op Nederlandse servers en computers uitspoken.

Senator Fiers vroeg voorts of een "snapshot" betekent dat data gedurende 6 maanden lang 24 uur per dag verzameld en opgeslagen mogen worden. Wederom werd weer niet gevraagd naar de twee uur per dag die nu gebruikelijk is en zodoende kon minister De Jonge er mee wegkomen door te zeggen dat de verkennende fase wel aan het basisvereiste van proportionaliteit dient te voldoen. Eerder zei hij echter nog dat het niet zo mag zijn dat de proportionaliteit in de plaats komt van het gerichtheidsvereiste, dat nu juist was afgeschaft om een goede verkenning mogelijk te maken.

Senator Nicolaï ging vasthoudend in op het delen van data met buitenlandse zusterdiensten, waarop de minister antwoordde dat het belangrijk is dat de Nederlandse diensten ook iets aan hun partners te bieden hebben. Dat is het geval als zij gebruik kunnen maken van de kabel, die nu echter nog "aan de ketting" ligt. Bovendien hebben ook grotere diensten expertise en toegang van anderen nodig, aldus De Jonge, zonder daarbij verder in detail te treden.

Ook vroeg Nicolaï of daarmee niet een geitenpaadje gecreëerd wordt waarbij buitenlandse diensten dingen gaan doen die onze eigen diensten niet mogen. Minister De Jonge reageerde daar tamelijk verontwaardigd op: hoe kon gedacht worden dat onze diensten zoiets zouden doen? Nu is zo'n U-bocht nadrukkelijk niet toegestaan, maar de vraag was niet zo gek: sinds Snowden met vergelijkbare beschuldigingen kwam, is dit een zorg die bij veel mensen leeft.

Nicolaï diende tenslotte een motie in waarbij wordt opgeroepen om data uit de verkennende fase niet met buitenlandse diensten te delen, dit overeenkomstig het advies van de Raad van State. Deze motie werd door minister De Jonge echter nadrukkelijk ontraden.

Om tenslotte een indruk te geven van de bureaucratische belasting, meldde minister De Jonge dat hij de afgelopen week maar liefst 105 lasten (aanvragen voor toestemming voor een inlichtingenoperatie) op zijn bureau kreeg. Sommige zijn een formaliteit, maar anderen moeten grondiger besproken worden, hetgeen telkens maandagochtend in overleg met de hoofden van de AIVD en de MIVD gebeurt. Spoedlasten gaan telefonisch, via een beveiligde verbinding.


De Eerste Kamer heeft de Tijdelijke wet cyberoperaties op 12 maart 2024 aangenomen. De fracties van SP, PvdD, Volt, GroenLinks-PvdA, OPNL en FvD stemden tegen. De stemming over de motie van senator Nicolaï werd aangehouden. De wet kan naar verwachting op 1 juli 2024 in werking treden.


De "Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen" werd op 13 maart door koning Willem-Alexander ondertekend en op 11 april 2024 in het Staatsbad gepubliceerd.



Links

- Zie voor alle officiële stukken rondom deze wetgeving: Dossier Wiv 2017, het Kamerdossier nr. 36263 en de behandeling bij de Eerste Kamer.

- About Intel: Update on the implications of the Dutch Temporary Cyber Operations Act (16 mei 2024)
- Netkwesties: Vaagheid in regels voor inlichtingendiensten (14 april 2024)
- De Volkskrant: Opinie: Kabinet moet transparanter zijn over hoe diensten nieuwe aftapbevoegdheden inzetten (28 maart 2024)
- Bits of Freedom: Geheime diensten krijgen van de politiek nooit een ‘nee’ (20 maart 2024)
- GeenStijl: RIP uw privacy. Eerste Kamer keurt """tijdelijke""" Cyberwet Des Doods GOED (12 maart 2024)
- NRC: AIVD en MIVD krijgen opnieuw meer bevoegdheden door nieuwe inlichtingenwet (12 maart 2024)
- AIVD: Onderzoek een cyberdreiging in 'Operatie POSITRON'
- Werken voor Nederland: Zo trekt het JSCU ten strijde tegen hackers en terroristen
- Tweakers: JSCU - Good guys tooling: hoe de geheime dienst onzichtbare dreigingen onderzoekt

February 3, 2024

Safe and Free: comparing national legislation on electronic surveillance



A project called Safe and Free by the University of Texas now provides an overview of the legal framework for electronic surveillance by intelligence and law enforcement agencies in 12 democratic countries.

