In the period between the election and the inauguration, a new US president is being prepared to take over the administration and for that, he gets briefed by numerous agencies and officials.
Here I will present some interesting topics from the extensive 2009 Presidential Transition Book (pdf), which the NSA had prepared for Barack Obama, who had been elected president on November 4, 2008.
Context
The NSA's briefing book was published in May 2017 by the National Security Archive as part of its Cyber Vault. This set of 42 declassified documents also includes a 42-page Transition 2001 briefing (pdf) which the NSA had prepared for incoming president George W. Bush.
The 2009 Presidential Transition Book for Obama was declassified on April 13, 2016 and contains no less than 289 pages from a binder. It combines various documents and briefing materials from 2006 to 2008, some of them quite highly classified and therefore still heavily redacted.
Despite the redacted portions, the book provides a good and detailed introduction to the NSA and its activities, but with its 289 pages it sometimes goes well beyond what the president and his staff had to know, like the highly detailed acquisition and procurement plans of the agency. (p. 154ff)
Mission
While on its public website it was said that the NSA had just two core missions, Information Assurance and Signals Intelligence, the Presidential Transition Book add a third one:
- Signals Intelligence (SIGINT), including codebreaking,
and
- Information Assurance (IA), including codemaking,
which together enable
- Computer Network Attack (CNA), which includes offensive operations against adversaries' information systems, but this had to be done in collaboration the JFCC-NW, which eventually merged into the US Cyber Command.
A hardly known NSA unit is the Joint Communications Security Monitoring Activity (JCMA), which was part of the NSA's former Information Assurance (IA) directorate.
The JCMA consists of a Headquarters Operations Centers at Fort Meade and six Regional COMSEC Monitoring Centers, located at Menwith Hill Station (MHS) in the UK, Stuttgart in Germany, an undisclosed location, Camp Smith in Hawaii, and Fort Gordon in Georgia. (p. 36)
These JCMA units monitor the unclassified communications of US military and government entities to determine if critical information has been disclosed or if other vulnerabilities exist that adversaries could exploit. (p. 36)
According to the transition book the "Attorney General-approved procedures (and Federal law) permit monitoring with consent, and NSA/CSS ensures that personnel are notified of the possibility of monitoring and that all required consents have been obtained before such monitoring can begin." (p. 49)
Several parts of the 2009 Presidential Transition Book are about "Defending Vital Networks", which at that time already was a high priority issue.
The NSA saw a central role for itself, because "Insights and information gained from the Signals Intelligence mission, combined with the expertise and capabilities offered by the Information Assurance mission, make NSA/CSS a key player in defending vital networks against the threats of the Internet age." (p. 30)
Accordingly, the NSA was one of over 20 federal departments involved in the Comprehensive National Cybersecurity Initiative (CNCI), or simply the "Cyber Initiative", which was established by president George W. Bush in January 2008 and was continued by president Obama.
The CNCI "seeks to address current cybersecurity threats and anticipate future threats and technologies in order to prevent, deter, and protect the U.S. Federal government (.gov) domain against cyber intrusions. The strategy includes establishing shared situational awareness across the federal government." (p. 32)
The exact way in which the NSA contributes to the CNCI is redacted, but some of its unclassified contributions are:
- "Threat analysis provides a comprehensive understanding of the intentions, capabilities, and activities of the adversary."
- "Activity analysis allows for the discovery of unknown, significant intrusion activity, in-depth analysis of known intrusion sets, and trend analysis."
- "Network analysis and cyber target development efforts monitor, characterize, and report on foreign digital networks, organizations and personas in cyberspace." (p. 32-35)
An intriguing issue is that in other NSA documents the notorious Utah Data Center is called an "Intelligence Community Comprehensive National Cybersecurity Initiative Data Center", but the Transition Book doesn't contain a single unclassified reference to what the purpose of such a CNCI data center would be (neither do the Snowden documents).
However, the Transition Book does emphasize that "All of our responsibilities under the CNCI are within our existing authorities and missions, i.e., SIGINT, Information Assurance, enabling network warfare under JFCC-NW, and providing technical assistance to other federal agencies. The vast majority of our work under the CNCI is work we are already doing under our Transformation 3.0." (p. 100)
The NSA/CSS Threat Operations Center (NTOC)
(photo: NSA - click to enlarge)
Transformation 3.0
The 2009 Presidential Transition Book seems to be the first document that provides an elaboration of "Transformation 3.0" or T3.0. This appears to be a strategic technology plan meant to "distribute our processing capabilities throughout the global enterprise and to unify our missions."
And to "achieve these goals, we are creating a cooperative and concerted real-time exploit-attack-defend capability [redacted]. T3.0 connects analysts, missions partners, clients, sensors, systems, and information on a global scale through a robust, secure, and distributed network." (p. 60)
(Upon request of The Black Vault, an Intellipedia page about Transformation 3.0 was declassified in 2018, but again most parts have been redacted)
Transformation 3.0 comes after two earlier Transformations of the NSA, which apparently took place in the 1990s and the early 2000s:
"T1.0 - Modernization
Following the cold war, T1.0 improved corporate business processes, shaped the workforce, modernized technlogy, and updated operations - better positioning the Agency to grapple with varied threats and emerging technology."
"T2.0 - Collaboration
Following 9/11/2001, T2.0 began to move NSA/CSS from a paradigm of "need to know" to "need to share", both within NSA and with our clients and partners. T2.0 began to merge the Signals Intelligence and Information Assurance missions together as one, providing on-site support and tailored services - which enabled NSA/CSS to fashing new relationships for the new world order, redrawing distinctions between national and tactical, producer and consumer, collector and operator."
T3.0 - [redacted]
Today, NSA/CSS is focused on the [redacted]. The intention is to create cooperative, interoperable, real-time Exploitation/Defense/attack-enabling (E/D/enA) capabilities [redacted]" (p. 123)
Transformation 3.0 was comprised of three parts: "(1) Mission Modernization, (2) Infrastructure Modernization (comprising significant improvement in Power, Space and Cooling (PS&C) and Information Technology (IT) Modernization efforts, both described earlier) and (3) Workforce Modernization." (p. 125)
T3.0 is briefly mentioned in some documents from the Snowden trove, for example this one that says that the initiative started in 2006, and another one saying that the objective of T3.0 was nothing less than "Global Network Dominance" and that a crucial piece was the Remote Operations Center (ROC), which manages and operates the NSA's rapidly growing array of hacking operations.
