Momenteel behandelt de Tweede Kamer de Tijdelijke wet cyberoperaties, die een aanvulling vormt op de Wet op de inlichtingen en veiligheidsdiensten (Wiv 2017).
Omdat er niet alleen veel kritiek op dat wetsvoorstel is, maar er ook veel onduidelijkheid over is, schreef ik in april 2023 het onderstaande opiniestuk.
Omvang en herkomst van cyberaanvallen in de periode 2005 t/m 2022 (bron)
Met de Tijdelijke wet cyberoperaties worden onder meer de regels voor hacken en kabeltappen uit de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) versoepeld. Kritiek is er met name op de bepaling dat de AIVD en de MIVD datastromen uit internetkabels voortaan een half jaar lang in bulk mogen opslaan zonder dat dat "zo gericht mogelijk" hoeft te zijn, zoals de Wiv tot nu toe vereist. Wel geldt deze versoepeling alleen voor de verkennende fase, die bedoeld is om na te gaan welk soort dataverkeer over welke kabels loopt.
Voorts geldt het wetsvoorstel alleen voor onderzoeken naar "landen met een offensief cyberprogramma gericht tegen Nederland of Nederlandse belangen", oftewel Rusland, China, Iran en Noord-Korea. Het gaat dus niet zozeer om het inwinnen van inlichtingen over die landen, maar om het tegengaan van digitale spionage en manipulatie, oftewel cyberdefense. Voor onze moderne samenleving is dat van groot belang, maar tijdens de debatten die er in 2018 rond het referendum over de invoering van de Wiv waren bleef dit aspect onbesproken.
Toch werd in de officiële toelichting op de Wiv uit 2016 al gezegd dat de ongerichte kabelinterceptie niet alleen van belang is voor het vergaren van inlichtingen, maar ook voor het detecteren en monitoren van cyberaanvallen. Voor dat laatste geeft de Wiv echter geen specifieke regels, terwijl beide functies een andere methodiek hebben: voor inlichtingen zoom je steeds verder in door opeenvolgende filters en selectiemethodes op de datastroom toe te passen. Weliswaar kun je zo ook kenmerken ontdekken van malware en apparaten van hackers die een bedreiging voor Nederland kunnen vormen, maar voor effectieve cyberdefense moet je vervolgens uitzoomen om zoveel mogelijk van die dreigingen tijdig in beeld te kunnen krijgen.
Dit uitzoomen vereist niet alleen het zo breed mogelijk monitoren van datastromen, maar ook het combineren van de gevonden informatie met databestanden die bijvoorbeeld uit hacks of van commerciële partijen verkregen zijn. Een ander verschil is dat inlichtingen over bijvoorbeeld terrorisme of wapenhandel uit buitenlandse datastromen gehaald worden, terwijl voor cyberdefense ook zicht op binnenlandse kabels nodig is, aangezien bij digitale aanvallen vaak misbruik van Nederlandse digitale infrastructuur wordt gemaakt.
Uit geheime documenten die via Edward Snowden naar buiten kwamen weten we dat de Amerikaanse afluisterdienst NSA tien jaar geleden al op grote schaal met cyberdefense bezig was. Daar heeft sinds 2013 niet meer terrorisme, maar cybersecurity de hoogste prioriteit en zoals de Amerikanen de strijd tegen terrorisme in nauwe samenwerking met Europese partners voerden, zo is er nu een vergelijkbaar samenwerkingsverband op het gebied van cyberdefense.
Door dreigingsinformatie met elkaar te delen kunnen de betrokken inlichtingendiensten een zo breed mogelijk gezichtsveld creëren, vergelijkbaar met de websites waarop private partijen wereldwijd gegevens over malware uitwisselen. Dit kan verklaren waarom data die al in de verkennende fase van de ongerichte kabelinterceptie worden binnengehaald volgens het wetsvoorstel ook met buitenlandse partnerdiensten zullen mogen worden gedeeld, iets wat de Raad van State nadrukkelijk heeft afgekeurd.
Naar verwachting zullen Russische en Chinese cyberaanvallen de komende jaren alleen nog maar toenemen. Het is daarom zaak dat de bestrijding daarvan goed geregeld wordt, maar net als de Wiv blijft ook de Tijdelijke wet cyberoperaties hangen in het frame van traditionele inlichtingenvergaring. Daardoor zullen de bestaande fricties tussen wet en praktijk en tussen de geheime diensten en de toezichthouders waarschijnlijk niet opgelost worden.
Beter zou zijn om een aparte wettelijke regeling voor cyberdefense te maken, met speciaal toegesneden procedures, waarborgen en criteria, al was het alleen maar om te zorgen dat ook het grote publiek een beter besef van deze belangrijke functie krijgt.
Peter Koop
Electrospaces.net
Voorts geldt het wetsvoorstel alleen voor onderzoeken naar "landen met een offensief cyberprogramma gericht tegen Nederland of Nederlandse belangen", oftewel Rusland, China, Iran en Noord-Korea. Het gaat dus niet zozeer om het inwinnen van inlichtingen over die landen, maar om het tegengaan van digitale spionage en manipulatie, oftewel cyberdefense. Voor onze moderne samenleving is dat van groot belang, maar tijdens de debatten die er in 2018 rond het referendum over de invoering van de Wiv waren bleef dit aspect onbesproken.
