Een kleine ode aan Bits of Freedom
De club die opkomt voor digitale rechten als privacy en veiligheid, Bits of Freedom, bestaat 25 jaar. Maar goed ook, als je kijkt naar de manier waarop er over technologie wordt gesproken en de twijfelachtige keuzes die overheden nog altijd maken.
Het was zo’n nieuwsbericht waar je makkelijk overheen leest:
‘Miljoenen AT&T- en Verizon-klanten getroffen door aan China gelinkte hack van internetproviders’.*
Het nieuws: hackers braken in bij een paar grote Amerikaanse internetproviders en hadden mogelijk toegang tot de communicatie van miljoenen Amerikanen.
Dat is een enorme hack met potentieel grote gevolgen – maar echt schokken doet het niet meer. De zon komt op in het oosten, het Nederlands elftal valt tegen, systemen worden gekraakt en data worden gestolen. We zijn gewend geraakt aan dit soort berichten.
De reacties waren al even voorspelbaar. Die gingen bijna allemaal over China. De actie – in de pers al snel gelinkt aan een Chinese hackersgroep* – zou laten zien hoever China bereid is te gaan en hoe belangrijk het is om ertegen op te treden.
Daar is niet zo heel veel tegen in te brengen. Maar een belangrijkere en interessantere vraag is: hoe konden die hackers die systemen penetreren?
The Wallstreet Journal beschrijft dat ze binnenkwamen via een verplichte, technische achterdeur in de systemen. Volgens Amerikaanse wetgeving móéten telecom- en internetbedrijven het de autoriteiten mogelijk maken om communicatie te onderscheppen als ze daar een gerechtelijk bevel voor hebben.
De hackers maakten dus gebruik van een technologisch systeem dat gemaakt is om aan de databehoefte van de Amerikaanse opsporings- en inlichtingendiensten te voldoen.
Privacy-experts en activisten weten: dat is áltijd het risico van zo’n beste-bedoelingen-achterdeur. Die is te betreden door de diensten die er wettelijk toegang toe hebben, maar vormt tegelijkertijd een nieuw veiligheidsrisico omdat anderen er nu óók toegang toe kunnen krijgen.
In de woorden van Meredith Whittaker, de bestuursvoorzitter van communicatieapp Signal: ‘Er bestaat geen manier om een achterdeur te bouwen die alleen de “goodguys” kunnen gebruiken.’*
Onbedoelde bijwerkingen
Het is een voorbeeld van een cruciaal inzicht voor ieder gesprek over privacy en surveillance: afluister- en surveillancemaatregelen en de bijbehorende technologieën kunnen onbedoelde bijwerkingen hebben.
Het is ook de waarschuwing die de Nederlandse Bits of Freedom steevast geeft, de digitale rechtenbeweging die vorige week haar 25e jubileum vierde en die al een kwarteeuw broodnodig expert is in onvermoede bijwerkingen van wetten en technologie.
Soms komen die bijwerkingen erop neer dat ook de badguys kunnen wat jij kunt – zoals de vermeende Chinese hack van internetproviders. Maar denk ook aan de hypergeavanceerde hacktools van de Amerikaanse geheime afluisterdienst NSA* die – nadat ze uitgelekt waren – door anderen gebruikt zijn voor een paar van de meest verwoestende cyberaanvallen ooit.
Nog zo’n bijwerking: bevoegdheden die voor heftige zaken mogen worden ingezet (kinderporno, terrorisme) worden later moeiteloos voor minder heftige zaken ingezet. Bijvoorbeeld de Patriot Act,* die de Amerikaanse diensten verregaande surveillance- en afluisterbevoegdheden gaf om terrorisme te bestrijden – bevoegdheden die jaren later óók gebruikt kunnen worden voor criminaliteitsbestrijding.
De vraag is dan: is het gegeven dat er bijwerkingen zijn een reden om dan maar af te zien van nieuwe wetten en maatregelen? Nee, dat lijkt me niet. Er kunnen uitstekende redenen zijn om deze wetten en maatregelen als overheid én samenleving te willen invoeren. Maar je moet de bijwerkingen wel altijd meenemen in de discussie erover, en bedenken hoe je de risico’s kunt beperken.
En dat is, helaas, niet vanzelfsprekend.
Kijk naar het voorstel van de Europese Commissie* om apps als WhatsApp en Signal te kunnen scannen op afbeeldingen van seksueel kindermisbruik. Dat klinkt heel nobel – en kindermisbruik bestrijden is ook goed – maar Bits of Freedom wijst er met andere *experts en *activisten* op dat als neveneffect* van dit voorstel de communicatie van alle chatappgebruikers onveilig wordt; met het voorstel ontstaan nieuwe, grote privacy- én veiligheidsrisico’s (zelfs de Nederlandse AIVD zegt: niet doen, te groot risico).
Het is nog onduidelijk welke kant het voorstel op gaat.
Dit verhaal verscheen eerder in mijn tweewekelijkse nieuwsbrief over de macht, de mythes en de mogelijkheden van technologie. Inschrijven kan hier.