The Presidential Transition Book also includes a copy of an internal briefing about the Transformation 3.0 plan, which is almost completely redacted. (p. 79ff)
This briefing slide from the Transition Book repeats that an important part of T3.0 was to "create cooperative, interoperable, real-time Exploitation, Defense and attack-enabling capabilities" which reminds us of the NSA's TURBULENCE program. TURBULENCE was first reported on in 2007 and was the successor of the TRAILBLAZER project.
TURBULENCE was/is an umbrella program with at least 7 components, including TURMOIL for passive collection from high-speed data links and TUTELAGE, which detects and blocks cyberattacks directed against the computer networks of the US Defense Department.
Even more interesting is TURBINE, which can initiate a semi-automated process in which an implant from the NSA's Computer Network Exploitation (CNE) system QUANTUMTHEORY is installed on a target's computer system.
With these three components, TURBULENCE integrates all three capabilities of Transformation 3.0: TURMOIL for exploitation, TUTELAGE for defense and TURBINE for attack-enabling.
Slide about the TURBULENCE program from the Snowden files
(click to enlarge)
Research program
Another chapter in the 2009 Presidential Transition Book is about the efforts of the NSA's Research Directorate (RD):
"Since 2003, the NSA Research Program has been structured around four important mission thrusts which drive our advanced research efforts.
"Owning the Net.
This denotes our goal to dominate the global computing and communications network. Research will develop tools and techniques to access, at will, any networked device for offensive or defensive purposes."
"Coping with Information Overload.
We must turn the massive amount of information on the global network into a strategic asses, rather than an obstacle. Under this thrust, Research will develop capabilities to present the most valuable information, organized to make sense to analysts so that thy can perform their tasks in a more efficient and effective manner."
"Ubiquitous, Secure Collaboration.
The focus here is to provide the techniques and technology to allow diverse users - within the government and with our industrial and international partners - to work collaboratively and securely accross multiple domains and different environments."
"Penetrate Hard Targets.
Penetrating hard targets provides the technological solutions to enable new access, collection and exploitation methodologies against the nation's toughest intelligence targets. The research Directorate provides foundational and advanced mathematics that contribute innovative solutions to all of the above mission thrusts." (p. 69)
The NSA's Research and Engineering (R&E) Building at Fort Meade
(click to enlarge)
NSA workforce
The exact number of people working at US intelligence agencies was always classified, but surprisingly, the 2009 Presidential Transition Book provides some very detailed figures.
It says that, probably in 2008, NSA/CSS employed 36,371 people worldwide, with 52% of them civilians (18,849) and 48% active-duty military and civilian personnel of the armed services (17,522).
68.8% of the NSA's workforce had a bachelor's degree or higher, 40.7% were women, 17.7% members of a minority and 3.8% were persons with disabilities. The average age of the civilian workforce was 43.6 years. (p. 58-59)
A separate chapter titled "NSA/CSS Footprint" provides detailed information charts about the NSA's four regional Cryptologic Centers, including the names of their commanders, partial organizational charts and numbers about their workforce, with actual numbers for 2008 and projected numbers for 2012 and 2015. Below are the actual numbers for 2008: (p. 185ff)
- NSA/CSS Georgia (codename SWEET TEA): 2930 employees: 368 civilians, 42 service civilians, 2173 military, 347 other (foreign or IC partner, contractor)
Finally, the 2009 Presidential Transition Book ends with the biographies of over 30(!) top officials of the NSA, all of which have been fully redacted, except for those of the director (Keith B. Alexander), the deputy director (John C. Inglis) and the chief of staff (Deborah A. Bonanni). (p. 243ff)
According to parliamentary records from The Netherlands, almost all western countries have signed, or plan to sign treaties on the exchange and protection of classified information. While many of them are public now, they replace secret agreements which date back to the 1960s.
Sources
For The Netherlands these treaties can easily be found via a new open source viewer called OpenTK, which builds upon an API provided by the staff of the Second Chamber (Tweede Kamer) of the Dutch parliament.
The most recent one is the "Treaty between the Kingdom of the Netherlands and the Kingdom of Sweden on the exchange and mutual security of classified information" that was signed in Stockholm on January 18, 2024. In November it was sent to the Second Chamber of parliament for silent ratification.
For the United States, some similar agreements can be found on the website of the Office of Treaty Affairs of the State Department. One example is the "Agreement Concerning Security Measures for the Protection of Classified Information" between the US and the Slovak Republic from May 13, 2022.
Purpose
The purpose of these treaties is to ensure that when classified information is exchanged, it gets the same level of protection in the country of the recipient. Thus they provide a safeguard for cooperation between government agencies (including law enforcement, intelligence and security services as well as the armed forces), but also between governments and corporations, for example when the government of one country grants a classified contract to a company in the other country.
The actual cooperation, whether a long-term partnership, temporary project or military procurement, is regulated by a multitude of treaties, agreements and contracts, which are often classified or at least confidential. For example, the collaboration between the NSA and other signals intelligence agencies is governed by secret bilateral Memorandums of Understanding (MoU), with details that can vary from country to country and from time to time.
A Dutch parliamentary document shows that bilateral treaties on handling classified information apparently go back to the 1960s: an agreement on this topic was concluded with the United States on August 18, 1960, which was supplemented on April 6, 1981. However, at the request of the US, they were kept secret and were therefore not submitted to the Dutch parliament for ratification.
In 2017, the US agreed to declassify these earlier agreements, partly because The Netherlands no longer saw a compelling reason for keeping them secret. They were replaced by a new, public treaty that was signed on June 22, 2018. The aforementioned treaty with Sweden from January 18, 2024 also replaced a previous agreement that was signed on October 29, 1984.
Contents
All these treaties, both from The Netherlands and from the United States, contain more or less similar provisions, including:
- Classified information has to get a level of protection which is at least equal to the protection in the originating country.
- Each party designates an agency that acts as its "National Security Authority" (NSA) which is responsible for the implementation of the treaty.
- A comparison of the national classification levels, which in almost all western countries follow the British/American system of Restricted, Confidential, Secret and Top Secret.
- Access to classified information has to be limited to people with a need-to-know and a proper security clearance.
- Classified information shall not be released to a third party without explicit prior authorization by the originating country. This is the so-called "third party rule".
- Requirements for the transmission of classified information, whether in hard copy or electronic form.
- Classified information shall be stored in properly secured facilities, only accessible by authorized personnel.
- Verification of the security measures implemented by the other party and informing the other party about security standards.
- Inform the originating party about any loss or compromise of its classified information.
- How to conduct in case of classified contracts.
All these provisions are in rather general terms, further details can be agreed upon by the respective National Security Authorities.