Here, I will introduce the project and discuss some general trends, as well as the different forms of prior approval of electronic surveillance operations.




Since the start of the Snowden revelations in June 2013, electronic surveillance has become a highly disputed topic. The controversy does not just concern the activities of the American signals intelligence agency NSA, but is also raised in European countries like Germany, The Netherlands and Denmark.

As the regulation of electronic surveillance is highly specialised, it's often difficult to judge whether certain measures are appropriate and effective. One way to improve them is by looking at solutions in other countries, preferably those with a similar rule-of-law tradition. This comparison is now provided by the Safe and Free project of the Strauss Center on International Security and Law at the University of Texas at Austin.


The project explores the variety of ways in which democratic states try to align surveillance for national security purposes with their values and laws. Safe and Free is an initiative of Adam Klein, director of the Strauss Center and former chairman of the Privacy and Civil Liberties Oversight Board (PCLOB), which oversees the civil liberty implications of US intelligence and counter-terrorism activities.

For Safe and Free a wide variety of surveillance experts, like think-tank members, academics, former government officials and journalists were asked to describe the legal framework for electronic surveillance in their country. This resulted in papers about the situation in Australia, Canada, France, Germany, The Netherlands, Poland, Romania, Sweden, the United Kingdom, and the United States.

Papers about Japan and South-Korea can be expected some time in the future. I had the honor of writing the paper about The Netherlands, describing the development of the legal framework for government interception from the 1960s until the current law from 2018 (which, quite unique, was subject to an advisory referendum).


Map showing the countries covered by the Safe and Free project
Click the map for a clickable map!


Reading all the papers shows how different national laws and regulations are, despite the fact that in practice, the technical methods are largely the same. All over the world, the telecommunications infrastructure for telephone and internet communications is very similar, as are the methods for interception. Hacking operations may require more creativity but have many tools and techniques in common as well.

Because states have different legal systems, institutional traditions and political constellations, the regulation of electronic surveillance methods differs from country to country. Nonetheless, some basic trends can be distinguished. An important one is the distinction between foreign and domestic, which affects many aspects.

First, most countries have separate agencies for foreign intelligence and domestic security, with signals intelligence traditionally being conducted by the military and domestic wiretapping sometimes by a national or federal police service.

In The Netherlands the civilian AIVD and the military MIVD both combine a foreign and a domestic mission, separated by their goals, instead of collection methods. Dedicated signals intelligence agencies are typical for the Five Eyes countries (the US, the UK, Canada, Australia and New Zealand), but Sweden has one as well, the FRA.


Usually, the domestic security agencies are governed by rather strict laws to safeguard the rights of their national citizens, while for foreign intelligence agencies we see more lax or even no regulations as monitoring foreign targets is considered "fair game".

Edward Snowden, however, considered this distinction very unfair and demanded equal protection for everyone. In some countries his view was picked up by the press, civil rights organizations and public opinion and eventually led to legal changes.

In the United States, presidents Obama and Biden implemented a range of constraints on the NSA's signals intelligence collection abroad, while in Germany the constitutional court ruled that fundamental rights restrict the BND's intelligence collection outside the country as much as they do inside German borders. In The Netherlands and Romania the law does not distinguish between foreign and domestic operations.


The building of the European Court of Human Rights (ECHR) in Strasbourg, France
(photo: CherryX/Wikimedia Commons)


A further increase in safeguards for human rights comes from the European Court of Human Rights (ECHR), the jurisdiction of which is recognized by 46 European countries. A notable requirement of this court is that the most intrusive surveillance methods, including tapping and hacking operations, need prior approval by an independent body.

Intercepting domestic communications for criminal prosecution is subject to judicial approval almost everywhere, but when it's done by a security agency for national security or intelligence purposes, it's usually a cabinet minister who signs off. This bore the risk of politically motivated eavesdropping, so now there has to be ex ante oversight in order to meet the case law of the ECHR.

