Maar als onze informatiesystemen worden aangevallen, wie zorgt dan voor de bescherming van de netwerken waar de privédata van Nederlanders doorheen gaan? Incidenten in 2019 laten zien dat zelfs de gevoeligste systemen niet veilig zijn. Bureau Jeugdzorg in Utrecht raakt ruim 3000 dossiers kwijt van kwetsbare kinderen, waarin informatie staat over psychische stoornissen en details over seksueel misbruik. Bij het Gelre Ziekenhuis liggen na een phishingaanval patiëntgegevens op straat. Bij het Amsterdamse OLVG kunnen studenten maandenlang grasduinen in medische dossiers.
Aan alle kanten verzamelen bedrijven en overheden data van burgers. Camera’s registreren waar mensen lopen of parkeren, bedrijven de producten die klanten kopen, incassobureaus hoe kredietwaardig ze zijn en apotheken welke medicijnen ze bestellen. De politie heeft een database met foto’s van 1,3 miljoen Nederlanders. En burgers geven zelf steeds meer data weg: op Facebook, Google. Een miljoen Nederlanders heeft vrijwillig zijn familiegeschiedenis en DNA-materiaal afgestaan aan het commerciële MyHeritage — een Israëlisch platform voor stambomen en genealogie.
In handen van inlichtingendiensten vormen die databergen een bedreiging voor de democratie. Kwetsbare groepen, zoals minderheden en politieke demonstranten, zijn vaak als eerste het slachtoffer. De Amerikaanse NSA en Britse GCHQ houden al bij welke burgers WikiLeaks ondersteunen. China volgt door middel van een gigantisch netwerk van camera’s met gezichtsherkenning het gedrag van miljoenen moslims. Turkije gebruikt spionagesoftware van de Duitse-Britse Gamma Group om demonstranten en dissidenten in de gaten te houden. Een ‘inlichtingenbureau’ van het Nederlandse ministerie van Sociale Zaken koppelt databestanden van burgers met bijvoorbeeld onderwijsgegevens en onroerend goed om te zien of er een risico is op uitkeringsfraude.
Daarbij is de kans op fysieke schade groot. De Rekenkamer waarschuwt in 2019 dat de ‘fysieke veiligheid van Nederland’ op het spel staat omdat tunnels en waterkeringen niet goed zijn beschermd tegen digitale aanvallen van buitenlandse staten. ‘Tunnels, bruggen, sluizen en waterkeringen kunnen nog beter worden beveiligd tegen cyberaanvallen.’ De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) stelt dat ‘maatschappelijke ontwrichting’ op de loer ligt. De ‘permanente digitale dreiging’ kan de ‘onafhankelijkheid en zelfstandigheid van Nederland’ aantasten. Hoe wil Nederland zich digitaal beschermen?
Als de hoofden van de AIVD, MIVD en NCTV in 2015 in een geheime bijeenkomst op het ministerie van Algemene Zaken alarm slaan en 340 miljoen euro vragen voor digitale veiligheid, reageren premier Rutte en zijn ministers afwijzend. Er komt een werkgroep, een strategie en jaren later een ‘agenda’. Het is dit soort onbekommerdheid die bij bronnen tot de verzuchting leidt dat er misschien sprake is van een generatiekloof: politici die over digitale veiligheid beslissen, zijn opgegroeid zonder computer en smartphone. Veertigers en vijftigers die weinig affiniteit hebben met digitale middelen. Ze doorzien de kwetsbaarheid niet. Sommige ministers weigeren bijvoorbeeld met de speciaal beveiligde Tigertelefoon te bellen. Oud-minister Plasterk zet, als hij politiek verantwoordelijk is voor de AIVD, de omstreden chatdienst Telegram op zijn diensttelefoon — waarna hij vanwege de veiligheid een nieuwe telefoon moet.
Ander probleem: niemand voelt zich écht verantwoordelijk voor digitalisering. Het is het klassieke voorbeeld van the problem of the many hands: iedereen is verantwoordelijk voor een deel maar niemand voor het geheel. Het vraagstuk is in Nederland verdeeld over liefst vijf ministeries — België en Zweden hebben een eigen minister voor Digitale Zaken. Een eerste poging tot een Nederlandse regierol is de aanstelling van een Digicommissaris in 2014. Daarvoor wordt VVD-coryfee Bas Eenhoorn, eerder partijvoorzitter en daarna vooral bekend als waarnemend burgemeester in tal van gemeenten, gestrikt. Een zestiger die vlak voor zijn pensioen de overheid de moderne tijd in moet loodsen.