According to parliamentary records from the past 15 years, The Netherlands has made preparations for treaties on handling classified information with at least the 22 countries listed below. When the treaty has already been signed, its date has been added:
- Albania
- Australia
- Belgium (November 5, 2019)
- Brazil (October 9, 2023)
- Bulgaria
- Cyprus
- Czech Republic
- Estonia
- Finland (February 22, 2022)
- Latvia
- Luxembourg
- Malta
- Norway (November 7, 2023)
- Ukraine (February 5, 2024)
- Poland (February 10, 2023)
- Portugal
- Romania
- Slovakia
- Slovenia
- Spain (November 23, 2021)
- Sweden (January 18, 2024)
- United States (June 22, 2018)
This list contains most of the member states of the European Union and NATO, except for Brazil which is of course a member of neither, but does have a considerable defence industry. In 2022, for example, the Dutch Armed Forces ordered new military transport aircraft from the Brazilian manufacturer Embraer.
Interestingly, the United Kingdom, Germany, Denmark, France, Italy, Greece, Turkey and Israel are not included in the list, despite the fact that they are important countries when it comes to military and intelligence cooperation. Given the long and close relationship with most of these countries, it seems not likely that negotiations have not yet started, so maybe the treaties with these particular countries are still classified.
International organizations
Besides the bilateral treaties between states, there are also ones between states and international and supranational organizations.
On August 19, 2002, for example, the countries that participate in the European Space Agency (ESA) signed an agreement with the ESA for the protection and the exchange of classified information. Undoubtedly there will be a similar agreement with NATO and one is also being prepared for the OCCAR, a European organization for collaborative armament programs.
The European Union has decided to sign "Agreements on security procedures for exchanging and protecting classified information" with 17 non-member states, ranging from Russia and the United States to Iceland and Liechtenstein(!). There's even such an agreement between the EU and the ESA, which was signed on May 22, 2024.
These international organizations have their own versions of the usual classification levels:
- ESA: ESA Confidential, ESA Secret, ESA Top Secret.
- NATO: NATO Restricted, NATO Confidential, NATO Secret, COSMIC Top Secret.
- OCCAR: OCCAR Restricted, OCCAR Confidential, OCCAR Secret.
- EU: EU Restricted, EU Confidential, EU Secret, EU Top Secret.
Since October 1, former Dutch Prime Minister Mark Rutte is the new Secretary General of the North Atlantic Treaty Organization (NATO), succeeding Jens Stoltenberg from Norway, who had held this office since 2014.
In his new function, Mr. Rutte has telephone sets for secure and non-secure calls and even a hotline with the White House. He also has a somewhat odd switch to access classified as well as unclassified computer networks.
New NATO Secretary General Mark Rutte at his desk, October 1, 2024
(photo: ANP/Remko de Waal - click to enlarge)
Telephone equipment
In the photo above we see that Secretary General Rutte has one phone in front of him, but the picture below shows that there were two additional telephone sets at the right side of the computer screen:
Former Secretary General Jens Stoltenberg (left) and his successor, October 1, 2024
(photo: ANP/Remko de Waal - click to enlarge)
Not much later, Mr. Rutte rearranged the phones and the other items on his desk, as can be seen in this crop of a photo on the NATO Flickr-account from November 19, 2024:
The desk of Secretary General Mark Rutte, November 19, 2024
(photo: Flickr/NATO - click to enlarge)
The Polycom VVX 411 VoIP phone
The first telephone set of Mr. Rutte can be identified as a Polycom VVX 411, which is a mid-range business phone for Voice over IP. It was manufactured by Polycom, an American company founded in 1990, which develops equipment for voice and video communications.
The device looks rather bulky for a modern-day IP phone, but that's not because it has additional security functions, as the commercial model is just as big. However, there's also a version of the Polycom VVX 411 that was modified by CIS Secure to prevent unintentional audio transmissions (TSG-6 approved). The available photos give no indication that the Secretary General has this modified version on his desk.
The Polycom VVX 411 VoIP phone at the desk of
former Secretary General Jens Stoltenberg
(photo: NATO Flickr-account)
The Polycom phone has a rather peculiar accessory, which is attached left of the handset. It's an HL10 Handset Lifter which is connected to the wireless headset that is also on Rutte's desk. When using this headset, one can answer an incoming call by pressing a button on the headset, after which the HL10 Handset Lifter automatically lifts up the handset of the phone, and lowers it again after pressing the headset button to disconnect the call.
The HL10 Handset Lifter was made by headset manufacturer Plantronics, an American company from Santa Cruz in California, which in 2019 acquired Polycom and then changed its name to Poly. In 2022 the company was sold to HP for $1.7 billion in cash.
As the Polycom phone has no labels or markings, it's the one that is used for all non-secure phone calls, whether internal or external.
The Cisco 8865 IP phone
The second telephone set on the desk of Secretary General Rutte is a Cisco IP Phone 8865, which is one of the most widely used high-end executive phones and includes a camera for video calls. A similar model, for example, sits in the Oval Office on the desk of the President of the United States.
The Cisco 8865 Unified IP phone on the desk
of NATO Secretary General Mark Rutte
The red labels on this phone indicate that it is used for secure (video) calls. As this phone has no encryption capability itself, it is connected to a dedicated Voice over IP network with bulk network encryptors that encrypt the outgoing and decrypt the incoming traffic.
The current Cisco 8865 replaced a slightly older model, the Cisco 9951 IP Phone, that was on the desk of Rutte's predecessor Stoltenberg. For that model the end-of-sale was in 2016, with Cisco support ending in 2021.
The Cisco 9951 Unified IP Phone on the desk of
former Secretary General Jens Stoltenberg
The Cisco 7975 Unified IP Phone
The third telephone set on Mr. Rutte's desk is an even older model: the Cisco 7975 Unified IP Phone, which was originally introduced around the year 2000. The end-of-sale for this phone was in 2018 and software maintenance ended in 2023. This phone wasn't there on Stoltenberg's first day at the new NATO Headquarters in May 2018, but it does appear in a photo from May 2020.
When such an old device is still in use, it often means that it has been rigorously tested to fit a special purpose. In this case it immediately brings to mind a similar Cisco 7975 IP Phone on the desk of Ukrainian president Zelensky. Moreover, it is not only the same device, but a very close look also shows that the touchscreen of both phones has the same wallpaper.
The 7975G Unified IP Phone on the desk of
NATO Secretary General Mark Rutte
Close-up of the Cisco 7975 Unified IP Phone on
the desk of Ukrainian president Zelensky.
The wallpaper is an image of the White House and given the fact that Zelensky used this phone for calls with US President Biden, the identical telephone set on the desk of the NATO Secretary General must also serve as a hotline with the American president.