Germany has already had such a body for decades, called the G10 Commission. Other countries followed more recently: Sweden has had the FUD since 2009, France created the CNCTR in 2015, the UK installed Judicial Commissioners in 2016 and The Netherlands established the TIB commission in 2018.

All these bodies largely consist of former judges, but in France, Germany and Sweden they include (former) members of parliament as well. This shows the differences between political cultures, as in The Netherlands parliamentarians would probably not be seen as a sufficient safeguard for independent control.

Canada has an independent Intelligence Commissioner as well, while in Australia surveillance operations which affect Australian citizens have to be approved by three ministers and the attorney general. Finally, in the US, national security operations by the FBI have to be approved by either a regular court or the FISA Court, but so-called National Security Letters can be issued by the Bureau without judicial involvement.


Depending on each country's legal situation, some of these independent bodies for prior approval also authorize or review foreign intelligence operations, but in many states the monitoring of foreign communications only needs to be approved by a minister or even just within the intelligence agency itself. The latter is the case, for example, in Poland and Romania.

In the US, the NSA merely needs a general annual certification by the FISA Court when foreign data are collected inside the US (notably via the PRISM program) and no external approval is required when collection against foreign targets takes place abroad.


In Western European countries we see that new legislation comes with increasing safeguards for civil liberties and privacy rights, but in some Eastern European countries the situation is different.

Despite the fact that Poland and Romania both have to adhere to the case law of the ECHR, their most recent laws are aimed more towards extending electronic surveillance powers and less towards accountability, democratic control and privacy safeguards. Exemplary was that Polish authorities used the notorious Pegasus spyware against political opponents.


By comparing the legal frameworks of each country we can see these kinds of general trends as well as the different ways in which safeguards are eventually implemented. They provide a set of best practices and options that can be used to improve the often complex regulation of electronic surveillance in a particular country.

Here, I focused on the issue of prior approval, but similar lessons can be learned about other topics, like the regulations for targeted and untargeted tapping operations, the use of metadata and ex post oversight by independent and parliamentary commissions. Therefore it's highly recommended to read all the papers of the Safe and Free project, which can be found at www.safeandfree.io




Links
- Lawfare: Safe and Free: National-Security Surveillance and Safeguards Across Rule-of-Law States (2023)
- See also: International repository of legal safeguards and oversight innovation

December 11, 2023

Laatste kans voor duidelijkheid over de Tijdelijke wet cyberoperaties [NL]

(Update: December 24, 2023)

This time a blog post in Dutch about the temporary act that gives Dutch intelligence and security services more leeway for "operations against countries with an offensive cyber program directed against The Netherlands".


Wetgevingsoverleg in de Tweede Kamer over de Tijdelijke wet cyberoperaties, 16 oktober 2023



Inleiding

Momenteel behandelt de Eerste Kamer de Tijdelijke wet cyberoperaties, waarmee het voor de Nederlandse geheime diensten makkelijker wordt om hack- en kabeltapoperaties uit te voeren. Vanuit de AIVD en de MIVD wordt benadrukt dat deze versoepelingen dringend nodig zijn in de strijd tegen cyberaanvallen vanuit landen als Rusland en China, maar anderen vrezen dat hiermee een digitaal sleepnet mogelijk wordt gemaakt.

De Tweede Kamer ging op 24 oktober reeds in grote meerderheid akkoord met het wetsvoorstel, alleen de SP en Forum voor Democratie stemden tegen. Voorafgaand was er geen plenair kamerdebat, maar bespraken minister De Jonge van Binnenlandse Zaken en Ollongren van Defensie het voorstel alleen in een zogeheten wetgevingsoverleg met de kamercommissie voor Binnenlandse Zaken (in de samenstelling van vóór de verkiezingen van 22 november).


Verkenning bij ongerichte kabeltaps

De tijdelijke wet geldt voor vier jaar en maakt het onder meer mogelijk dat de beide geheime diensten makkelijker toegang krijgen tot computers en servers die door een vijandelijke dienst gehackt zijn. De meest controversiële bepalingen zijn echter die over ongerichte kabelinterceptie, die officieel "Onderzoeksopdrachtgerichte (OOG) interceptie" wordt genoemd.

