Weg bij de geheime dienst

Dat dienstmedewerkers overstappen naar de private sector is niet nieuw. Een van de bekendste is hack­expert Ronald Prins, die eind jaren negentig kortstondig bij de AIVD werkte en daar tegen juridische barrières aanliep. Hij ging weg en richtte ­samen met een kompaan het digitale beveiligingsbedrijf Fox-IT op. In de loop der jaren volgden er velen. Inge Bryan (nu bij Deloitte), Pepijn Vissers (Chapter8), Liesbeth Holterman (Cyberveilig Nederland), Fred Streefland (Hikvision). Maar vijf dienstmedewerkers die allemaal naar hetzelfde bedrijf gaan? Bryan: ‘Dat is opmerkelijk. Het laat zien dat de cybersecuritysector in Nederland diverser en volwassener wordt.’

In de Verenigde Staten en Israël is het niet vreemd dat hackers en analisten van geheime diensten op een gegeven moment voor het commerciële geld gaan. In sommige gevallen komen bedrijven bijna rechtstreeks voort uit de inlichtingendiensten – zoals bij Verint dat afluistersoftware levert en is opgericht door oud-medewerkers van de Israëlische afluisterdienst Unit 8200. Of het Britse Dark­trace, een samenwerking tussen de Britse inlichtingendiensten en de universiteit van Cambridge, dat middels machine ­learning digitale dreigingen in kaart brengt en een van de snelst groeiende cybersecuritybedrijven ter wereld is. De relaties tussen dit soort bedrijven en de dienst waar ze uit voortkomen, kunnen innig zijn – zo innig dat soms het vermoeden bestaat dat de contacten aan beide zijden worden benut.

Dat gebeurde bijvoorbeeld in 2013 toen het Amerikaanse Mandiant een spectaculair rapport naar buiten bracht over hackers van een speciale Chinese legereenheid. Het rapport van Mandiant was zo uitgebreid en gedetailleerd – inclusief een minutieuze beschrijving van het pand in Shanghai waar de hackers werkten – dat kenners zich afvroegen hoe Mandiant dat zonder hulp van buitenaf voor elkaar kreeg. Dat de regering-Obama de publicatie ook nog aangreep om China onder druk te zetten te stoppen met het hacken van Amerikaanse bedrijven, voedde de speculaties. Had Mandiant toegang tot inlichtingen over China, wisten medewerkers van Mandiant meer over China’s hackactiviteiten of gebruikte Mandiant de goede contacten met de inlichtingendiensten?

Die vragen zijn ook in Nederland ­relevant. Want als EYE straks een Chinese of Iraanse hackgroep op het spoor is, komt dat dan door het goede speurwerk van de medewerkers of door de informatie die de vijf bij de AIVD of MIVD hebben meegekregen? Voor Job Kuijpers, oprichter van EYE, is het antwoord helder. ‘Wij gebruiken geen staatsgeheime kennis.’

Toch is het de vraag of die kennis zo makkelijk uit te zetten is. Experts van verschillende bedrijven vertellen hoe waardevol de opgedane inzichten van de AIVD’ers zijn. Ze willen dat niet on the record doen: praten over de dienst ligt gevoelig, evenals over concurrenten. Een cybersecurityspecialist van een toonaangevend beveiligingsbedrijf verwoordt het zo: ‘Het lastige is: je hebt een kennispositie opgebouwd bij de dienst. Als je weggaat, is die informatie niet opeens weg. Die zit nog in je hoofd. Dus zogeheten indicatoren van buitenlandse hackgroepen ken of herken je dankzij het werk wat je deed voor de AIVD en MIVD.’

Zo ontstaat een grijs gebied. Als een klant van EYE getroffen is door een hack zullen de onderzoekers zo snel mogelijk willen weten wie de aanvallers zijn. Het is mogelijk dat ze weten dat bepaalde hackersgroepen gebruikmaken van een specifieke hostingprovider. In de systemen van de klant kunnen ze het ip-adres van die provider vervolgens opzoeken. Of ze zoeken naar een kenmerkend bestand dat ze in hun tijd bij de AIVD vaker voorbij zagen komen en die gelinkt is aan de werkwijze van een buitenlandse spionagegroep. Inge Bryan: ‘De werkwijze van bepaalde spionagegroepen gaan ze herkennen. En dat is ook prima. Door de kennis die ze hebben te verspreiden wordt Nederland veiliger.’