Update: An interesting question is whether US intelligence agencies would be able to use the microphone in this hotline phone for secretly listening in to the conversations in the office of the Secretary General. To prevent such unintentional audio transmissions, telephone sets can be modified so that the microphone is disconnected when the handset is on hook and the speakerphone is disabled as well.
Computer equipment
Besides the three telephones, Secretary General Rutte of course also has a computer screen with a keyboard and mouse on his desk. Additionally, there's an unusual device, which at first sight looks a bit like an old radio with a rotary knob:
A reader of this weblog identified this device as a "5 Position ABCDE Switch" made by Black Box, an Indian-American company that provides a range of computer network products. Black Box was founded in 1976 and has its headquarters in Plano in Texas and an Indian headquarters in Mumbai.
An ABCDE Switch is used for "switching one device to any one of four other compatible devices". In this case it's most likely used for accessing computer networks with different security classifications from a single Keyboard, Video and Mouse set, which is why it's usually called a KVM-switch.
The particular device with the rotary knob on the desk of the Secretary General isn't listed on the Black Box website, nor is it visible on the list of NATO approved products for information assurance. However, a lot of them are for sale on eBay, so it might be an older model that has been replaced by newer ones with push buttons.
Interior of a 5 Position ABCDE Switch as advertised on eBay
Updates:
Besides an unclassified local area network with access to the internet, NATO has several classified computer networks, including:
- BICES (Battlefield Information Collection and Exploitation Systems; Secret)
- MINERVA, the NATO Headquarters Local Area Network (Secret)
- NATO Secret Wide Area Network (NS-WAN, also known as CRONOS)
- Mission Networks, for mission-specific information
BICES is used for sharing intelligence and information among the participating NATO members and some non-NATO nations (Australia, Austria, Ireland, New Zealand, and Switzerland). Each of them pays for the
BICES Backbone Network (BBN) which connects them not only to BICES itself, but also to MINERVA, to the NS-WAN and to military intelligence agencies of other NATO members. BICES was initially managed by the NATO BICES Organisation (NBO, established in 1999) and now by the BICES Group Executive (BGX).
Earlier, NATO forces also used LOCE (Linked Operational-Intelligence Centers Europe), which was a system from the US European Command (USEUCOM) that provided near-real-time, all-source, correlated situation and order of battle information at the classification level SECRET//REL NATO.
The NATO intelligence architecture in 2001
(source - click to enlarge)
In December 2024 it was announced that NATO is in the process of creating a classified cloud system in which eventually all 32 members can share secret information. Currently the US, the UK and several other countries are drafting an implementation directive for transitioning classified data from different repositories to a single cloud environment. Inspiration for this move comes from Ukraine, which moved its sensitive data out of data centers and into the cloud following suspicious Russian cyber activity right before the the country was invaded by Russian troops.
> For the telephone equipment used by Mark Rutte as prime minister of the Netherlands, see my blog post from 2014: The phones of the Dutch Prime Minister
This time a second blog post in Dutch about a new bill that gives Dutch intelligence and security services more leeway for operations against cyber actors. A summary in English can be found here.
Technische briefing in de Eerste Kamer over de Tijdelijke wet cyberoperaties, 14 november 2023
Inleiding
Op 1 december 2022 diende het kabinet bij de Tweede Kamer een voorstel in voor de Tijdelijke wet cyberoperaties, waarmee het voor de geheime diensten makkelijker wordt om hack- en kabeltapoperaties uit te voeren. Vanuit de AIVD en de MIVD wordt benadrukt dat dit dringend nodig is in de strijd tegen cyberaanvallen vanuit landen als Rusland en China, maar anderen vrezen dat hiermee een digitaal sleepnet mogelijk wordt gemaakt.
De Tweede Kamer ging op 24 oktober 2023 in grote meerderheid akkoord met het wetsvoorstel, alleen de SP en Forum voor Democratie stemden tegen. Het debat in de Tweede Kamer besprak ik hier. Momenteel wordt het wetsvoorstel behandeld in de Eerste Kamer en de schriftelijke vragen die daar werden gesteld besprak ik hier.
Op 24 januari kwamen er maar liefst 67 pagina's met antwoorden van minister De Jonge van Binnenlandse Zaken en Ollongren van Defensie. Vervolgens hebben de Eerste Kamerfracties van GroenLinks-PvdA, PvdD en PVV op 13 februari voor een tweede keer schriftelijke vragen ingediend, waarna de ministers op 28 februari met nog eens 35 pagina's aan antwoorden kwamen.
Hieronder zal ik de belangrijkste punten uit deze beantwoordingen bespreken en dan met name kijken of er antwoord is gekomen op enkele van de meest cruciale vragen die ik in mijn eerdere besprekingen benoemde.
Ik beperk me hier tot de nieuwe verkennende fase die aan de ongerichte kabelinterceptie van artt. 48-50 Wiv 2017 voorafgaat. Andere onderdelen van de tijdelijke wet, zoals de versoepelingen van de hackbevoegdheid en de nieuwe regelingen voor bulkdatasets, toezicht en beroep, laat ik hier buiten beschouwing.
Schematische samenvatting van de Tijdelijke wet cyberoperaties (klik ter vergroting)
Toepassingsbereik
Een eerste kwestie die de nodige vragen opriep is wanneer de Tijdelijke wet cyberoperaties nu precies van toepassing is. Daarbij benadrukken de ministers dat de specifieke bepalingen van de wet alleen kunnen worden ingeroepen "indien sprake is van een onderzoek naar een land met een offensief cyberprogramma".
Het zou dan doorslaggevend zijn wanneer een land alszodanig is genoemd in de Geïntegreerde Aanwijzing (GA), het geheime document waarin de regering de actuele taakstellingen voor AIVD en MIVD opsomt en prioriteert.
Elders zeggen de ministers echter: "Daarnaast kan de Tijdelijke wet van toepassing zijn als een digitale aanval (nog) niet (direct) te attribueren is aan een land, maar er wel een vermoeden is dat deze te attribueren is aan een statelijke actor." (p. 6)
Onduidelijk blijft of dit alleen geldt als er een vermoeden is dat de aanval te linken valt aan landen die in de GA genoemd worden (zoals Rusland, China, Iran en Noord-Korea), of ook als in het geheel nog niet duidelijk is welk land er achter kan zitten.
Sowieso is het koppelen van de toepasselijkheid van deze wet aan bepaalde landen een vreemde constructie. Het had waarschijnlijk helderder geweest om de toepassing te koppelen aan cyberaanvallen in het algemeen, ongeacht door wie ze uitgevoerd worden.