Onder de huidige Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) moet ongerichte interceptie, oftewel het in bulk aftappen van internetverbindingen, niet alleen noodzakelijk, proportioneel en subsidiair, maar ook "zo gericht mogelijk" zijn. In de praktijk bleek dat laatste vereiste echter niet toepasbaar op de allereerste stap die voor zo'n tap nodig is, namelijk het inventariseren van welk soort kabelverkeer uit welke landen over welke kabels loopt.

De tijdelijke wet maakt dit mogelijk door de introductie van de bevoegdheid tot "verkenning ten behoeve van ongerichte interceptie". Daarbij mag internetverkeer in bulk worden afgetapt en opgeslagen, maar alleen om vast te stellen welke datastromen interessant genoeg zijn voor een daadwerkelijke kabeltap.

Deze mogelijkheid tot verkenning is dus een zinvolle toevoeging, maar hij geldt alleen voor "onderzoeken naar landen met een offensief cyberprogramma", aangezien dat het doel van de tijdelijke wet is. Dat betekent dat deze verkenning niet geldt voor ongerichte interceptie ten behoeve van onderzoeken op andere terreinen. Daar blijven de diensten dus vastzitten aan het onwerkbare gerichtheidsvereiste, wat doet vermoeden dat men de ongerichte kabelinterceptie de komende jaren hoofdzakelijk voor het bestrijden van cyberaanvallen wil inzetten.


Hele wijken afluisteren?

Er zijn over de Tijdelijke wet cyberoperaties nog meer onduidelijkheden die ook tijdens de behandeling in de Tweede Kamer niet of nauwelijks verhelderd werden. Sowieso besteedden de meeste kamerleden hun spreektijd grotendeels aan het simpelweg herhalen van wat in de wet staat. Stevig en kritisch doorvragen deden eigenlijk alleen Nicole Temmink van de SP en Pepijn van Houwelingen van Forum voor Democratie, maar ook hun vragen waren niet goed genoeg doordacht om de juiste antwoorden te krijgen.

Zo beet Van Houwelingen zich vast in de vraag of het wetsvoorstel het mogelijk maakt om hele wijken af te luisteren. Minister De Jonge hield vol dat het aftappen van hele wijken niet kan en niet mag en dat de diensten dat ook niet willen. Inderdaad is het technisch gezien erg omslachtig om al het dataverkeer uit bepaalde wijken te onderscheppen aangezien bewoners hun vaste en mobiele dataverkeer via verschillende providers hebben lopen. Zouden de diensten inderdaad een bepaalde wijk willen monitoren, dan zou dataverkeer uit de netwerken van alle betrokken providers gehaald moeten worden.

Van Houwelingen had dus eigenlijk moeten vragen of de diensten een substantieel deel van het dataverkeer van een bepaalde provider kunnen onderscheppen. Dat zou voor de minister moeilijker te ontkennen zijn geweest. Wel zal het daarbij voor de diensten interessanter zijn om niet de verbinding tussen een provider en zijn abonnees, maar die tussen een provider en de rest van het internet af te tappen omdat langs die weg de buitenlandse cyberaanvallen binnenkomen.


Omvang en herkomst van cyberaanvallen in de periode 2005 t/m 2022 (bron)


Nederlands dataverkeer onderscheppen?

Minister De Jonge betoogde bovendien dat als de diensten interesse in iemands buurman zouden hebben, zij daarvoor niet de ongerichte kabelinterceptie zullen inzetten, omdat er genoeg andere, meer gerichte methodes zijn om een target in Nederland te monitoren. De ongerichte kabelinterceptie wil men vooral gebruiken om ongekende dreigingen uit het buitenland in beeld te krijgen, aldus de minister.

Dit is overeenkomstig de brief van 6 april 2018, waarin de ministers van Binnenlandse Zaken en van Defensie aan de Tweede Kamer lieten weten dat het "vrijwel uitgesloten [is] dat OOG-interceptie op de kabel de komende jaren wordt ingezet voor onderzoek naar communicatie met oorsprong en bestemming in Nederland".

Tussen haakjes stond daar echter achter: "met uitzondering van onderzoek in het kader van cyber defence, omdat bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en OOG-interceptie op de kabel noodzakelijk kan zijn om dit te onderkennen." Deze niet onbelangrijke uitzondering liet minister De Jonge tijdens het overleg met de kamercommissie echter achterwege.

