In de digitale wapenwedloop is Nederland niet alleen slachtoffer maar ook dader

Huib Modderkolk begaf zich in de schimmige wereld van de hackers, cyberaanvallen en digitale spionage, waarin Nederland echt niet alleen slachtoffer bleek.

Zo op het oog is het een vrolijke bijeenkomst in museum Beelden aan Zee in Scheveningen. Oud-minister van Defensie Jeanine Hennis staat geamuseerd te praten met terrorismecoördinator Dick Schoof. Erik Akerboom, baas van de Nationale Politie, schudt breed lachend handen met topambtenaren. Generaals en spionnen slaan elkaar op de schouder en nemen vishapjes van dienbladen.

De top van de Nederlandse veiligheidsdiensten is hier op donderdagmiddag 8 maart 2018 samengekomen op de afscheidsreceptie van hackexpert Ronald Prins. Hij zwaait af als directeur van het Delftse digitale beveiligingsbedrijf Fox-IT. Er lijkt reden voor optimisme: over twee weken zal Nederland zich uitspreken over een nieuwe wet voor de veiligheidsdiensten, in de volksmond de ‘sleepwet’. Een uniek referendum over een wet die veiligheidsdiensten de mogelijkheid biedt grootschalig internetkabels te gaan aftappen. Volgens de laatste peilingen is een meerderheid van de bevolking op dat moment voor.

Maar als ik me tussen de aanwezigen meng, merk ik dat van echte blijdschap geen sprake is. De bestuurders die hier zijn, verantwoordelijk voor de Nederlandse veiligheid, vertellen me over hun zorgen. ‘Waar we zoeken, vinden we sporen van buitenlandse spionage. En we zoeken lang niet overal’, zegt de een. Een ander: ‘Er is geen hightechbedrijf waar Chinezen niet binnen zijn geweest.’ Weer een ander: ‘Ik vraag me weleens af waar deze wapenwedloop eindigt.’

Een medewerker van een veiligheidsdienst vertelt me met een glas wijn in zijn hand dat hij thuis een stapel bankbiljetten bewaart. Als bij een digitale aanval betaalsystemen uitvallen, kan hij tenminste nog eten kopen of benzine tanken.

Onthullende ontdekking

Zes jaar geleden, in de zomer van 2013, betrad ik een voor mij onbekende wereld. Dat was in de tijd van de onthullingen over de Amerikaanse inlichtingendienst NSA. Daardoor werd in één klap duidelijk dat geheime diensten met afluistersystemen menselijk gedrag nauwkeurig in de gaten kunnen houden. Voor veel mensen waren die onthullingen een schok. Voor mij ook: ik wilde er alles van weten. Doen de Nederlandse geheime diensten dat ook? Wie kijkt mee met de appjes die ik stuur? Waar gaan mijn e-mails allemaal langs? En, belangrijkste: wat betekent het als anderen ons gedrag kunnen bekijken en sturen?

Antwoorden vinden bleek nog niet zo makkelijk. Hoewel iedereen inmiddels een smartphone had, met de ov-chipkaart reisde, het cashgeld uit de portemonnee verdween en chatten via WhatsApp de nieuwe volksverslaving werd, konden weinig mensen me uitleggen hoe de systemen werken die dat allemaal mogelijk maken. Van wie zijn die systemen eigenlijk en wie kan meekijken met privé-informatie? Dat was gek.

Ik nodigde mezelf uit bij internetproviders en telecomdeskundigen, bij oud-inlichtingenmedewerkers en beveiligingsexperts. Ze waren zonder uitzondering bijzonder vriendelijk en wilden me alles uitleggen over het internet. Vaak mannen, tussen de 30 en 50, die geen pak droegen maar een T-shirt, spijkerbroek en sneakers. Velen werkten in anonieme gebouwen op bedrijventerreinen.

In gangen vol stellingkasten legden ze me uit waar sms-berichten, Facebookmeldingen en e-mails allemaal doorheen gaan. Dat er een omvangrijk kabelnetwerk onder de grond ligt waarmee die data naar grote datacenters gaan, waarna ze naar de ontvanger worden verstuurd. Dat die datacenters inmiddels zo veel data afhandelen dat ze drie keer zo veel stroom gebruiken als de NS.

Maar als ik vervolgens wilde weten wat er op die kabels gebeurde, hield het vaak op. Heeft een internetprovider weleens gezien dat er Amerikaanse of Russische diensten Nederlandse berichten bekijken? Weten onderzoekers hoe en waar Facebook zijn data bewaart en wie daar allemaal bij kan? Kan een geheime dienst iemands zoekgeschiedenis in Google Maps achterhalen? Wat weet de NS van het reisgedrag van gebruikers van een ov-chipkaart?