Metadata
Een probleem bij de vragen die eerder vanuit de Tweede Kamer en nu vanuit de Eerste Kamer werden gesteld, is dat ze soms veel te algemeen en open gesteld zijn, waardoor de ministers op een nietszeggende manier kunnen antwoorden.
Een voorbeeld is dat de fractieleden van de PVV in de Eerste Kamer hadden gevraagd of de regering kon aangeven "hoe bij de toepassing van dit wetsvoorstel zal worden omgegaan met metadata".
De ministers antwoorden daarop met een beschrijving van de verschuiving van het toezicht op geautomatiseerde data-analyse (GDA), iets dat al bekend was en verder geen nieuwe inzichten biedt. (p.11)
Kamerleden hadden hier veel specifieker kunnen vragen zodat de ministers ook specifieker hadden moeten antwoorden. Bijvoorbeeld of tijdens de verkennende fase niet kan worden volstaan met het analyseren van metadata, zodat inhoudelijke informatie ongemoeid kan worden gelaten.
Daarop erkennen de ministers dat "in het algemeen kabelinterceptie bij grotere en kleinere internetproviders alsmede bij andere aanbieders van communicatiediensten kan plaatsvinden." Of ook al het dataverkeer van zo'n provider onderschept kan of mag worden bleef onbeantwoord. (p. 49)
Niettemin is dit een belangrijke uitspraak, die duidelijk maakt dat het bij de ongerichte kabelinterceptie niet gaat om het "afluisteren van hele wijken", maar om het aftappen van datastromen van internetproviders en andere communicatieaanbieders.
Opmerkelijk is dat de ministers bij dit antwoord uit zichzelf met een aanvulling komen, die kennelijk enigszins geruststellend bedoeld is:
"[...] kabelinterceptie [is] gericht op gegevensstromen. Deze gegevensstromen bevatten slechts gedeelten (fragmenten) van de communicatie van personen en organisaties in het digitale domein. Het levert – anders dan bij gerichte interceptie – geen volledig (en ononderbroken) beeld op van de communicatie van een persoon of organisatie." (p. 49)
Cyber defence
Een volgende kwestie is of bij die internetproviders e.d. ook binnenlands dataverkeer afgetapt gaat worden. De PvdD-fractie verwees daarvoor naar de ministeriële toezegging uit 2018 waarin staat:
"Het is vrijwel uitgesloten dat ongerichte interceptie op de kabel de komende jaren wordt ingezet voor onderzoek naar communicatie met oorsprong en bestemming in Nederland (met uitzondering van onderzoek in het kader van cyber defence, omdat bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en ongerichte interceptie op de kabel noodzakelijk kan zijn om dit te onderkennen)."
De ministers zeggen daar nu over dat die toezegging niet zozeer slaat op de interceptie van verkeer met oorsprong en bestemming in Nederland (dat valt gezien de werking van het internet nooit helemaal uit te sluiten), maar op het onderzoek naar dat verkeer.
De genoemde toezegging zou dus gelezen moeten worden als: "het is vrijwel uitgesloten dat ongerichte interceptie zal worden ingezet voor inlichtingenonderzoeken naar gegevens met oorsprong en bestemming in Nederland, met uitzondering van de onderzoeken in het kader van cyber defence." (p. 33)
Met andere woorden: er mag en zal dus wel Nederlands verkeer worden binnengehaald, maar dat zal in principe niet voor nader onderzoek gebruikt worden. Voor cyber defence mag dat verkeer dan echter wel onderzocht worden.
Defensieve verwerving
De Eerste Kamerleden hebben echter verzuimd om expliciet te vragen of die uitzondering voor cyber defence nu wel of niet in de praktijk wordt gebracht en zodoende lieten de ministers deze kwestie onbeantwoord.
Uit een tekst op de website van de AIVD blijkt echter dat de Joint Sigint Cyber Unit (JSCU) naast "offensieve verwerving", oftewel digitale spionage, wel degelijk ook "defensieve verwerving" uitvoert, waarmee digitale dreigingen tegen Nederland onderzocht worden. Verantwoordelijk voor dat laatste is de afdeling Computer Network Defence (CND).
Het blijft dan ook opmerkelijk dat geen van de betrokkenen nader op het aspect van cyber defence in ging, terwijl de tijdelijke wet nota bene bedoeld is voor operaties tegen "landen met een offensief cyberprogramma".
In de antwoorden van de ministers komt dit eigenlijk alleen ter sprake als het gaat om het belang van samenwerking met buitenlandse partners, dat is namelijk o.a. voor "het uitwisselen van identificeerbare kenmerken van cyberaanvallen gericht op het hoogwaardig Europees bedrijfsleven". (p. 22)
Hoe zich dat dan precies verhoudt tot de regelingen van de tijdelijke wet wordt verder nergens nader uitgewerkt.
Omvang en herkomst van cyberaanvallen in de periode 2005 t/m 2022 (bron)
Internationaal verkeer
In hun eerste beantwoording van de Eerste Kamervragen lieten de ministers meermalen weten dat de diensten zich bij de ongerichte interceptie zullen richten "op gegevensstromen die hoofdzakelijk internationaal verkeer bevatten".
In de tweede vragenronde vroegen GroenLinks-PvdA en de PVV wat daar precies mee bedoeld wordt, aangezien bij het internet geen duidelijk onderscheid tussen binnenland en buitenland meer te maken valt. Zo hebben tal van Nederlandse bedrijven en zelfs overheden hun data op buitenlandse servers ("in de cloud") staan, waardoor Nederlandse communicatie feitelijk toch de grens over gaat.
Dit is een nogal vreemd antwoord, aangezien onze diensten toch niet bepaald makkelijk toegang zullen krijgen tot kabels die zich geheel in het buitenland bevinden (al is het bijv. tijdens militaire missies ook niet geheel uitgesloten). De rest van het antwoord is vooral een bevestiging van de stelling dat Nederlandse communicatie die via een buitenlands datacentrum verloopt toch onderschept kan worden.
Meer geruststellend had geweest als de ministers hadden gezegd dat de diensten zich specifiek zouden richten op datastromen uit landen als Rusland en China, maar dan geldt weer de uitzondering voor cyber defence, omdat "bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en ongerichte interceptie op de kabel noodzakelijk kan zijn om dit te onderkennen."
Snapshots
Een volgende vraag die onbeantwoord bleef is de hoeveelheid data die in de verkennende fase wordt opgeslagen. Tijdens de behandeling in de Tweede Kamer bleef minister De Jonge stug volhouden dat het hierbij slechts om een momentopname, een foto gaat, wat in het jargon van de diensten een "snapshot" wordt genoemd.