Nederlands dataverkeer kan dus wel ten behoeve van cyber defence in bulk worden afgetapt, en laat de tijdelijke wet nou net daarop betrekking hebben. Omdat geen enkel kamerlid dit heeft opgemerkt hebben zij kennelijk te weinig tijd en ondersteuning om zich dit ingewikkelde dossier voldoende eigen te maken. Ook is er een gebrek aan ervaring: van de kamerleden die zich in 2018 rond het referendum in de Wiv verdiept hadden zit alleen Martin Bosma van de PVV nog in de Kamer.


Momentopnames van zes maanden?

Naast Van Houwelingen was ook Nicole Temmink van de SP vasthoudend in het kritisch doorvragen. Haar ging het vooral om de bewaartermijn van zes maanden voor de data die tijdens de verkennende fase worden afgetapt.

In antwoorden op schriftelijke kamervragen werd gezegd dat deze zes maanden nodig zijn "om de geïntercepteerde gegevensstromen goed te kunnen beoordelen op bruikbaarheid" maar dat is een nogal magere onderbouwing voor de mogelijkheid om een potentieel zeer grote hoeveelheid internetdata een half jaar lang te bewaren. Minister De Jonge bleef beweren dat het hierbij slechts om een momentopname, een foto ("een snapshot") gaat.

Ook hier viel op dat de kamerleden kennelijk niet over voldoende informatie beschikten. Speciaal over het snapshotten heeft toezichthouder CTIVD namelijk in 2022 een gedetailleerd rapport uitgebracht. Daarin wordt gezegd dat dit snapshotten tot nu toe inhield dat een datakanaal maximaal twee uur per dag wordt afgetapt om de potentiële inlichtingenwaarde daarvan vast te stellen.*

Het kan zijn dat De Jonge bedoelde dat in de praktijk een snapshot nog steeds beperkt zal blijven tot twee uur per dag en dat het resultaat daarvan dan zes maanden bewaard blijft. Dat zou waarschijnlijk voor iedereen wel acceptabel zijn, maar door dat niet in de wet op te nemen, of tenminste expliciet toe te zeggen, is er nu ruimte om een continue datastroom op te slaan. Een dergelijke onduidelijkheid zou zich hier niet mogen voordoen.


Hoofdkantoor van de AIVD, waar zich ook de Joint Sigint Cyber Unit bevindt


Uitwisseling met het buitenland

Een laatste kritiekpunt op de nieuwe verkenningsfase is het feit dat data die daarbij binnengehaald worden ook met buitenlandse diensten gedeeld mogen worden. Volgens de minister gaat het daarbij alleen om "technische ondersteuning" waarbij een betrouwbare buitenlandse partner kan helpen met het duiden van bepaalde data. Het is echter niet duidelijk geworden of datastromen dan in hun geheel (mogen) worden doorgestuurd, of alleen de stukjes die voor onze eigen diensten raadsels opleveren.

Minister De Jonge gaf aan dat technische ondersteuning bijvoorbeeld nodig kan zijn om "de encryptie van bepaald Russisch verkeer te ontcijferen". Gezien de scope van de tijdelijke wet, het bestrijden van cyberaanvallen, zal het daarbij niet om diplomatieke berichten gaan, maar om malware, die tegenwoordig ook steeds vaker versleuteld is om virusscanners te ontduiken.

In het overleg met de kamercommissie voegde De Jonge daar aan toe dat onze diensten er vaak door buitenlandse partners op gewezen worden dat een bedrijf of instelling in Nederland under attack is en daarbij ook te horen krijgen aan wie zo'n aanval valt toe te rekenen: "Die samenwerkingsrelatie hou je goed als je niet alleen maar komt halen, maar ook af en toe kunt brengen".

Daarmee geeft de minister aan dat het bij deze wet niet zozeer gaat om het ouderwetse afluisteren van gesprekken of meelezen van e-mailberichten, maar om het detecteren van malware en hackpogingen. En dat de ongerichte kabeltoegang dus ook nodig is om buitenlandse partners te kunnen waarschuwen, zodat zij op hun beurt ons op de hoogte blijven houden van cyberdreigingen richting Nederland.