Hoe specifieker de vragen, des te stiller de specialisten werden en hoe ongemakkelijker de gesprekken verliepen. Het waren de momenten waarop mensen vroegen of ik met de auto was gekomen, of ik m’n telefoon nog aan had staan, of ik de volgende keer alsjeblieft niet via de mail een vraag wilde stellen. Een specialist in industriële spionage wilde geen voorbeeld geven van zijn werk. ‘Dat kan ik echt niet maken. Als dat bekend wordt, ben ik mijn baan kwijt’, zei hij nerveus en keek me zijn kamer uit. Een oud-inlichtingenmedewerker wilde het alleen hebben over juridische mogelijkheden. Wat de Nederlandse diensten online écht doen, is geheim. Mensen reageerden niet op vervolgvragen of verzoeken om nog een keer af te spreken. Niet eerder was ik als journalist op zulke muren gestuit.

Vertrouwen winnen

Het kostte me jaren om een voet tussen de deur te krijgen. In deze wereld bleken de journalistieke tactieken die ik me had eigen gemaakt niet te werken. Bellen kon niet, e-mailen ook niet. Mensen citeren was onmogelijk. Doorvragen op details had soms een tegenovergesteld effect: dan gingen de luiken nog verder dicht. Een auto voor een voordeur parkeren was not done, een gesprek opnemen een doodzonde.

Beetje bij beetje leerde ik de omgangsvormen en won het vertrouwen van anonieme bronnen. Ook zij zien de voordelen van digitalisering: sneller contact, sneller werken. De smartphone loodst weggebruikers door het verkeer, de smartwatch controleert de hartslag en de slimme meter houdt het elektriciteitsverbruik nauwkeurig bij. Prachtig allemaal. Dat is de zichtbare kant: de haarscherpe foto’s, de feilloze verkeersinformatie, de beveiligingscamera die geduldig en onberispelijk inbrekers vastlegt.

Maar hiertegenover staan onzichtbare risico’s en gevaren. Als Google Maps elke dag vertelt welke route het snelst is naar kantoor, waar de files staan en hoeveel kilometer het hardlooprondje was, weet Google ook waar je woont, werkt en sport. Als een beveiligingscamera voorbijgangers registreert, kunnen anderen ook meekijken als jij thuiskomt. Als treinreizigers chatten, kunnen opsporingsdiensten zien met wie ze praten.

Internet is een machtig wapen in de handen van geheime diensten: ze kunnen risicoloos en anoniem toeslaan. Bronnen vertellen over een ontdekking in het voorjaar van 2015. Specialisten van de militaire veiligheidsdienst MIVD stuiten dan op verdacht internetverkeer en komen op het spoor van een computerserver in een datacenter in het Drentse Meppel. Tussen de weilanden, pal naast de spoorlijn Zwolle-Groningen, staat een loods vol computers – een datacenter van een Nederlands bedrijf. Iedereen kan er computerservers huren, al is de herkomst van de eigenaren niet altijd duidelijk. Als de specialisten een tap aansluiten en het internetverkeer dat via de server loopt bekijken, reageren ze ontsteld.

Via de computerserver sturen hackers aanvallen in Oost-Europa aan. Ze proberen elektriciteitscentrales in Oekraïne binnen te komen om daar een sabotagevirus achter te laten. Ook vallen ze Oekraïense televisiestations binnen en laten een virus los dat alle bestanden overschrijft. Documenten, video- en audiobestanden worden gewist zodat journalisten niet over de lokale verkiezingen kunnen berichten. En de aanvallers zoeken ook naar de besturing van West-Europese bruggen en sluizen om te weten hoe ze die bij een conflict kunnen uitschakelen. De MIVD kijkt met ze mee en ziet aan het gedrag en de aanvalsmethode dat de aanvallers bij de Russische militaire inlichtingendienst GROe horen.

De ontdekking van de digitale Russische commandopost op Nederlandse bodem is een kantelpunt. Dat digitalisering nieuwe vormen van spionage met zich meebrengt, weet iedereen. Er gaat geen dag voorbij zonder dat buitenlandse spionnen proberen Nederlandse bedrijven en ministeries binnen te komen. Op allerlei manieren verzamelen overheden bovendien grote datastromen om het gedrag van burgers te volgen. China is berucht, maar westerse landen doen net zo graag mee. Schaal is allang geen beperking meer: de Britse geheime dienst slaat in 2011 de gegevens op van 100 miljoen telefoontjes per dag. De Nederlandse Belastingdienst verzamelt zo veel parkeergegevens dat de dienst automobilisten praktisch live kan volgen.

Maar wat de MIVD in het voorjaar van 2015 ziet, is anders. De hackers van de Russische unit 74455 gebruiken de westerse communicatienetwerken om te ontwrichten en te saboteren. Het is een ontwikkeling waar de MIVD rekening mee hield, maar toch door verrast is. ‘Waar we bang voor waren, werd toen werkelijkheid’, vertelt een bron.

Bezorgde geluiden

Daarom klinken op de afscheidsreceptie van Ronald Prins ook bezorgde geluiden. Terwijl de digitalisering voortdendert tot in de operatiekamer en de schoolklas, gebruiken staten datzelfde internet om te spioneren en aanvallen uit te voeren.

