Opinie

Wiv-referendum: te simpel geframed

De tegenstelling tussen privacy en veiligheid is een vals dilemma, schrijven en andere cyberexperts.

Maakt een nee-stem tegen de Wet inlichtingen- en veiligheidsdiensten (Wiv) de samenleving onveiliger? Voorstanders van de nieuwe wet zeggen zonder voorbehoud ‘ja’. Ik plaats vraagtekens bij die stelligheid. Het publieke debat over de nieuwe Wiv wordt namelijk te simpel geframed: veiligheid versus privacy. Ben je voor veiligheid dan stem je ‘ja’; vind je privacy van groter belang dan ben je een nee-stemmer.

Dat de nieuwe wet zelf veiligheidsrisico’s creëert past niet in dit frame, maar dit is helaas toch waar. Deze risico’s moeten worden meegenomen in het debat en vertaald naar de juiste afweging in de wet.

Ten eerste geeft de Wiv de diensten een prikkel om de cyberinfrastructuur opzettelijk zwak te houden. De diensten mogen via onbekende kwetsbaarheden in apparatuur en netwerken (‘zero days’) digitaal binnendringen. Deze kwetsbaarheden hoeven ze niet te melden bij de makers van de apparatuur of software. Dit lijkt op het eerste gezicht logisch, want wanneer de maker de kwetsbaarheid repareert, kan de dienst er geen gebruik meer van maken. Maar als je bedenkt dat de diensten ook voor de digitale weerbaarheid van Nederland staan, is dit in veel gevallen onacceptabel. Door het opzettelijk stilhouden blijft niet alleen het spionagedoelwit kwetsbaar maar ook talloze burgers in binnen- en buitenland. De kans is groot dat anderen van dezelfde kwetsbaarheden gebruik maken om bijvoorbeeld creditcardgegevens of naaktfoto’s te stelen.

Waarom zou je voor of tegen de Inlichtingenwet stemmen? En 17 andere vragen

Het is mogelijk dat cybercriminelen en ander gespuis ofwel zelf de kwetsbaarheid vinden, ofwel de databank van de diensten hacken om informatie hierover te stelen. De meerdaagse cyberaanval op de containerterminal in de Rotterdamse haven, afgelopen zomer, wordt in verband gebracht met informatie over kwetsbaarheden die eerder bij de Amerikaanse dienst NSA werd buit gemaakt.

Bundestrojaner

Het gebruik van kwetsbaarheden in apparaten en software door de overheid kan ook nieuwe kwetsbaarheden veroorzaken. In Duitsland heeft men dit ondervonden met de zogeheten Bundestrojaner, opsporingssoftware die de Duitse overheid plaatste op computers van verdachten. De controle van deze software kon worden overgenomen door hackers.

Afgelopen donderdag stelden regeringspartijen D66 en VVD voor om een toetsingskader te maken voor het gebruik van kwetsbaarheden. Goed plan! Maar hierin moet worden meegewogen dat het stilhouden van kwetsbaarheden een gevaar is dat ernstige economische schade veroorzaakt en moeilijk te verenigen is met de veiligheidstaak van de diensten.

Het tweede veiligheidsrisico is de bulkinterceptie, de bevoegdheid waaraan de nieuwe wet zijn bijnaam dankt: de sleepwet. Om het dataverkeer in bulk van de kabel op te pikken worden tappunten in het netwerk aangebracht. Binnen de cybersecurity is ieder tappunt een extra kwetsbaarheid. Hoe weten we zeker dat hackers niet ook van die taps gebruik maken? Bovendien kleven ook aan de opslag van bulkinformatie zwaarwegende veiligheidsrisico’s, want die bergen data zijn ook voor andere spionnen en cybercriminelen een goudmijn.

De dreiging van datalekken wordt groter nu de opgeslagen bulkinformatie (ook zonder dat hier naar gekeken is) gedeeld mag worden met buitenlandse diensten. Dit gaat Nederland naar alle waarschijnlijkheid doen met onder anderen de Britten en de Amerikanen. Beide landen hebben echter een rijke geschiedenis van datalekken bij de overheid. Data delen met deze landen is dus niet zonder veiligheidsrisico voor Nederland.

Verbod op versleuteling

Daarnaast wordt steeds meer communicatie effectief versleuteld en metadata gemaskeerd, zeker door criminelen en (potentiële) terroristen. Hierdoor vult het ‘sleepnet’ zich al snel met data van willekeurige burgers. Dit geeft overheden met een sleepnet de prikkel om beveiligingstechnieken, zoals versleuteling en VPN, te verbieden. We zien dit momenteel in China gebeuren. Deze technieken zijn echter broodnodig voor een veilig internet en het verbieden hiervan levert een groot beveiligingsrisico op voor burgers en de maatschappij.

Het derde veiligheidsgevaar zit in het verlies van controle en onvoldoende toezicht op het gebruik van de gedeelde informatie door buitenlandse diensten. Misbruik door bevriende diensten is in de wereld van spionage niet ongewoon. Zo verleende de Duitse Bundesnachrichtendienst (BND) nietsvermoedend toegang aan de Amerikaanse dienst NSA tot haar databases in de strijd tegen het terrorisme. Later bleek dat die toegang werd misbruikt voor industriële spionage tegen Duitsland, waardoor de Duitse economie moedwillig werd verzwakt.

In de zoektocht naar veiligheid creëert de Nederlandse wetgever met de Wiv de bovenstaande veiligheidsrisico’s. Deze moeten worden meegenomen in het debat dat helaas een stuk gecompliceerder is dan domweg ‘privacy versus veiligheid’.

Was het maar zo simpel.

Merel Koning is privacy consultant en onderzoeker aan de Radboud Universiteit vakgroep Digital Security. Dit stuk is gebaseerd op een open brief die door tientallen cybersecurityonderzoekers, computerwetenschappers en security-professionals is ondertekend . Brief en lijst met ondertekenaars zijn beschikbaar op https://veiligheid-en-de-wiv.nl/