Conclusie

De Tijdelijke wet cyberoperaties is bijzonder complex en gaat over bevoegdheden op een terrein dat de komende jaren alleen maar belangrijker zal worden, namelijk het bestrijden van cyberaanvallen door landen als Rusland en China.

Ondanks dat er in schriftelijke stukken en in de mondelinge behandeling heel veel woorden over zijn gewisseld, lijkt de Tweede Kamer niet volledig te hebben doorgrond waarmee zij heeft ingestemd. Wanneer kamerleden al kritisch doorvroegen was dat met vragen die de minister de gelegenheid gaven om ontwijkend te antwoorden.

Daardoor is over diverse punten van zorg geen duidelijkheid gekomen en lijkt er zelfs nauwelijks besef te zijn dat het hier niet zozeer om klassieke inlichtingenvergaring, maar om cyber defence gaat. Daarvoor hebben de diensten weliswaar een breed zicht op kabelverkeer nodig, maar kijken ze met name naar buitenlandse cyberaanvallen en niet naar gedragingen van Nederlandse burgers.

Doordat dit niet expliciet is gemaakt blijft de wet te vaag en is de verontrusting op z'n minst begrijpelijk. De Eerste Kamer kan het wetsvoorstel niet meer wijzigen, maar kan door het stellen van de juiste vragen nog wel de nodige opheldering verkrijgen.



UPDATE: Schriftelijke vragen van de Eerste Kamer

Op 21 december 2023 publiceerde de Eerste Kamercommissie voor Binnenlandse Zaken haar schriftelijke vragen aan het kabinet. Vanuit bijna alle fracties zijn een behoorlijk groot aantal vragen gekomen, waarbij vrij veel vragen echter ook gaan over dingen die reeds bij de behandeling in de Tweede Kamer besproken en beantwoord zijn of anderzins al ergens terug te vinden zijn.

Voorts zijn veel vragen nogal algemeen gestelde open vragen, waarop het kabinet ontwijkend of onvolledig kan antwoorden, zoals we tijdens het wetgevingsoverleg in de Tweede Kamer al zagen. Een voorbeeld is dat nu gevraagd wordt "hoe bij de toepassing van dit wetsvoorstel zal worden omgegaan met metadata", in plaats van dat specifiek werd gevraagd of voor de verkennende fase niet kan worden volstaan met het analyseren van metadata (zodat de inhoud van datastromen ongemoeid blijft) en zo niet, waarom niet.

Vervolgens had dan gevraagd kunnen worden of voor de verkenning de datastromen altijd moeten worden opgeslagen of dat ze ook online kunnen worden gefilterd. Dat laatste werd al in de Memorie van Toelichting op de Wiv uit 2016 genoemd als een methode die specifiek ten behoeve van cybersecurity kan worden ingezet.* Het direct online filteren op kenmerken van malware en hackactiviteiten is immers minder privacybelastend dan het opslaan van data zodat deze ook later nog onderzocht kunnen worden.

Meerdere vragen gaan over wanneer de tijdelijke wet precies van toepassing is: wie bepaalt bijvoorbeeld wanneer een land "een offensief cyberprogramma tegen Nederland of Nederlandse belangen" uitvoert? Het kabinet heeft eerder al gezegd dat het daarbij met name om Rusland, China, Iran en Noord-Korea gaat, maar het blijft vreemd dat juist een bevoegdheid om ongekende dreigingen op te sporen pas kan worden ingezet als die aan een bepaald land wordt gekoppeld. Geen van de fracties kwam echter met de vraag of het niet duidelijker zou zijn om deze wet niet aan landen te koppelen, maar aan het bestrijden van cyberaanvallen in het algemeen.

Dit geeft de indruk dat, net als de Tweede Kamer, ook de Eerste Kamer zich nauwelijks bewust lijkt van het feit dat het hier hoofdzakelijk om cyber defence gaat en niet om traditionele inlichtingvergaring. De fractie van GroenLinks-PvdA denkt bijvoorbeeld dat al in de nieuwe verkenningsfase "mensen door middel van AI op basis van hun gedrag en uitingen beoordeeld" gaan worden. Op zich een begrijpelijke zorg, maar juist daarom zou expliciet gemaakt moeten worden dat het hier gaat om het bestrijden van malware en hackaanvallen.

