Onthoud deze zes lessen van Edward Snowden

Het massaal afluisteren van Amerikaanse burgers stopt, dankzij aanpassingen in de Patriot Act. Dat is een succes voor klokkenluider Edward Snowden, maar het echte werk moet nog beginnen.

Door onze redacteur Marc Hijink

Edward Snowden foto Kyle Bean
Edward Snowden foto Kyle Bean

‘Ze noemen me Ed”. Met die woorden stelde Edward Snowden zich voor aan een groepje journalisten in een hotelkamer in Hongkong. Hij ontvluchtte de VS met een paar usb-sticks vol gevoelige data. Zijn doel: bekend maken dat de democratische samenleving in gevaar was door afluisterprogramma's van de National Security Agency (NSA).

Snowden, de toen 29-jarige medewerker van beveiligingsbedrijf Booz Allen Hamilton, werkte in opdracht van de NSA en verkreeg zo toegang tot presentaties van grootschalige afluisterprogramma’s van de Amerikaanse geheime dienst.

Op 6 juni 2013, precies twee jaar geleden, publiceerden The Guardian en The Washington Post hun eerste artikelen op basis van de Snowden-documenten. Ze beschreven hoe telefoongegevens van Amerikaanse burgers massaal vergaard werden, onder het mom van terrorismebestrijding.

De tweede onthulling volgde een dag later. Via het PRISM-programma had de Amerikaanse geheime dienst vrijwel ongecontroleerde toegang tot gebruikersdata bij Google, Apple, Yahoo, Facebook en Microsoft. Deze bedrijven ontkenden, want ze mogen er niet over praten.

De Snowden-documenten toonden vervolgens aan hoe de Westerse geheime diensten internetverbindingen aftappen, gegevens delen, politici en bedrijven afluisteren en webbeveiliging saboteren.

Een nieuwe wet

Snowden, in 2013 runner-up in de verkiezing van Time’s person of the year, kreeg asiel in Rusland. Hij keek vanuit Moskou toe hoe de Amerikaanse Senaat deze week de NSA verbood om massaal telefoondata te verzamelen. De Patriot Act – in oktober 2001 in het leven geroepen, meteen na de aanslagen op het World Trade Center – gaf daarvoor carte blanche.

Volgens de nieuwe wet, de Freedom Act, bewaren telecombedrijven de telefoondata en kijken inlichtingendiensten alleen mee met toestemming van de rechter. Nog een verdienste van de Freedom Act: internetbedrijven mogen vertellen hoe vaak ze de overheid toegang geven tot hun gebruikers.

Deze wetswijzigingen zijn een rechtstreeks gevolg van de Snowden-onthullingen. Maar is hiermee de kous af? Volgens het Snowden-kamp zijn veel ingrijpender maatregelen nodig om het uit de klauwen gegroeide beveiligingsapparaat terug te brengen tot normale proporties. Privacyorganisatie EFF noemde de Freedom Act een ‘minimaal’ begin. Nog altijd worden buitenlanders afgeluisterd, nog altijd worden data afgetapt bij internetbedrijven en nog altijd wordt de veilige versleuteling van berichten ondermijnd.

Nu de spectaculaire onthullingen zijn opgedroogd en er een nieuwe wet is die ‘Vrijheid’ heet, ebt ook de publieke verontwaardiging over de privacyschendingen weg. Zijn we de lessen van Snowden dan al vergeten?

1 Privacy = naakt

Les 1 van Snowden: je privacy doet er toe. Maar het gros van de internetgebruikers haalt zijn schouders erover op. Te ingewikkeld. Saai. Wat er aan de achterkant van je computer of telefoon gebeurt wil je helemaal niet weten – als ie het maar doet. Alweer een internetkabel die afgetapt wordt, nog een computerinbraak, weer een onbegrijpelijke afkorting: er treedt privacyvermoeidheid op bij iedereen die zich niet beroepsmatig met informatie bezighoudt – de gebruikelijke roedel journalisten, privacyvoorvechters, beveiligingsexperts en opsporingsdiensten. Dat is een kwestie van presentatie. John Oliver van tv-programma Last Week Tonight wist de zaak tot de kern terug te brengen. Amerikaanse opsporingsagenten vissen voor de lol de ranzige plaatjes uit Google- en Apple-accounts van vreemden. Dus vroeg hij aan Snowden om eens niet als een techneut of een zendeling te praten, maar te vertellen op hoeveel manieren inlichtingdiensten mee kunnen kijken naar blootfoto’s (‘dick pics’ ) die we rondsturen. Olivers publiek reageerde geschokt: privacyschending wordt een stuk tastbaarder als je naakt in de iCloud staat.

