December 11, 2023

Laatste kans voor duidelijkheid over de Tijdelijke wet cyberoperaties [NL]

(Update: December 24, 2023)

This time a blog post in Dutch about the temporary act that gives Dutch intelligence and security services more leeway for "operations against countries with an offensive cyber program directed against The Netherlands".


Wetgevingsoverleg in de Tweede Kamer over de Tijdelijke wet cyberoperaties, 16 oktober 2023



Inleiding

Momenteel behandelt de Eerste Kamer de Tijdelijke wet cyberoperaties, waarmee het voor de Nederlandse geheime diensten makkelijker wordt om hack- en kabeltapoperaties uit te voeren. Vanuit de AIVD en de MIVD wordt benadrukt dat deze versoepelingen dringend nodig zijn in de strijd tegen cyberaanvallen vanuit landen als Rusland en China, maar anderen vrezen dat hiermee een digitaal sleepnet mogelijk wordt gemaakt.

De Tweede Kamer ging op 24 oktober reeds in grote meerderheid akkoord met het wetsvoorstel, alleen de SP en Forum voor Democratie stemden tegen. Voorafgaand was er geen plenair kamerdebat, maar bespraken minister De Jonge van Binnenlandse Zaken en Ollongren van Defensie het voorstel alleen in een zogeheten wetgevingsoverleg met de kamercommissie voor Binnenlandse Zaken (in de samenstelling van vóór de verkiezingen van 22 november).


Verkenning bij ongerichte kabeltaps

De tijdelijke wet geldt voor vier jaar en maakt het onder meer mogelijk dat de beide geheime diensten makkelijker toegang krijgen tot computers en servers die door een vijandelijke dienst gehackt zijn. De meest controversiële bepalingen zijn echter die over ongerichte kabelinterceptie, die officieel "Onderzoeksopdrachtgerichte (OOG) interceptie" wordt genoemd.

Onder de huidige Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) moet ongerichte interceptie, oftewel het in bulk aftappen van internetverbindingen, niet alleen noodzakelijk, proportioneel en subsidiair, maar ook "zo gericht mogelijk" zijn. In de praktijk bleek dat laatste vereiste echter niet toepasbaar op de allereerste stap die voor zo'n tap nodig is, namelijk het inventariseren van welk soort kabelverkeer uit welke landen over welke kabels loopt.

De tijdelijke wet maakt dit mogelijk door de introductie van de bevoegdheid tot "verkenning ten behoeve van ongerichte interceptie". Daarbij mag internetverkeer in bulk worden afgetapt en opgeslagen, maar alleen om vast te stellen welke datastromen interessant genoeg zijn voor een daadwerkelijke kabeltap.

Deze mogelijkheid tot verkenning is dus een zinvolle toevoeging, maar hij geldt alleen voor "onderzoeken naar landen met een offensief cyberprogramma", aangezien dat het doel van de tijdelijke wet is. Dat betekent dat deze verkenning niet geldt voor ongerichte interceptie ten behoeve van onderzoeken op andere terreinen. Daar blijven de diensten dus vastzitten aan het onwerkbare gerichtheidsvereiste, wat doet vermoeden dat men de ongerichte kabelinterceptie de komende jaren hoofdzakelijk voor het bestrijden van cyberaanvallen wil inzetten.


Hele wijken afluisteren?

Er zijn over de Tijdelijke wet cyberoperaties nog meer onduidelijkheden die ook tijdens de behandeling in de Tweede Kamer niet of nauwelijks verhelderd werden. Sowieso besteedden de meeste kamerleden hun spreektijd grotendeels aan het simpelweg herhalen van wat in de wet staat. Stevig en kritisch doorvragen deden eigenlijk alleen Nicole Temmink van de SP en Pepijn van Houwelingen van Forum voor Democratie, maar ook hun vragen waren niet goed genoeg doordacht om de juiste antwoorden te krijgen.

Zo beet Van Houwelingen zich vast in de vraag of het wetsvoorstel het mogelijk maakt om hele wijken af te luisteren. Minister De Jonge hield vol dat het aftappen van hele wijken niet kan en niet mag en dat de diensten dat ook niet willen. Inderdaad is het technisch gezien erg omslachtig om al het dataverkeer uit bepaalde wijken te onderscheppen aangezien bewoners hun vaste en mobiele dataverkeer via verschillende providers hebben lopen. Zouden de diensten inderdaad een bepaalde wijk willen monitoren, dan zou dataverkeer uit de netwerken van alle betrokken providers gehaald moeten worden.

