Security-experts: 'Sleepwet maakt samenleving niet veiliger'

De Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) maakt de samenleving niet veiliger. Dit stellen 38 cybersecurityonderzoekers, computerwetenschappers en security professionals in een open brief.

De experts die de open brief hebben ondertekend stellen dat het publieke debat over de nieuwe Wiv te simpel geframed is, aangezien het nadruk ligt op veiligheid versus privacy. Wie voor veiligheid is stemt ja, terwijl wie zijn privacy van groter belang vindt nee stemt. In de open brief stellen de betrokkenen echter dat de nieuwe wet zelf veiligheidsrisico's creëert, wat moet worden meegenomen in het debat en vertaald naar de juiste afwegingen in de wet.

Zero-days stilhouden

Zo wijzen de professionals in de open brief op de uitgebreide hackbevoegdheid van inlichtingendiensten, die het onder meer mogelijk maakt onbekende kwetsbaarheden binnen te dringen op apparatuur en in netwerken. De zero-day kwetsbaarheden die hiervoor worden gebruikt hoeven niet te worden gemeld bij ontwikkelaars van apparaten en software. Dit betekent in de praktijk dat niet alleen het spionagedoelwit kwetsbaar blijft, maar ook andere burgers in zowel binnen- als buitenland.

Daarnaast zijn de cybersecurityonderzoekers, computerwetenschappers en security professionals kritisch over bulkinterceptie, waarbij dataverkeer in bulk van de kabel wordt onderschept. Hiervoor worden tappunten in het netwerk aangebracht. Ieder tappunt vormt in de praktijk echter een extra kwetsbaarheid. "Hoe weten we zeker dat hackers niet ook van die taps gebruik maken? Bovendien kleven aan de opslag van de in bulk verworven data zwaarwegende veiligheidsrisico's, want die bergen data zijn ook voor andere spionnen en cybercriminelen een goudmijn. Met welke mate van zekerheid kunnen de Nederlandse diensten het niet lekken van deze data garanderen? De dreiging van datalekken wordt groter nu de opgeslagen bulkinformatie (ook zonder dat ernaar gekeken is) gedeeld mag worden met buitenlandse diensten. Dit gaat Nederland naar alle waarschijnlijkheid doen met o.a. de Britten en de Amerikanen. Beide landen hebben echter een rijke geschiedenis van datalekken bij de overheid. Data delen met deze landen is dus niet zonder veiligheidsrisico voor Nederland", schrijven de betrokken professionals.

Misbruik van gedeelde gegevens

Het derde risico waar in de open brief op wordt gewezen is verlies van controle op het gebruik van de gedeelde bulkinformatie door buitenlandse diensten. Als voorbeeld wordt een incident met de Duitse BND en Amerikaanse NSA genoemd. De BND verleende de NSA toegang tot databases in het kader van de strijd tegen terrorisme. Later bleek echter dat deze toegang door de Amerikanen is misbruikt voor industriële spionage tegen Duitsland. "De nieuwe toetsingscommissie (de TIB) noch de toezichthouder (CTIVD) kan controleren wat er buiten de landsgrenzen met onze gedeelde data gebeurt. Dit veiligheidsrisico verdient een plaats in het debat", aldus de professionals in de open brief.

Tot slot stellen de 38 cybersecurityonderzoekers, computerwetenschappers en security professionals in de open brief dat het nut en noodzaak van de sleepwet in de strijd tegen terrorisme door voorstanders wordt overdreven. Zo zou er geen bewijs zijn dat ongerichte bulkverzameling en geautomatiseerde (meta)analyse hiervoor het meest geschikte middel is. Ook kunnen volgens de betrokken personen lone wolves met bulkinterceptie niet worden opgespoord. Daarnaast wordt in de open brief erop gewezen dat aanslagplegers in de praktijk vaak al bekend zijn bij geheime diensten. Met traditionele en gerichte tapbevoegdheden waarover de Nederlandse geheime diensten al langer beschikken kunnen de diensten aanslagplegers dan ook prima in het vizier krijgen, aldus de open brief.

De volledige open brief is hier te vinden.