Een betere vraag vanuit GroenLinks-PvdA is of de data die tijdens de verkennende fase zijn verworven ook in bulk en/of bijna live (real-time) met buitenlandse partnerdiensten mogen worden gedeeld ten behoeve van wat het kabinet "technische ondersteuning" noemt. Hieraan vooraf gaat echter het vraagstuk hoeveel data in eerste instantie tijdens de verkenning mogen worden binnengehaald.

In de Tweede Kamer vroeg Forum voor Democratie niet heel handig of hele wijken kunnen worden gaan afgeluisterd, maar overeenkomstig ik hierboven betoogde formuleert de Eerste Kamerfractie van de PVV de vraag nu beter: "In hoeverre kan bijvoorbeeld een kabelinterceptie plaatsvinden bij een grote internetprovider, waarmee in één keer het volledige gegevensverkeer van alle gebruikers verzameld wordt?"

De eveneens hierboven besproken uitzondering voor cyber defence wordt nu door de Eerste Kamerfractie van de PvdD aangehaald: "door de minister is toegezegd dat er geen interceptie zal plaatsvinden in het zogeheten Nederland-Nederland-verkeer, tenzij voor cyber defence. Is dat juist? Geldt dat ook voor het gebruik van bevoegdheden waarop het onderhavige wetsvoorstel betrekking heeft? Zo nee, is dat dan in strijd met de toezegging?"

De kwestie van de zogeheten snapshots liet de Eerste Kamer opvallend genoeg liggen. Volgens een rapport van de CTIVD uit 2022 wordt momenteel tijdens zo'n snapshot een datakanaal maximaal twee uur per dag afgetapt en het zou niet onbelangrijk zijn om te weten of dat ook voortaan het geval zal zijn, want zoals het wetsvoorstel nu geformuleerd is, zouden de diensten een continue datastroom mogen opslaan.

Aanmerkelijk minder vragen zijn er tenslotte over de nieuwe mogelijkheid om makkelijker toegang te krijgen tot computers en servers van derden wanneer die door een target gehackt zijn. Zo werd bijvoorbeeld niet gevraagd waarom er geen notificatie of zelfs compensatie mogelijk is voor mensen of bedrijven die daar mee te maken krijgen. Daar zitten haken en ogen aan, maar onmogelijk is het niet: in maart 2022 had de MIVD nota bene zelf laten weten dat zij particulieren en ondernemers na een dergelijke operatie geïnformeerd had en in een aantal gevallen ook een tegoedbon gegeven heeft.

De vaste commissie voor Binnenlandse Zaken van de Eerste Kamer verzoekt het kabinet om binnen vier weken, dus al vóór 16 januari 2024, te antwoorden middels een zogeheten nota naar aanleiding van het verslag.


> Vervolg: Eerste Kamer bereikt iets meer duidelijkheid over de Tijdelijke wet cyberoperaties



Links

- Zie voor alle officiële stukken rondom deze wetgeving: Dossier Wiv 2017, het Kamerdossier nr. 36263 en de behandeling bij de Eerste Kamer.

- MediaLogica: Zwarte Lak en Witte Jassen (8 december 2023)
- About Intel: Cyber defence operations require a dedicated legal framework (27 juni 2023)
- De Correspondent: De geheime diensten bedonderen ons, zegt de man die het kan weten (5 april 2023)
- NRC: Verkennen, hacken en tappen: mogen de AIVD en MIVD al genoeg of moet de wet nodig ruimer? (4 april 2023)
- Bert Hubert: De Tijdelijke Wet op Inlichtingen- en Veiligheidsdiensten 2022 (2 december 2022)

October 6, 2023

The NSA's new organizational designators

(Updated: February 24, 2024)

For decades, the organizational structure of the NSA was classified, but since 2013 the Snowden documents provided hundreds of designators of internal divisions, branches and units, which allowed me to reconstruct the agency's internal structure.

From 2016 to 2017, the NSA was reorganized so that many of those designators may have changed. Some recent documents, however, provide designators from the current situation, which allows to start a reconstruction of the new structure as well.


