Since October 1, former Dutch Prime Minister Mark Rutte is the new Secretary General of the North Atlantic Treaty Organization (NATO), succeeding Jens Stoltenberg from Norway, who had held this office since 2014.
In his new function, Mr. Rutte has telephone sets for secure and non-secure calls and even a hotline with the White House. He also has a somewhat odd switch to access classified as well as unclassified computer networks.
New NATO Secretary General Mark Rutte at his desk, October 1, 2024
(photo: ANP/Remko de Waal - click to enlarge)
Telephone equipment
In the photo above we see that Secretary General Rutte has one phone in front of him, but the picture below shows that there were two additional telephone sets at the right side of the computer screen:
Former Secretary General Jens Stoltenberg (left) and his successor, October 1, 2024
(photo: ANP/Remko de Waal - click to enlarge)
Not much later, Mr. Rutte rearranged the phones and the other items on his desk, as can be seen in this crop of a photo on the NATO Flickr-account from November 19, 2024:
The desk of Secretary General Mark Rutte, November 19, 2024
(photo: Flickr/NATO - click to enlarge)
The Polycom VVX 411 VoIP phone
The first telephone set of Mr. Rutte can be identified as a Polycom VVX 411, which is a mid-range business phone for Voice over IP. It was manufactured by Polycom, an American company founded in 1990, which develops equipment for voice and video communications.
The device looks rather bulky for a modern-day IP phone, but that's not because it has additional security functions, as the commercial model is just as big. However, there's also a version of the Polycom VVX 411 that was modified by CIS Secure to prevent unintentional audio transmissions (TSG-6 approved). The available photos give no indication that the Secretary General has this modified version on his desk.
The Polycom VVX 411 VoIP phone at the desk of
former Secretary General Jens Stoltenberg
(photo: NATO Flickr-account)
The Polycom phone has a rather peculiar accessory, which is attached left of the handset. It's an HL10 Handset Lifter which is connected to the wireless headset that is also on Rutte's desk. When using this headset, one can answer an incoming call by pressing a button on the headset, after which the HL10 Handset Lifter automatically lifts up the handset of the phone, and lowers it again after pressing the headset button to disconnect the call.
The HL10 Handset Lifter was made by headset manufacturer Plantronics, an American company from Santa Cruz in California, which in 2019 acquired Polycom and then changed its name to Poly. In 2022 the company was sold to HP for $1.7 billion in cash.
As the Polycom phone has no labels or markings, it's the one that is used for all non-secure phone calls, whether internal or external.
The Cisco 8865 IP phone
The second telephone set on the desk of Secretary General Rutte is a Cisco IP Phone 8865, which is one of the most widely used high-end executive phones and includes a camera for video calls. A similar model, for example, sits in the Oval Office on the desk of the President of the United States.
The Cisco 8865 Unified IP phone on the desk
of NATO Secretary General Mark Rutte
The red labels on this phone indicate that it is used for secure (video) calls. As this phone has no encryption capability itself, it is connected to a dedicated Voice over IP network with bulk network encryptors that encrypt the outgoing and decrypt the incoming traffic.
The current Cisco 8865 replaced a slightly older model, the Cisco 9951 IP Phone, that was on the desk of Rutte's predecessor Stoltenberg. For that model the end-of-sale was in 2016, with Cisco support ending in 2021.
The Cisco 9951 Unified IP Phone on the desk of
former Secretary General Jens Stoltenberg
The Cisco 7975 Unified IP Phone
The third telephone set on Mr. Rutte's desk is an even older model: the Cisco 7975 Unified IP Phone, which was originally introduced around the year 2000. The end-of-sale for this phone was in 2018 and software maintenance ended in 2023. This phone wasn't there on Stoltenberg's first day at the new NATO Headquarters in May 2018, but it does appear in a photo from May 2020.
When such an old device is still in use, it often means that it has been rigorously tested to fit a special purpose. In this case it immediately brings to mind a similar Cisco 7975 IP Phone on the desk of Ukrainian president Zelensky. Moreover, it is not only the same device, but a very close look also shows that the touchscreen of both phones has the same wallpaper:
The 7975G Unified IP Phone on the desk of
NATO Secretary General Mark Rutte
Close-up of the Cisco 7975 Unified IP Phone on
the desk of Ukrainian president Zelensky.
The wallpaper is an image of the White House and given the fact that Zelensky used this phone for calls with US President Biden, the identical telephone set on the desk of the NATO Secretary General must also serve as a hotline with the American president.
Besides the three telephones, Secretary General Rutte of course also has a computer screen with a keyboard and mouse on his desk. Additionally, there's an unusual device, which at first sight looks a bit like an old radio with a rotary knob:
A reader of this weblog identified this device as a "5 Position ABCDE Switch" made by Black Box, an Indian-American company that provides a range of computer network products. Black Box was founded in 1976 and has its headquarters in Plano in Texas and an Indian headquarters in Mumbai.
An ABCDE Switch is used for "switching one device to any one of four other compatible devices". In this case it's most likely used for accessing computer networks with different security classifications from a single Keyboard, Video and Mouse set, which is why it's usually called a KVM-switch.
The particular device with the rotary knob on the desk of the Secretary General isn't listed on the Black Box website, nor is it visible on the list of NATO approved products for information assurance. However, a lot of them are for sale on eBay, so it might be an older model that has been replaced by newer ones with push buttons.