Toch werd in de officiële toelichting op de Wiv uit 2016 al gezegd dat de ongerichte kabelinterceptie niet alleen van belang is voor het vergaren van inlichtingen, maar ook voor het detecteren en monitoren van cyberaanvallen. Voor dat laatste geeft de Wiv echter geen specifieke regels, terwijl beide functies een andere methodiek hebben: voor inlichtingen zoom je steeds verder in door opeenvolgende filters en selectiemethodes op de datastroom toe te passen. Weliswaar kun je zo ook kenmerken ontdekken van malware en apparaten van hackers die een bedreiging voor Nederland kunnen vormen, maar voor effectieve cyberdefense moet je vervolgens uitzoomen om zoveel mogelijk van die dreigingen tijdig in beeld te kunnen krijgen.
Dit uitzoomen vereist niet alleen het zo breed mogelijk monitoren van datastromen, maar ook het combineren van de gevonden informatie met databestanden die bijvoorbeeld uit hacks of van commerciële partijen verkregen zijn. Een ander verschil is dat inlichtingen over bijvoorbeeld terrorisme of wapenhandel uit buitenlandse datastromen gehaald worden, terwijl voor cyberdefense ook zicht op binnenlandse kabels nodig is, aangezien bij digitale aanvallen vaak misbruik van Nederlandse digitale infrastructuur wordt gemaakt.
Uit geheime documenten die via Edward Snowden naar buiten kwamen weten we dat de Amerikaanse afluisterdienst NSA tien jaar geleden al op grote schaal met cyberdefense bezig was. Daar heeft sinds 2013 niet meer terrorisme, maar cybersecurity de hoogste prioriteit en zoals de Amerikanen de strijd tegen terrorisme in nauwe samenwerking met Europese partners voerden, zo is er nu een vergelijkbaar samenwerkingsverband op het gebied van cyberdefense.
Door dreigingsinformatie met elkaar te delen kunnen de betrokken inlichtingendiensten een zo breed mogelijk gezichtsveld creëren, vergelijkbaar met de websites waarop private partijen wereldwijd gegevens over malware uitwisselen. Dit kan verklaren waarom data die al in de verkennende fase van de ongerichte kabelinterceptie worden binnengehaald volgens het wetsvoorstel ook met buitenlandse partnerdiensten zullen mogen worden gedeeld, iets wat de Raad van State nadrukkelijk heeft afgekeurd.
Naar verwachting zullen Russische en Chinese cyberaanvallen de komende jaren alleen nog maar toenemen. Het is daarom zaak dat de bestrijding daarvan goed geregeld wordt, maar net als de Wiv blijft ook de Tijdelijke wet cyberoperaties hangen in het frame van traditionele inlichtingenvergaring. Daardoor zullen de bestaande fricties tussen wet en praktijk en tussen de geheime diensten en de toezichthouders waarschijnlijk niet opgelost worden.
Beter zou zijn om een aparte wettelijke regeling voor cyberdefense te maken, met speciaal toegesneden procedures, waarborgen en criteria, al was het alleen maar om te zorgen dat ook het grote publiek een beter besef van deze belangrijke functie krijgt.
Peter Koop
Electrospaces.net
Een ingekorte versie van dit betoog verscheen op 24 april 2023 in het Financieele Dagblad: Om cyberaanvallen tegen te gaan is zicht op datastromen cruciaal.
Een Engelse versie werd op 27 juni 2023 gepubliceerd op de website About Intel: Cyber defence operations require a dedicated legal framework.
Lees ook mijn eigen Samenvatting en bespreking van de Tijdelijke wet cyberoperaties die is ingediend tijdens de internetconsultatie in april 2022.
Op 23 december 2022 kwam het kabinet met een nota van wijziging, waarbij de Tijdelijke wet cyberoperaties werd aangevuld met twee regelingen die voor álle onderzoeken van de diensten gelden.
Omdat hierdoor de oorspronkelijke naam de lading niet meer dekte, werd het wetsvoorstel omgedoopt tot Tijdelijke wet specifieke voorzieningen onderzoeken AIVD en MIVD. De kortst mogelijke samenvatting is te vinden in het onderstaande schema:
Mijn bespreking van het mondelinge debat in de Tweede Kamer: Laatste kans voor duidelijkheid over de Tijdelijke wet cyberoperaties.
De schriftelijke vragen en antwoorden in de Eerste Kamer bespreek ik hier: Eerste Kamer bereikt iets meer duidelijkheid over de Tijdelijke wet cyberoperaties.
Zie voor alle officiële stukken rondom deze wetgeving: Dossier Wiv 2017, het Kamerdossier nr. 36263 en de behandeling bij de Eerste Kamer.
Zie ook de kritische samenvatting door Bert Hubert.
No comments:
Post a Comment