Eerst het goede nieuws. Het verzet tegen de sleepnetsurveillance van de National Security Agency (NSA) is enorm. Tal van burgerrechtenorganisaties, media, toezichthouders, politici en overheden keren zich tegen het massaal bespioneren van niet-verdachte burgers door de Amerikaanse inlichtingendienst.
De Europese Unie en Brazilië stampvoeten dat de Verenigde Staten moeten ophouden met het afluisteren van hun burgers en bedrijven. Gek genoeg manen grote internetbedrijven als Google, Yahoo! en Facebook de Amerikaanse president Barack Obama te stoppen met de massale surveillanceprogramma’s. De eerste bedrijven rapporteren al grote omzetverliezen omdat buitenlanders geen gebruik willen maken van hun diensten.
Vooral in december was er veel positief nieuws. Een federale rechter in de Verenigde Staten oordeelde dat de NSA zich ‘bijna Orwelliaans’ gedraagt door zoveel internetverkeer te onderscheppen. Volgens deze rechter heeft het stofzuigergedrag van de NSA geen enkele terroristische actie verijdeld.
Een presidentiële commissie adviseerde Barack Obama om de surveillance aanzienlijk terug te schroeven. In de Senaat liggen twee wetsvoorstellen klaar die de macht van de NSA moeten beperken.
Niet voor niets concludeerde Edward Snowden, de man die sinds juni langzaam de enorme schaal van de staatssurveillance aan het licht brengt, dat zijn werk erop zit. Zijn doel is niet de NSA kapot maken. Hij wil enkel discussie over de wenselijkheid van massale surveillance van niet-verdachte burgers. In een zeldzaam interview één dag voor Kerstmis gaf hij aan dat wat hem betreft anderen het stokje mogen overnemen.
Maar er is ook slecht nieuws. Echte grootschalige hervormingen hoeven we voorlopig niet te verwachten. Het zal nog lang duren voordat Snowdens doel is bereikt, als dat ooit gebeurt. De obstakels zijn namelijk groot. De enige echte inperking van de reikwijdte van de NSA ligt voorlopig in onze eigen handen.
1. Buiten Amerika mag de NSA bijna alles
De discussie in Amerika gaat hoofdzakelijk over de handelwijze van de NSA op eigen bodem. De twee Amerikaanse wetsvoorstellen zwijgen over de rechten van niet-Amerikanen. De inlichtingendienst heeft buiten de Verenigde Staten een vrijwel onbeperkt mandaat. Sterker nog, de NSA leidt meerdere internationale samenwerkingsverbanden waarbij gegevens worden uitgewisseld met andere inlichtingendiensten.
Wat de NSA niet via de achterdeur krijgt, regelt het gewoon via de voordeur met de PATRIOT Act. Met deze wet, enkele weken na 9/11 aangenomen, kunnen opsporings- en veiligheidsdiensten informatie opvragen bij bedrijven die een vestiging hebben op Amerikaanse bodem. Stel dat de Rabobank een kantoor heeft in New York, dan zijn volgens de PATRIOT Act alle gegevens bij alle Rabobank-kantoren wereldwijd opvraagbaar. De Amerikaanse autoriteiten vatten hun jurisdictie sinds 9/11 dus zeer ruim op.
2. Europese landen vinden het wel best
De enige manier om de rechtspositie van niet-Amerikanen te waarborgen, is via internationale verdragen en onderhandelingen. De Europese Unie probeert al jaren via overleg de EU-burger beter te beschermen. Maar dat gaat erg moeizaam. Wat de Verenigde Staten doen, willen de Europese lidstaten namelijk ook.
Je kunt de Europese Commissie en het Europees Parlement geen gebrek aan goede wil verwijten. Volgens cybersecurity-onderzoeker Axel Arnbak is in de vroege jaren negentig al een verstandige poging gedaan om informatiebeveiliging en het waarborgen van online privacy grondig aan te pakken op Europese schaal. ‘De lidstaten hebben toen gezegd, no way. Dit raak te de nationale veiligheid. Daarna is er op dit vlak weinig meer gebeurd,’ aldus Arnbak. Pas de laatste jaren zijn er weer wetgevingsinitiatieven die tot een veiliger internet voor Europese burgers moeten leiden, maar die verlopen moeizaam.