Interior of a 5 Position ABCDE Switch as advertised on eBay
Update:
In December 2024 it was announced that NATO is in the process of creating a classified cloud system in which eventually all 32 member nations can share secret information. Currently the United States, the United Kingdom and several other countries are drafting an implementation directive for transitioning classified data from different repositories to a single cloud environment. Inspiration for this move comes from Ukraine, which moved its sensitive data out of data centers and into the cloud following suspicious Russian cyber activity right before the the country was invaded by Russian troops.
> For the telephone equipment used by Mark Rutte as prime minister of the Netherlands, see my blog post from 2014: The phones of the Dutch Prime Minister
This time a second blog post in Dutch about a new bill that gives Dutch intelligence and security services more leeway for operations against cyber actors. A summary in English can be found here.
Technische briefing in de Eerste Kamer over de Tijdelijke wet cyberoperaties, 14 november 2023
Inleiding
Op 1 december 2022 diende het kabinet bij de Tweede Kamer een voorstel in voor de Tijdelijke wet cyberoperaties, waarmee het voor de geheime diensten makkelijker wordt om hack- en kabeltapoperaties uit te voeren. Vanuit de AIVD en de MIVD wordt benadrukt dat dit dringend nodig is in de strijd tegen cyberaanvallen vanuit landen als Rusland en China, maar anderen vrezen dat hiermee een digitaal sleepnet mogelijk wordt gemaakt.
De Tweede Kamer ging op 24 oktober 2023 in grote meerderheid akkoord met het wetsvoorstel, alleen de SP en Forum voor Democratie stemden tegen. Het debat in de Tweede Kamer besprak ik hier. Momenteel wordt het wetsvoorstel behandeld in de Eerste Kamer en de schriftelijke vragen die daar werden gesteld besprak ik hier.
Op 24 januari kwamen er maar liefst 67 pagina's met antwoorden van minister De Jonge van Binnenlandse Zaken en Ollongren van Defensie. Vervolgens hebben de Eerste Kamerfracties van GroenLinks-PvdA, PvdD en PVV op 13 februari voor een tweede keer schriftelijke vragen ingediend, waarna de ministers op 28 februari met nog eens 35 pagina's aan antwoorden kwamen.
Hieronder zal ik de belangrijkste punten uit deze beantwoordingen bespreken en dan met name kijken of er antwoord is gekomen op enkele van de meest cruciale vragen die ik in mijn eerdere besprekingen benoemde.
Ik beperk me hier tot de nieuwe verkennende fase die aan de ongerichte kabelinterceptie van artt. 48-50 Wiv 2017 voorafgaat. Andere onderdelen van de tijdelijke wet, zoals de versoepelingen van de hackbevoegdheid en de nieuwe regelingen voor bulkdatasets, toezicht en beroep, laat ik hier buiten beschouwing.
Schematische samenvatting van de Tijdelijke wet cyberoperaties (klik ter vergroting)
Toepassingsbereik
Een eerste kwestie die de nodige vragen opriep is wanneer de Tijdelijke wet cyberoperaties nu precies van toepassing is. Daarbij benadrukken de ministers dat de specifieke bepalingen van de wet alleen kunnen worden ingeroepen "indien sprake is van een onderzoek naar een land met een offensief cyberprogramma".
Het zou dan doorslaggevend zijn wanneer een land alszodanig is genoemd in de Geïntegreerde Aanwijzing (GA), het geheime document waarin de regering de actuele taakstellingen voor AIVD en MIVD opsomt en prioriteert.
Elders zeggen de ministers echter: "Daarnaast kan de Tijdelijke wet van toepassing zijn als een digitale aanval (nog) niet (direct) te attribueren is aan een land, maar er wel een vermoeden is dat deze te attribueren is aan een statelijke actor." (p. 6)
Onduidelijk blijft of dit alleen geldt als er een vermoeden is dat de aanval te linken valt aan landen die in de GA genoemd worden (zoals Rusland, China, Iran en Noord-Korea), of ook als in het geheel nog niet duidelijk is welk land er achter kan zitten.
Sowieso is het koppelen van de toepasselijkheid van deze wet aan bepaalde landen een vreemde constructie. Het had waarschijnlijk helderder geweest om de toepassing te koppelen aan cyberaanvallen in het algemeen, ongeacht door wie ze uitgevoerd worden.
Metadata
Een probleem bij de vragen die eerder vanuit de Tweede Kamer en nu vanuit de Eerste Kamer werden gesteld, is dat ze soms veel te algemeen en open gesteld zijn, waardoor de ministers op een nietszeggende manier kunnen antwoorden.
Een voorbeeld is dat de fractieleden van de PVV in de Eerste Kamer hadden gevraagd of de regering kon aangeven "hoe bij de toepassing van dit wetsvoorstel zal worden omgegaan met metadata".
De ministers antwoorden daarop met een beschrijving van de verschuiving van het toezicht op geautomatiseerde data-analyse (GDA), iets dat al bekend was en verder geen nieuwe inzichten biedt. (p.11)
Kamerleden hadden hier veel specifieker kunnen vragen zodat de ministers ook specifieker hadden moeten antwoorden. Bijvoorbeeld of tijdens de verkennende fase niet kan worden volstaan met het analyseren van metadata, zodat inhoudelijke informatie ongemoeid kan worden gelaten.