Het wordt geen onverdeeld succes en na vier jaar geeft Eenhoorn de opdracht over aan staatssecretaris Raymond Knops (CDA), bij wie digitale veiligheid beperkt is tot de overheid. De regering vindt dat bedrijven een eigen verantwoordelijkheid hebben. De Haagse ambtenaar: ‘Waterveiligheid is een overheidstaak, digitale veiligheid zou dat ook moeten zijn maar is een publiek-private verantwoordelijkheid.’
De samenwerking tussen overheid en bedrijfsleven verloopt stroef. Na de Russische bemoeienis met de Amerikaanse verkiezingen ontstaat het idee voor kortdurende samenwerking om te voorkomen dat Rusland ook de Nederlandse verkiezingen van begin 2017 beïnvloedt. Bedrijven als FOX-IT, Northwave en Deloitte houden de systemen van klanten in de gaten en zien daardoor nieuwe aanvalstechnieken. AIVD en MIVD ontdekken weer andere soorten Russische malware. Het plan om bedrijven en geheime diensten die informatie samen te laten brengen, bloedt dood: de AIVD wil informatie van de bedrijven ontvangen, maar geen eigen informatie delen. Daar hebben de bedrijven geen zin in.
De mislukte samenwerking is tekenend voor de weifelende omgang met digitalisering: de voordelen gebruiken, maar de risico’s negeren. Zoals Nederlandse burgers dat ook doen: appen, delen en liken, maar geen password manager of degelijke antivirussoftware op een laptop installeren. Het is als autorijden zonder airbag.
De ambities van het kabinet (‘Nederland dé digitale koploper van Europa’) staan daardoor in groot contrast met de investeringen in digitale veiligheid. Honderden miljoenen geven ministeries uit aan nieuwe ICT-projecten die telkens te ambitieus blijken. Defensie (900 miljoen), Belastingdienst (203 miljoen), Bevolkingsregister (100 miljoen), Rechtspraak (200 miljoen), Nederlandse Voedsel en Warenautoriteit (65 miljoen): na jaren stoppen ze met de geldverslindende vernieuwing van hun ICT-systemen. Maar voor degelijke beveiliging is geen geld.
In plaats van de noodzakelijke 340 miljoen wordt mondjesmaat geïnvesteerd in digitale veiligheid. Gaten worden gedicht waar de nood het hoogst is: het is als ducktape plakken in het ruim van een zinkend schip. Voor de Kamerverkiezingen in 2017 verschijnt het rapport ‘Nederland digitaal droge voeten’ van PostNL-topvrouw Herna Verhagen. De conclusie: ‘Cyberdreigingen nemen fors toe (…). Grootschalige maatschappelijke ontwrichting kan het gevolg zijn.’
Over de hele linie wordt de dreiging serieuzer, stelt Verhagen vast: van digitale criminaliteit waar burgers mee te maken krijgen — in 2015 is het aantal meldingen van cybercrime voor het eerst hoger dan het aantal gemelde fietsdiefstallen — tot spionage en sabotage door buitenlandse staten. ‘We vinden het vanzelfsprekend dat er regels, stoplichten en rotondes zijn om het verkeer veilig te houden. De veiligheid van de digitale wereld moet net zo belangrijk worden als de veiligheid van de wereld om ons heen.’
Verhagen adviseert om ‘met spoed’ de digitale veiligheid te versterken en daar 10 procent van het ICT-budget voor vrij te maken. Het gaat om honderden miljoenen. Nederland moet aan digitale dijkbewaking doen. Ook bepleit ze de aanstelling van een ‘hoge functionaris’ voor het opstellen van een ‘actieprogramma cybersecurity’. Een Digicommissaris 2.0.
Hans de Boer, voorzitter van werkgeversorganisatie VNO-NCW, neemt het rapport samen met premier Rutte in ontvangst. De Boer is het met Verhagen eens: ‘Het thema verdient aandacht, op álle niveaus. Bij de overheid, het bedrijfsleven en bij de consument.’ Veiligheidsbaas Dick Schoof onderschrijft de noodzaak: ‘Landen als Duitsland en het Verenigd Koninkrijk investeren flink in cybersecurity. Nederland kan en mag niet achterblijven.’