2 Niemand = anoniem

Les 2 van Snowden: inlichtingendiensten zijn high tech-databedrijven. De NSA verzamelt, net als Google of Amazon, massaal gebruikersgegevens en stelt daaruit profielen samen. Amazon berekent de kans op een nieuwe aankoop, NSA de kans op een nieuwe aanslag.

We worden gesust met termen als ‘metadata’ en ‘geanonimiseerde gegevens’. Wie grote hoeveelheden informatie tot zijn beschikking heeft kan iedereen identificeren, door dwarsverbanden te zoeken in verschillende databases. Anoniem opereren op internet werd een uitzondering door sociale netwerken: alleen Facebook dwingt al 1,4 miljard mensen om onder hun werkelijke naam naar buiten te treden.

‘Gratis’ vertroebelt de blik. Gratis diensten bestaan niet; de gebruiker is zelf het product. We verloren onze schroom om persoonlijke gegevens beschikbaar te stellen, in ruil voor onbeperkte mail, een snelle zoekopdracht, gratis opslagruimte, contact met oude schoolvrienden of de snelste weg naar huis. Al vijftien jaar vertrouwen we op commerciële diensten die bijna alles van ons weten. Zo ontstonden grote concentraties van informatie die een aantrekkelijk doelwit vormen, voor criminelen en voor professionele afluisteraars.

Onze reflexen stammen uit de analoge wereld, waarin je je kunt verschuilen in de massa en je sporen na enige tijd vervagen. Dat is in een digitale samenleving niet mogelijk. Weggooien bestaat niet in de cloud. Je kunt over twintig jaar geconfronteerd worden met foto’s die je nu achteloos uploadt.

3 Beveiliging = lek

Les 3 van Snowden: beveilig jezelf. Internetbedrijven die we onze data toevertrouwen namen hun beveiliging niet serieus genoeg. Ze versleutelden de informatiestroom amper, tussen gebruikers onderling en tussen datacentra. Dat maakte het aftappen wel heel makkelijk.

Dankzij Snowden scherpten alle grote webdiensten hun beveiliging aan. Ze bieden betere encryptie en laten gebruikers inloggen met een extra controle, zoals een tijdelijke code die naar je telefoon wordt gestuurd. Dat zou verplicht moeten zijn voor iedereen – maar dat is het nog niet.

Onze communicatie wordt nu zo goed versleuteld dat de inlichtingendiensten hardop klagen over de onleesbare berichten. Ondertussen werken ze hard om de datastroom alsnog te kraken – de wapenwedloop gaat door. Het meest zorgwekkende NSA-programma is de aparte afdeling die hacks fabriceert en zwakheden in hard- en software bouwt. Dat levert gevaar op voor alle webgebruikers. Zulke kwetsbaarheden mogen dan ontwikkeld zijn om terroristen op te sporen, ze komen uiteindelijk ook in de handen van criminelen en (contra-)spionnen.

De NSA probeert Tor (The Onion Router) te ondermijnen, de netwerktechniek waarmee men zich anoniem op internet kan begeven. Tor wordt gebruikt door pedofielen en drugshandelaren, maar ook door dissidenten in dictaturen. Het werd nota bene ontwikkeld door het Amerikaanse leger, om veilig te kunnen communiceren.

4 Internet = onbegrensd

Les 4 van Snowden: de Amerikaanse inlichtingendiensten werken nauw samen met bondgenoten. Europeanen reageerde verontwaardigd op het NSA-schandaal, zeker toen bleek dat politici werden afgeluisterd en sprake was van economische spionage. Bedrijven als Google en Microsoft stuitten op wantrouwen van Europese klanten: er werd geroepen om een Europees internet, buiten de Amerikaanse invloedssfeer. Maar het web kent geen geografische grenzen en het afluisterschandaal ook niet.