Job Kuijpers relativeert het belang van de opgedane informatie: ‘Met name in cybersecurity is veel kennis binnen enkele maanden niet meer ­relevant.’ Het risico van een grijs gebied herkent hij niet. ‘Bij EYE werken mensen die lange tijd hebben bijdragen aan de veiligheid van Nederland. Die gaan niet zomaar ineens hun principes overboord gooien. Die geloven in het nut van de diensten om de democratie en de rechtstaat te beschermen.’

‘Iedereen die weggaat bij de dienst is doordrongen van het feit dat staatsgeheimen staatsgeheim zijn’, zegt Inge Oevering, hoofd communicatie bij de AIVD. Volgens haar is er een extra gesprek met de desbetreffende personen gevoerd. ‘Sommige situaties vragen nu eenmaal om extra aandacht.’ Elke vertrekkende AIVD’er krijgt een exitgesprek. Soms een tweede, zoals in dit geval. ‘Dat geldt bijvoorbeeld als mensen overstappen naar een krant, maar ook als ze naar een cybersecuritybedrijf gaan.’ Over de inhoud van dat gesprek wil ze niets zeggen. Over naleving ervan evenmin. ‘Maar het is niet zo dat wij mensen gaan controleren. Als ze zich niet aan de afspraken houden, kijken we hoe we daarmee omgaan.’

Waarom laten de AIVD en MIVD deze specialisten eigenlijk vertrekken? AIVD en EYE wijzen op het natuurlijke verloop. Er gaan nu eenmaal af en toe mensen weg bij de dienst. Kuijpers: ‘Op een organisatie van enkele duizenden stelt dit niet zoveel voor. Het betreft hier allemaal medewerkers die al ruime tijd met heel veel plezier bij de dienst hebben gewerkt en toe waren aan een volgende stap.’ Maar het betekent ook dat de overheid waardevolle kennis verliest. Een ontwikkeling die ze in de Verenigde Staten maar al te goed kennen. Twee jaar geleden was de uitstroom bij de fameuze afluisterdienst NSA zo groot dat kenners in The Washington Post spraken van een ‘brain drain’ en een ‘epidemie’. ‘De NSA verliest verbazingwekkend veel van zijn sterkste technische talent, en het is een enorme klap om je beste en slimste personeel te verliezen’, zei een voormalig senior onderzoeker van de NSA die een eigen bedrijf was begonnen tegen de krant.

Die zorgen spelen in Nederland niet, bezweert Inge Oevering van de AIVD. ‘De oprichting van EYE is niet iets waardoor hier de alarmbellen rinkelen.’

Ook Inge Bryan, zelf dertien jaar werkzaam geweest bij de AIVD, denkt niet dat de Nederland zich daarover zorgen maakt. Volgens haar zijn de diensten goed in staat nieuw talent aan te trekken. En zijn ze inmiddels ook ‘fors opgeschoven’ qua arbeidsvoorwaarden. Dat de private sector lonkt is ook verklaarbaar: minder ambtelijk geneuzel, meer vrijheid.

En blijft het contact met de dienst bestaan? Is het bijvoorbeeld toevallig dat EYE zicht richt op het midden- en kleinbedrijf, een terrein waar de geheime diensten minder aanwezig zijn? Profiteren de diensten daar ook van? Vragen hierover liggen gevoelig.

Kuijpers: ‘Wij doen nooit uitspraken over onze klanten of relaties.’

Bryan: ‘De dienst heeft baat bij goede contacten en bij een diverse markt.’

Oevering van de AIVD: ‘Iedereen profiteert van goede contacten en een goed netwerk. Maar het is niet zo dat we een derde geldstroom hebben gecreëerd.’

Enkele oud-AIVD’ers die zelf de overstap maakten, vertellen liever niet over het contact met hun voormalige werkgever. Een van hen: ‘We bewegen het liefst op de achtergrond. Onze klanten, die onze geschiedenis uiteraard kennen, vinden dat prettig.’

Een ander: ‘Je gaat nooit helemaal weg bij de dienst. De contacten blijven.’ Iets waar de AIVD zelf ook altijd op hamert bij het beoordelen van de veiligheidsrisico’s van buitenlandse partijen.

Een ander dilemma: gebruik je de ervaring bij een geheime dienst om klanten te werven?

Op de website van EYE prijkte eerst de tekst dat medewerkers afkomstig zijn uit de ‘Champions League van de cybersecurity’. Een ondubbelzinnige verwijzing naar de geheime activiteiten van de medewerkers. Die tekst is inmiddels weggehaald en vervangen door: ‘We kunnen niet alle spannende jongensboekverhalen delen maar we kunnen wel vertellen welke ­bagage onze medewerkers meenemen.’

Volgens Inge Oevering is dat niet het gevolg van ingrijpen door de AIVD. ‘Dat komt voor ­eigen rekening.’