De Europese instellingen zetten telkens stoer in met gesprekken op hoog diplomatiek niveau, maar uiteindelijk krijgen de Verenigde Staten toch grotendeels hun zin
De vele conflicten met de Verenigde Staten over informatiebeveiliging en privacy tonen aan hoe funest dit gebrek aan Euroepse eendracht heeft uitgepakt. Keer op keer bleken Amerikaanse opsporingsdiensten toegang te hebben tot de data van Europese burgers en keer op keer konden de Europese landen daar feitelijk niet zo veel tegen doen. Eind jaren negentig was er het ECHELON-schandaal, waarbij de Five Eyes-coalitie wereldwijd radio- en satellietverkeer bleken te onderscheppen . In 2005 kwam daar nog het SWIFT-schandaal bovenop: de Verenigde Staten bleken het internationale betalingsverkeer te onderscheppen, in weerwil van eerdere afspraken. Ook is er jarenlang ruzie geweest over de Amerikaanse honger naar Europese reisgegevens.
De lidstaten hebben echter ook geen enkele trek om massale surveillance in te perken. Na de aanslagen in Madrid (2004) en Londen (2005) zijn er in Brussel en in de hoofdsteden veel surveillancewetgeving en -maatregelen in gang gezet. Onze vingerafdrukken moesten ineens in ons paspoort. Telecombedrijven en internetserviceproviders zijn verplicht om onze metadata te bewaren, zodat opsporings- en veiligheidsdiensten die kunnen doorzoeken. Vliegtuigmaatschappijen moeten passagiersgegevens binnenkort ook aan de lidstaten afstaan. En er vloeien al jaren miljarden euro’s naar Europese surveillance-onderzoeken, vaak uitgevoerd door grote wapenfabrikanten.
Bondskanselier Angela Merkel speelt met verve de verontwaardiging over het feit dat haar telefoon werd afgeluisterd, maar heeft er ondertussen weinig problemen mee dat haar eigen inlichtingendienst BND informatie uitwisselt met de NSA. Van Frankrijk en Zweden is bekend dat de geheime diensten ook aan sleepnetsurveillance doen. Op dit moment is er in Nederland wetgeving in voorbereiding waarmee de AIVD en MIVD het internet kunnen aftappen. Begin november werd bekend dat de Britse GCHQ in voorbereiding op deze wetgeving de Nederlandse inlichtingendiensten al bijspijkerde over hoe dit soort massale interceptie uit te voeren.
3. De commerciële belangen zijn te groot
Ook na de Snowden-onthullingen is er veel kritiek te horen vanuit Brussel, vooral nadat bleek dat kantoren, diplomatieke EU-posten en hooggeplaatste functionarissen binnen de EU worden afgeluisterd. Door de Britse GCHQ nota bene. Eurocommissaris Viviane Reding maakte deze zomer de surveillance inzet van de onderhandelingen over een vrijhandelsakkoord met de VS, een akkoord met zeer grote wederzijdse belangen. Europa zou de besprekingen desnoods staken. Inmiddels is de eurocommissaris op haar schreden teruggekeerd. De economische belangen zijn simpelweg te groot.
Het is echter naïef te denken dat we in Europa even een alternatief kunnen ontwikkelen voor reuzen als Google, Facebook, Microsoft
De Europese Commissie stuurt in plaats daarvan aan op grootschalige investeringen in een Europese dataopslag-infrastructuur. Dit is een nobel streven, ook in het voordeel van Europese bedrijven. Het is echter naïef te denken dat we in Europa even een alternatief kunnen ontwikkelen voor reuzen als Google, Facebook, Microsoft. Het lijkt economische zelfmoord om dit soort bedrijven te verbieden actief te zijn op onze bodem. Want zover zou je moeten gaan als je Europese data echt uit handen van de Amerikaanse opsporings- en veiligheidsdiensten wilt houden. De Braziliaanse president Dilma Rousseff heeft eenzelfde strategie ingezet, maar die plannen zijn inmiddels in de ijskast beland. Er zijn te veel commerciële en praktische bezwaren om het eigen internet deels af te sluiten van het Amerikaanse.
