Zo tapt de AIVD straks internet af
Er heerst onduidelijkheid over de nieuwe aftapwet, die critici de sleepwet noemen. We gingen bij de AIVD langs om te vragen om duidelijkheid.
Dat er onduidelijkheid heerst is logisch. De inlichtingendiensten vertellen natuurlijk niet precies wat ze gaan doen. Daar zijn ze niet heel open over: het wordt niet voor niets een geheime dienst genoemd. Om toch wat duidelijkheid te geven, wil de AIVD enkele prangende vragen beantwoorden die burgers door de invoering van de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) hebben.
De AIVD mocht al gerichte internettaps plaatsen, bijvoorbeeld op een telefoon of computer. De data die dan wordt afgetapt is te overzien: je ziet of iemand Netflix kijkt, welke websites diegene bezoekt en of er WhatsApp'jes worden verstuurd.
Als de nieuwe wet van kracht wordt mag de AIVD de glasvezelkabel af gaan tappen. Daar moet wel een duidelijke aanleiding voor zijn. Maar als die er is, dan geeft het de dienst toegang tot de kabel waar het internetverkeer van miljoenen Nederlanders door gaat. De AIVD weet dat ze hierdoor met enorme bergen aan data gaan werken, en daar is een nieuwe werkwijze voor nodig.
Voorbereidingsfase
De grote vraag: is de AIVD al begonnen met het op grote schaal aftappen van het internet? Daar is een duidelijk antwoord op: nee, de dienst is nog in de voorbereidingsfase. Die bestaat uit drie fases. Allereerst wordt er een kenniscentrum opgericht dat zich gaat bezighouden met het zoeken naar interessante aftaplocaties. Daarvoor werkt de AIVD samen met onder andere providers.
Het kenniscentrum, waar momenteel een handjevol mensen werkt, is cruciaal voor het aftapproces, meent de AIVD. Daar wordt bijvoorbeeld gekeken via welke kabels veelal Russische, Chinese of Iraanse hackaanvallen worden uitgevoerd. Die landen vormen volgens de AIVD de drie grootste dreigingen van dit moment.
Door op de juiste kabel te zitten kan de AIVD dit soort aanvallen herkennen, vroegtijdig stoppen en wanneer nodig onderzoeken of ook andere bedrijven door dezelfde malware-aanval zijn getroffen.
Nationaal Detectie Netwerk
Een detectienetwerk voor dit soort aanvallen bestaat al in Nederland en heet het Nationaal Detectie Netwerk (NDN). Is de wet dan wel nodig? Ja, zegt de AIVD, want het NDN wordt op dit moment alleen ingezet om het internetverkeer van de overheid te monitoren.
Met de nieuwe wet wordt die bevoegdheid uitgebreid. De AIVD wil dit graag omdat zo de vitale infrastructuur van Nederland beter beschermd kan worden. Denk aan bedrijven die elektriciteit, toegang tot internet, drinkwater en het betalingsverkeer regelen. Ook belangrijke Nederlandse bedrijven worden hierdoor beschermd.
Neem bijvoorbeeld de hack bij chipmachinefabrikant ASML van twee jaar geleden, vermoedelijk uitgevoerd door de Chinezen. De hackers zouden dagenlang op zoek zijn gegaan naar waardevolle documenten, bijvoorbeeld bedrijfsgeheime technische informatie over de chipmachines. De AIVD schrijft al jaren in zijn jaarverslagen dat het zich zorgen maakt over deze vorm van economische spionage.
De AIVD zal zich vooral richten op internetkabels die Nederland verbinden met het buitenland. Daar valt voor de inlichtingendienst de meeste waardevolle informatie te halen.
Prisma
Dan komen we bij fase twee: het opzetten van een taplocatie. Dat proces duurt ongeveer een halfjaar, zegt de AIVD: de benodigde apparatuur koop je namelijk niet bij de MediaMarkt. Dit jaar worden er gesprekken gevoerd met twee of drie grote partijen om een aftaplocatie te bespreken en in te richten. Deze divisie bestaat uit een relatief kleine groep mensen.
Het aftappen gebeurt met een prisma. Met een prisma kun je de lichtstralen - dat zijn alle datastromen - die door de glasvezelkabel gaan kopiëren. Er gaat zo enorm veel data door een glasvezelkabel dat de AIVD nooit al die gegevens op zijn eigen servers kan opslaan. Daarom wordt al die data eerst gefilterd. Streams van onder andere Netflix, Spotify en YouTube worden weggegooid, samen met alle andere datastromen die niet interessant zijn.
De AIVD kan al die data filteren op de kernmerken van Russische of Iraanse malware, maar ook op het gebruik van een bepaalde chat-app of communicatie tussen ip- of e-mailadressen. Het gaat dan om metadata (naar wie je een e-mail stuurt en hoe laat) en niet om de inhoud (de tekst in een e-mail) van het bericht. De uiteindelijk interessante data worden doorgestuurd naar de servers van de AIVD.
