Dinsdag 15 maart 2016

Hacking door de AIVD

Hacking wordt in de juridische wereld ook wel het zonder toestemming binnendringen van een geautomatiseerd werk genoemd. Hoewel hackers dit anders zien, wordt hacken vaak gezien als een actie met kwade bedoelingen.1J. Bakker, ‘Het woord hacker is voorgoed vervuild’, Computable 24 maart 2015, https://www.computable.nl/artikel/opinie/discussie/5243644/5213713/het-woord-hacker-is-voorgoed-vervuild.html, laatst geraadpleegd op 13-11-2015 2 K.M. Beaver, Hacking for dummies, Hoboken: John Wiley & Sons: 2013, p. 10. In Nederland is dit verboden bij wet.3art. 138ab Sr Dit begrip wordt daarom ook wel geassocieerd met criminaliteit. Maar is dit wel terecht? Ook de Algemene Inlichtingen en Veiligheidsdienst (hierna: AIVD) maakt gebruikt van hacken om nationale belangen te beschermen.4Althans, dat is het doel van de AIVD, zie art. 6 WIV. De bevoegdheid tot hacking door de AIVD lijkt onmisbaar in de huidige informatiemaatschappij. Uit gelekte documenten door Snowden blijkt dat bepaalde fora door de AIVD zijn gehackt waarbij veel gebruikersgegevens zijn verzameld.5S. Derix e.a., ‘AIVD hackt internetfora, ‘tegen wet in’’, NRC 30 november 2013, http://www.nrc.nl/nieuws/2013/11/30/aivd-hackt-internetfora-tegen-wet-in, laatst geraadpleegd op 13-11-2015.

Maar hoe ver mag de AIVD eigenlijk gaan? Waar ligt de grens? Wanneer prevaleert de privacy van burgers boven het veiligheidsbelang?

Hacking

Volgens een rapport van het Nationaal Cyber Security Centrum wordt om binnen te dringen in geautomatiseerde werken gebruik gemaakt van kwetsbaarheden in systemen.6Cybercrime. Van herkenning tot aangifte, Nationaal Cyber Security Centrum, Den Haag: 2012, p. 15 en 16 Ongeveer 21% van de meest bezochte websites blijkt software te draaien welke al bekende kwetsbaarheden heeft.7 State of the Web 2015: Vulnerability Report, Menlo Security maart 2015, https://www.menlosecurity.com/blog/state-web-2015-vulnerability-report, laatst geraadpleegd op 13-11-2015. Dit grote aantal bekende kwetsbaarheden illustreert de fragiele situatie van de IT infrastructuur. Niet ondenkbaar is dat de nog onbekende kwetsbaarheden het percentage van 21% flink kunnen verhogen. Deze kwetsbaarheden kunnen bijvoorbeeld al in software aanwezig zijn voordat de ontwikkelaar hiervan op de hoogte is. Hackers maken hier vaak ongezien gebruik van. Dit wordt ook wel een ‘zero-day aanval’ genoemd.

Uit eerder genoemde documenten gelekt door Snowden blijkt dat de AIVD gebruikt maakt van Computer Network Exploitation (hierna: CNE) om webfora te hacken.8Documenten NSA & AIVD Snowden,  http://issuu.com/pimvandendool/docs/document03/1?e=7781744/5822935, laatst geraadpleegd op 08-12-2015 CNE is een tool voor de exploitatie van kwetsbaarheden in netwerken. In de documenten van Snowden staat “they acquire mySQL databases via CNE acces” waaruit afgeleid kan worden dat meerdere databanken als geheel gehackt en gekopieerd zijn via CNE. Dit ongericht verzamelen van gegevens stuit op juridische en ethische bezwaren.9vgl. A.U. de Haes, ‘AIVD gaat boekje te buiten bij hacken’, Webwereld 11 maart 2014, http://webwereld.nl/security/81690-aivd-gaat-boekje-te-buiten-bij-hacken, laatst geraadpleegd op 13-11-2015. & S. Derix e.a., ‘AIVD hackt internetfora, ‘tegen wet in’’, NRC 30 november 2013, http://www.nrc.nl/nieuws/2013/11/30/aivd-hackt-internetfora-tegen-wet-in, laatst geraadpleegd op 13-11-2015. & Toezichtsrapport  inzake gegevensverwerking op het gebied van telecommunicatie door de AIVD en de MIVD, Commissie van Toezicht betreffende de inlichtingen- en veiligheidsdiensten, 5 februari 2014 nr. 38 p. 23.

