Digitale dreigingsinflatie
Ex-AIVD’er Ronald Prins waarschuwde onlangs in een interview met de NOS voor de dreiging van Chinese, Russische en Iraanse cyberspionnen. Maar waar zijn de bewijzen?
Nederland wordt aangevallen. Door Chinezen, Russen en Iraniërs. Hun digitale spionnen zitten op onze netwerken en hebben het gemunt op onze staats -en bedrijfsgeheimen. Tijd voor actie. Laat de AIVD het hele Nederlandse internet aftappen om de indringers op te sporen en het land uit te zetten. Voordat het te laat is.
Met deze boodschap waarschuwde Ronald Prins afgelopen donderdag Nederland in een interview met de NOS. De directeur van IT-beveiligingsbedrijf Fox-IT noemde het ‘de treurigheid van deze wereld’ dat overheid en bedrijfsleven nauwelijks maatregelen nemen tegen dit buitenlandse gevaar. De Chinese, Russische en Iraanse inlichtingendiensten hebben vrij spel en het is wachten totdat het een keer misgaat. ‘Het kalf moet verdronken zijn voordat de put gedempt wordt,’ aldus Prins. Aanleiding voor het interview was het nieuws dat de Britse inlichtingendienst Government Communication Headquarters (GCHQ) jarenlang binnen was gedrongen bij de Belgische telecomprovider Belgacom.
Dergelijke infiltraties zijn ook in Nederland aan de orde van de dag, zegt Prins, maar hier zijn het de Iraniërs, Chinezen en Russen. En dus moeten de Nederlandse inlichtingendiensten het Nederlandse internet af kunnen tappen. ‘In de Koude Oorlog vonden we het heel normaal dat als de Russen hier rondliepen de BVD eromheen hing,’ zegt hij. ‘Als er een buitenlandse indringer op onze netwerken zit dan verwacht ik eigenlijk ook dat de AIVD op dat netwerk zit om ze terug te sturen.’
Dat zijn grote woorden. Wat Prins in feite voorstelt is een staatsmonitoringssysteem van het hele Nederlandse internet. Hij wil dat de inlichtingendiensten mee kunnen kijken met het webverkeer dat door de Nederlandse internetkabels loopt. Je hoeft geen privacy-activist te zijn om daar het predikaat ‘draconisch’ aan te verbinden. En het is ook niet de eerste keer dat Ronald Prins zijn stokpaardje bij de NOS van stal mag halen. De vraag is waarom de publieke omroep Prins zoveel ruimte geeft en zijn verhaal niet in perspectief plaatst. Daar is genoeg reden toe:
Ten eerste is Ronald Prins geen onafhankelijk deskundige. Hij heeft een direct belang bij de boodschap die hij verkondigt. Zijn bedrijf Fox-IT beveiligt bedrijven en overheidsinstellingen tegen digitale gevaren. Hij is er, kortom, bij gebaat als dit probleem op de agenda komt te staan.
Ten tweede is Ronald Prins een ex-AIVD’er. Twee jaar geleden vertelde hij mij dat hij nog steeds met regelmaat over de vloer komt bij de dienst in Zoetermeer, en de AIVD heeft ook - in ieder geval in het verleden - producten van Fox-IT afgenomen. Als Prins pleit voor meer bevoegdheden voor de AIVD dan moet die uitspraak ook in het licht worden gezien van de relatie die hij nog altijd met de AIVD onderhoudt.
Ten derde - en dit is het belangrijkste punt - kunnen we zijn uitspraken over Iraniërs, Chinezen en Russen niet verifiëren. Er hebben zich hier wel incidenten voorgedaan met hackers die hoogstwaarschijnlijk uit Iran en Rusland kwamen, maar dat inlichtingendiensten uit deze landen systematisch economische informatie bij Nederlandse bedrijven ‘weghalen’, is een heel ander verhaal en bovendien nooit aangetoond. Prins zegt al jaren dat dit ‘continu’ en ‘op grote schaal’ gebeurt. Die boodschap staat ook in de verslagen van de AIVD en de MIVD. Maar er is nog nooit een overtuigend bewijs geleverd van Chinese, Iraanse of Russische spionnen die via de internetkabels politieke of economische geheimen stelen. Dat betekent niet dat het niet waar is, maar het betekent ook niet dat we het zomaar voor waar moeten aannemen.
Dreigingsinflatie
Nogmaals: ik zeg niet dat Ronald Prins liegt. Ik zeg ook niet dat hij kwaad in de zin heeft. Maar het risico van het onweersproken laten van zijn boodschap is wat de Amerikaanse onderzoeker Jerry Brito ooit met een mooi woord ‘dreigingsinflatie’ heeft genoemd: een debat dat wordt gevoerd op basis van doemscenario’s van experts met belangen, in plaats van op basis van bewijzen. Brito legt uit dat de politieke consequenties van dreigingsinflatie groot kunnen zijn. ‘Als een congreslid hoort van "deskundigen" dat treinen zullen ontsporen en vliegtuigen uit de lucht zullen vallen,’ zei Brito in 2011 tegen Vrij Nederland, ‘dan zal hij voor wetgeving stemmen die deze catastrofe zegt te voorkomen.’ Als extreem voorbeeld noemt Brito de Amerikaanse inval in Irak, die het directe resultaat was van de vermeende massavernietigingswapens die het land volgens deskundigen zou bezitten.
Een cynicus zou zeggen dat het interview met Ronald Prins niet beter getimed had kunnen zijn. Over een paar weken verschijnt het evaluatierapport van de Nederlandse wet op de inlichtingen- en veiligheidsdiensten. Een van de vragen die de commissie Dessens zal beantwoorden is of de bevoegdheden van de Nederlandse diensten moeten worden verruimd zodat zij de mogelijkheid krijgen om ‘ongericht kabelgebonden communicatie’ te ondescheppen. Precies waar Prins voor pleit. De Tweede Kamer zal zich vervolgens over deze vraag buigen.
Maar voordat we na gaan denken over nieuwe bevoegdheden, moeten er bewijzen worden geleverd van de concrete gevaren die Nederland loopt. We kunnen die discussie niet voeren op basis van onbewezen doemscenario’s.