Het spanningsveld tussen veiligheid en privacy

De recente terroristische aanslagen in Parijs zijn hartverscheurend en ijzingwekkend. Enge, fanatieke extremisten, die zichzelf moslims noemen, geloven een heldendaad te verrichten wanneer zij zoveel mogelijk ‘ongelovigen’ ombrengen. Als zij daarmee zelf het leven laten, wacht hen een 72-tal schone maagden in het paradijs, zo veronderstellen zij. Dat zij in hun fanatisme (en hun verlangen?) compleet onschuldige burgers doden, die persoonlijk niets te maken hebben met bombardementen op IS-doelen, lijkt een voordeel. Daarmee zit de schrik er namelijk bij miljoenen mensen in de Westerse wereld direct goed in.

Anders dan bij de aanslag op de cartoonisten van Charlie Hebdo op 7 januari van dit jaar. Daarvan kon men nog denken ‘ik heb de profeet Mohammed nooit beledigd, dus mij zal niet snel iets overkomen’. Twee dagen later werd het al iets enger, toen terroristen bezoekers en personeel van een Joodse supermarkt in Parijs gijzelden. Menig Europeaan die het Joodse geloof aanhangt, voelde toen al beduidend meer angst. Maar bij de grote meerderheid van de Europeanen, die niet Joods is, viel het ook na die aanslag mee met de doodsangst. Maar na de aanslag van 13 november blijkt iedereen die ooit wel eens op een terras zit, naar een voetbalwedstrijd gaat, bij een restaurant eet of een concert bezoekt een potentieel doelwit. En dat zijn we nagenoeg allemaal.

Wanneer terreur zo dicht bij ons huis komt –zowel letterlijk als figuurlijk- is de eerste, logische reactie een totaal onuitvoerbare kansberekening: hoe groot is de kans dat mij dit zal overkomen? En wat kan er worden gedaan om die kans te verkleinen?

De afgelopen jaren wordt er dan onmiddellijk gedacht aan meer capaciteit bij inlichtingendiensten. Veelal wordt geopperd dat er meer bevoegdheden moeten worden gegeven aan deze diensten. Hierbij denkt men dan meestal direct aan online inlichtingen. Het internet wordt immers volop gebruikt door terroristen voor het verspreiden van propaganda, het werven van nieuwe aanhangers, onderlinge communicatie en het verzamelen van informatie over doelwitten van en wapens voor aanslagen.

De Nederlandse Minister Plasterk van Binnenlandse Zaken wil het de inlichtingendiensten mogelijk maken om burgers op veel grotere schaal af te luisteren dan nu het geval is. Na toestemming van de minister van Binnenlandse Zaken moet het mogelijk worden een individu op basis van een vermoeden (niet alleen een vermoeden van terroristisch gedrag, maar ook een vermoeden van contact met een persoon die van terroristisch gedrag wordt verdacht) volledig op internet af te luisteren. In hetzelfde wetsvoorstel –dat overigens nog niet door de Eerste Kamer is- staat, dat geheime diensten de mogelijkheid moeten krijgen om, wederom na akkoord van de minister, in te breken in computers en netwerken van interessant geachte individuen. Hiervoor zouden alle hackmiddelen geoorloofd zijn (in de praktijk zal dat vooral door de staat gesponsorde malware betekenen, die door cybercriminelen kan worden gestolen en door hen kan worden ingezet om bijvoorbeeld hun botnets te vergroten). Verder wil het kabinet met de wet regelen dat mensen gedwongen kunnen worden om hun wachtwoorden af te geven als dat nodig is om bij de gegevens te komen, op straffe van een gevangenisstraf van twee jaar[1].

In andere landen zien we vergelijkbare initiatieven. In Groot Brittannië maakte Premier David Cameron zich begin 2015 hard voor een totaalverbod op geëncrypteerde communicatie[2]. De directeur van de Amerikaanse recherchedienst FBI, James Comey pleitte in juli van dit jaar voor een verplichte achterdeur in Amerikaanse encryptiesoftware[3].

Het betreft een gevoelig debat waarbij de voorvechters van de privacy zich fel keren tegen het verbieden of verzwakken van encryptie en het inperken van de privacy. Degenen die verantwoordelijk zijn voor de veiligheid in hun land willen eenvoudigweg altijd alle informatie kunnen bekijken wanneer zij dat nodig achten. Tussen die polen bevinden zich miljoenen burgers zonder sterke mening.