Materieel juridisch kader

De bevoegdheid tot hacking is vastgelegd in art. 24 Wet op de Inlichtingen- en veiligheidsdiensten (hierna: WIV). Bij het maken van dit artikel is aangesloten bij de formulering van de strafrechtelijke bepaling van hacken te weten computervredebreuk ex art. 138ab Sr. Beiden dienen dus overeenkomstig uitgelegd te worden.10Memorie van toelichting wet op de inlichtingen- en veiligheidsdiensten 2002, Kamerstukken II 1997/1998, 25 877, nr. 3.4.3.4.6

Wat is een geautomatiseerd werk?

Art. 80sexies Sr: een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Ondanks dat de wetgever expliciet had benoemd in de MvT dat het in de praktijk voornamelijk zal gaan om stand-alone pc’s, vallen computernetwerken hier ook onder. 11Memorie van toelichting wet op de inlichtingen- en veiligheidsdiensten 2002, Kamerstukken II 1997/1998, 25 877, nr. 3.4.3.4.6 12 Nota naar aanleiding van het verslag, Kamerstukken II 1999/2000, 25 877, nr. 8, p. 63 Een geautomatiseerd werk hoeft niet zelfstandig bestemd te zijn om gegevens op te slaan, te verwerken en over te dragen maar kan deel zijn van een netwerk, zoals een router.13Hoge Raad 26 maart 2013, ECLI:NL:HR:2013:BY9718

Wat is binnendringen?

Binnendringen is jezelf toegang verschaffen tegen de wil van de rechthebbende, ongeacht of de beveiliging verbroken wordt of aanwezig is.14 Hoge Raad 22 februari 2011, ECLI:NL:HR:2011:BN9287 (Toxbot), r.o. 2.4. Het binnendringen hoeft niet door een mens te gebeuren; een virus kan tevens binnendringen.15 Hoge Raad 22 februari 2011, ECLI:NL:HR:2011:BN9287 (Toxbot), r.o. 2.2.2. onder n. Ook als je de sleutel hebt die toegang verschaft tot het systeem kan sprake zijn van binnendringen indien dit onbevoegd gebeurt.16 Hof den Haag 8 juni 2004, ECLI:NL:GHSGR:2004:AP7974, r.o. 11. Artikel 24 WIV geeft een niet-limitatieve opsomming van drie situaties waarin er in ieder geval sprake is van binnendringen:

1. Wanneer beveiliging doorbroken is. Dit spreekt voor zich, zonder de bevoegdheid tot het doorbreken van enige beveiliging is er vaak geen mogelijkheid tot hacken.

2. Bij het aanbrengen van technische voorzieningen teneinde versleuteling ongedaan te maken. Het decrypten van informatie kan hieronder vallen en kan noodzakelijk zijn als er bij een hack blijkt dat cruciale informatie gecodeerd is.

3. Wanneer de gegevens opgeslagen of verwerkt in het geautomatiseerde werk overgenomen worden. De AIVD hackt om gegevens te bemachtigen en dus is het kopiëren of overnemen daarvan een noodzakelijkheid.