Hoe lang zo'n snapshot precies duurt wilde de minister ook na lang aandringen niet zeggen, wat opmerkelijk is aangezien uit een rapport van toezichthouder CTIVD uit 2022 bleek dat zulk snapshotten tot nu toe inhield dat een datakanaal maximaal twee uur per dag wordt afgetapt om de potentiële inlichtingenwaarde daarvan vast te stellen.
Vanuit de Eerste Kamer was niet expliciet gevraagd of dat ook voortaan het geval zal zijn en de ministers zwegen er dan ook weer over. Het kan zijn dat snapshots nog steeds beperkt zullen blijven tot twee uur per dag en dat het resultaat daarvan dan zes maanden bewaard blijft, maar door dat niet expliciet te benoemen laat de wet het ook toe dat datastromen continue worden afgetapt en opgeslagen.
Filtersystemen
Een beperkende factor die nog niet eerder besproken werd is de techniek. Uit wat de NSA, GCHQ en de Duitse BND doen weten we dat bij het ongericht aftappen van internetkabels al bij het aftappunt zelf filterapparatuur geplaatst wordt. Daarmee kunnen direct alle niet benodigde data weggefilterd worden en blijven alleen die data over die het meest interessant zijn voor nader onderzoek.
Zou men dat filteren niet doen, dan zou er een net zo "dikke" kabel nodig zijn als degene die afgetapt wordt om alle gekopieerde data naar het hoofdkwartier van de inlichtingendienst, in dit geval de JSCU bij de AIVD in Zoetermeer, te transporteren.
Een andere mogelijkheid is om de afgetapte data ter plekke op te slaan en ze van op afstand te doorzoeken. Dat zou voor metadata wel kunnen, zouden echter ook alle inhoudsdata opgeslagen worden, dan lopen de servers snel vol. Zo gezien is het praktisch niet goed voorstelbaar dat in de verkenningsfase zowel inhoud als metadata voor langere periodes worden opgeslagen.
In hun antwoorden aan de Eerste Kamer benadrukken de ministers dat tijdens de verkenningsfase alleen gegevens mogen worden verzameld om de latere, daadwerkelijke ongerichte interceptie zo gericht mogelijk te kunnen laten plaatsvinden.
Waar tijdens de verkenningsfase dan precies naar gekeken wordt werd pas verhelderd nadat de fractie van GroenLinks-PvdA daar in de tweede vragenronde expliciet naar gevraagd had.
Zoals vaker is het voor een beter inzicht nodig om meerdere passages uit de beantwoording van de ministers te combineren. Daaruit volgt dat het technisch onderzoek tijdens de verkenningsfase uit twee delen bestaat: (p. 5, 9, 11)
1. Het in kaart brengen van het digitale landschap in de zin van vaststellen wat de aard van de communicatie is en wat de gebruikte technische protocollen zijn. Dit laat dan zien of het om webverkeer, e-mail, spraakverkeer, videobestanden, etc. gaat.
2. Nagaan of deze data van belang kunnen zijn voor de onderzoeksvragen van AIVD en MIVD, waarbij gebruik wordt gemaakt van input vanuit de inlichtingenteams. Deze input bestaat uit selectoren en andere gegevens over targets die de diensten reeds op andere manieren verkregen hebben. Ook kunnen bij de verkenning meer of minder complexe c.q samengestelde zoekvragen worden toegepast.
Selectoren worden ook in de laatste fase van de ongerichte interceptie toegepast, maar dan moet het volgens de ministers gaan om zogeheten strong selectors waarmee personen en/of organisaties geïdentificeerd kunnen worden, zoals telefoonnummers en e-mailadressen. Omdat dit niet gezegd wordt over de verkenningsfase, kunnen daar kennelijk ook soft selectors zoals trefwoorden e.d. toegepast worden. Omgekeerd mogen bij de laatste fase van de ongerichte interceptie dan weer geen eenvoudige, complexe of samengestelde zoekvragen worden toegepast. (p. 16)
Van de onderzoeken in de verkenningsfase worden rapporten opgesteld waarin wordt beschreven welke communicatiekanalen van potentiële waarde zijn voor nader inlichtingenonderzoek. Aan de hand van die bevindingen wordt dan besloten op welke kabels de daadwerkelijke ongerichte interceptie wordt ingezet. (p. 10-11)
De gegevens die gebruikt worden om de aanvraag voor die daadwerkelijke interceptie op te stellen blijven bewaard, alle overige data die tijdens de verkenningsfase verzameld zijn moeten na maximaal 6 maanden vernietigd worden.
GCHQ surveys
Afgaande op hoe de ministers het nu beschrijven, komt de beoogde verkenningsfase bij ons vrijwel exact overeen met de surveys die het Britse GCHQ uitvoert. Hoe die in z'n werk gingen blijkt uit enkele technische rapporten over de verkenning van satellietverbindingen die in 2014 tijdens de Snowdenonthullingen gepubliceerd werden.
Bij GCHQ werden daarvoor eerst de routes en de technische kenmerken van die verbindingen in kaart gebracht en vervolgens werden er steekproeven genomen om te kijken hoe vaak daar telefoonnummers in voorkwamen die op een watchlist stonden. Dat gaf dan een goede indicatie of een verbinding productief genoeg zou zijn om er een daadwerkelijke tap op te zetten.
Detail van een technisch rapport van GHCQ uit 2008 over de
verkenning van een satellietverbinding tussen Jordanië en België
(volledig rapport - klik om te vergroten)
Als het gaat om internetverkeer zal de Nederlandse JSCU nu waarschijnlijk kijken naar selectoren in de vorm van e-mail- en IP-adressen e.d. Interessant is daarbij de vraag of ook selectoren gebruikt zullen worden die door buitenlandse partnerdiensten worden aangeleverd. Zo weten we dat de Duitse BND van de NSA miljoenen(!) internet identifiers kreeg om daarmee kabel- en satellietverkeer te filteren.
Omdat het onderhavige wetsvoorstel over "landen met een offensief cyberprogramma" gaat zal de JSCU naast dergelijke strong selectors ongetwijfeld ook andersoortige zoekvragen toepassen om signatures van malware en indicaties van hackpogingen te vinden. Omdat die dingen vaak een stuk moeilijker te vinden zijn, kan daarbij hulp van een partner als de NSA nodig zijn.