Patronen en fenomenen
Bij de servers van de AIVD begint fase drie: de afgetapte data analyseren. Dat gebeurt door opnieuw een handjevol mensen, die in alle bergen data op zoek gaan naar nieuwe patronen of fenomenen. Een belangrijk onderdeel van hun werk wordt netwerkanalyse: wie communiceert met wie, en waarom? Op die manier kan de AIVD bijvoorbeeld zien met wie een jihadist allemaal contact heeft.
Metadata zijn maar één onderdeel van het onderzoek, vertelt de AIVD. Door deze data te combineren met openbare informatie, tips van bronnen en natuurlijk de observeringen van zijn eigen spionnen kan er van een doelwit een goed beeld worden gecreëerd. Indien de verdenking groot genoeg is, dan richt de inlichtingendienst zich op de inhoud van die metadata, zoals wat er in een chatbericht of e-mail staat.
Eén probleem: heel veel communicatie is inmiddels versleuteld met zogeheten end-to-end-encryptie. Dat betekent dat het bericht of andere data alleen in te zien zijn door de verzender en ontvanger. Om de versleuteling niet te hoeven kraken, mag de AIVD doelwitten hacken. Want als de AIVD toegang heeft tot de telefoon van een doelwit, dan heeft encryptie geen nut meer.
Met de nieuwe wet mag de AIVD zelfs derden hacken om bij een doelwit te komen, zoals vrienden van het doelwit of een server waarmee de kwaadwillende verbinding maakt. Opvallend genoeg is onderzoeksinstituut TNO is juist zeer kritisch op het hacken via derden, en minder op het aftappen waar de publieke discussie veelal over gaat.
Buitenlandse missies
De afgetapte data mag drie jaar worden bewaard. Waarom is die periode niet één jaar zoals in het Verenigd Koninkrijk? Daar is volgens de AIVD een goede reden voor: de wet geldt voor zowel de AIVD als militaire variant MIVD, en voor laatstgenoemde is een langere bewaartermijn belangrijk. Missies in het buitenland duren vaak lang, en door terug te zoeken in de verzamelde data kan cruciale informatie voor een nieuwe missie worden gevonden, zo stelt de dienst.
Aan de andere kant denkt de AIVD dat een langere bewaartermijn ook voor hen wel degelijk interessant kan zijn. Je kunt terugkijken: wat deed iemand voordat diegene naar Syrië reisde? Of met wie had een terrorist de maanden voor een aanslag allemaal contact? Die afgetapte gegevens mogen daarbij ook met buitenlandse diensten worden gedeeld, zelfs als de AIVD de gegevens niet heeft ingezien. Het delen gebeurt wel alleen met betrouwbare collega-diensten, zegt de AIVD.
Hand in eigen boezem
De AIVD vergelijkt de nieuwe wet met het camerasysteem dat kentekens registreert. Je kenteken wordt gezien en soms voor een periode bewaard, maar je kofferbak hoeft alleen open als je ergens van wordt verdacht. Met die paar data-analisten, je kan ze op één hand tellen, heeft de dienst niet eens de mankracht om alle privédata van Nederlandse burgers te bekijken, zo stelt de AIVD.
De AIVD kan wel begrijpen dat die angst er is. Ze hebben er zelf ook aan bijgedragen door te stellen dat de internetkastjes in wijken zouden worden afgetapt. De AIVD steekt de hand nu in eigen boezen: dat hypothetische voorbeeld klopt niet en komt ook niet aan de orde.
Als er een terrorist zich schuilhoudt in een Amsterdamse wijk, dan zijn er volgens de AIVD betere en minder privacyinbreukmakende opties om die persoon te vinden. Je kunt bijvoorbeeld een apparaat gebruiken waarmee je mobiele signalen opvangt om zo je zoektocht te helpen. Of je belt als spion gewoon eens bij wat huizen aan.
Referendum
Op 21 maart mogen Nederlanders via een raadgevend referendum hun oordeel vellen over de nieuwe aftapwet. De vraag is simpel: ben je voor of tegen de wet? Een 'nee' houdt de wet echter niet tegen, het geeft alleen een signaal af dat een deel van de Nederlandse burgers het er niet mee eens is. De regering heeft al gezegd door te gaan met de wet in zijn huidige vorm.
Burgerrechtenorganisatie Bits of Freedom is begonnen met zijn campagne Een Betere Wet, in de hoop om de wet op vijf punten te verbeteren. Zij roepen mensen op om 'nee' te stemmen, in de hoop dat de overheid de wet aanpast.
Voor dit verhaal hebben wij gesproken met enkele AIVD’ers. Hierbij is afgesproken niet direct te citeren.