Formele kader

Artikel 24 WIV behoort tot de zogenaamde bijzondere bevoegdheden van de AIVD.17N.J.M. Kwakman, Terrorismebestrijding, Deventer: Kluwer 2013, p. 192 Hierdoor moet er alvorens gebruik te maken van de bevoegdheid tot hacking toestemming worden gegeven door of namens de minister (art. 19 lid 1 WIV). Het hoofd van de dienst kan dit vervolgens ondermandateren (art. 19 lid 2 WIV). De toestemming geldt maximaal drie maanden maar kan telkens verlengd worden. Voordat Snowden de documenten uitlekte, heeft de minister van Binnenlandse Zaken gebruik gemaakt van de mandaatregeling. Na het uitlekken van de documenten, heeft minister Plasterk besloten dit niet meer te mandateren. Gevolg hiervan is dat bij hacking altijd toestemming aan de minister gevraagd moet worden.18A. Wokke, ‘Minister past beleid rondom hacken door AIVD aan na Snowden-onthullingen’, Tweakers 9 april 2014, http://tweakers.net/nieuws/95313/minister-past-beleid-rondom-hacken-door-aivd-aan-na-snowden-onthullingen.html, laastst geraadpleegd op 13-11-2015. & Mandaatbesluit AIVD 2015

Noodzakelijkheid; Proportionaliteit en Subsidiariteit

Aangezien bijzondere bevoegdheden een grote inbreuk op de persoonlijke levenssfeer kunnen opleveren zijn er ook waarborgen in de WIV opgenomen. Wanneer er een verzoek tot toestemming wordt gedaan voor het inzetten van een bijzondere bevoegdheid, zoals hacken, moet dit aan een drietal vereisten voldoen: noodzakelijkheid, proportionaliteit en subsidiariteit.

Noodzakelijkheid

Art. 18 WIV stelt dat een bijzondere bevoegdheid slechts mag worden uitgeoefend, voor zover dat noodzakelijk is voor de goede uitvoering van de taken van de dienst. Dit noodzakelijkheidsvereiste sluit aan bij het begrip als genoemd in art. 8 EVRM: bij ieders privacy is slechts inmenging van enig openbaar gezag toegestaan voor zover dit noodzakelijk is in het belang van de nationale veiligheid. Het wordt verder aangevuld in art. 32 WIV. Uitoefening van een bijzondere bevoegdheid moet onmiddellijk gestaakt worden wanneer het doel is bereikt (proportionaliteit) of wanneer er een minder inbreukmakend alternatief is (subsidiariteit).

Proportionaliteit

Het proportionaliteitsbeginsel houdt in dat de inbreuk evenredig moet zijn aan het te bereiken doel en dat de bevoegdheid achterwege moet blijven wanneer het de betrokkene een onevenredig nadeel oplevert (art. 31 lid 3 en 4 WIV). Oftewel, weegt het rechtsbelang van het doel zwaarder dan het rechtsbelang van de mogelijke inbreuk? Een voorbeeld: er is een sterke aanwijzing voor een aanslag op maandag. Om de dader te identificeren moet een emailadres gehackt worden om zo een IP-adres te achterhalen. Het belang van nationale veiligheid weegt in deze instantie zwaarder omdat de aanwijzing sterk is. De bevoegdheid tot hacken kan dus proportioneel worden gebruikt.