Van Houwelingen had dus eigenlijk moeten vragen of de diensten een substantieel deel van het dataverkeer van een bepaalde provider kunnen onderscheppen. Dat zou voor de minister moeilijker te ontkennen zijn geweest. Wel zal het daarbij voor de diensten interessanter zijn om niet de verbinding tussen een provider en zijn abonnees, maar die tussen een provider en de rest van het internet af te tappen omdat langs die weg de buitenlandse cyberaanvallen binnenkomen.


Omvang en herkomst van cyberaanvallen in de periode 2005 t/m 2022 (bron)


Nederlands dataverkeer onderscheppen?

Minister De Jonge betoogde bovendien dat als de diensten interesse in iemands buurman zouden hebben, zij daarvoor niet de ongerichte kabelinterceptie zullen inzetten, omdat er genoeg andere, meer gerichte methodes zijn om een target in Nederland te monitoren. De ongerichte kabelinterceptie wil men vooral gebruiken om ongekende dreigingen uit het buitenland in beeld te krijgen, aldus de minister.

Dit is overeenkomstig de brief van 6 april 2018, waarin de ministers van Binnenlandse Zaken en van Defensie aan de Tweede Kamer lieten weten dat het "vrijwel uitgesloten [is] dat OOG-interceptie op de kabel de komende jaren wordt ingezet voor onderzoek naar communicatie met oorsprong en bestemming in Nederland".

Tussen haakjes stond daar echter achter: "met uitzondering van onderzoek in het kader van cyber defence, omdat bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en OOG-interceptie op de kabel noodzakelijk kan zijn om dit te onderkennen." Deze niet onbelangrijke uitzondering liet minister De Jonge tijdens het overleg met de kamercommissie echter achterwege.

Nederlands dataverkeer kan dus wel ten behoeve van cyber defence in bulk worden afgetapt, en laat de tijdelijke wet nou net daarop betrekking hebben. Omdat geen enkel kamerlid dit heeft opgemerkt hebben zij kennelijk te weinig tijd en ondersteuning om zich dit ingewikkelde dossier voldoende eigen te maken. Ook is er een gebrek aan ervaring: van de kamerleden die zich in 2018 rond het referendum in de Wiv verdiept hadden zit alleen Martin Bosma van de PVV nog in de Kamer.


Momentopnames van zes maanden?

Naast Van Houwelingen was ook Nicole Temmink van de SP vasthoudend in het kritisch doorvragen. Haar ging het vooral om de bewaartermijn van zes maanden voor de data die tijdens de verkennende fase worden afgetapt.

In antwoorden op schriftelijke kamervragen werd gezegd dat deze zes maanden nodig zijn "om de geïntercepteerde gegevensstromen goed te kunnen beoordelen op bruikbaarheid" maar dat is een nogal magere onderbouwing voor de mogelijkheid om een potentieel zeer grote hoeveelheid internetdata een half jaar lang te bewaren. Minister De Jonge bleef beweren dat het hierbij slechts om een momentopname, een foto ("een snapshot") gaat.

Ook hier viel op dat de kamerleden kennelijk niet over voldoende informatie beschikten. Speciaal over het snapshotten heeft toezichthouder CTIVD namelijk in 2022 een gedetailleerd rapport uitgebracht. Daarin wordt gezegd dat dit snapshotten tot nu toe inhield dat een datakanaal maximaal twee uur per dag wordt afgetapt om de potentiële inlichtingenwaarde daarvan vast te stellen.*

Het kan zijn dat De Jonge bedoelde dat in de praktijk een snapshot nog steeds beperkt zal blijven tot twee uur per dag en dat het resultaat daarvan dan zes maanden bewaard blijft. Dat zou waarschijnlijk voor iedereen wel acceptabel zijn, maar door dat niet in de wet op te nemen, of tenminste expliciet toe te zeggen, is er nu ruimte om een continue datastroom op te slaan. Een dergelijke onduidelijkheid zou zich hier niet mogen voordoen.


Hoofdkantoor van de AIVD, waar zich ook de Joint Sigint Cyber Unit bevindt


Uitwisseling met het buitenland

Een laatste kritiekpunt op de nieuwe verkenningsfase is het feit dat data die daarbij binnengehaald worden ook met buitenlandse diensten gedeeld mogen worden. Volgens de minister gaat het daarbij alleen om "technische ondersteuning" waarbij een betrouwbare buitenlandse partner kan helpen met het duiden van bepaalde data. Het is echter niet duidelijk geworden of datastromen dan in hun geheel (mogen) worden doorgestuurd, of alleen de stukjes die voor onze eigen diensten raadsels opleveren.