Ook Europese geheime diensten wisselen data uit met de NSA en bespioneren elkaar. GCHQ, de Britse inlichtingendienst, gaat daarin het verst en brak onder meer in bij Belgische telecombedrijven. Afgelopen week werd duidelijk dat de Duitse geheime dienst BND tientallen KPN-kabels in Frankfurt afluisterde. Ook tapte de BND kabels af in samenwerking met de Britse inlichtingendienst. Conclusie: in Europa ben je niet gevrijwaard van meeluisterende geheime diensten.

5 Alles = kwetsbaar

Les 5 van Snowden: alles wordt afgeluisterd en alles is te hacken. Inlichtingendiensten richten zich niet alleen op mailservers en telefoonverkeer, maar ook op chatsoftware en sociale netwerken. Dat was in 2013. Inmiddels koppelen we onze fysieke wereld met internet . Ook je tv (met ingebouwde camera en microfoon), de thermostaat, de lichtknop, het deurslot en je auto zijn toegankelijk via een Apple- of Googleaccount. Net als je eetgewoontes, je bewegingspatroon en medische conditie.

We omarmen nieuwe technologie vaak zonder te beseffen dat het nieuwe kwetsbaarheden oplevert. Paranoïde? Ongetwijfeld. Het veelgeprezen internet of things levert nieuwe mogelijkheden op om ons leven te vervolmaken, maar het is wel gebouwd op een wankel fundament waarvan de meeste gebruikers niet eens (willen) weten hoe het werkt.

Snowden toonde aan dat je alleen met de allergrootste voorzorg veilig kunt communiceren via internet. Hoe meer apparaten we aan het web hangen, hoe complexer het wordt om onszelf te beveiligen.

6 Angst = groot

Les 6 van Snowden: wees niet bang. Ed Snowden – of je hem nu een held of landverrader vindt – had in ieder geval het lef om in alle openheid te protesteren tegen de doorgeslagen afluisterpraktijken. Een systeem waar hij zelf deel van uitmaakte. In een vrije wereld hoort de overheid je niet te bespieden zonder dat je ergens van verdacht wordt: „Onze generatie moet technologie kunnen gebruiken op de manier die we zelf willen”, zegt Snowden in een filmpje bij Wired dat hem afschildert als het geweten van het web.

In de VS wordt Snowden gezocht door de FBI: de diefstal en publicatie van geheime NSA-methodes zou terroristen in de kaart spelen, hoewel moeilijk is aan te tonen welke complotten en aanslagen precies worden voorkomen door de massale afluisterprogramma’s. Opsporingsdiensten zijn doodsbang dat ze niet tijdig verbindingen tussen verdachte feiten kunnen leggen: het trauma van ‘11 september’ is dat het opsporingsapparaat te kort schoot in ‘connecting the dots’. Alle informatie was er, niemand legde de link.

De kans op een terroristische aanslag wordt niet kleiner door grootschalige afluisterprogramma’s. Meer data leveren meer valse beschuldigingen en dus overbodig werk voor geheime agenten. We laten ons ook te veel leiden door de angst voor terrorisme, betoogt veiligheidsexpert Bruce Schneier in zijn boek Data & Goliath – in feite een ode aan Snowden. Schneier pleit ervoor onze angsten te ‘herkalibreren’. Dat is te simpel gedacht, door een techneut. De meeste mensen hebben geen resetknop en realistisch risico’s inschatten is niet voor iedereen weggelegd.

Misschien vrezen we het afluisterapparaat wel te veel, nu we dankzij Snowden weten wat zich zoal achter de schermen afspeelt. Internet, met alle vrijheden die het met zich meebrengt, kan niet zonder regulering en controle. Een virusscanner is niet voldoende; we hebben ook een overheid nodig die onszelf, onze smart homes, elektronische dossiers en zelfrijdende auto’s beschermt tegen de boze buitenwereld.

De klassieke vraag luidt: hoeveel vrijheid wil je opgeven om je verworven vrijheden te beschermen? Om een afgewogen keuze te maken moeten we weten hoe we beschermd worden en ook hoe we tegen onze beschermers beschermd worden. Dat betekent dat geheime diensten transparanter moeten zijn en beter gecontroleerd moeten worden. Om te voorkomen dat ze – opnieuw – doorschieten.