Daarop erkennen de ministers dat "in het algemeen kabelinterceptie bij grotere en kleinere internetproviders alsmede bij andere aanbieders van communicatiediensten kan plaatsvinden." Of ook al het dataverkeer van zo'n provider onderschept kan of mag worden bleef onbeantwoord. (p. 49)
Niettemin is dit een belangrijke uitspraak, die duidelijk maakt dat het bij de ongerichte kabelinterceptie niet gaat om het "afluisteren van hele wijken", maar om het aftappen van datastromen van internetproviders en andere communicatieaanbieders.
Opmerkelijk is dat de ministers bij dit antwoord uit zichzelf met een aanvulling komen, die kennelijk enigszins geruststellend bedoeld is:
"[...] kabelinterceptie [is] gericht op gegevensstromen. Deze gegevensstromen bevatten slechts gedeelten (fragmenten) van de communicatie van personen en organisaties in het digitale domein. Het levert – anders dan bij gerichte interceptie – geen volledig (en ononderbroken) beeld op van de communicatie van een persoon of organisatie." (p. 49)
Cyber defence
Een volgende kwestie is of bij die internetproviders e.d. ook binnenlands dataverkeer afgetapt gaat worden. De PvdD-fractie verwees daarvoor naar de ministeriële toezegging uit 2018 waarin staat:
"Het is vrijwel uitgesloten dat ongerichte interceptie op de kabel de komende jaren wordt ingezet voor onderzoek naar communicatie met oorsprong en bestemming in Nederland (met uitzondering van onderzoek in het kader van cyber defence, omdat bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en ongerichte interceptie op de kabel noodzakelijk kan zijn om dit te onderkennen)."
De ministers zeggen daar nu over dat die toezegging niet zozeer slaat op de interceptie van verkeer met oorsprong en bestemming in Nederland (dat valt gezien de werking van het internet nooit helemaal uit te sluiten), maar op het onderzoek naar dat verkeer.
De genoemde toezegging zou dus gelezen moeten worden als: "het is vrijwel uitgesloten dat ongerichte interceptie zal worden ingezet voor inlichtingenonderzoeken naar gegevens met oorsprong en bestemming in Nederland, met uitzondering van de onderzoeken in het kader van cyber defence." (p. 33)
Met andere woorden: er mag en zal dus wel Nederlands verkeer worden binnengehaald, maar dat zal in principe niet voor nader onderzoek gebruikt worden. Voor cyber defence mag dat verkeer dan echter wel onderzocht worden.
Defensieve verwerving
De Eerste Kamerleden hebben echter verzuimd om expliciet te vragen of die uitzondering voor cyber defence nu wel of niet in de praktijk wordt gebracht en zodoende lieten de ministers deze kwestie onbeantwoord.
Uit een tekst op de website van de AIVD blijkt echter dat de Joint Sigint Cyber Unit (JSCU) naast "offensieve verwerving", oftewel digitale spionage, wel degelijk ook "defensieve verwerving" uitvoert, waarmee digitale dreigingen tegen Nederland onderzocht worden. Verantwoordelijk voor dat laatste is de afdeling Computer Network Defence (CND).
Het blijft dan ook opmerkelijk dat geen van de betrokkenen nader op het aspect van cyber defence in ging, terwijl de tijdelijke wet nota bene bedoeld is voor operaties tegen "landen met een offensief cyberprogramma".
In de antwoorden van de ministers komt dit eigenlijk alleen ter sprake als het gaat om het belang van samenwerking met buitenlandse partners, dat is namelijk o.a. voor "het uitwisselen van identificeerbare kenmerken van cyberaanvallen gericht op het hoogwaardig Europees bedrijfsleven". (p. 22)
Hoe zich dat dan precies verhoudt tot de regelingen van de tijdelijke wet wordt verder nergens nader uitgewerkt.
Omvang en herkomst van cyberaanvallen in de periode 2005 t/m 2022 (bron)
Internationaal verkeer
In hun eerste beantwoording van de Eerste Kamervragen lieten de ministers meermalen weten dat de diensten zich bij de ongerichte interceptie zullen richten "op gegevensstromen die hoofdzakelijk internationaal verkeer bevatten".
In de tweede vragenronde vroegen GroenLinks-PvdA en de PVV wat daar precies mee bedoeld wordt, aangezien bij het internet geen duidelijk onderscheid tussen binnenland en buitenland meer te maken valt. Zo hebben tal van Nederlandse bedrijven en zelfs overheden hun data op buitenlandse servers ("in de cloud") staan, waardoor Nederlandse communicatie feitelijk toch de grens over gaat.
Dit is een nogal vreemd antwoord, aangezien onze diensten toch niet bepaald makkelijk toegang zullen krijgen tot kabels die zich geheel in het buitenland bevinden (al is het bijv. tijdens militaire missies ook niet geheel uitgesloten). De rest van het antwoord is vooral een bevestiging van de stelling dat Nederlandse communicatie die via een buitenlands datacentrum verloopt toch onderschept kan worden.
Meer geruststellend had geweest als de ministers hadden gezegd dat de diensten zich specifiek zouden richten op datastromen uit landen als Rusland en China, maar dan geldt weer de uitzondering voor cyber defence, omdat "bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en ongerichte interceptie op de kabel noodzakelijk kan zijn om dit te onderkennen."