4. De war on terror is nog lang niet voorbij
Daarnaast zijn veel Europese landen in dezelfde val getrapt als de Verenigde Staten. Deze val werd al tien jaar geleden voorzien: de retoriek van de oorlog tegen terrorisme. Het is hét argument om massale surveillance goed te praten. Deze oorlog blijkt in de praktijk eindeloos en grenzeloos. Een zeer treffend voorbeeld is de recente onthulling over de surveillance van online games. The Guardian, The New York Times en ProPublica beschreven hoe de NSA online spelen, zoals het zeer populaire World of Warcraft, infiltreert. Het zou zomaar kunnen dat terroristen, op zoek naar een veilige omgeving om te communiceren, gemaskeerd als gnoom en prinses een terroristische aanslag plannen. Volgens deze logica is er echter geen plek op internet die ongezien kan blijven: overal waar twee of meer personen bij elkaar komen, loert gevaar.
Niet voor niets vraagt de Amerikaanse rechtshistoricus Eben Moglen in zijn recente lezingenserie Snowden and the future om een belangrijke daad van president Obama: beëindig de War on Terror. ‘We hebben het recht om te vragen, respectvol maar dringend, dat de president deze oorlog beëindigt. (...) Dat hij het internet, dat aan alle mensen toebehoort, niet beschouwt als Amerikaans bezit, dat naar gelieven gehacked en afgetapt mag worden naar gelang militairen dat nodig achten.’
Dezelfde retoriek horen we in de Europese hoofdsteden: we kunnen niet stoppen met massale surveillance, anders zien we de volgende aanslag niet aankomen. Betrouwbare feiten over resultaten tot nu toe worden overigens nooit verstrekt.
5. Surveillance is goedkoop
Een belangrijke misvatting is dat de NSA zelf alle informatie over ons verzamelt. Dat wordt namelijk voor een groot deel overgelaten aan bedrijven als AT&T, Verizon, Level 3 Communications, Facebook, Google, Yahoo! en vele andere bedrijven. Surveillance is geprivatiseerd. De telecombedrijven vervoeren al onze data en worden door de NSA onder druk gezet deze data over te dragen. En als de NSA ze niet krijgt worden ze simpelweg gestolen.
De verstrengeling van inlichtingen en commercie werd enkele weken geleden mooi duidelijk met de onthulling dat de NSA gebruik maakt van de cookies die Google achterlaat bij zijn gebruikers. Google volgt je om gepersonaliseerde advertenties te laten zien. De NSA volgt die cookies weer om internetters te kunnen identificeren.
Wij, op onze beurt, geven onze data vrijwillig aan dit soort bedrijven. Op internet geldt: als het gratis is, ben jij het product. Dat betekent dat je in toenemende mate niet met geld betaalt, maar met persoonsgegevens waaraan andere partijen kunnen verdienen. In zo’n omgeving is er een overdaad aan veelzeggende persoonsgegevens beschikbaar voor degene die deze wil onderscheppen. De NSA hoeft geen tienduizenden geheim agenten in te zetten om onze meest persoonlijke data te ontfutselen. De NSA hoeft alleen maar op de juiste plekken een tap te zetten en de data te analyseren. Massale surveillance is spotgoedkoop.
De oplossing: maak surveillance weer duur
Begin november kwamen meer dan honderd onderzoekers, ondernemers, programmeurs en ingenieurs bij elkaar in Vancouver voor de achtentachtigste vergadering van de Internet Engineering Task Force, de IETF. Dit internationale overlegorgaan zou je de beheerder van het internet kunnen noemen. De plenaire bijeenkomst stond geheel in het teken van de onthullingen van Edward Snowden.
In het bijzonder werd stilgestaan bij de onthulling van afgelopen september, die in de technische gemeenschap hard is aangekomen: de NSA heeft doelbewust enkele cryptografische standaarden verzwakt. Veel internetverkeer wordt, om heel goede redenen, versleuteld verzonden. Banken moeten veilig betalingen kunnen doen. Overheden en bedrijven moeten gevoelige gegevens kunnen versturen. De NSA heeft, vermoedelijk door omkoping, een veelgebruikte versleutelingstechniek verzwakt. Daarnaast heeft de NSA veel sleutels gestolen. De techneuten zijn boos en geschrokken.