Subsidiariteit

In lid 1 en 2 van artikel 31 WIV is het subsidiariteitsbeginsel verankerd. Dit beginsel houdt in dat voor het middel gekozen moet worden dat de minst zware inbreuk maakt op iemands privacy. Alvorens de inbreuk te maken bestaan er een aantal gradaties waar naar gekeken moet worden. Dit houdt in dat de AIVD moet kijken naar zijn algemene bevoegdheden in plaats van direct gebruik te maken van zijn bijzondere bevoegdheden. Allereerst moet gekeken worden of de dienst al over de informatie beschikt, vervolgens of de gegevens niet achterhaald kunnen worden door openbare bronnen te raadplegen en daarna, wanneer openbare bronnen geen mogelijkheid bieden, informatiebronnen waarvoor aan de dienst een recht op kennisneming is verleend (bijvoorbeeld Politieregisters).19Memorie van toelichting wet op de inlichtingen- en veiligheidsdiensten 2002, Kamerstukken II 1997/1998, 25 877, nr. 3, p.52. Ook het ondervragen van informanten (art. 17 WIV) kan onder de alternatieve opties vallen om geen gebruik te maken van een bijzondere bevoegdheid.20 Toezichtsrapport  inzake gegevensverwerking op het gebied van telecommunicatie door de AIVD en de MIVD, Commissie van Toezicht betreffende de inlichtingen- en veiligheidsdiensten, 5 februari 2014 nr. 38 p. 57. Als er geen alternatieve optie is, kan er gebruik gemaakt worden van een bijzondere bevoegdheid. Bij die bevoegdheid moet vervolgens wel rekening gehouden worden met het subsidiariteitsvereiste: kiezen voor de minst inbreukmakende optie. Bijvoorbeeld het hacken van een emailadres om een IP-adres onder omstandigheden te achterhalen is subsidiair, het hacken van een gehele mailserver waarschijnlijk niet.

Wetsvoorstel WIV 20XX

Naar aanleiding van een rapport van de commissie Dessens heeft de wetgever een wetsvoorstel gemaakt om onder meer de hackingsbevoedheid uit te breiden. Dit wetsvoorstel codificeert het verkennen van geautomatiseerde werken, het hacken van een derde, verplichting tot vernietiging van irrelevante gegevens en het combineren van technische mogelijkheden. Hoewel volgens dit voorstel de toestemming om gebruik te maken van deze bevoegdheid wordt verzwaard, ontbreken er nog een aantal waarborgen, aldus verschillende organisaties.21vgl. Reactie op consultatie Wet op de inlichtingen- en veiligheidsdiensten 20XX , Commissie van Toezicht betreffende de inlichtingen- en veiligheidsdiensten 26 augustus 2015, http://www.ctivd.nl/documenten/publicaties/2015/08/26/reactie-ctivd-conceptwetsvoorstel, laatst geraadpleegd op 13-11-2015. & Reactie op consultatie Wet op de inlichtingen- en veiligheidsdiensten 20XX, Bits of Freedom 1 september 2015, https://www.bof.nl/live/wp-content/uploads/20150901-BoF-reactie-consultatie-wiv.pdf, laatst geraadpleegd op 13-11-2015. In een volgend nog te publiceren artikel op eJure zal nader ingegaan worden op dit wetsvoorstel.

Conclusie

De hedendaagse IT-infrastructuur brengt veel mogelijkheden met zich mee voor hackers. Er zijn tal van kwetsbaarheden die geëxploiteerd kunnen worden. De AIVD maakt hier op dit moment ook gebruik van door middel van CNE. Het binnendringen van geautomatiseerde werken door de AIVD is toegestaan op basis van art. 24 WIV. Hij moet hier wel toestemming voor hebben van de minister en voldoen aan drie vereisten: noodzakelijkheid, proportionaliteit en subsidiariteit. Op dit moment is er een conceptwetsvoorstel, de WIV 20XX. Dit voorstel tracht, onder andere, de hackingsbevoegdheid uit te breiden maar stuit tot dusver op veel bezwaar.

   [ + ]