Videopresentatie over hoe de JSCU te werk gaat bij het onderzoek naar malware
(via Tweakers: Operatie Volt, 27 maart 2021)
Buitenlandse partners
Het inroepen van dergelijke hulp, oftewel het delen van data uit de verkennende fase met buitenlandse partnerdiensten, is een van de meest omstreden onderdelen van de Tijdelijke wet cyberoperaties. Al tijdens de eerste vragenronde vroeg de Eerste Kamerfractie van GroenLinks-PvdA of dat ook in bulk en/of bijna live kan gebeuren. De ministers antwoordden daarop dat er verschillende mogelijkheden zijn:
En: "Een verstrekking kan – indien noodzakelijk – spoedig na verwerving plaatsvinden of op een later moment binnen de bewaartermijn van zes maanden. Het kan daarbij zowel gaan om gegevens die reeds beoordeeld zijn door de diensten als om gegevens die de diensten nog niet hebben beoordeeld. Om de gegevens te kunnen beoordelen is juist ook het technisch onderzoek van buitenlandse diensten nodig." (p. 19)
Raad van State
Vanuit de Eerste Kamer werd ook gevraagd naar een reactie op het advies van de Raad van State waarin nadrukkelijk wordt afgeraden om data uit de verkennende fase met buitenlandse diensten te delen.
De ministers doen echter voorkomen alsof de Raad van State alleen doelde op het feit dat data uit de verkenning niet voor andere doeleinden verwerkt mogen worden en redeneren dat het delen van die data dus wel mogelijk is, aangezien van buitenlandse partners verwacht wordt dat zij die data ook niet verder zullen verwerken. (p. 30-31)
"De (bulk)data die wordt verkregen door middel van de verkennende bevoegdheid leent zich niet voor uitwisseling met buitenlandse diensten. Het betreft immers gegevens die ook de Nederlandse inlichtingendiensten binnen de eigen rechtsorde niet verder mogen verwerken. Bovendien is overdracht van deze gegevens, mede gelet op de ongerichtheid van de verkenningsbevoegdheid, een ernstige inbreuk op het recht op de bescherming van de persoonlijke levenssfeer. De Afdeling adviseert in het licht van het voorgaande in het voorstel te regelen dat deze gegevens niet mogen worden uitgewisseld met buitenlandse diensten."
SIGINT-partners van de NSA in Europa
Quid pro quo
Ondanks het negatieve advies van de Raad van State is het voor AIVD en MIVD kennelijk onontbeerlijk om betreffende data met buitenlandse partners te delen: "de mogelijkheid om ongeëvalueerde gegevens afkomstig uit de bevoegdheid tot verkennen ten behoeve van technisch onderzoek te delen met buitenlandse diensten [is] voor de diensten in internationale samenwerkingsrelaties en voor onze onderzoeken onmisbaar." (p. 52)
Opmerkelijk is dat voor deze onmisbaarheid twee redenen genoemd worden: niet alleen voor de eigen onderzoeken van onze diensten, maar dus ook "in internationale samenwerkingsrelaties". Doorgaans wordt daarmee gedoeld op het bekende quid pro quo, oftewel je deelt dingen die voor partnerdiensten interessant zijn, zodat je van hen dingen terugkrijgt die voor jezelf nuttig zijn.
Het is evident dat onze diensten er baat bij hebben als ze technische assistentie van meer ervaren buitenlandse partners krijgen, maar wat die partners er dan voor terug krijgen is niet echt helder geworden.
De Nederlandse JSCU kan weliswaar op zijn beurt technische assistentie verlenen aan andere diensten die minder capaciteiten hebben, maar dan blijft de vraag wat het voordeel voor grote partners als de NSA en GCHQ is.
Cyberdreigingen
Het is wel denkbaar dat die grote partners zelf ook baat kunnen hebben bij het duiden en ontsleutelen van de data die onze diensten aanleveren. Voor hen kan het immers interessant zijn om te zien welke indicaties van cyberdreigingen er op internetkabels in Nederland worden aangetroffen.
Wellicht is dat (mede) waar de ministers op doelen wanneer zij schrijven "dat de razendsnelle uitwisseling van gegevens doorslaggevend [blijft] voor het nemen van adequate tegenmaatregelen en het verkrijgen van een adequaat dreigingsbeeld. Door binnen de internationale inlichtingen- en veiligheidswereld intensief met elkaar samen te werken, vallen afzonderlijke puzzelstukjes in elkaar, zodat het werkelijke gezicht van de dreiging zich laat zien." (p. 22)
Ook interessant is de vraag of de technische rapporten naar aanleiding van de verkenningsonderzoeken met buitenlandse diensten gedeeld worden. Die hebben zelf dan wel geen toegang tot de kabels waar de rapporten betrekking op hebben, maar het kan voor hen wel weer interessant zijn om te zien welke indicaties allemaal zijn aangetroffen.
Net als de AIVD en de MIVD mogen ook buitenlandse partnerdiensten de data uit de verkenningsfase weliswaar niet voor verdere inlichtingenonderzoeken gebruiken, maar de ministers hebben niet uitgesloten dat zij de resultaten wel kunnen gebruiken voor hun eigen detectie- en interceptiesystemen. (p. 21, 51, 54)
Conclusie
Terugkijkend kunnen we concluderen dat de parlementaire behandeling van de Tijdelijke wet cyberoperaties tot nu toe nogal onbevredigend is verlopen. Leden van zowel de Eerste als de Tweede Kamer ontbrak het vaak aan voldoende achtergrondkennis, waardoor weliswaar veel vragen gesteld werden, maar deze zelden specifiek genoeg waren om nieuwe informatie boven tafel te krijgen.
De ministers, de diensthoofden en de betrokken ambtenaren bleven doorgaans hangen in abstracte formuleringen waardoor het voor buitenstaanders en menig kamerlid vrijwel onbegrijpelijk is gebleven waar het bij deze wet precies om gaat.
Het is een raadsel waarom de ministers alleen na zeer gericht doorvragen met meer details kwamen - het zijn immers zaken die de Russen en Chinezen al lang weten, maar die voor het parlement en de burger van belang zijn om noodzaak, risico's en waarborgen van de wettelijke regelingen enigszins adequaat te kunnen beoordelen.
De plenaire behandeling van het wetsvoorstel in de Eerste Kamer zal op 5 maart plaatsvinden.
UPDATE:
Op 5 maart 2024 werd de Tijdelijke wet cyberoperaties door de Eerste Kamer in plenaire vergadering besproken. Het wetsvoorstel werd grondiger behandeld dan in de Tweede Kamer, waarbij met name de senatoren Mary Fiers van GroenLinks-PvdA, Peter Nicolaï van de PvdD en Alexander van Hattem van de PVV opvielen door gedetailleerd inzicht c.q. vasthoudend doorvragen. Nagenoeg ongeclausuleerd voorstander bleek Bart Kroon van BBB.