Snapshots
Een volgende vraag die onbeantwoord bleef is de hoeveelheid data die in de verkennende fase wordt opgeslagen. Tijdens de behandeling in de Tweede Kamer bleef minister De Jonge stug volhouden dat het hierbij slechts om een momentopname, een foto gaat, wat in het jargon van de diensten een "snapshot" wordt genoemd.
Hoe lang zo'n snapshot precies duurt wilde de minister ook na lang aandringen niet zeggen, wat opmerkelijk is aangezien uit een rapport van toezichthouder CTIVD uit 2022 bleek dat zulk snapshotten tot nu toe inhield dat een datakanaal maximaal twee uur per dag wordt afgetapt om de potentiële inlichtingenwaarde daarvan vast te stellen.
Vanuit de Eerste Kamer was niet expliciet gevraagd of dat ook voortaan het geval zal zijn en de ministers zwegen er dan ook weer over. Het kan zijn dat snapshots nog steeds beperkt zullen blijven tot twee uur per dag en dat het resultaat daarvan dan zes maanden bewaard blijft, maar door dat niet expliciet te benoemen laat de wet het ook toe dat datastromen continue worden afgetapt en opgeslagen.
Filtersystemen
Een beperkende factor die nog niet eerder besproken werd is de techniek. Uit wat de NSA, GCHQ en de Duitse BND doen weten we dat bij het ongericht aftappen van internetkabels al bij het aftappunt zelf filterapparatuur geplaatst wordt. Daarmee kunnen direct alle niet benodigde data weggefilterd worden en blijven alleen die data over die het meest interessant zijn voor nader onderzoek.
Zou men dat filteren niet doen, dan zou er een net zo "dikke" kabel nodig zijn als degene die afgetapt wordt om alle gekopieerde data naar het hoofdkwartier van de inlichtingendienst, in dit geval de JSCU bij de AIVD in Zoetermeer, te transporteren.
Een andere mogelijkheid is om de afgetapte data ter plekke op te slaan en ze van op afstand te doorzoeken. Dat zou voor metadata wel kunnen, zouden echter ook alle inhoudsdata opgeslagen worden, dan lopen de servers snel vol. Zo gezien is het praktisch niet goed voorstelbaar dat in de verkenningsfase zowel inhoud als metadata voor langere periodes worden opgeslagen.
In hun antwoorden aan de Eerste Kamer benadrukken de ministers dat tijdens de verkenningsfase alleen gegevens mogen worden verzameld om de latere, daadwerkelijke ongerichte interceptie zo gericht mogelijk te kunnen laten plaatsvinden.
Waar tijdens de verkenningsfase dan precies naar gekeken wordt werd pas verhelderd nadat de fractie van GroenLinks-PvdA daar in de tweede vragenronde expliciet naar gevraagd had.
Zoals vaker is het voor een beter inzicht nodig om meerdere passages uit de beantwoording van de ministers te combineren. Daaruit volgt dat het technisch onderzoek tijdens de verkenningsfase uit twee delen bestaat: (p. 5, 9, 11)
1. Het in kaart brengen van het digitale landschap in de zin van vaststellen wat de aard van de communicatie is en wat de gebruikte technische protocollen zijn. Dit laat dan zien of het om webverkeer, e-mail, spraakverkeer, videobestanden, etc. gaat.
2. Nagaan of deze data van belang kunnen zijn voor de onderzoeksvragen van AIVD en MIVD, waarbij gebruik wordt gemaakt van input vanuit de inlichtingenteams. Deze input bestaat uit selectoren en andere gegevens over targets die de diensten reeds op andere manieren verkregen hebben. Ook kunnen bij de verkenning meer of minder complexe c.q samengestelde zoekvragen worden toegepast.
Selectoren worden ook in de laatste fase van de ongerichte interceptie toegepast, maar dan moet het volgens de ministers gaan om zogeheten strong selectors waarmee personen en/of organisaties geïdentificeerd kunnen worden, zoals telefoonnummers en e-mailadressen. Omdat dit niet gezegd wordt over de verkenningsfase, kunnen daar kennelijk ook soft selectors zoals trefwoorden e.d. toegepast worden. Omgekeerd mogen bij de laatste fase van de ongerichte interceptie dan weer geen eenvoudige, complexe of samengestelde zoekvragen worden toegepast. (p. 16)
Van de onderzoeken in de verkenningsfase worden rapporten opgesteld waarin wordt beschreven welke communicatiekanalen van potentiële waarde zijn voor nader inlichtingenonderzoek. Aan de hand van die bevindingen wordt dan besloten op welke kabels de daadwerkelijke ongerichte interceptie wordt ingezet. (p. 10-11)
De gegevens die gebruikt worden om de aanvraag voor die daadwerkelijke interceptie op te stellen blijven bewaard, alle overige data die tijdens de verkenningsfase verzameld zijn moeten na maximaal 6 maanden vernietigd worden.
GCHQ surveys
Afgaande op hoe de ministers het nu beschrijven, komt de beoogde verkenningsfase bij ons vrijwel exact overeen met de surveys die het Britse GCHQ uitvoert. Hoe die in z'n werk gingen blijkt uit enkele technische rapporten over de verkenning van satellietverbindingen die in 2014 tijdens de Snowdenonthullingen gepubliceerd werden.