Maar als Mark Rutte op 26 oktober 2017 de ministersploeg van zijn derde kabinet presenteert, blijken de adviezen van Verhagen in de wind te zijn geslagen. Geen nieuwe Digicommissaris. Wel trekt het kabinet een schamele 95 miljoen uit voor digitale veiligheid, bij lange na niet de aanbevolen 10 procent. De Haagse insider: ‘Het blijft bij pleisters plakken. Op het hogere, strategische niveau dringt het belang maar niet door. Dat is ook Schoof, die een goede band met Rutte heeft, aan te rekenen: het lukt ook hem niet om meer geld los te krijgen.’
*
Eén vraag bleef in de jaren dat ik onderzoek deed, onbeantwoord: wie probeerde mijn router binnen te komen? Twee keer ging het apparaat kapot. De eerste keer — vlak voor de reis naar Brazilië in 2013 — was ik er eerst zelf mee
gaan knoeien. Op knopjes drukken, resetten. Toen ik het ding bij een specialist bracht, was het te laat: ik had het bewijsmateriaal verknald. Bewijs voor spionage, laat staan een spoor van een dader, was niet te vinden.
Dat gebeurt me niet nog een keer, nam ik me stellig voor. Een volgende keer zou ik direct de stroom eraf halen en het ding naar een expert brengen. Dus toen mijn router het eind 2017 opnieuw begaf, dacht ik beet te hebben. Voorzichtig ging het ding in een tas en bracht ik hem naar een gespecialiseerd bedrijf.
Hoopvol ging ik maanden later naar het bedrijf dat de router had onderzocht. Een jongeman in spijkerbroek liet me binnen, nam plaats en schudde meteen zijn hoofd. ‘Ik moet je teleurstellen,’ zei hij. ‘We kunnen geen volledige toegang tot je router krijgen. Dat kan alleen de fabrikant.’
In de auto op de snelweg terug, dacht ik aan de kapotte router en de kansloze zoektocht naar verklaringen. In de bijna zes jaar tussen die eerste kapotte router en het teleurstellende onderzoek naar de tweede is het snel gegaan. De spionage is omvangrijker en serieuzer geworden, de afhankelijkheid van internet groter, de samenleving kwetsbaarder. De waarschuwingen zijn terecht gebleken. Maar net als bij die kapotte router hebben we er nog steeds geen vat op.
Epiloog
Nog voordat de eerste letter van dit boek op papier stond, ging het beeldscherm van mijn Dell-laptop stuk. Dat gebeurde op een eilandje in Zuidoost-Azië. Als de wind goed stond was er weliswaar wifi, maar een computerwinkel was ver te zoeken. Naar het vasteland gaan zou dagen duren. Collega’s van de Volkskrant verwezen me daarom naar een internationaal supportteam van Dell. De communicatie met dat team in Azië verliep onnavolgbaar: medewerkers verstonden mijn naam niet, herkenden het serienummer van de laptop niet, konden alleen helpen als de laptop in Azië was geregistreerd.
Curieus genoeg kreeg ik een dag na dit contact een sms van het team: een onderdeel voor de laptop zou met een schip onderweg zijn. Welk onderdeel? Waarnaartoe? Twee dagen later nam een Engelssprekende vrouw contact op via WhatsApp: zij stelde zich voor als de zus van de bezorger. Weer een dag later meldde zich bij de supermarkt op het eiland een mannetje met een rugzak. Hij sprak drie woorden Engels, bleek een nieuw scherm bij zich te hebben en in een kwartier deed de laptop het weer. Om maar te zeggen: de digitale tijd heeft ook talloze voordelen.
Het is verleidelijk om de ontsporingen en gevaren van het internet geheel te wijten aan het gedrag van bedrijven en overheden. Facebook dat toestaat dat de privégegevens van miljoenen gebruikers worden gebruikt voor politieke campagnes, Schiphol dat camera’s met gezichtsherkenning plaatst. Overheden die internetverkeer scannen, geheime diensten die omvangrijk spioneren.
