Spioneren door VS nu gemakkelijker

Dankzij uitbreiding van het Nederlandse knooppunt krijgen de VS nu nog meer grip op ons internet, schrijft Dirk Poot.

Illustratie Adam Zyglis

De leden van de Amsterdam Internet Exchange (AMS-IX), het één na grootste internetknooppunt, hebben vrijdag besloten een filiaal in de VS te openen. Dit kantoor valt daarmee waarschijnlijk automatisch onder zowel de Patriot Act als de Foreign Intelligence Surveillance Act (FISA) en zal vrijwel onmiddellijk een door de geheime FISA-rechtbank uitgevaardigd aftapbevel ontvangen. Helaas geven die wetten de Amerikaanse geheime diensten ook onbeperkte bevoegdheden over de netwerken van het Nederlandse moederbedrijf. Tenzij AMS-IX juridisch onwaarschijnlijk sterk in de schoenen blijkt te staan, is de kans daarom groot dat de NSA op termijn eenvoudig toegang krijgt tot het Nederlandse en Europese internetverkeer dat via AMS-IX loopt.

Het is nu aan de Nederlandse overheid om stappen te ondernemen om de gegevens van Nederlandse burgers en bedrijven serieus te beschermen. In tegenstelling tot Brazilië, Duitsland en Frankrijk heeft Nederland zich tot nu toe timide opgesteld ten opzichte van Amerikaanse spionage. Plasterk verschuilt zich achter ‘gezamenlijke afspraken en Europese initiatieven’ en doet er verder het zwijgen toe.

De overheid lijkt niet te beseffen dat de NSA zich ook bezighoudt met industriële spionage en dat Nederland en Duitsland belangrijke doelen zijn. Ruim vier miljoen medewerkers van de grote Amerikaanse consulting firma’s kunnen ongehinderd meelezen met email, meeluisteren met Skype en hebben toegang tot vrijwel alle documenten in de Amerikaanse cloud. Bedrijven met klanten of concurrenten in de VS realiseren zich nu dat het grootste deel van hun IT-infrastructuur en interne correspondentie mogelijk een open boek is voor de consultants van die Amerikaanse relaties en concurrenten.

Daarom moeten we op korte termijn bepalen of AMS-IX onder de ‘kritieke infrastructuur’ valt en hoe deze in dat geval beschermd moet worden tegen Amerikaanse overheidsspionage. Vervolgens moet onze eigen wetgeving tegen het licht worden gehouden, ten einde de onderdelen die het Nederlandse internet aantrekkelijker maken voor cybercriminelen en buitenlandse inlichtingendiensten aan te passen.

De voornaamste boosdoeners zijn het wetsvoorstel Computercriminaliteit en de Databewaringsrichtlijn met de bijbehorende database.

Het wetsvoorstel Computercriminaliteit dat de Tweede Kamer binnenkort zal behandelen veroorzaakt internationaal opschudding. De meest aanstootgevende plannen zijn in dit verband de terughack-bevoegdheid voor de overheid en de decryptieplicht voor gebruikers.

Niet alleen plaatst Nederland zich met deze voorstellen buiten de internationale rechtsorde, wij komen ook direct in de vuurlinie van boze internetcriminelen en buitenlandse overheden die het Nederlandse hacken als een cyberoorlogsverklaring zullen zien. Géén omgeving waarin je vertrouwelijke gegevens veilig opslaat.

Het tweede grote risico vormt de Databewaringsrichtlijn en de chaos bij de daarmee samenhangende CIOT-database. De Snowden-affaire begon met het nieuws dat één telefoonprovider, Verizon, door een geheime rechtbank gedwongen was om zogenaamde ‘meta-informatie’ af te staan. Het is moeilijk voor te stellen, maar Nederland gaat bij de eisen voor de opslag van telefoon- en internetgegevens veel verder. Als gevolg van de Databewaringsrichtlijn moeten Nederlandse providers dagelijks alle gegevens over het bel- en internetverkeer in de CIOT-database plaatsen.

Dit brengt niet alleen hoge kosten met zich mee voor de sector, de database zelf is een goudmijn voor criminelen en buitenlandse inlichtingendiensten. Inmiddels staat vast dat zowel beveiliging als controle ernstig te kort schieten en dat te veel mensen toegang hebben tot de gegevens.

Door de huidige regelgeving stelt de Nederlandse overheid ons bloot aan veel vormen van spionage. De meeste daarvan hebben niets met terrorisme te maken. De databases die worden aangelegd kunnen eenvoudig misbruikt worden door derden. Deze zomer werd niet alleen duidelijk hoe ver de NSA gaat in het afluisteren, maar ook hoe onwaarschijnlijk veel mensen onbeperkt toegang hebben tot de verzamelde data. Hoe minder gegevens er over ons worden opgeslagen, hoe minder er te misbruiken zijn.

Het NSA-schandaal leidt ertoe dat de internationale markt voor cloud-computing, een vorm van gegevensopslag via het internet, sinds deze zomer sterk verandert. Ruim 35 miljard dollar aan omzet verlaat de VS omdat daar de veiligheid en de integriteit van data niet gegarandeerd kan worden. Indien de overheid snel handelt en de huidige wetgeving grondig verbetert, kan Nederland met haar centrale ligging en uitstekende infrastructuur een belangrijk deel van deze omzet binnenhalen.