Во вторник Палата представителей проголосует за поправку к закону о разведке. Это должно дать спецслужбам больше возможностей для перехвата интернет-трафика. «Но нас не интересует поведение Netflix вашего соседа», — говорит уходящий в отставку министр Уго де Йонге. И все же критика есть.
Kunnen de inlichtingendiensten straks jouw WhatsApp-berichten opslaan? En zien welke websites je bezoekt? Dit soort gegevens lopen via kabels die de diensten straks veel makkelijker kunnen aftappen. Volgens de huidige wet mag dat verzamelen van data alleen “zo gericht mogelijk”.
De Wet op de inlichtingen- en veiligheidsdiensten (Wiv) is er sinds 2018. Diensten moeten volgens die wet vooraf om toestemming vragen bij een toezichtscommissie (TIB) als ze informatie via een kabel willen onderscheppen.
Maar sindsdien klagen de diensten. Het toezicht is veel te streng, vinden ze. Daardoor zou Nederland zich minder goed kunnen wapenen tegen cyberaanvallen van bijvoorbeeld China, Noord-Korea, Rusland en Iran.
Vier jaar nadat de wet was ingegaan, had er nog steeds geen onderschepping op de kabels plaatsgevonden. “Dat is nog niet gebeurd omdat de toezichthouder een aanvraag van de MIVD of AIVD steeds afwijst”, zei toenmalig minister van Defensie Henk Kamp begin 2022 bij zijn aftreden tegen NRC.
Demissionair minister Hugo de Jonge (Binnenlandse Zaken) zei deze week ook dat de totale potentie van de wet niet genoeg wordt benut.
Wat verandert er met de wetsverruiming?
- Er is minder toetsing van toezichthouders vooraf op het werk van de AIVD en MIVD. Dat toezicht verschuift naar tijdens het werk en achteraf.
- Diensten mogen internetkabels aftappen en later onderzoeken of er iets interessants tussen zit. De gegevens mogen een half jaar worden bewaard, al mogen ze niet gebruikt worden voor het inlichtingenproces.
- Kunstmatige intelligentie krijgt een grotere rol in het analyseren van grote hoeveelheden gevoelige informatie.
Вопросы о конфиденциальности граждан
Обсуждение в Палате представителей на прошлой неделе показало, что большинство партий в целом положительно относятся к законопроекту. СП и ФВД не поддерживают закон. Они опасаются, что слишком велик риск того, что неприкосновенность частной жизни граждан и, например, журналистов и адвокатов будет нарушена.
Берт Хьюберт также настроен критически. Он работал в AIVD, а позже стал руководителем TIB. Пока он не ушел оттуда в 2022 году, поскольку не согласился с планами по расширению закона. «Сервисам разрешено хранить большие объемы материалов и искать их с помощью алгоритмов», — говорит он. «Тогда я чувствую себя обиженным, да».
Но строгий надзор сохраняется, подчеркивает Барт Джейкобс, профессор безопасности Университета Радбауд. «Сервисы заранее не знают, какой трафик по каким кабелям будет передаваться», — говорит он. «Вот почему им скоро будет разрешено получать больше информации на исследовательском этапе. Но им не разрешено использовать все для разведывательного процесса».
Службы должны объяснить, почему они хотят перехватить данные по кабелю. «Например, чтобы следить за русскими», — говорит Джейкобс. «Но регулятор это проверит. И если выяснится, что сервисы хотят с этой целью искать в приложениях голландцев, то этого не допустят».
«То, что теряет TIB, приобретает CTIVD»
Это также не тот случай, когда предварительное тестирование вообще не проводится. TIB продолжает осуществлять заблаговременный мониторинг, но теперь получает дополнительные рекомендации по правовым стандартам.
«Именно это пошло не так при составлении Wiv в 2017 году», — говорит Ровин Янсен, кандидат наук и преподаватель права конфиденциальности в Университете Радбауд. «Ряд стандартов так и не были разъяснены законодательным органом, что вызвало конфликты между службами и надзорными органами».
По словам Янсена, надзора теперь стало больше. «Все, что теряет TIB, приобретает CTIVD. В этом смысле существует компенсация со стороны надзора. Это радикальное изменение, но к лучшему».
Серьезные сомнения относительно оценки CTIVD
Руководитель CTIVD получит для этой работы больше рабочей силы. Но достаточно ли этого сказать, считает также Джейкобс.
«CTIVD обладает очень мощной силой и может остановить работу в принудительном порядке», — говорит он. Но как это работает на практике, пока неясно. «Теперь его не обязательно заколачивать», — говорит Джейкобс. «Давайте также дадим этим людям возможность выполнять свою работу».
Более того, CTIVD будет осуществлять обязательный надзор за конкретными статьями. Надзор за привязкой касается сканирования на предмет взлома, технических рисков взлома, добавления отводов (это касается так называемого кредитования серверов при переходе злоумышленников на другой) и надзора за автоматическим анализом данных или массовым перехватом данных.
Хьюберт говорит, что большая часть надзора не является обязательной. Он также считает важным уже сейчас определиться с тем, как CTIVD будет контролировать деятельность служб. «Регулирующий орган в настоящее время не имеет достаточного количества безопасных офисных помещений, и существует риск того, что он не сможет разместить растущее число исследователей».
Даже AIVD не является водонепроницаемым
Перехваченная информация хранится на защищенных серверах сервисов. «Мы предполагаем, что там безопасно», — говорит Хьюберт. «И что сам AIVD не взломан».
Но что-то может пойти не так где угодно, говорит он. «Более года назад сотрудник АИВД украл 102 компьютера. Никакой государственной тайны на них не было, но это указывает на то, что что-то может пойти не так. Кроме того, мы не знаем, что повлекут за собой будущие законы. Возможно, больше данных внезапно будет разрешено хранить. Это просто более приятная идея, если не будет храниться много данных без необходимости».
2023-10-22 10:32:18
1697974966
#Палата #голосует #по #закону #кибербезопасности #Нет #интереса #поведению #соседа #Netflix #Технология