Bij GCHQ werden daarvoor eerst de routes en de technische kenmerken van die verbindingen in kaart gebracht en vervolgens werden er steekproeven genomen om te kijken hoe vaak daar telefoonnummers in voorkwamen die op een watchlist stonden. Dat gaf dan een goede indicatie of een verbinding productief genoeg zou zijn om er een daadwerkelijke tap op te zetten.
Detail van een technisch rapport van GHCQ uit 2008 over de
verkenning van een satellietverbinding tussen Jordanië en België
(volledig rapport - klik om te vergroten)
Als het gaat om internetverkeer zal de Nederlandse JSCU nu waarschijnlijk kijken naar selectoren in de vorm van e-mail- en IP-adressen e.d. Interessant is daarbij de vraag of ook selectoren gebruikt zullen worden die door buitenlandse partnerdiensten worden aangeleverd. Zo weten we dat de Duitse BND van de NSA miljoenen(!) internet identifiers kreeg om daarmee kabel- en satellietverkeer te filteren.
Omdat het onderhavige wetsvoorstel over "landen met een offensief cyberprogramma" gaat zal de JSCU naast dergelijke strong selectors ongetwijfeld ook andersoortige zoekvragen toepassen om signatures van malware en indicaties van hackpogingen te vinden. Omdat die dingen vaak een stuk moeilijker te vinden zijn, kan daarbij hulp van een partner als de NSA nodig zijn.
Videopresentatie over hoe de JSCU te werk gaat bij het onderzoek naar malware
(via Tweakers: Operatie Volt, 27 maart 2021)
Buitenlandse partners
Het inroepen van dergelijke hulp, oftewel het delen van data uit de verkennende fase met buitenlandse partnerdiensten, is een van de meest omstreden onderdelen van de Tijdelijke wet cyberoperaties. Al tijdens de eerste vragenronde vroeg de Eerste Kamerfractie van GroenLinks-PvdA of dat ook in bulk en/of bijna live kan gebeuren. De ministers antwoordden daarop dat er verschillende mogelijkheden zijn:
En: "Een verstrekking kan – indien noodzakelijk – spoedig na verwerving plaatsvinden of op een later moment binnen de bewaartermijn van zes maanden. Het kan daarbij zowel gaan om gegevens die reeds beoordeeld zijn door de diensten als om gegevens die de diensten nog niet hebben beoordeeld. Om de gegevens te kunnen beoordelen is juist ook het technisch onderzoek van buitenlandse diensten nodig." (p. 19)
Raad van State
Vanuit de Eerste Kamer werd ook gevraagd naar een reactie op het advies van de Raad van State waarin nadrukkelijk wordt afgeraden om data uit de verkennende fase met buitenlandse diensten te delen.
De ministers doen echter voorkomen alsof de Raad van State alleen doelde op het feit dat data uit de verkenning niet voor andere doeleinden verwerkt mogen worden en redeneren dat het delen van die data dus wel mogelijk is, aangezien van buitenlandse partners verwacht wordt dat zij die data ook niet verder zullen verwerken. (p. 30-31)
"De (bulk)data die wordt verkregen door middel van de verkennende bevoegdheid leent zich niet voor uitwisseling met buitenlandse diensten. Het betreft immers gegevens die ook de Nederlandse inlichtingendiensten binnen de eigen rechtsorde niet verder mogen verwerken. Bovendien is overdracht van deze gegevens, mede gelet op de ongerichtheid van de verkenningsbevoegdheid, een ernstige inbreuk op het recht op de bescherming van de persoonlijke levenssfeer. De Afdeling adviseert in het licht van het voorgaande in het voorstel te regelen dat deze gegevens niet mogen worden uitgewisseld met buitenlandse diensten."
SIGINT-partners van de NSA in Europa
Quid pro quo
Ondanks het negatieve advies van de Raad van State is het voor AIVD en MIVD kennelijk onontbeerlijk om betreffende data met buitenlandse partners te delen: "de mogelijkheid om ongeëvalueerde gegevens afkomstig uit de bevoegdheid tot verkennen ten behoeve van technisch onderzoek te delen met buitenlandse diensten [is] voor de diensten in internationale samenwerkingsrelaties en voor onze onderzoeken onmisbaar." (p. 52)
Opmerkelijk is dat voor deze onmisbaarheid twee redenen genoemd worden: niet alleen voor de eigen onderzoeken van onze diensten, maar dus ook "in internationale samenwerkingsrelaties". Doorgaans wordt daarmee gedoeld op het bekende quid pro quo, oftewel je deelt dingen die voor partnerdiensten interessant zijn, zodat je van hen dingen terugkrijgt die voor jezelf nuttig zijn.
Het is evident dat onze diensten er baat bij hebben als ze technische assistentie van meer ervaren buitenlandse partners krijgen, maar wat die partners er dan voor terug krijgen is niet echt helder geworden.
De Nederlandse JSCU kan weliswaar op zijn beurt technische assistentie verlenen aan andere diensten die minder capaciteiten hebben, maar dan blijft de vraag wat het voordeel voor grote partners als de NSA en GCHQ is.
Cyberdreigingen
Het is wel denkbaar dat die grote partners zelf ook baat kunnen hebben bij het duiden en ontsleutelen van de data die onze diensten aanleveren. Voor hen kan het immers interessant zijn om te zien welke indicaties van cyberdreigingen er op internetkabels in Nederland worden aangetroffen.