The Integrated Cyber Center (ICC) and other new buildings at the NSA's East Campus
(photo: Brendan Smialowski/Getty Images)



The reorganization of 2016

The organizational structure of the NSA as it emerged from the Snowden documents was established in the year 2000 under director Michael Hayden. In 2016, director Michael Rogers initiated a full reorganization under the name NSA21, in order to prepare the agency for the cyber challenges of the 21st century.

One of the most important (and controversial) changes was fusing the operational elements of the Signals Intelligence (SID) and Information Assurance (IAD) directorates into the new Directorate of Operations. The remaining information assurance activities were merged with the old Technology Directorate into the new Capabilities Directorate.

The hacking group Tailored Access Operations (TAO) was renamed into Computer Network Operations (CNO). The new structure as envisioned by NSA21 reached full operational capability in December 2017.


The new structure of the NSA as established by the NSA21 reorganization
(source: NSA - click to enlarge)


On October 1, 2019, an additional Cybersecurity Directorate (CSD) was established to unify the NSA's foreign intelligence and cyber defense missions and to prevent and eradicate threats to National Security Systems (NSS) and the Defense Industrial Base (DIB). The CSD pulled its workforce from several directorates, including the Operations Directorate and its Computer Network Operations group.



The new organizational structure

A number of new designators from the NSA's current structure can be found in the extensive NSA/CSS Policy 12-3 Annex C from June 2023. Some other documents and press reports provide additional information, which results in the partial chart below.

Update: The NSA/CSS Civil Liberties and Privacy Program from November 2021 provides the internal top-level designators for all the agency's current directorates. The organization chart and the remarks below have been updated accordingly:


A: Workforce Support Activities (WSA)

A2: National Cryptologic School (NCS)


B: Business Management and Acquisition (BM&A)


C: Cybersecurity Directorate (CSD)

C? Cybersecurity Collaboration Center (CCC) *

C?? Artificial Intelligence Security Center (AISC)


D: Office of the Director

DC: NSA/CSS Chief of Staff (CoS)
...
D2: Office of General Counsel (OGC)
...
D5: Civil Liberties, Privacy, and Transparancy (CLPT)
D6: Diversity, Equality, and Inclusion (DEI)
...
D9: Risk Management Office (RMO)


I: Office of the Inspector General (OIG)


P: Engagement and Policy (E&P)

P1: ?
P12: Office of Policy
P13: ?
P131: Information Security/Classification *
...
P7: Office of Compliance/Compliance Group
P75: Office of Compliance for Cybersecurity and Operations


R: Research Directorate


X: Operations Directorate

X? Computer Network Operations (CNO)


Y: Capabilities Directorate
    Chief Information Officer (CIO)





Some additional remarks (updated)

If we compare these current designators with the structure before 2016, we see that:

- The Office of the Director is still designated as "D" and may not have changed much, except for the Office of the Inspector General, which now has its own top-level designator (I), and at least two parts (the Office of Policy and the information security units) which have been transferred to the newly created Engagement & Policy Directorate (P).

- For the Inspector General (IG) this reflects that since the FY2014 Intelligence Authorization Act this official is appointed by the President and confirmed by the Senate. Previously, the IG was appointed by the Director of the NSA, who could also remove him. The first presidentially appointed NSA IG was Rob Storch, who served from 2018 to 2022.

- The position of the Chief Information Officer (CIO) is different: in 2020, the IG criticised that the CIO wasn't included in the organization charts of the agency and primarily served as head of one of the NSA's directorates, first Technology and now Capabilities.

- Other new directorates also got a top-level designator that wasn't used before 2016: Workforce Support Activities (A), Business Management and Acquisition (B), Cybersecurity (C) and Capabilities (Y). The Research Directorate however kept the letter R.

- The new Operations Directorate is designated by the letter X, which was already used under the old structure, although we don't know for what kind of activity. Maybe the previous X division was just temporary or very small as the only source that mentions it is a document about cable installations at NSA headquarters from 2007.


> See also: The NSA's regional Cryptologic Centers




In Dutch: Meer over het wetsvoorstel voor de Tijdelijke wet cyberoperaties