Het is niet vreemd dat na een vreselijke terroristische aanslag het algemene sentiment verschuift richting pro-surveillance. Zo weten ook de kopstukken van de inlichtingendiensten. Nadat de wetgevers in Washington hun positie hadden bepaald en besloten sterke encryptie niet te verbieden, noch de aanwezigheid van achterdeuren verplicht te stellen, liet Robert Litt, een jurist van de National Intelligence, zich in een later uitgelekte e-mail ontvallen: “Het tij zou wel eens kunnen keren in het geval van een terroristische aanslag of een criminele daad waar sterke encryptie kan worden aangewezen als hinderende factor voor de rechtshandhavers”.[4]

En inderdaad, nog geen 24 uur na de aanslagen, toen er nog nauwelijks iets bekend was over wie de mogelijke daders waren, waar die woonden, en hoe zij de aanslagen hadden gepland, dook het argument al op in de CBS nieuwsshow Face The Nation. Michael Morell, voormalig gedeputeerd directeur van de Amerikaanse intelligentiedienst CIA, zei daar: “Ik denk dat we nog een debat over encryptie en privacy gaan hebben [na het debat van afgelopen zomer, red.]. Het zal zich baseren op wat er in Parijs is gebeurd.”[5]

Maar hebben de daders van ‘Parijs’ wel gecommuniceerd via geëncrypteerde communicatiemiddelen? Hoewel het onderzoek allerminst is afgerond, wordt er al druk gespeculeerd. In België, waar het merendeel van de terroristen vandaan kwam, gaat men er vooralsnog van uit dat de terroristen gebruik hebben gemaakt van de in-game chatfunctie van de Sony Playstation 4. Deze communicatie is niet geëncrypteerd[6].

Als dit klopt, is het een argument tegen de ‘sleepnet’-aanpak van de door de inlichtingendiensten gewenste massasurveillance. Als je alle digitale conversaties ter wereld wilt gaan verzamelen en analyseren, heb je miljoenen analisten of feilloze selectiesoftware nodig. Het huidige systeem, dat werkt op basis van bepaalde algoritmen, werkt in ieder geval niet goed genoeg: de (ongeëncrypteerde) communicatie tussen de daders van ‘Parijs’ is nooit op de radar verschenen van de inlichtingendiensten, terwijl meerdere van de daders wel bij hen bekend waren. Wat zou er de meerwaarde van zijn geweest om de communicatie van nog eens miljoenen, wellicht zelfs miljarden andere (onschuldige) individuen te bezitten? Als het de inlichtingendiensten al niet lukt om de communicatie van de extremisten die in beeld zijn –en waarbij mag worden afgetapt en afgeluisterd onder de huidige wetgeving- op de juiste wijze te analyseren? Dit is in het kort het voornaamste argument dat de Privacy Barometer, overigens veel eloquenter, heeft ingebracht tegen het wetsvoorstel voor de uitgebreidere (massa)surveillance[7].

Het is opvallend dat er in de media nu vrij veel argumenten tegen een encryptieverbod worden belicht. Techrepublic.com kopte (zeker niet als enige of als eerste) ‘Encryptie: je kunt de geest niet terug in de fles krijgen.’[8] Hoewel ik zelf meer houd van de beeldspraak met tandpasta die zich niet terug laat duwen in een tube, vind ik het een rake uitspraak. De technologie bestaat. Dat is niet ongedaan te maken. Als die in, bijvoorbeeld, de VS verboden wordt, kunnen terroristen nog steeds encryptiesoftware van Europese of Israëlische makelij gebruiken. En zelfs al zouden álle landen ter wereld encryptie verbieden, zal dat een terrorist niet tegenhouden om illegaal aan encryptie te komen, of, als hij een beetje wiskundig onderlegd is, zelf encryptiesoftware te maken. Ik geloof dat niemand een illusie koestert over terroristen die zich aan de wet houden.

Verder moeten we niet vergeten wat encryptie ons heeft gebracht. Encryptie heeft een grote economische waarde voor ondernemingen die vertrouwelijke en bedrijfskritieke informatie te beschermen hebben. Wij rekenen het ondernemingen vanaf 1 januari 2016 zeer ernstig aan als zij door ‘nalatigheid’ persoonlijke gegevens van klanten (laten) lekken. We hebben afgesproken dat encryptie op dat soort gegevens standaard moet worden toegepast. Als je encryptie in Nederland verbiedt zorgt dat in het gunstigste geval voor een groot marktvoordeel voor marktpartijen, die zich niet aan de Nederlandse wet hoeven te houden. In het slechtste geval gaan we vroeg of laat compleet onder aan cybercriminaliteit in de vorm van identiteitsdiefstal, afpersing en chantage, omdat alle persoonlijke gegevens van alle burgers en bedrijven gemakkelijker kunnen worden ingezien door boeven.

Daniëlle van Leeuwen

Mijn werkgever is een Duits bedrijf en mijn Duitse collega’s hebben een nog veel stelligere overtuiging op dit gebied dan ik. Om er eentje te citeren: “Wij zijn een security-bedrijf. Massasurveillance is de aartsvijand van veiligheid. In Duitsland is al twee keer [in de Nazitijd en ten tijde van de Stasi in de voormalige DDR, red.] aangetoond hoe massasurveillance de veiligheid en persoonlijke vrijheid van mensen kan beperken. Wij hebben daar geen derde voorbeeld van nodig.” En daarom blijven wij inzetten op het verzekeren van de privacy van onze gebruikers. Bijvoorbeeld met onze chatapp SECURE CHAT, waarin tekst en afbeeldingen sterk worden geëncrypteerd voor een gegarandeerd privégesprek, en met onze speciale INTERNET SECURITY PRIVACY EDITIE met VPN.

Daniëlle van Leeuwen is PR Manager Benelux bij G DATA