Wellicht is dat (mede) waar de ministers op doelen wanneer zij schrijven "dat de razendsnelle uitwisseling van gegevens doorslaggevend [blijft] voor het nemen van adequate tegenmaatregelen en het verkrijgen van een adequaat dreigingsbeeld. Door binnen de internationale inlichtingen- en veiligheidswereld intensief met elkaar samen te werken, vallen afzonderlijke puzzelstukjes in elkaar, zodat het werkelijke gezicht van de dreiging zich laat zien." (p. 22)
Ook interessant is de vraag of de technische rapporten naar aanleiding van de verkenningsonderzoeken met buitenlandse diensten gedeeld worden. Die hebben zelf dan wel geen toegang tot de kabels waar de rapporten betrekking op hebben, maar het kan voor hen wel weer interessant zijn om te zien welke indicaties allemaal zijn aangetroffen.
Net als de AIVD en de MIVD mogen ook buitenlandse partnerdiensten de data uit de verkenningsfase weliswaar niet voor verdere inlichtingenonderzoeken gebruiken, maar de ministers hebben niet uitgesloten dat zij de resultaten wel kunnen gebruiken voor hun eigen detectie- en interceptiesystemen. (p. 21, 51, 54)
Conclusie
Terugkijkend kunnen we concluderen dat de parlementaire behandeling van de Tijdelijke wet cyberoperaties tot nu toe nogal onbevredigend is verlopen. Leden van zowel de Eerste als de Tweede Kamer ontbrak het vaak aan voldoende achtergrondkennis, waardoor weliswaar veel vragen gesteld werden, maar deze zelden specifiek genoeg waren om nieuwe informatie boven tafel te krijgen.
De ministers, de diensthoofden en de betrokken ambtenaren bleven doorgaans hangen in abstracte formuleringen waardoor het voor buitenstaanders en menig kamerlid vrijwel onbegrijpelijk is gebleven waar het bij deze wet precies om gaat.
Het is een raadsel waarom de ministers alleen na zeer gericht doorvragen met meer details kwamen - het zijn immers zaken die de Russen en Chinezen al lang weten, maar die voor het parlement en de burger van belang zijn om noodzaak, risico's en waarborgen van de wettelijke regelingen enigszins adequaat te kunnen beoordelen.
De plenaire behandeling van het wetsvoorstel in de Eerste Kamer zal op 5 maart plaatsvinden.
UPDATE:
Op 5 maart 2024 werd de Tijdelijke wet cyberoperaties door de Eerste Kamer in plenaire vergadering besproken. Het wetsvoorstel werd grondiger behandeld dan in de Tweede Kamer, waarbij met name de senatoren Mary Fiers van GroenLinks-PvdA, Peter Nicolaï van de PvdD en Alexander van Hattem van de PVV opvielen door gedetailleerd inzicht c.q. vasthoudend doorvragen. Nagenoeg ongeclausuleerd voorstander bleek Bart Kroon van BBB.
Om te beginnen werd vanuit de Eerste Kamer flink doorgevraagd naar wanneer de nieuwe wet nu precies van toepassing is - niet een heel goed teken dat zo'n belangrijk aspect nog in deze allerlaatste fase van het wetgevingsproces nader opgehelderd moest worden.
Minister De Jonge antwoordde dat de wet in eerste instantie van toepassing is op de landen die in de Geïntegreerde Aanwijzing (GA) genoemd worden. Mocht blijken dat ook andere landen offensieve cyberoperaties tegen Nederland uitvoeren, dan kunnen die landen ook in de GA worden opgenomen, zodat de nieuwe wet ook voor hen kan worden toegepast. Vanuit de PVV werd gevraagd of de wet ook op niet-statelijke actoren, zoals met name Islamitische Staat, van toepassing kan zijn, maar dat is volgens de minister niet het geval.
Op de vraag van senator Fiers hoe het dan zit wanneer "een digitale aanval (nog) niet (direct) te attribueren is aan een land" antwoordde de minister dat dat betrekking heeft op de situatie wanneer onzeker is of een bepaald aanval vanuit Rusland, China of een ander land komt. Bij twijfel de nieuwe wet toepassen, was zijn insteek. De Nederlandse AMS-IX zit in de top-5 van de grootste internetknoopunten ter wereld waarmee onze diensten op "een goudmijn" zitten en we dus "een geweldige verantwoordelijkheid hebben om die te benutten", aldus De Jonge.
Iets wat nog niet eerder duidelijk geworden was is dat het wetsvoorstel ondanks zijn naam niet beperkt is tot cyberoperaties. Een offensief cyberprogramma gericht tegen Nederland is weliswaar het criterium om de bepalingen van de wet van toepassing te verklaren, maar daarna valt elk soort onderzoek van de AIVD en de MIVD naar die landen onder de reikwijdte van deze wet. Dit omdat die landen een "whole-of-society approach" hebben, dat wil zeggen zij vallen ons met een breed scala van middelen en methodes aan, zodat ook onze diensten daar breed op moeten kunnen reageren.