Minister De Jonge gaf aan dat technische ondersteuning bijvoorbeeld nodig kan zijn om "de encryptie van bepaald Russisch verkeer te ontcijferen". Gezien de scope van de tijdelijke wet, het bestrijden van cyberaanvallen, zal het daarbij niet om diplomatieke berichten gaan, maar om malware, die tegenwoordig ook steeds vaker versleuteld is om virusscanners te ontduiken.

In het overleg met de kamercommissie voegde De Jonge daar aan toe dat onze diensten er vaak door buitenlandse partners op gewezen worden dat een bedrijf of instelling in Nederland under attack is en daarbij ook te horen krijgen aan wie zo'n aanval valt toe te rekenen: "Die samenwerkingsrelatie hou je goed als je niet alleen maar komt halen, maar ook af en toe kunt brengen".

Daarmee geeft de minister aan dat het bij deze wet niet zozeer gaat om het ouderwetse afluisteren van gesprekken of meelezen van e-mailberichten, maar om het detecteren van malware en hackpogingen. En dat de ongerichte kabeltoegang dus ook nodig is om buitenlandse partners te kunnen waarschuwen, zodat zij op hun beurt ons op de hoogte blijven houden van cyberdreigingen richting Nederland.


Conclusie

De Tijdelijke wet cyberoperaties is bijzonder complex en gaat over bevoegdheden op een terrein dat de komende jaren alleen maar belangrijker zal worden, namelijk het bestrijden van cyberaanvallen door landen als Rusland en China.

Ondanks dat er in schriftelijke stukken en in de mondelinge behandeling heel veel woorden over zijn gewisseld, lijkt de Tweede Kamer niet volledig te hebben doorgrond waarmee zij heeft ingestemd. Wanneer kamerleden al kritisch doorvroegen was dat met vragen die de minister de gelegenheid gaven om ontwijkend te antwoorden.

Daardoor is over diverse punten van zorg geen duidelijkheid gekomen en lijkt er zelfs nauwelijks besef te zijn dat het hier niet zozeer om klassieke inlichtingenvergaring, maar om cyber defence gaat. Daarvoor hebben de diensten weliswaar een breed zicht op kabelverkeer nodig, maar kijken ze met name naar buitenlandse cyberaanvallen en niet naar gedragingen van Nederlandse burgers.

Doordat dit niet expliciet is gemaakt blijft de wet te vaag en is de verontrusting op z'n minst begrijpelijk. De Eerste Kamer kan het wetsvoorstel niet meer wijzigen, maar kan door het stellen van de juiste vragen nog wel de nodige opheldering verkrijgen.



UPDATE: Schriftelijke vragen van de Eerste Kamer

Op 21 december 2023 publiceerde de Eerste Kamercommissie voor Binnenlandse Zaken haar schriftelijke vragen aan het kabinet. Vanuit bijna alle fracties zijn een behoorlijk groot aantal vragen gekomen, waarbij vrij veel vragen echter ook gaan over dingen die reeds bij de behandeling in de Tweede Kamer besproken en beantwoord zijn of anderzins al ergens terug te vinden zijn.

Voorts zijn veel vragen nogal algemeen gestelde open vragen, waarop het kabinet ontwijkend of onvolledig kan antwoorden, zoals we tijdens het wetgevingsoverleg in de Tweede Kamer al zagen. Een voorbeeld is dat nu gevraagd wordt "hoe bij de toepassing van dit wetsvoorstel zal worden omgegaan met metadata", in plaats van dat specifiek werd gevraagd of voor de verkennende fase niet kan worden volstaan met het analyseren van metadata (zodat de inhoud van datastromen ongemoeid blijft) en zo niet, waarom niet.

Vervolgens had dan gevraagd kunnen worden of voor de verkenning de datastromen altijd moeten worden opgeslagen of dat ze ook online kunnen worden gefilterd. Dat laatste werd al in de Memorie van Toelichting op de Wiv uit 2016 genoemd als een methode die specifiek ten behoeve van cybersecurity kan worden ingezet.* Het direct online filteren op kenmerken van malware en hackactiviteiten is immers minder privacybelastend dan het opslaan van data zodat deze ook later nog onderzocht kunnen worden.

