Op 11 juli 2001 publiceerde het Europees Parlement een rapport over het spionagenetwerk Echelon en de implicaties voor Europese burgers en bedrijven. Er werd al jarenlang gespeculeerd over het bestaan van dit netwerk van Groot Brittannië-en-haar-voormalig-koloniën maar pas in 1999 kwam er een rapport uit dat het onderwerp voorgoed uit de alu-hoedjessfeer trok. Het rapport van het EU Parlement bevat zeer concrete en zinnige voorstellen die, door gebeurtenissen 2 maanden later na publicatie, nimmer zijn uitgevoerd. Of zelfs maar verder besproken.

Onder het kopje "maatregelen tot bevordering van de zelfbescherming van burgers en ondernemingen" staat een lijst met concrete voorstellen die beveiliging van gegevens en vertrouwelijkheid van communicatie in handen geeft van burgers. Allereerst verzoekt het Parlement burgers te informeren over het bestaan van Echelon en de gevolgen voor hun privacy. Deze voorlichting moet "vergezeld gaan van praktische bijstand bij het ontwerp en de installering van algemene beschermingsvoorzieningen, die ook de veiligheid van informatietechnologie omvatten". Dus niet alleen postbus 51 spotjes maar hands-on aan de slag graag!

Passende maatregelen

Andere juweeltjes zijn de verzoeken om "passende maatregelen te nemen voor de bevordering, ontwikkeling en vervaardiging van Europese versleutelingstechnologie en -software en daartoe in het bijzonder projecten te ondersteunen die gericht zijn op de ontwikkeling van gebruiksvriendelijke versleutelingstechnologie, waarvan de brontekst is gepubliceerd" en "stimulering van softwareprojecten waarvan de brontekst is gepubliceerd, daar alleen zo kan worden gegarandeerd dat er in de software geen "achterdeurtjes" zijn ingebouwd (de zogenaamde "open-source software")". Ook noemt het document expliciet de onbetrouwbaarheid van beveiligings- en encryptietechnologieën waarvan de broncode niet gepubliceerd is. Iets dat in Nederlandse discussies over IT-strategie voor overheden een streng taboe is (waarschijnlijk omdat het bepaalde grote NAVO-partners zou kunnen beledigen).

Ook moeten overheden zelf het goede voorbeeld geven aan elkaar en hun burgers door "systematisch gebruik te maken van versleuteling van e-mails, zodat dit op de wat langere termijn, de normale praktijk zal worden". Dit moet in de praktijk gerealiseerd worden door "te zorgen voor de opleiding en bekendmaking van hun personeel met de nieuwe encryptietechnologieën en -technieken door het organiseren van de noodzakelijke opleidingspractica en -cursussen". Zelfs kandidaat-landen van de EU moeten geholpen worden "indien zij niet kunnen voorzien in de nodige beschermingsmaatregelen door een tekort aan technologische onafhankelijkheid". Helaas kan ik tot op de dag vandaag geen versleutelde mails sturen aan ambtenaren en kunnen verreweg de meeste ambtenaren hun mails niet digitaal ondertekenen zodat ik de integriteit van de inhoud kan verifiëren. En dat terwijl de software die dit mogelijk maakt al die tijd als opensource beschikbaar is geweest.

In die ene paragraaf uit de zomer van 2001, toen rationeel veiligheidsbeleid nog niet was weggevaagd voor elf september, dus de basis voor een solide IT-beleid dat veiligheid en privacy van burgers beschermd tegen zowel buitenlandse bedreigingen als de nationale overheid zelf.

What a difference a decade makes...

Vorige week maandag organiseerde Privacy First een lezing & discussieavond over cybersecurity en de relatie met terrorismebestrijding. Wil van Gemert, directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid gaf een lezing over de relatie tussen privacy en veiligheid. In deze lezing werd veel gesproken over consumenten, weinig over burgers (wellicht is het verschil wat mistig aan het worden in Den Haag). Ook werd er op gehamerd dat de overheid heel veel samenwerkte met 'de markt' en private partijen. Het was waarschijnlijk bedoeld als geruststelling maar had op de meeste aanwezigen het tegenovergestelde effect. Ideeën uit het bovenstaande EU document zoals beter IT-onderwijs, opensource-encryptie en technologische diversiteit als verdedigings- tactiek waren helaas totaal onbekende concepten. Het lint van de deur van het Cyber Security deel van de NCTB is nog maar net geknipt dus wellicht gaat het over een jaar beter. We hopen*.