De vrees voor een sleepnet probeerde De Jonge te ontkrachten door nog maar eens te herhalen dat de diensten helemaal geen interesse in het Netflixverkeer van je buurman hebben en dat met de vier fases van de ongerichte interceptie er een trechtering plaatsvindt waarbij per stap steeds minder data overblijft. Dat klopt inderdaad voor de klassieke inlichtingenvergaring, maar cyber defence kent een andere methodiek, waarbij het juist van belang is om een zo breed mogelijk zicht op dataverkeer te hebben.
Senator Van Hattem confronteerde minister De Jonge met een contradictie in de eerdere schriftelijke antwoorden door te vragen of er de facto niet altijd sprake is van kabels met internationaal verkeer, waardoor in principe elke kabel voor verkenning in aanmerking zou kunnen komen. De minister erkende dat maar zei dat "louter nationaal verkeer niet zo heel vaak te attribueren zal zijn aan statelijke actoren met een cyberdreiging".
Hier wreekt zich het ontbrekende inzicht in cyber defence, want buitenlandse actoren gebruiken Nederlandse digitale infrastructuur juist graag als dekmantel voor hun cyberaanvallen. Dat is ook precies de reden dat het wetsvoorstel ook de zogeheten bijschrijfmogelijkheden verruimt, zodat de JSCU makkelijker kan nagaan wat die actoren op Nederlandse servers en computers uitspoken.
Update: In juli 2024 werd bijvoorbeeld bekend gemaakt dat de JSCU samen met de politie, het FBI en de Cyber National Mission Force (CNMF) een Russische digitale beïvloedingscampagne heeft verstoord die plaatsvond vanaf servers in het datacentrum van Serverius in Dronten. Via de software Meliorator werden zeker 968 nepaccounts op twitter aangestuurd.
Senator Fiers vroeg voorts of een "snapshot" betekent dat data gedurende 6 maanden lang 24 uur per dag verzameld en opgeslagen mogen worden. Wederom werd weer niet gevraagd naar de twee uur per dag die nu gebruikelijk is en zodoende kon minister De Jonge er mee wegkomen door te zeggen dat de verkennende fase wel aan het basisvereiste van proportionaliteit dient te voldoen. Eerder zei hij echter nog dat het niet zo mag zijn dat de proportionaliteit in de plaats komt van het gerichtheidsvereiste, dat nu juist was afgeschaft om een goede verkenning mogelijk te maken.
Senator Nicolaï ging vasthoudend in op het delen van data met buitenlandse zusterdiensten, waarop de minister antwoordde dat het belangrijk is dat de Nederlandse diensten ook iets aan hun partners te bieden hebben. Dat is het geval als zij gebruik kunnen maken van de kabel, die nu echter nog "aan de ketting" ligt. Bovendien hebben ook grotere diensten expertise en toegang van anderen nodig, aldus De Jonge, zonder daarbij verder in detail te treden.
Ook vroeg Nicolaï of daarmee niet een geitenpaadje gecreëerd wordt waarbij buitenlandse diensten dingen gaan doen die onze eigen diensten niet mogen. Minister De Jonge reageerde daar tamelijk verontwaardigd op: hoe kon gedacht worden dat onze diensten zoiets zouden doen? Nu is zo'n U-bocht nadrukkelijk niet toegestaan, maar de vraag was niet zo gek: sinds Snowden met vergelijkbare beschuldigingen kwam, is dit een zorg die bij veel mensen leeft.
Nicolaï diende tenslotte een motie in waarbij wordt opgeroepen om data uit de verkennende fase niet met buitenlandse diensten te delen, dit overeenkomstig het advies van de Raad van State. Deze motie werd door minister De Jonge echter nadrukkelijk ontraden.
Om tenslotte een indruk te geven van de bureaucratische belasting, meldde minister De Jonge dat hij de afgelopen week maar liefst 105 lasten (aanvragen voor toestemming voor een inlichtingenoperatie) op zijn bureau kreeg. Sommige zijn een formaliteit, maar anderen moeten grondiger besproken worden, hetgeen telkens maandagochtend in overleg met de hoofden van de AIVD en de MIVD gebeurt. Spoedlasten gaan telefonisch, via een beveiligde verbinding.
De Eerste Kamer heeft de Tijdelijke wet cyberoperaties op 12 maart 2024 aangenomen. De fracties van SP, PvdD, Volt, GroenLinks-PvdA, OPNL en FvD stemden tegen. De stemming over de motie van senator Nicolaï werd aangehouden. De wet kan naar verwachting op 1 juli 2024 in werking treden.
De "Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen" werd op 13 maart door koning Willem-Alexander ondertekend en op 11 april 2024 in het Staatsbad gepubliceerd.
A project called Safe and Free by the University of Texas now provides an overview of the legal framework for electronic surveillance by intelligence and law enforcement agencies in 12 democratic countries.
Here, I will introduce the project and discuss some general trends, as well as the different forms of prior approval of electronic surveillance operations.
Since the start of the Snowden revelations in June 2013, electronic surveillance has become a highly disputed topic. The controversy does not just concern the activities of the American signals intelligence agency NSA, but is also raised in European countries like Germany, The Netherlands and Denmark.
As the regulation of electronic surveillance is highly specialised, it's often difficult to judge whether certain measures are appropriate and effective. One way to improve them is by looking at solutions in other countries, preferably those with a similar rule-of-law tradition. This comparison is now provided by the Safe and Free project of the Strauss Center on International Security and Law at the University of Texas at Austin.