Meerdere vragen gaan over wanneer de tijdelijke wet precies van toepassing is: wie bepaalt bijvoorbeeld wanneer een land "een offensief cyberprogramma tegen Nederland of Nederlandse belangen" uitvoert? Het kabinet heeft eerder al gezegd dat het daarbij met name om Rusland, China, Iran en Noord-Korea gaat, maar het blijft vreemd dat juist een bevoegdheid om ongekende dreigingen op te sporen pas kan worden ingezet als die aan een bepaald land wordt gekoppeld. Geen van de fracties kwam echter met de vraag of het niet duidelijker zou zijn om deze wet niet aan landen te koppelen, maar aan het bestrijden van cyberaanvallen in het algemeen.

Dit geeft de indruk dat, net als de Tweede Kamer, ook de Eerste Kamer zich nauwelijks bewust lijkt van het feit dat het hier hoofdzakelijk om cyber defence gaat en niet om traditionele inlichtingvergaring. De fractie van GroenLinks-PvdA denkt bijvoorbeeld dat al in de nieuwe verkenningsfase "mensen door middel van AI op basis van hun gedrag en uitingen beoordeeld" gaan worden. Op zich een begrijpelijke zorg, maar juist daarom zou expliciet gemaakt moeten worden dat het hier gaat om het bestrijden van malware en hackaanvallen.

Een betere vraag vanuit GroenLinks-PvdA is of de data die tijdens de verkennende fase zijn verworven ook in bulk en/of bijna live (real-time) met buitenlandse partnerdiensten mogen worden gedeeld ten behoeve van wat het kabinet "technische ondersteuning" noemt. Hieraan vooraf gaat echter het vraagstuk hoeveel data in eerste instantie tijdens de verkenning mogen worden binnengehaald.

In de Tweede Kamer vroeg Forum voor Democratie niet heel handig of hele wijken kunnen worden gaan afgeluisterd, maar overeenkomstig ik hierboven betoogde formuleert de Eerste Kamerfractie van de PVV de vraag nu beter: "In hoeverre kan bijvoorbeeld een kabelinterceptie plaatsvinden bij een grote internetprovider, waarmee in één keer het volledige gegevensverkeer van alle gebruikers verzameld wordt?"

De eveneens hierboven besproken uitzondering voor cyber defence wordt nu door de Eerste Kamerfractie van de PvdD aangehaald: "door de minister is toegezegd dat er geen interceptie zal plaatsvinden in het zogeheten Nederland-Nederland-verkeer, tenzij voor cyber defence. Is dat juist? Geldt dat ook voor het gebruik van bevoegdheden waarop het onderhavige wetsvoorstel betrekking heeft? Zo nee, is dat dan in strijd met de toezegging?"

De kwestie van de zogeheten snapshots liet de Eerste Kamer opvallend genoeg liggen. Volgens een rapport van de CTIVD uit 2022 wordt momenteel tijdens zo'n snapshot een datakanaal maximaal twee uur per dag afgetapt en het zou niet onbelangrijk zijn om te weten of dat ook voortaan het geval zal zijn, want zoals het wetsvoorstel nu geformuleerd is, zouden de diensten een continue datastroom mogen opslaan.

Aanmerkelijk minder vragen zijn er tenslotte over de nieuwe mogelijkheid om makkelijker toegang te krijgen tot computers en servers van derden wanneer die door een target gehackt zijn. Zo werd bijvoorbeeld niet gevraagd waarom er geen notificatie of zelfs compensatie mogelijk is voor mensen of bedrijven die daar mee te maken krijgen. Daar zitten haken en ogen aan, maar onmogelijk is het niet: in maart 2022 had de MIVD nota bene zelf laten weten dat zij particulieren en ondernemers na een dergelijke operatie geïnformeerd had en in een aantal gevallen ook een tegoedbon gegeven heeft.

De vaste commissie voor Binnenlandse Zaken van de Eerste Kamer verzoekt het kabinet om binnen vier weken, dus al vóór 16 januari 2024, te antwoorden middels een zogeheten nota naar aanleiding van het verslag.



Links
- Zie voor alle officiële stukken rondom deze wetgeving: Dossier Wiv 2017, het Kamerdossier nr. 36263 en de behandeling bij de Eerste Kamer.
- MediaLogica: Zwarte Lak en Witte Jassen (8 december 2023)
- About Intel: Cyber defence operations require a dedicated legal framework (27 juni 2023)
- De Correspondent: De geheime diensten bedonderen ons, zegt de man die het kan weten (5 april 2023)
- NRC: Verkennen, hacken en tappen: mogen de AIVD en MIVD al genoeg of moet de wet nodig ruimer? (4 april 2023)
- Bert Hubert: De Tijdelijke Wet op Inlichtingen- en Veiligheidsdiensten 2022 (2 december 2022)

In Dutch: Meer over het wetsvoorstel voor de Tijdelijke wet cyberoperaties