Maar dat gaat voorbij aan de bijdrage die burgers zelf leveren. Facebook leeft en groeit van de persoonlijke informatie die gebruikers vrijwillig aan het bedrijf geven. Als mensen massaal hun account opzeggen, bestaat Facebook niet meer. Datzelfde geldt voor datagrootmachten als Google: het gebruik is vrijwillig, het bedrijf groeit op de data van gebruikers. Er zijn privacyvriendelijkere alternatieven die op z’n minst net zo goed functioneren en die een stuk minder data van gebruikers opslaan: zoekmachines DuckDuckGo en Startpage.com bijvoorbeeld. Zoals het ook een keuze is om WhatsApp te gebruiken terwijl het veiligere en even goed werkende Signal beschikbaar is.
In 2018 werden volgens beveiligingsbedrijf Symantec 3,3 miljoen Nederlanders slachtoffer van enige vorm van digitale criminaliteit. De zwakke plekken waar criminelen toeslaan, ontstaan vaak door gemakzucht. Eenzelfde wachtwoord voor verschillende diensten. Niet meteen updaten van een app of besturingssysteem. Een te simpele toegangscode gebruiken. Altijd wifi en bluetooth aan laten staan waardoor telefoon of laptop voor anderen te zien is. Gelukkig bestaan daarvoor ook alternatieven: een password manager genereert verschillende, veilige wachtwoorden, snel updaten is beter dan wachten, een zescijferige toegangscode is beter dan een viercijferige, een vingerafdruk is nóg veiliger. Wifi en bluetooth kun je uitschakelen als je ze niet gebruikt. Verbind nooit zomaar met een openbaar en dus onveilig wifinetwerk.
Dit soort tips is niet uniek. Als lezers na dit boek iets meer aan hun bescherming willen doen, kunnen ze op allerlei plekken terecht. RTL Nieuws-journalist Daniël Verlaan heeft een nuttige en toegankelijke handleiding gemaakt: laatjeniethackmaken.nl. Zoals Verlaan zijn er meerdere journalisten die digitale veiligheid inzichtelijk maken. Wouter van Noort en Marc Hijink van NRC, Joost Schellevis en Nando Kasteleijn van de NOS, Kristel van Teeffelen van Trouw. Dimitri Tokmetzis en Maurits Martijn van De Correspondent schreven het indrukwekkende Je hebt wél iets te verbergen over het belang van privacy, eveneens met bruikbare tips. Wie meer wil lezen over de risico’s van digitalisering en overheidscontrole, raad ik onder meer het werk van de Amerikaanse journalist Kim Zetter en de Schotse journalist Ryan Gallagher aan.
Bij het schrijven over spionage en geheime diensten volgt onvermijdelijk de vraag wiens belangen de journalist dient. Ben ik een nuttige idioot voor de AIVD en word ik gebruikt door de overheid? Het zou naïef zijn als ik daar niet op zou letten. Gesprekspartners die overduidelijk alleen maar het overheidsbelang dienen, zijn niet de meest interessante sprekers. Die ontberen een onafhankelijke blik die juist voor journalisten belangrijk is.
Er is bovendien een belangrijke reden waarom ik niet geloof dat de AIVD of MIVD mij bewust zou sturen: ik schrijf over iets wat zij geheim willen houden, hún operaties. Het kost niet voor niets jaren om het vertrouwen van goede bronnen te winnen: die weten dat ze gevaar lopen. Om sturing of tunnelvisie bij mezelf te voorkomen check ik informatie altijd bij anderen en overleg ik vóór publicatie met journalistieke collega’s. Dat de geheime diensten de gevonden informatie niet altijd zint, blijkt uit de verschillende verwijderverzoeken die de AIVD en MIVD met een beroep op de nationale veiligheid voor dit boek hebben gedaan, net zoals een rechtszaak van de AIVD tegen bepaalde passages. Zie daarvoor de verantwoording. Een andere indicatie is dat verschillende bronnen doelwit van onderzoek zijn geweest door de Rijksrecherche.
Het schrijven over geheime diensten zal altijd met een zekere scepsis worden bezien, juist ook door collega-journalisten. Dat komt deels omdat het werk van inlichtingendiensten zich afspeelt in het duister. Exemplarisch was de reactie na de de AIVD-hack van Cozy Bear in januari 2018 — een gezamenlijke publicatie van Eelco Bosch van Rosenthal en mij.
