Het sleepnet: alle bezwaren op een rij
In 2015 hebben de verantwoordelijke ministers van Binnenlandse Zaken en van Defensie een voorstel voor nieuwe wetgeving inzake de inlichtingen- en veiligheidsdiensten gepubliceerd. Tijdens de internetconsultatie over dit wetsvoorstel hebben velen hun zorgen gepubliceerd over de plannen. Nog nooit hebben zoveel burgers, maatschappelijke organisaties en bedrijven (waaronder BIT) gereageerd op een internetconsultatie. Desalniettemin bleef maatschappelijke discussie uit en werd het wetsvoorstel met minimale aanpassingen door de Tweede en Eerste Kamer aangenomen.
Een aantal weken geleden hebben bezorgde studenten het voortouw genomen om een referendum over deze wet aan te vragen. BIT ondersteunt dit initiatief en hoopt op een breed maatschappelijk debat over de wet naar aanleiding van dit initiatief. Onze bezwaren tegen deze wet hebben we nog eens op een rijtje gezet.
Privacy
De wetgever heeft verzuimd nut, noodzaak en effectiviteit van de wet aan te tonen. De proportionaliteit van de maatregelen zijn daardoor dubieus. Duizenden organisaties zullen data moeten kunnen afstaan en netwerken tapbaar moeten maken. Echter de privacybezwaren hiervan worden onvoldoende geadresseerd. Burgers zullen zich bespied voelen en daardoor in hun privacy beknot worden. Zelfs Amnesty International, die niet bekend staat als activistisch, spreekt zich uit tegen deze schending van de mensenrechten. In de wet staat de grondslag 'gewichtige belangen van de staat' beschreven voor de inzet van bijzondere bevoegdheden. Deze omschrijving is zo vaag en daardoor is het risico op 'function creep' aanzienlijk.
Concurrentiepositie
De wet maakt het vestigingsklimaat qua privacy-, beveiligings- en financieel perspectief voor bedrijven, en specifiek internetbedrijven waaronder start-ups, minder aantrekkelijk. Dit heeft directe gevolgen voor een bedrijf als BIT dat vooral diensten levert aan dergelijke bedrijven. Vrijwel elke organisatie en bedrijf zal als aanbieder van communicatiediensten aangemerkt kunnen worden. Dit betekent dat zij allemaal hun data doorzoekbaar en hun netwerk aftapbaar zullen moeten maken en zelf voor de kosten daarvan moeten opdraaien. In andere landen waar dergelijke eisen gesteld worden kan wel aanspraak gemaakt worden op vergoeding van de kosten. Zeker voor bedrijven als BIT leveren de verplichtingen bovendien imago- en vertrouwensschade op. Dit draagt bij aan de verdere verzwakking van de (internationale) concurrentiepositie.
Vulnerabilities
De in de wet beschreven hackbevoegdheid zorgt ervoor dat de diensten geen belang hebben bij het melden van (zero-day) vulnerabilities. Tijdens recente virusuitbraken hebben we gezien dat ook de Nederlandse digitale infrastructuur kwetsbaar is voor vulnerabilities die door veiligheidsdiensten zijn ontwikkeld. Door de diensten aangeschafte of ontwikkelde malware kan ook in verkeerde handen vallen. De hackbevoegdheid mag bovendien bij derden ingezet worden, om zo via-via bij het doelwit van de diensten terecht te komen. Dat levert veiligheidsrisico's op voor die derden. Een door de veiligheidsdiensten geïnfiltreerd systeem is kwetsbaarder voor andere kwaadwillenden, waaronder het oorspronkelijke doelwit van de diensten. Daarnaast moet je er niet aan denken wat er mis zou kunnen gaan als de diensten gebruikmaken van Internet of Things systemen waarvan niet direct duidelijk is wat voor een soort systeem het is, denk hierbij bijvoorbeeld aan medische systemen.
Tapgevaar
Door deze wet krijgen de diensten de mogelijkheid om op grote schaal taps te plaatsen waarmee al het telefoon- en internetverkeer van bijvoorbeeld een middelgrote stad afgeluisterd kan worden. Naast de privacybezwaren die dit oplevert, zorgt het plaatsen van taps voor extra risico's ten aanzien van de betrouwbaarheid en veiligheid van deze netwerken. Telecomproviders hebben aangegeven dat zij uit eerste hand ervaren hebben dat zelfs het plaatsen van de huidige, veel kleinschaliger taps, voor stabiliteitsproblemen zorgt. Dat is een verontrustend probleem als het om onze communicatie-infra gaat waarover bijvoorbeeld ook oproepen naar het 112-noodnummer gaan.
Ontsleutelplicht
De wet legt een ontsleutelplicht voor communicatienetwerken op. Dat levert extra kosten voor deze netwerken op. Hoe beter de versleuteling, hoe hoger de kosten die met ontsleuteling gemoeid zijn. Een techniek zoals Diffie-Hellman zal daardoor wellicht achterwege gelaten worden. Sommige versleuteltechnieken zoals one-way-encryptie en de inzet van HSM's waar de private key vaak niet uit te halen is, zouden er zelfs voor kunnen zorgen dat aan de ontsleutelplicht niet voldaan kan worden. Een mogelijk gevolg van deze wet kan de inzet van minder sterke versleuteling zijn. Bovendien zal de afgifte en daarmee het breder beschikbaar komen van private keys zorgen voor veiligheidsrisico's als die sleutels in verkeerde handen terecht komen.
Door: Wido Potters