The project explores the variety of ways in which democratic states try to align surveillance for national security purposes with their values and laws. Safe and Free is an initiative of Adam Klein, director of the Strauss Center and former chairman of the Privacy and Civil Liberties Oversight Board (PCLOB), which oversees the civil liberty implications of US intelligence and counter-terrorism activities.
For Safe and Free a wide variety of surveillance experts, like think-tank members, academics, former government officials and journalists were asked to describe the legal framework for electronic surveillance in their country. This resulted in papers about the situation in Australia, Canada, France, Germany, The Netherlands, Poland, Romania, Sweden, the United Kingdom, and the United States.
Papers about Japan and South-Korea can be expected some time in the future. I had the honor of writing the paper about The Netherlands, describing the development of the legal framework for government interception from the 1960s until the current law from 2018 (which, quite unique, was subject to an advisory referendum).
Map showing the countries covered by the Safe and Free project
Click the map for a clickable map!
Reading all the papers shows how different national laws and regulations are, despite the fact that in practice, the technical methods are largely the same. All over the world, the telecommunications infrastructure for telephone and internet communications is very similar, as are the methods for interception. Hacking operations may require more creativity but have many tools and techniques in common as well.
Because states have different legal systems, institutional traditions and political constellations, the regulation of electronic surveillance methods differs from country to country. Nonetheless, some basic trends can be distinguished. An important one is the distinction between foreign and domestic, which affects many aspects.
First, most countries have separate agencies for foreign intelligence and domestic security, with signals intelligence traditionally being conducted by the military and domestic wiretapping sometimes by a national or federal police service.
In The Netherlands the civilian AIVD and the military MIVD both combine a foreign and a domestic mission, separated by their goals, instead of collection methods. Dedicated signals intelligence agencies are typical for the Five Eyes countries (the US, the UK, Canada, Australia and New Zealand), but Sweden has one as well, the FRA.
Usually, the domestic security agencies are governed by rather strict laws to safeguard the rights of their national citizens, while for foreign intelligence agencies we see more lax or even no regulations as monitoring foreign targets is considered "fair game".
Edward Snowden, however, considered this distinction very unfair and demanded equal protection for everyone. In some countries his view was picked up by the press, civil rights organizations and public opinion and eventually led to legal changes.
In the United States, presidents Obama and Biden implemented a range of constraints on the NSA's signals intelligence collection abroad, while in Germany the constitutional court ruled that fundamental rights restrict the BND's intelligence collection outside the country as much as they do inside German borders. In The Netherlands and Romania the law does not distinguish between foreign and domestic operations.
The building of the European Court of Human Rights (ECHR) in Strasbourg, France
(photo: CherryX/Wikimedia Commons)
A further increase in safeguards for human rights comes from the European Court of Human Rights (ECHR), the jurisdiction of which is recognized by 46 European countries. A notable requirement of this court is that the most intrusive surveillance methods, including tapping and hacking operations, need prior approval by an independent body.
Intercepting domestic communications for criminal prosecution is subject to judicial approval almost everywhere, but when it's done by a security agency for national security or intelligence purposes, it's usually a cabinet minister who signs off. This bore the risk of politically motivated eavesdropping, so now there has to be ex ante oversight in order to meet the case law of the ECHR.
Germany has already had such a body for decades, called the G10 Commission. Other countries followed more recently: Sweden has had the FUD since 2009, France created the CNCTR in 2015, the UK installed Judicial Commissioners in 2016 and The Netherlands established the TIB commission in 2018.
All these bodies largely consist of former judges, but in France, Germany and Sweden they include (former) members of parliament as well. This shows the differences between political cultures, as in The Netherlands parliamentarians would probably not be seen as a sufficient safeguard for independent control.
Canada has an independent Intelligence Commissioner as well, while in Australia surveillance operations which affect Australian citizens have to be approved by three ministers and the attorney general. Finally, in the US, national security operations by the FBI have to be approved by either a regular court or the FISA Court, but so-called National Security Letters can be issued by the Bureau without judicial involvement.
Depending on each country's legal situation, some of these independent bodies for prior approval also authorize or review foreign intelligence operations, but in many states the monitoring of foreign communications only needs to be approved by a minister or even just within the intelligence agency itself. The latter is the case, for example, in Poland and Romania.
In the US, the NSA merely needs a general annual certification by the FISA Court when foreign data are collected inside the US (notably via the PRISM program) and no external approval is required when collection against foreign targets takes place abroad.
In Western European countries we see that new legislation comes with increasing safeguards for civil liberties and privacy rights, but in some Eastern European countries the situation is different.
Despite the fact that Poland and Romania both have to adhere to the case law of the ECHR, their most recent laws are aimed more towards extending electronic surveillance powers and less towards accountability, democratic control and privacy safeguards. Exemplary was that Polish authorities used the notorious Pegasus spyware against political opponents.
By comparing the legal frameworks of each country we can see these kinds of general trends as well as the different ways in which safeguards are eventually implemented. They provide a set of best practices and options that can be used to improve the often complex regulation of electronic surveillance in a particular country.
Here, I focused on the issue of prior approval, but similar lessons can be learned about other topics, like the regulations for targeted and untargeted tapping operations, the use of metadata and ex post oversight by independent and parliamentary commissions. Therefore it's highly recommended to read all the papers of the Safe and Free project, which can be found at www.safeandfree.io