‘De dreigingen die op Nederland afkomen zijn complex en agressief’, schrijft inlichtingendienst AIVD in het jaarverslag over 2018. ‘Vrijwel allemaal hebben ze een aanzienlijke digitale component.’ Het digitale gevaar komt vooral uit het oosten; China, Rusland en Iran zijn het actiefst volgens de inlichtingendiensten. De terrorismecoördinator waarschuwt voor ‘maatschappelijke ontwrichting’. ‘We moeten niet naïef zijn’, zegt premier Mark Rutte bij herhaling.

Maar tijdens de gesprekken die ik de afgelopen jaren voerde, leerde ik ook iets anders. Nederland is niet alleen slachtoffer, het is evengoed dader. De AIVD neemt eind jaren negentig de eerste hacker in dienst. Rond 2000 begint de dienst met het ‘afschrapen’ van het internet en het inzetten van virtuele identiteiten: bedachte personen met een fictief online-cv. Ook blijkt de Nederlandse dienst rond de eeuwwisseling in het Midden-Oosten bedrijven en ministeries te hacken.

Die lijn zet de dienst door. De AIVD behoort tot de geheime diensten die in de wereld digitaal vooroplopen. De Nederlandse dienst is betrokken bij geruchtmakende sabotageacties en digitale aanvallen. Voor een relatief kleine organisatie levert de AIVD op digitaal gebied een indrukwekkende prestatie – niet zelden in samenwerking met de Amerikanen. Bronnen schatten dat Nederland in de topvijf van digitaal machtigste landen staat, samen met de Verenigde Staten, Groot-Brittannië, Israël en Rusland.

Het beeld dat Nederland de digitale dreiging op zich af ziet komen, is daarom incompleet. De digitale aanvallen overkomen ons niet zomaar, we spelen het spel net zo hard mee. De zorgen hebben een diepere oorzaak: we kunnen de strijd niet meer winnen. China zet meer dan 100 duizend hackers in, Iran gebruikt internet als wapen om oliebedrijven en banken aan te vallen en in Nederland universiteiten te infiltreren. Rusland laat jonge Russen het sentiment op westerse sociale media sturen en legt elektriciteitsbedrijven lam. De escalatie is zorgelijk.

De open Nederlandse samenleving is in deze strijd kwetsbaarder dan de autoritairdere regimes van Rusland en China. Veiligheidsdiensten lopen in Nederland tegen morele en ethische grenzen aan. Zoveel wordt ook duidelijk bij de uitslag van het referendum over de sleepwet. In een paar weken tijd blijkt het sentiment omgeslagen, een kleine meerderheid heeft tegen de inlichtingenwet gestemd. Vooral jongeren vrezen de gevolgen voor een vrij internet als geheime diensten meer bevoegdheden krijgen. Meer internetcontrole hoort niet in een vrije democratie, is de achterliggende gedachte. Net zoals een democratische regering niet moet bepalen wat nieuws of nepnieuws is. Rusland en China kennen die aarzelingen niet, zij houden überhaupt geen referenda over de macht van hun veiligheidsdiensten. Zij kunnen makkelijker toeslaan en zich beter verdedigen.

Kritiek punt

Overheden en burgers hebben de neiging slechts de voordelen van digitalisering te zien. De AIVD kan overal ter wereld ongezien hacken en inlichtingen verzamelen. De politie kan de foto’s van 1,3 miljoen Nederlanders die ooit werden verdacht van een strafbaar feit in een database stoppen en ze vervolgens volgen met slimme camera’s. Burgers geven hun privédata aan Facebook om vrienden te laten weten hoe het met ze gaat en hun dna aan een Israëlisch platform voor familieonderzoek om te zien hoe hun stamboom eruitziet. Handig.

Maar langzaam dringen de gevolgen door: buitenlandse staten slaan digitaal terug en nestelen zich op strategische plekken in de Nederlandse infrastructuur, waardoor ze bedrijfsgeheimen wegsluizen of de elektriciteit kunnen uitzetten. Slimme camera’s houden mensenmassa’s in het gareel en functioneren als surveillancemiddel waardoor privacy en autonomie in de verdrukking raken. Bedrijven als Facebook worden zo groot dat ze het sentiment in een samenleving kunnen bepalen. De privégegevens van burgers kunnen in handen van criminelen komen of worden gebruikt om burgers in groepen of profielen te rangschikken.

Digitalisering laat zich vergelijken met de inname van antibiotica: bij zorgvuldig en doordacht gebruik zijn er nauwelijks nadelen. Maar bij overdadig en onzorgvuldig gebruik zijn de gevolgen ernstig. Het legt de loper uit voor indringers die zich als parasieten nestelen op plekken die het kwetsbaarst zijn en zorgt voor onherstelbare schade. De vraag is: zijn we het kritieke punt al gepasseerd?