In dienst van de inlichtingendienst?
Mag de overheid cyberinbraken in eigen land en aanvallen tegen het buitenland uitbesteden?
Mag de overheid cyberinbraken in eigen land en aanvallen tegen het buitenland uitbesteden?
Op 1 september 2010 wordt de wet op ‘bijzondere inlichtingenmethoden’ van kracht, waardoor het wapenarsenaal van de Belgische inlichtingendiensten in één klap stevig wordt uitgebreid. Ook in het digitale gebied. Zo kunnen die diensten in schier elk systeem op zoek gaan naar informatie – op systemen van rechters na.
Concreet betekent dat letterlijk elk systeem van bedrijven of privépersonen door de Belgische inlichtingendiensten kan worden doorzocht, zonder meer. Dat geldt tevens voor zijn (digitale) vormen van communicatie. Hiervoor moet wel toestemming worden gegeven door een controlecommissie, of – tot die commissie is opgericht – door de minister van Justitie. Wie het voorwerp van een dergelijk onderzoek kan dat op zijn vroegst pas vijf jaar na datum vernemen. Of om Alain Winants, chef van de staatsveiligheid, te citeren: “Als we ons werk goed doen, zal u niets merken van onze acties.”
En hier krabben we ons toch lichtjes in het haar. Een inbraak in een huis zonder sporen achter te laten – wat de inlichtingendiensten ook mogen doen – daar zien we wel een hele rist personen toe in staat. Maar experts die een goed beveiligde ict-infrastructuur – en die infrastructuur in uw bedrijf is toch goed beveiligd, zeker? – kunnen kraken zonder sporen achter te laten, die zijn al wat dunner gezaaid. Bovendien zijn die allicht niet meteen in het emplooi van de overheid. Die heeft het al moeilijk om ‘gewone’ ict’ers aan te trekken, laat staan experts die gegeerd zijn in de bedrijfswereld.
Wat dan ook de vraag doet rijzen of de inlichtingendiensten dan ook geneigd zouden kunnen zijn om dergelijke ‘inbraken’ uit te besteden aan gespecialiseerde securitybedrijven? En kan dat zo maar? In ieder geval voorziet Art. 18/16 §3 dat “personen met kennis van het systeem waarop de gezochte data staan en/of van de middelen waarmee die informatie is beschermd, kunnen worden verplicht die informatie door te geven aan de inlichtingendiensten op straffe van een een geldboete van 26 tot 10.000 euro bij weigering (§4)”.
Ik mag er overigens niet aan denken dat die diensten nog maar een seconde zouden overwegen om gekende ‘hackers’ onder de arm te nemen. Omgekeerd kan het ook leuk worden als een gespecialiseerd bedrijf bij een controle van het systeem van een klant uiteindelijk bij de staatsveiligheid zou uitkomen als dader van een digitale inbraak… Overigens is de overheid niet gehouden schade aan het systeem te vergoeden als de informatiezoektocht te maken had met de bedreiging van het fysiek welzijn van één of meerdere personen, inclusief terroristische misdrijven.
Er is toch ook wel wat ruimte voor gewetensnood. Stel dat zo’n inlichtingendienst gebreken in de verdediging van bijvoorbeeld een ziekenhuissysteem vindt. Zullen ze het ziekenhuis daarvan op de hoogte brengen – en zichzelf zo het leven moeilijker maken – of daar dankbaar gebruik van maken…. en het ziekenhuis kwetsbaar laten voor aanvallen door derden? Of meer nog, zullen ze niet in de verleiding komen om eigen achterdeurtjes te installeren in bedrijven waar ze misschien later nog eens willen binnenwandelen? Dat mag natuurlijk niet, want ze mogen slechts optreden in het kader van toegelaten opdrachten. Maar wie kan zo’n misbruik controleren? Precies, de personen die in staat zijn de inbreuk zelf te plegen. Wat meteen weer een klassiek voorbeeld is van ‘wie gaat de bewakers zelf bewaken’ – een probleem waar zelfs de Oud-Romeinen al mee worstelden. Of zoals tegenwoordig alles een Latijns spreekwoord vereist: “Sed quis custodiet ipsos custodes.”
Interessant is tevens dat de wet uitdrukkelijk ook digitale tegenaanvallen tegen boosdoeners uit het buitenland mogelijk maakt (Art. 4, 2°). Nieuw zijn dergelijke aanvallen zeker niet en ook ons land werden bedrijven en instellingen al belaagd van over onze grenzen heen. Een digitale verdediging en eventueel zelfs tegenaanval is dan niet zo verwonderlijk, want gewoon een uitbreiding van een vereiste in het internationaal recht die stelt dat een land om als staat te worden erkend ook de integriteit van zijn grondgebied tegen derden moet kunnen verzekeren. Het verdedigen van de digitale integriteit van een land, lijkt me niet meer dan een logische uitbreiding van die vereiste. Trouwens, het is wel geweten dat zelfs ‘bondgenoten’ niet vies zijn van het digitaal inwinnen van gegevens. Maar ook hier is het de vraag of de overheidsdiensten daarvoor over voldoende experts beschikken. Of zouden ze overwegen om ook de aanvallen tegen het buitenland…. uit te besteden?
Overigens willen we geen afbreuk doen aan kwaliteit van mensen in dienst van overheid. Geenszins is het de bedoeling te suggereren dat wie in dienst van overheid is per definitie niet bekwaam is. Dat zou een behoorlijk grove en onheuse opmerking zijn. Maar het is een kwestie van aantallen. Zo zocht defensie in mei wel… vier experten in dienst te nemen. Zelfs met automatiseringshulp kan iedere expert maar zoveel opdrachten tegelijk aan. En dan kan je de vraag stellen of het uitvoeren van digitale inlichtingenopdrachten op voldoende grote schaal mogelijk is. Dan wel of hoe dan ook een uitbesteding om de hoek komt kijken.
Fout opgemerkt of meer nieuws? Meld het hier