Veiligheidsgoeroe Bruce Schneier hield een gloedvol betoog dat hij later in opiniestukken en in lezingen verder heeft uitgewerkt. Volgens hem moet massale surveillance weer duur gemaakt moet worden. Dat kan volgens hem door de veiligheid van internetcommunicatie te verbeteren. Voor iedereen.
Maak goede, eenvoudige software
Is het internet onveilig dan? Ja. Veel communicatieverkeer reist in het volle licht. E-mails worden onversleuteld verstuurd. Mobiele telefoons registreren continu waar ze zich bevinden en slaan die data onversleuteld op. Dat geeft niet alleen sommige apps de mogelijkheid om jouw locatie uit te lezen, maar ook de NSA, die het van miljoenen telefoons bijhoudt. Veel internetverkeer is makkelijk door derde partijen te volgen, vaak door adverteerders, maar dus ook door inlichtingendiensten.
Het is heel goed mogelijk om al dit verkeer te verbergen. Er is veel gratis software beschikbaar waarmee je redelijk goed anoniem kunt blijven. Die software vereist echter wel de nodige technische kennis om te installeren en te gebruiken. Bedrijven staan doorgaans niet te trappelen om deze software standaard in hun producten op te nemen. Google wil voor advertentiedoeleinden wel ook zelf mails kunnen lezen.
Privacy- en encryptietechniek moet gebruiksvriendelijker worden. Een mooi voorbeeld is de oprichting van de Dark Mail Alliance, een initatief van twee mailproviders die onder druk van de NSA onlangs hun deuren hebben gesloten. Zij hebben in korte tijd meer dan 200.000 dollar opgehaald om een open source mailinfrastructuur te ontwikkelen waarmee organisaties en personen afgeschermd kunnen mailen. Het enige dat afluisteraars kunnen zien is hoe groot de mail is en niet de inhoud en metadata (informatie over onderwerp, tijdstip, verzender en ontvanger). Juist uit die metadata worden door de NSA en andere inlichtingendiensten verzameld omdat ze zoveel onthullen over je leven.
De meest hoopgevende onthulling is dat de gratis publiekelijk beschikbare privacy- en versleutelingssoftware werkt
De meest hoopgevende onthulling is dat de gratis publiekelijk beschikbare privacy- en versleutelingssoftware werkt. De NSA kan het niet of moeilijk kraken. En daarin ligt een enorme kans. Techneuten moeten ervoor zorgen dat er eenvoudige mailprogramma’s komen die berichten standaard versleutelen. Dat er goede software komt die de browse-ervaring niet beïnvloedt, maar waarmee gebruikers wel onbespied kunnen surfen. Dat er telefoons en apps ontwikkeld worden die minder of geen data weglekken naar derde partijen, of dit nu bedrijven zijn of inlichtingendiensten.
Wees niet naïef. Als de NSA in je computer wil komen, dan lukt dat. Maar als wij massaal onze digitale sporen uitwissen of bedekken door encryptie te gebruiken, zit de NSA met heel veel data waar ze niet zo makkelijk iets mee kan: incompleet of onbereikbaar. Als maar genoeg mensen de hooiberg groter maken waarin de NSA een speld moet zoeken, dan wordt de prijs op een gegeven moment simpelweg te hoog om iedereen in de gaten te houden. De dienst zal zich moeten focussen. It’s simple economics, aldus Schneier.
De oplossing van Schneier heeft volgens mij potentie. We kunnen erop vertrouwen dat in Amerika meer oog komt voor onze belangen; dat onze politici een fermer standpunt innemen ten opzichte van de Amerikaanse datahonger; dat grote bedrijven van binnenuit veranderen.
Maar wellicht kunnen we beter onze veiligheid in eigen handen nemen. De charme van Schneiers oplossing is dat een meer gebruiksvriendelijke technologie mensen zelf in staat stelt zich te beschermen. En daarmee ook elkaar.
Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!