1. J. Bakker, ‘Het woord hacker is voorgoed vervuild’, Computable 24 maart 2015, https://www.computable.nl/artikel/opinie/discussie/5243644/5213713/het-woord-hacker-is-voorgoed-vervuild.html, laatst geraadpleegd op 13-11-2015
2. K.M. Beaver, Hacking for dummies, Hoboken: John Wiley & Sons: 2013, p. 10.
3. art. 138ab Sr
4. Althans, dat is het doel van de AIVD, zie art. 6 WIV.
5. S. Derix e.a., ‘AIVD hackt internetfora, ‘tegen wet in’’, NRC 30 november 2013, http://www.nrc.nl/nieuws/2013/11/30/aivd-hackt-internetfora-tegen-wet-in, laatst geraadpleegd op 13-11-2015.
6. Cybercrime. Van herkenning tot aangifte, Nationaal Cyber Security Centrum, Den Haag: 2012, p. 15 en 16
7. State of the Web 2015: Vulnerability Report, Menlo Security maart 2015, https://www.menlosecurity.com/blog/state-web-2015-vulnerability-report, laatst geraadpleegd op 13-11-2015.
8. Documenten NSA & AIVD Snowden,  http://issuu.com/pimvandendool/docs/document03/1?e=7781744/5822935, laatst geraadpleegd op 08-12-2015
9. vgl. A.U. de Haes, ‘AIVD gaat boekje te buiten bij hacken’, Webwereld 11 maart 2014, http://webwereld.nl/security/81690-aivd-gaat-boekje-te-buiten-bij-hacken, laatst geraadpleegd op 13-11-2015. & S. Derix e.a., ‘AIVD hackt internetfora, ‘tegen wet in’’, NRC 30 november 2013, http://www.nrc.nl/nieuws/2013/11/30/aivd-hackt-internetfora-tegen-wet-in, laatst geraadpleegd op 13-11-2015. & Toezichtsrapport  inzake gegevensverwerking op het gebied van telecommunicatie door de AIVD en de MIVD, Commissie van Toezicht betreffende de inlichtingen- en veiligheidsdiensten, 5 februari 2014 nr. 38 p. 23.
10, 11. Memorie van toelichting wet op de inlichtingen- en veiligheidsdiensten 2002, Kamerstukken II 1997/1998, 25 877, nr. 3.4.3.4.6
12. Nota naar aanleiding van het verslag, Kamerstukken II 1999/2000, 25 877, nr. 8, p. 63
13. Hoge Raad 26 maart 2013, ECLI:NL:HR:2013:BY9718
14. Hoge Raad 22 februari 2011, ECLI:NL:HR:2011:BN9287 (Toxbot), r.o. 2.4.
15. Hoge Raad 22 februari 2011, ECLI:NL:HR:2011:BN9287 (Toxbot), r.o. 2.2.2. onder n.
16. Hof den Haag 8 juni 2004, ECLI:NL:GHSGR:2004:AP7974, r.o. 11.
17. N.J.M. Kwakman, Terrorismebestrijding, Deventer: Kluwer 2013, p. 192
18. A. Wokke, ‘Minister past beleid rondom hacken door AIVD aan na Snowden-onthullingen’, Tweakers 9 april 2014, http://tweakers.net/nieuws/95313/minister-past-beleid-rondom-hacken-door-aivd-aan-na-snowden-onthullingen.html, laastst geraadpleegd op 13-11-2015. & Mandaatbesluit AIVD 2015
19. Memorie van toelichting wet op de inlichtingen- en veiligheidsdiensten 2002, Kamerstukken II 1997/1998, 25 877, nr. 3, p.52.
20. Toezichtsrapport  inzake gegevensverwerking op het gebied van telecommunicatie door de AIVD en de MIVD, Commissie van Toezicht betreffende de inlichtingen- en veiligheidsdiensten, 5 februari 2014 nr. 38 p. 57.
21. vgl. Reactie op consultatie Wet op de inlichtingen- en veiligheidsdiensten 20XX , Commissie van Toezicht betreffende de inlichtingen- en veiligheidsdiensten 26 augustus 2015, http://www.ctivd.nl/documenten/publicaties/2015/08/26/reactie-ctivd-conceptwetsvoorstel, laatst geraadpleegd op 13-11-2015. & Reactie op consultatie Wet op de inlichtingen- en veiligheidsdiensten 20XX, Bits of Freedom 1 september 2015, https://www.bof.nl/live/wp-content/uploads/20150901-BoF-reactie-consultatie-wiv.pdf, laatst geraadpleegd op 13-11-2015.