Om te beginnen werd vanuit de Eerste Kamer flink doorgevraagd naar wanneer de nieuwe wet nu precies van toepassing is - niet een heel goed teken dat zo'n belangrijk aspect nog in deze allerlaatste fase van het wetgevingsproces nader opgehelderd moest worden.
Minister De Jonge antwoordde dat de wet in eerste instantie van toepassing is op de landen die in de Geïntegreerde Aanwijzing (GA) genoemd worden. Mocht blijken dat ook andere landen offensieve cyberoperaties tegen Nederland uitvoeren, dan kunnen die landen ook in de GA worden opgenomen, zodat de nieuwe wet ook voor hen kan worden toegepast. Vanuit de PVV werd gevraagd of de wet ook op niet-statelijke actoren, zoals met name Islamitische Staat, van toepassing kan zijn, maar dat is volgens de minister niet het geval.
Op de vraag van senator Fiers hoe het dan zit wanneer "een digitale aanval (nog) niet (direct) te attribueren is aan een land" antwoordde de minister dat dat betrekking heeft op de situatie wanneer onzeker is of een bepaald aanval vanuit Rusland, China of een ander land komt. Bij twijfel de nieuwe wet toepassen, was zijn insteek. De Nederlandse AMS-IX zit in de top-5 van de grootste internetknoopunten ter wereld waarmee onze diensten op "een goudmijn" zitten en we dus "een geweldige verantwoordelijkheid hebben om die te benutten", aldus De Jonge.
Iets wat nog niet eerder duidelijk geworden was is dat het wetsvoorstel ondanks zijn naam niet beperkt is tot cyberoperaties. Een offensief cyberprogramma gericht tegen Nederland is weliswaar het criterium om de bepalingen van de wet van toepassing te verklaren, maar daarna valt elk soort onderzoek van de AIVD en de MIVD naar die landen onder de reikwijdte van deze wet. Dit omdat die landen een "whole-of-society approach" hebben, dat wil zeggen zij vallen ons met een breed scala van middelen en methodes aan, zodat ook onze diensten daar breed op moeten kunnen reageren.
De vrees voor een sleepnet probeerde De Jonge te ontkrachten door nog maar eens te herhalen dat de diensten helemaal geen interesse in het Netflixverkeer van je buurman hebben en dat met de vier fases van de ongerichte interceptie er een trechtering plaatsvindt waarbij per stap steeds minder data overblijft. Dat klopt inderdaad voor de klassieke inlichtingenvergaring, maar cyber defence kent een andere methodiek, waarbij het juist van belang is om een zo breed mogelijk zicht op dataverkeer te hebben.
Senator Van Hattem confronteerde minister De Jonge met een contradictie in de eerdere schriftelijke antwoorden door te vragen of er de facto niet altijd sprake is van kabels met internationaal verkeer, waardoor in principe elke kabel voor verkenning in aanmerking zou kunnen komen. De minister erkende dat maar zei dat "louter nationaal verkeer niet zo heel vaak te attribueren zal zijn aan statelijke actoren met een cyberdreiging".
Hier wreekt zich het ontbrekende inzicht in cyber defence, want buitenlandse actoren gebruiken Nederlandse digitale infrastructuur juist graag als dekmantel voor hun cyberaanvallen. Dat is ook precies de reden dat het wetsvoorstel ook de zogeheten bijschrijfmogelijkheden verruimt, zodat de JSCU makkelijker kan nagaan wat die actoren op Nederlandse servers en computers uitspoken.
Update: In juli 2024 werd bijvoorbeeld bekend gemaakt dat de JSCU samen met de politie, het FBI en de Cyber National Mission Force (CNMF) een Russische digitale beïvloedingscampagne heeft verstoord die plaatsvond vanaf servers in het datacentrum van Serverius in Dronten. Via de software Meliorator werden zeker 968 nepaccounts op twitter aangestuurd.
Senator Fiers vroeg voorts of een "snapshot" betekent dat data gedurende 6 maanden lang 24 uur per dag verzameld en opgeslagen mogen worden. Wederom werd weer niet gevraagd naar de twee uur per dag die nu gebruikelijk is en zodoende kon minister De Jonge er mee wegkomen door te zeggen dat de verkennende fase wel aan het basisvereiste van proportionaliteit dient te voldoen. Eerder zei hij echter nog dat het niet zo mag zijn dat de proportionaliteit in de plaats komt van het gerichtheidsvereiste, dat nu juist was afgeschaft om een goede verkenning mogelijk te maken.
Senator Nicolaï ging vasthoudend in op het delen van data met buitenlandse zusterdiensten, waarop de minister antwoordde dat het belangrijk is dat de Nederlandse diensten ook iets aan hun partners te bieden hebben. Dat is het geval als zij gebruik kunnen maken van de kabel, die nu echter nog "aan de ketting" ligt. Bovendien hebben ook grotere diensten expertise en toegang van anderen nodig, aldus De Jonge, zonder daarbij verder in detail te treden.
Ook vroeg Nicolaï of daarmee niet een geitenpaadje gecreëerd wordt waarbij buitenlandse diensten dingen gaan doen die onze eigen diensten niet mogen. Minister De Jonge reageerde daar tamelijk verontwaardigd op: hoe kon gedacht worden dat onze diensten zoiets zouden doen? Nu is zo'n U-bocht nadrukkelijk niet toegestaan, maar de vraag was niet zo gek: sinds Snowden met vergelijkbare beschuldigingen kwam, is dit een zorg die bij veel mensen leeft.
Nicolaï diende tenslotte een motie in waarbij wordt opgeroepen om data uit de verkennende fase niet met buitenlandse diensten te delen, dit overeenkomstig het advies van de Raad van State. Deze motie werd door minister De Jonge echter nadrukkelijk ontraden.
Om tenslotte een indruk te geven van de bureaucratische belasting, meldde minister De Jonge dat hij de afgelopen week maar liefst 105 lasten (aanvragen voor toestemming voor een inlichtingenoperatie) op zijn bureau kreeg. Sommige zijn een formaliteit, maar anderen moeten grondiger besproken worden, hetgeen telkens maandagochtend in overleg met de hoofden van de AIVD en de MIVD gebeurt. Spoedlasten gaan telefonisch, via een beveiligde verbinding.
De Eerste Kamer heeft de Tijdelijke wet cyberoperaties op 12 maart 2024 aangenomen. De fracties van SP, PvdD, Volt, GroenLinks-PvdA, OPNL en FvD stemden tegen. De stemming over de motie van senator Nicolaï werd aangehouden. De wet kan naar verwachting op 1 juli 2024 in werking treden.
De "Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen" werd op 13 maart door koning Willem-Alexander ondertekend en op 11 april 2024 in het Staatsbad gepubliceerd.