Een paar weken eerder maakte een andere spreker van onze overheid het nog bonter door het Clean-IT project te verdedigen op de bijeenkomst van RIPE (de organisatie die IP-adressen uitdeelt voor Europa en Azië). Clean-IT is een Europees project van Nederlandse oorsprong dat tot doel heeft het gebruik van internet voor terrorisme-doeleinden te bestrijden.

Terrorisme niet gedefinieerd

Probleem is een beetje dat hierbij 'internet', 'gebruik' en 'terrorisme' niet zijn gedefinieerd. Op zich wel handig want dan kan je er dus alle kanten mee op. Beetje net als de dataretentie die in

2005 door het EU parlement werd geramd met de belofte dat deze alleen ingezet zou worden tegen 'terrorisme'. Een belofte die binnen enkele maanden gebroken werd. In Duitsland is dataretentie inmiddels ongrondwettelijk verklaard en afgeschaft, in Nederland tappen we lekker door, ondank een totaal gebrek aan bewijs voor enig effect van deze maatregel. Dat al die databases van bewaarde telecom gegevens zelf ook weer een doelwit worden is niet iets dat serieus meegewogen lijkt te worden in het 'dreigingsbeeld'. Curieus voor een overheid die vooralsnog meestal niet in staat is haar eigen systemen goed te beveiligen of er op toe te zien dat ingehuurde private partijen dat doen.

Ook werd in de lezing over Clean-IT veel gehamerd op de publiek-private samenwerking als geruststelling van de aanwezigen en ook hier had dit voornamelijk het tegenovergestelde effect. Het blijft vreemd dat een overheid eerst zichzelf inhoudelijk incompetent maakt door alles expertise te outsourcen, vervolgens daar na tien jaar achterkomt en dan de inhoudelijke macht bij bedrijven legt die zij niet kan aansturen (of later aansturen door andere ingehuurde bedrijven). Als laatste stap wordt dan het outsourcen naar die bedrijven gebruikt als geruststelling naar burgers toe: "we laten het door bedrijven doen hoor! Dat u als burger niet denkt dat wij er zelf met onze worstenvingertjes aanzitten! Komt helemaal goed!". Na Diginotar is mijn vertrouwen in het aansturende en toezichthoudende vermogen van de overheid tot net iets boven het absolute nulpunt gedaald.

Wat een verschil in aanpak tussen de zomer van 2001 en vandaag.

Terrorisme is natuurlijk het sleutel-excuus-woord maar er gaan veel meer Europeanen dood aan uitglijden in de douche of slechtzittende valhelmen dan aan 'terrorisme'. Bovendien weten we als Europeanen hoe we met terrorisme om moeten gaan. De ETA, IRA en RAF zijn in eerdere decennia door onderhandelen en inkapseling ongevaarlijk gemaakt zonder dat daarbij de rechten van een half miljard Europese burgers werden afgebroken. Zelf toen in Londen wekelijks IRA bommen ontploften deed niemand de suggestie dan maar Dublin en Belfast met fosforbommen te bestoken.

Hoop

Ik hoop* dat de pre-9/11 visie van het EU Parlement ooit gaat doordringen tot het Nederlandse Ministerie van Veiligheid en Justitie (voor heen gewoon 'Justitie', binnenkort 'Liefde'?). Wellicht met een nieuws kabinet nieuwe ronden, nieuwe kansen? Het zou mooi zijn als 'het vrije westen' een beleid zou hebben dat ons in staat stelt met een zeker moreel overwicht van Rusland te eisen dat ze stopt met politieke censuur onder het mom van 'veiligheid'.

* Hoop: het verlangen naar een toekomstige situatie waarover je niet of nauwelijks invloed op hebt: "Ik hoop dat mijn vliegtuig niet neerstort".