Dagblad Trouw publiceerde daarop een artikel van een verslaggever die over Buitenlandse Zaken en Defensie schrijft. ‘Iemand had er belang bij om de operatie van de AIVD te laten lekken’, luidde de kop. De auteur dacht aan de reactie van verantwoordelijke ministers af te leiden dat er geen ‘klopjacht naar lekkende medewerkers is gestart’. Ook bracht hij het verhaal in verband met het referendum over de inlichtingenwet dat twee maanden eerder diende. ‘Het lijkt er, zeker als aangifte uitblijft, op dat de politieke en ambtelijke bazen van de Nederlandse veiligheidsdiensten minstens kunnen leven met publicatie van deze specifieke informatie.’ En: ‘Gericht lekken komt vaker voor.’
Zoals in dit boek is te lezen, is er wel degelijk een intern veiligheidsonderzoek bij de AIVD naar lekkende medewerkers geweest. Als de Trouw-journalist eigen bronnen had gehad, had hij dat zelf kunnen navragen. Een verband tussen onze publicatie en het referendum kan er niet zijn: de eerste keer dat Eelco en ik een snipper informatie over de operatie hoorden, was in juni 2017, toen de Eerste Kamer nog akkoord moest gaan met de nieuwe inlichtingenwet. Niemand kon toen weten dat er maanden later een handtekeningenactie voor een referendum zou komen. Laat staan dat die actie tot een referendum zou leiden en wanneer dat zou zijn. Deze informatie werd destijds ook gepubliceerd in de Volkskrant maar het weerhield de Trouw-verslaggever er niet van zijn theorie te verspreiden.
De wegen van de geheime diensten zijn moeilijk te doorgronden. Dat brengt de aard van hun werk nu eenmaal met zich mee. Het is voor mij een belangrijke aansporing geweest om in dit boek het journalistieke proces zo gedetailleerd en helder mogelijk te beschrijven.
Verantwoording
Schrijven over geheime diensten is koorddansen: bronnen willen dat zo min mogelijk naar hen te herleiden is, lezers wil
len zo veel mogelijk over ze weten. Al is het dan geen naam, dan toch op z’n minst een typering. Was het een man of vrouw? Werkte hij bij een geheime dienst, of niet? Logisch, lezers willen de informatie kunnen toetsen.
Maar ook een typering, hoe klein of onschuldig ook, kan een bron in de problemen brengen. Telefoons laten digitale sporen na, net zoals auto’s en pinbetalingen. ‘Alsjeblieft, noem me geen inlichtingenbron’, of ‘zeg maar niet in welke stad we elkaar zagen’, kunnen nerveuze gesprekspartners vragen. Want als ik vertel dat ik een bron dinsdag in Den Haag heb gezien, is het voor een opsporingsteam relatief eenvoudig te achterhalen waar ik die bron gesproken heb en wie het moet zijn geweest.
Dat in dit boek nauwelijks mensen sprekend worden opgevoerd, is dus een onvermijdelijke en noodzakelijke concessie bij het schrijven over inlichtingendiensten. Op het lekken van staatsgeheimen staat een gevangenisstraf van zes jaar.
Toch wil ik iets over de bronnen zeggen. Dit boek is gebaseerd op gesprekken met 110 personen. Dat zijn (oud-)medewerkers van de AIVD, NCTV en MIVD, ambtenaren bij verschillende ministeries, beveiligingsonderzoekers en experts. Ik beschouw woordvoerders en voorlichters niet als bronnen, net zomin als een hoogleraar die zijn mening geeft, of een ambtenaar die een publiek rapport mailt. Een bron is iemand die ik vaker heb gezien of gesproken en die met mij niet-publieke informatie heeft gedeeld. Maar een bron kan ook iemand zijn die zelf niet actief informatie deelt maar die van mij bevestigt of weerlegt.
Gesprekken met bronnen neem ik niet op. Het zou mijn werk aanzienlijk vergemakkelijken maar deze bronnen weten heel goed hoe makkelijk audiobestanden in andere handen kunnen vallen. Wel maak ik aantekeningen. Ook dat heeft een nadeel als je in een openbare ruimte zit: daarmee maak je jezelf algauw kenbaar als journalist. De aantekeningen zijn dan ook vooral vluchtige schrijfsels. Steekwoorden en korte zinnen, geen uitgeschreven letterlijke citaten. Ik werk mijn aantekeningen direct na het gesprek uit en bewaar ze in beveiligde bestanden. Om de verzamelde informatie zo veel mogelijk te toetsen en te verifiëren, leg ik passages regelmatig voor aan bronnen met de vraag of de informatie feitelijk correct is weergegeven.
Het is oorlog maar niemand die het ziet Page 24