De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) leest niet elke e-mail die wordt verstuurd, ook al is dit een hardnekkige mythe die blijft bestaan, zo liet de dienst onlangs weten. Toch wordt mogelijk dit jaar de wet aangepast waardoor de AIVD meer bevoegdheden krijgt om internetverkeer te onderscheppen.
Tijdens de NCSC Conferentie in Den Haag sprak Sebastian Reyn van de AIVD over de rol die de inlichtingendiensten op internet spelen en welke risico's Nederland bedreigen. Dit om meer inzicht in de werking van de diensten te geven en waar die zich mee bezighouden, voor zover het grote publiek dit mag weten.
"Ik kan jullie niets over onze bronnen, werkwijze en huidige informatiepositie vertellen. Dit vereist geen verdere uitleg", liet Reyn de zaal weten. Hij begon met het ontzenuwen van populaire mythes, zoals de mythe dat de AIVD al het e-mailverkeer zou afluisteren. "Dat is niet het geval."
Dreigingen
"Het is belangrijk dat burgers begrijpen wat we doen en waarom wat we doen van belang is voor hun veiligheid." Volgens Reyn zijn cybercrime en cyberspionage in dat licht twee van de grootste dreigingen voor de nationale veiligheid. "Er is geen twijfel dat cyberspionage, samen met cybercrime, de grootste dreiging is waar we in het cyberdomein mee te maken hebben."
Vanwege de omvang van de dreiging is het belangrijk dat partijen samenwerken. "Deze dreiging is te groot om alleen aan te pakken." Daarin spelen ook internetgebruikers een rol. Volgens Reyn gedragen veel mensen zich nog altijd op onveilige wijzen en zijn zich niet van de risico's bewust. Zo wordt software niet gepatcht, worden wachtwoorden nauwelijks gewijzigd en laat men overal persoonlijke informatie op het web slingeren.
Voorbeelden hiervan verschijnen dagelijks in de media. Het probleem met cyberspionage is dat het onzichtbaar is. "Het is een feit dat buitenlandse inlichtingendiensten op geheime wijze toegang tot belangrijke informatiesystemen proberen te krijgen." Veel van deze aanvallen worden door bestaande beveiligingssystemen nauwelijks gedetecteerd.
E-mail
"We zijn niet geinteresseerd in elke e-mail of verstuurd sms-bericht, of elk cyberincident. Onze focus ligt bij dreigingen voor de nationale veiligheid." Cyberspionage en cybercrime ziet de AIVD als serieuze dreigingen, dat geldt echter niet voor cyberterrorisme. Cyberterroristen vormen nog geen grote bedreiging voor de nationale veiligheid, aldus Reyn. "De mogelijkheden die cyberterroristen hebben zijn op dit moment beperkt."
Terroristen zouden dan ook nog niet bij grote cyberaanvallen betrokken of hiervoor verantwoordelijk zijn geweest. Ook voor hacktivisten is Reyn niet bang. Hij vergeleek ze met het digitale equivalent van demonstrerende mensen.
De grootste dreiging komt dan ook van andere staten. Reyn stelt dat in veel landen het de juridische taak van de overheid is om andere landen te bespioneren om hun eigen positie in de wereld te versterken. "Elke dag proberen duizenden mensen die voor legio inlichtingendiensten werken toegang tot de informatie van andere landen te krijgen. En je kunt ervan uitgaan dat een aantal in Nederland is geinteresseerd."
En Nederland is voor deze landen een interessant doelwit op zowel economisch, technologisch als wetenschappelijk gebied. Volgens Reyn is er nog een te groot vertrouwen in de veiligheid van ICT-systemen.
Spionage
Cyberspionage is voor veel landen aantrekkelijk, ging Reyn verder. "Het is een goedkope manier om in korte tijd een grote hoeveelheid data te verzamelen en is voor een groot aantal doelen te gebruiken. Daarnaast is het risico op detectie klein en is 'attributie' lastig." Het is bijna onmogelijk voor aangevallen landen om te bewijzen wie de dader is. "Landen zoeken bewust naar lekken in software en systemen", stelt Reyn.
Volgens Reyn worden soms agenten gebruikt die USB-sticks op systemen aansluiten die niet op het internet zijn aangesloten. Daarnaast worden ook bekendere tactieken toegepast. "We zien vaak valse e-mails met verborgen malware." Om ervoor dat te zorgen dat het slachtoffer deze e-mails ook opent, gebruiken staten klassieke spionagetactieken. "Ze zoeken naar menselijke kwetsbaarheden."
Aftappen
Aan het eind van de lezing stelde Simone Halink van digitale burgerrechtenbeweging Bits of Freedom nog een vraag over de transparantie en openheid die de AIVD wil uitdragen, terwijl de bevoegdheden waaronder de dienst opereert mogelijk verder worden uitgebreid. Daardoor kan de dienst wel elke e-mail onderscheppen, zowel van Nederlandse als buitenlandse internetgebruikers.
Nederlandse veiligheidsdiensten hebben op dit moment de bevoegdheid om “ongericht” communicatie te onderscheppen. Ze mogen onder bepaalde voorwaarden de recorder aanzetten. Het gaat dan om "ongericht ontvangen en opnemen van niet-kabelgebonden telecommunicatie".
Op dit moment is er een wijzigingsvoorstel voor de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) in de maak, waardoor die bevoegdheid wordt uitgebreid naar het aftappen van communicatie via kabels.
"De wet is in 2002 gemaakt en sindsdien heeft de technologie zich verder ontwikkeld. De meeste communicatie verloopt tegenwoordig via de kabel. Het is belangrijk dat de wet de spelregels beschrijft waar de inlichtingendiensten aan moeten voldoen, maar dat de wet zelf niet afhankelijk van technologie is", aldus Reyn.
Bij Bits of Freedom waarschuwen ze voor de gevolgen van nieuwe bevoegdheden. "Hoewel het ongericht aftappen van satellietverkeer al verstrekkend is, gaat het aftappen van internetkabels helemaal ver. Het lijkt bijna onvermijdelijk dat hierdoor een groot deel van de onverdachte internetter in het vizier van de veiligheidsdiensten opduikt", aldus directeur Ot van Dalen.
De privacywaakhond stuurde vorig jaar een brief naar de minister waarin het om een betere evaluatie van de afluisterwet vroeg.
Toch probeerde Reyn de zaal gerust te stellen. "De situatie zal nooit zo in Nederland worden dat inlichtingendiensten complete vrijheid hebben in het monitoren van alle communicatie waar we onze handen op kunnen leggen."
Deze posting is gelocked. Reageren is niet meer mogelijk.